Eu li em alguns fóruns sobre o pfSense que diziam que era perigoso virtualizar o pfSense. O motivo declarado foi que um invasor poderia usar o pfsense como trampolim para um ataque ao hipervisor e usá-lo para obter acesso a outras máquinas virtuais e, eventualmente, colocar tudo offline.
Parece loucura para mim, mas há um pingo de realidade nessa idéia? A execução de um roteador em um servidor virtual é uma má idéia?
Respostas:
Os argumentos que as pessoas geralmente têm contra a segurança do próprio hipervisor, que a história praticamente provou, não são uma preocupação. Isso sempre pode mudar, mas ainda não houve problemas recorrentes de segurança do hipervisor realmente significativos. Algumas pessoas simplesmente se recusam a confiar nela, sem uma boa razão. Não se trata de atacar outros hosts se alguém possuir o firewall; nesse caso, não importa onde ele esteja sendo executado, e de todas as coisas que provavelmente ficarão comprometidas, o firewall estará MUITO abaixo da lista, a menos que você faça algo estúpido como aberto seu gerenciamento para toda a Internet com o conjunto de senhas padrão. Essas pessoas têm algum medo irracional de que haja algum pacote "raiz ESX" mágico enviado da Internet por meio de uma de suas interfaces em ponte que " de alguma forma, vai fazer algo com o hipervisor. Isso é extraordinariamente improvável, existem milhões de maneiras mais prováveis de comprometer sua rede.
Numerosos datacenters de produção executam o pfSense no ESX, eu configurei provavelmente mais de 100 sozinho. Nossos firewalls são executados no ESX. De todas essas experiências, as únicas desvantagens da virtualização de seus firewalls são: 1) se sua infraestrutura de virtualização ficar inativa, você não poderá encontrá-la para solucionar problemas se não estiver fisicamente nesse local (principalmente aplicável aos datacenters colo). Isso deve ser muito raro, especialmente se você tiver o CARP implantado com um firewall por host físico. No entanto, vejo situações em que isso acontece, e alguém precisa ir fisicamente ao local para ver o que há de errado com o hypervisor como firewall virtual e o único caminho para entrar também. 2) Mais propenso a erros de configuração que podem causar problemas de segurança. Quando você tem um vswitch de tráfego de Internet não filtrado e um ou vários de tráfego de rede privada, existem algumas possibilidades para que o tráfego de Internet não filtrado caia em suas redes privadas (o impacto potencial variaria de um ambiente para outro). São cenários muito improváveis, mas muito mais prováveis do que fazer o mesmo tipo de confusão em um ambiente em que o tráfego completamente não confiável não está conectado de maneira alguma aos hosts internos.
Nenhum deles deve impedir você de fazê-lo - apenas tome cuidado para evitar interrupções no cenário 1, especialmente se ele estiver em um datacenter onde você não tem acesso físico pronto se perder o firewall.
Existe o perigo de qualquer coisa ser conectada ao período da Internet.
Para citar o imortal Weird Al:
Desligue o computador e verifique se ele desliga.
Solte-o em um buraco de 10 metros no chão
Enterre-o completamente; pedras e pedras devem ficar bem
Então queime todas as roupas que você pode ter usado quando estiver online!
Qualquer coisa que você exponha ao mundo exterior tem uma superfície de ataque. Se você estiver executando o pfSense em hardware dedicado e ele for comprometido, seu atacante agora tem um trampolim para atacar tudo internamente. Se a sua máquina virtual pfSense for comprometida, o atacante terá um vetor de ataque extra - as ferramentas de hipervisor (presumindo que você as tenha instalado) - com as quais trabalhar, mas nesse momento, sua rede já está comprometida e você está em um mundo de machucar de qualquer maneira.
Portanto, é menos seguro usar uma instância virtualizada do pfSense? Sim, marginalmente. É algo com que eu me preocuparia? Não.
EDIT: Após uma análise mais aprofundada - se houver um erro específico no pfSense do qual não conheço que haja problemas com as NICs virtualizadas que de alguma forma criem uma falha de segurança, o acima é inválido. No entanto, não conheço essa vulnerabilidade.
Há algum perigo inerente ao executar qualquer coisa dentro de um ambiente virtual, independentemente do tipo de servidor que você está falando. Recentemente, respondi a uma pergunta semelhante . Como seu roteador / firewall já terá acesso à sua rede interna, não há motivo real para atacar o nível do hypervisor - já existem vetores de ataque muito melhores disponíveis.
O único motivo pelo qual realmente vejo o seguinte após o hypervisor é se sua máquina virtual está residindo em uma DMZ. A partir daí, você pode ir atrás do hipervisor e entrar em uma máquina na rede interna. Esse não é o caso de uso que você está descrevendo.
Pessoalmente, mantenho uma cópia virtualizada do meu firewall para fins de recuperação de desastres. Usá-lo não é o ideal, mas é uma opção.