Pesquisando no Google, encontrei pessoas dizendo que executar um firewall / roteador como uma máquina virtual é "perigoso", mas nenhum deles explica por que é. Também encontrei postagens de pessoas que executam firewalls com sucesso em uma máquina virtual.
alguém tem alguma experiência com isso?
Quais seriam os prós ou os contras de executar um firewall / roteador em uma máquina virtual em algo como proxmox vs ob uma máquina física?
Respostas:
Realmente a maneira certa de fazer as coisas é o oposto de como você está se aproximando, se a segurança é uma preocupação primordial. Você gostaria de executar o roteador / firewall em um estado simples e hospedar uma VM nela para uso padrão em desktops ou servidores.
Perdoe minha ilustração de baixa qualidade do MS Paint.
Se você conectar a NIC da VM e a NIC da LAN (no SO bare metal), elas poderão aparecer como a mesma interface "LAN" para fins de firewall ou roteamento.
A maioria dos problemas de segurança seria se alguém fosse até o console enquanto isso estiver sendo executado e desabilitasse a VM do roteador / firewall ou desative a ponte / desvinculação da NIC da VM - ou se alguém fizer uma conexão remota no sistema e fizer isso . Existe a possibilidade, como sempre, de que software malicioso possa fazer algo maluco.
Você pode fazer isso e usar qualquer software de VM, se quiser, mas a desvantagem é que, se você usa algo como o ESX, precisará fazer o RDP na VM da área de trabalho, em vez de acessar diretamente pelo console.
Existem produtos comerciais, como os antigos sistemas "VSX" da Check Point, que atendem a "firewalls virtuais" em uma determinada base de hardware. Se falarmos sobre VMWare ou melhor firewall baseado em nuvem. Você configura um firewall "na" nuvem para segmentar a rede "interna" da nuvem ", não a comunicação entre uma nuvem e outra rede.
O desempenho é muito limitado e o desempenho em uma nuvem é compartilhado. Um firewall baseado em ASIC pode executar mais de 500 GBps. Um firewall ou switch baseado em VMware faz <20GBps. Para a declaração LAN NIC pode pegar uma gripe de arame. Você também pode afirmar que qualquer dispositivo intermediário, como switch, roteador, ips, também pode ser explorado pelo tráfego em trânsito.
Vemos isso em pacotes "malformados" (também conhecidos como quadros, fragmentos, segmentos etc.). Portanto, é possível afirmar que o uso de dispositivos "intermediários" é inseguro. Além disso, o NIST alemão chamado BSI afirmou há alguns anos que os roteadores virtuais (como VDCs (contexto de dispositivo virtual - Cisco Nexus)) e VRF (encaminhamento de rota virtual) são inseguros. Do ponto de vista, compartilhar recursos é sempre um risco. O usuário pode explorar recursos e reduzir a qualidade do serviço para todos os outros usuários. Que globalmente colocaria toda a VLAN e tecnologias de sobreposição (como VPN e MPLS) em questão.
Se você tem uma alta demanda de segurança, eu usaria hardware dedicado e rede dedicada (incluindo linhas dedicadas!) Se você perguntar se o hipervisor (especialmente em bare metal) é um problema de segurança especial em um cenário comum ... eu diria que não .
Normalmente, uma máquina virtual é conectada à rede por meio de uma conexão em ponte (ou seja, a rede passa pelo computador físico em que está sendo executado). Usar a VM como um firewall significa que todo o tráfego pode chegar ao computador físico e, em seguida, os pacotes são enviados para a VM, filtrados e depois enviados de volta ao computador físico. Como o computador físico pode receber pacotes não filtrados e é responsável por distribuir os pacotes para o restante da rede, é explorável enviar pacotes não filtrados pela rede.