Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

VM Gateway

0 views

Skip to first unread message

Wolf Grossi

unread,

Jan 8, 2010, 11:13:57 AM1/8/10

Hallo Leute,

ich beabsichtige, meine 'Serverfarm', 2 Produktionsrechner und ein
Testrechner auf eine VM, Xen oder VMWare, zu legen.

Spricht vom Sicherheitsaspekt was dagegen, auch den Gatewayrechner
(Paketfilter, NAT, DNS, etc.) auf die VM zu legen?

Wolf

Ansgar -59cobalt- Wiechers

unread,

Jan 8, 2010, 11:28:47 AM1/8/10

Ja. In jeder Virtualisierungsumgebung besteht das Risiko, dass Malware
aus der VM ausbricht und auf dem Weg ï¿œber das Hostsystem Zugriff auf
andere VMs erlangen kann. Wenn dieses Risiko fï¿œr dich akzeptabel ist,
kannst du natï¿œrlich auch den Gateway virtualisieren.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq

Sven Hartge

unread,

Jan 8, 2010, 10:45:26 PM1/8/10

Ansgar -59cobalt- Wiechers <usene...@planetcobalt.net> wrote:
> Wolf Grossi <w...@gmx.net> wrote:

>> ich beabsichtige, meine 'Serverfarm', 2 Produktionsrechner und ein
>> Testrechner auf eine VM, Xen oder VMWare, zu legen.

>> Spricht vom Sicherheitsaspekt was dagegen, auch den Gatewayrechner
>> (Paketfilter, NAT, DNS, etc.) auf die VM zu legen?

> Ja. In jeder Virtualisierungsumgebung besteht das Risiko, dass Malware
> aus der VM ausbricht und auf dem Weg ï¿œber das Hostsystem Zugriff auf
> andere VMs erlangen kann.

Wobei diese Aussage natï¿œrlich recht "mathematisch" ist. Bei fast allem
besteht immer ein Risiko oder die Wahrscheinlichkeit fï¿œr $irgendwas. Die
Frage ist nur, ist die Wahrscheinlich keint 1 oder eher 0.000000000000001.

> Wenn dieses Risiko fï¿œr dich akzeptabel ist, kannst du natï¿œrlich auch
> den Gateway virtualisieren.

Richtig.

Fï¿œr den Heim-Betrieb oder kleine Firmen, bei denen hinter der
virtualisierten Firewall keine Dienste laufen, also grï¿œï¿œtenteils nur
ausgehender Verkehr zu verzeichnen ist, wï¿œrde ich das Risiko fï¿œr
vernachlï¿œssigbar halten, aus folgenden Grï¿œnden:

Es gibt kein/kaum eingehender Verkehr, da keine ï¿œffentlichen internen
Dienste vorhanden sind. Daher besteht nur eine sehr sehr kleine
Angriffsflï¿œche am externen Interface, wenn ï¿œberhaupt. Sofern man nicht
gerade den MS ISA-Server benutzt, sondern ein entsprechend
konfiguriertes und abgespecktes Linux/*BSD, das auch selbst keine
Dienste nach Aussen anbietet, sollte man schon sehr sicher sein.

Fï¿œr Anbindungen mit a) viel Traffic und b) internen Diensten, die von
aussen erreicht werden mï¿œssen (Web-, Mailserver, etc.), wï¿œrde ich
soetwas natï¿œrlich nicht machen.

Sï¿œ

--
Sig lost. Core dumped.

Wolf Grossi

unread,

Jan 11, 2010, 4:30:02 AM1/11/10

Danke für die Kommentare, haben mir sehr geholfen.
Wolf

0 new messages