Назад | Перейти на главную страницу

Каковы риски безопасности при использовании pfsense в виртуализированной среде?

Я подумываю использовать pfsense на моем сервере Ubuntu. Я бы виртуализировал pfsense с помощью виртуального бокса, чтобы он маршрутизировал и брандмауэр весь трафик как на мой сервер, так и на него, а также на остальную часть локальной сети.

Однако я слышал, что использование pfsense для чего-либо, кроме выделенного блока, представляет угрозу безопасности. Почему это так и действительно ли это проблема?

Тео и другие могут выдвигать подобные утверждения, но история показывает, что это не вызывает серьезного беспокойства. Исследователи безопасности годами искали уязвимости в гипервизорах, и в целом им удалось избежать хотя бы серьезных повторяющихся уязвимостей. Не совсем, вам придется исправлять свой гипервизор по мере необходимости, когда вам обычно никогда не приходится исправлять физическое оборудование по соображениям безопасности, но на практике существенной разницы не оказалось.

Это вообще не вопрос домашней сети. Существует множество критически важных производственных установок pfSense, работающих в гипервизорах, в основном в ESX. У нас есть 4 центра обработки данных Colo в инфраструктуре хостинга * .pfsense.org, в которых строго установлены виртуальные межсетевые экраны. Мне это нравится, потому что мы можем увеличивать мощность ЦП, ОЗУ и т. Д. По мере необходимости, не выделяя дорогостоящие серверы под брандмауэры, и, судя по истории, я не беспокоюсь о безопасности гипервизора (но следите за новыми разработками) .

Вы действительно должны позаботиться о том, чтобы ОС вашего гипервизора не могла привязать IP-адреса к сетевой карте, которая идет к вашему нефильтрованному Интернет-соединению. Это значительный риск при использовании пограничных брандмауэров в качестве виртуальных машин: проще испортить сеть на гипервизоре, чем подключить физические кабели не в том месте.

Однако я слышал, что использование pfsense для чего-либо, кроме выделенного блока, представляет угрозу безопасности. Почему это так и действительно ли это проблема?


Когда-либо цитируемый Тео де Раддт проекта OpenBSD имеет ответ за этот образ мышления:

Вы абсолютно заблуждаетесь, если не глупо, если думаете, что всемирная группа инженеров-программистов, которые не могут писать операционные системы или приложения без дыр в безопасности, может развернуться и внезапно написать уровни виртуализации без дыр в безопасности.


Рекомендация не запускать серверы или устройства, которые выполняют роли безопасности в вашей сети на платформе виртуализации, сводится к основополагающему принципу проектирования безопасных сетей и систем: функциональному разделению. В идеале каждое устройство или элемент в вашей системе должны иметь одну функциональную роль. Это уменьшает поверхность атаки и значительно упрощает настройку и устранение неполадок. Когда вы запускаете брандмауэр поверх платформы виртуализации, вам нужно не только безопасно настроить брандмауэр, но также монитор виртуальных машин и операционную систему основного хоста.

В реальном мире мы не можем достичь идеального функционального разделения по любому количеству причин (очевидна ограниченность ресурсов), но мы можем стремиться к этому. И хотя я не думаю, что использование брандмауэров на виртуальных машинах - это что-то самое худшее, я испытываю к нему сильное отвращение. Тщательно продумайте свою среду риска и доступные ресурсы и примите обоснованное и задокументированное решение.

Мы много лет использовали виртуализированные экземпляры pfSense под Linux с KVM. Это менее безопасно только потому, что вам нужно беспокоиться о безопасности вашего хоста в дополнение к гостевой машине pfSense, так как компрометация хоста виртуальной машины позволит злоумышленнику по крайней мере выключить / убить любые гостевые виртуальные машины и в худшем случае завершить контроль и над ними.