Я читал на нескольких форумах о pfSense, где говорилось, что виртуализировать pfSense опасно. Причина, по которой было заявлено, заключалась в том, что злоумышленник мог использовать pfsense в качестве трамплина для атаки на гипервизор, а затем использовать его для получения доступа к другим виртуальным машинам и в конечном итоге отключить все.
Для меня это звучит безумно, но есть ли в этой идее крупица реальности? Является ли использование маршрутизатора на виртуальном сервере плохой идеей?
Люди обычно возражают против безопасности самого гипервизора, что, как показала история, не вызывает особого беспокойства. Это всегда может измениться, но пока не было серьезных повторяющихся проблем с безопасностью гипервизора. Некоторые люди просто отказываются доверять ему без уважительной причины. Речь идет не об атаке других хостов, если кто-то владеет брандмауэром, в этом случае не имеет значения, где он запущен, и из всех вещей, которые могут быть скомпрометированы, брандмауэр ВСЕГО вниз по списку, если вы не сделаете что-то глупое, например, открыть его управление для всего Интернета с установленным паролем по умолчанию. У этих людей есть некоторые иррациональные опасения, что из Интернета через один из его мостовых интерфейсов будет отправлен какой-то волшебный "корневой ESX-пакет", который каким-то образом что-то сделает с гипервизором. Это чрезвычайно маловероятно, существуют миллионы более вероятных способов взлома вашей сети.
Многочисленные производственные центры обработки данных используют pfSense в ESX, я сам установил, вероятно, более 100. Наши брандмауэры работают в ESX. Из всего этого опыта, единственными небольшими недостатками виртуализации ваших брандмауэров являются: 1) если ваша инфраструктура виртуализации выйдет из строя, вы не сможете получить к ней доступ для устранения неполадок, если вы физически не находитесь в этом месте (в основном применимо к центрам обработки данных Colo). Это должно происходить очень редко, особенно если вы развернули CARP с одним брандмауэром на каждый физический хост. Иногда я вижу сценарии, когда это происходит, и кто-то должен физически пойти к месту, чтобы увидеть, что не так с их гипервизором в качестве виртуального брандмауэра, и единственный путь внутрь тоже не работает. 2) Более подвержен ошибкам конфигурации, которые могут создавать проблемы с безопасностью. Когда у вас есть vswitch нефильтрованного интернет-трафика и один или несколько частных сетевых трафиков, есть несколько возможностей для перенаправления нефильтрованного интернет-трафика в ваши частные сети (потенциальное влияние которых будет варьироваться от одной среды к другой). Это очень маловероятные сценарии, но они гораздо более вероятны, чем совершение такой же ошибки в среде, где полностью ненадежный трафик никаким образом не связан с внутренними хостами.
Ни один из них не должен мешать вам делать это - просто будьте осторожны, чтобы избежать сбоев в сценарии 1, особенно если это происходит в центре обработки данных, где у вас нет физического доступа, если вы потеряете брандмауэр.
Есть опасность, что что-нибудь подключат к периоду интернета.
Процитирую бессмертного Странного Ала:
Выключите компьютер и убедитесь, что он отключился.
Бросьте его в яму высотой в сорок три фута в земле
Полностью закопайте его; камни и валуны должны быть в порядке
Затем сожгите всю одежду, которую вы, возможно, носили, когда были в сети!
Все, что вы открываете внешнему миру, имеет поверхность для атаки. Если вы запускаете pfSense на выделенном оборудовании и оно взломано, у вашего злоумышленника теперь есть плацдарм для внутренней атаки. Если ваша виртуальная машина pfSense будет скомпрометирована, у злоумышленника есть дополнительный вектор атаки - инструменты гипервизора (при условии, что вы их установили), с которыми он может работать, но в этот момент ваша сеть уже скомпрометирована, и вы находитесь в мире в любом случае больно.
Так менее безопасно ли использовать виртуализированный экземпляр pfSense? Да, незначительно. Я бы беспокоился об этом? Нет.
РЕДАКТИРОВАТЬ: После дальнейшего рассмотрения - если в pfSense есть конкретная ошибка, о которой я не знаю, в которой возникают проблемы с виртуализированными сетевыми адаптерами, которые каким-то образом создают брешь в безопасности, то приведенное выше неверно. Однако мне неизвестна такая уязвимость.
Есть некоторая неотъемлемая опасность запускать что-либо в виртуальной среде, независимо от того, о каком сервере вы говорите. Я недавно ответил на аналогичный вопрос. Поскольку ваш маршрутизатор / брандмауэр уже будет иметь доступ к вашей внутренней сети, нет реальной причины атаковать уровень гипервизора - уже существуют гораздо лучшие векторы атаки.
Единственная причина, по которой я действительно вижу гипервизор, - это то, что ваша виртуальная машина находится в DMZ. Оттуда вы можете перейти к гипервизору и перейти к машине во внутренней сети. Это не тот вариант использования, который вы описываете.
Лично я храню виртуальную копию своего брандмауэра для аварийного восстановления. Использование его не идеально, но это вариант.