Na ja die ganzen Erweiterungen sind optional. Von daher passt der Begriff durchaus, denn es ist ja eine "Firewall mit Erweiterungsmöglichkeiten".
IPFire ist wirklich etwas feines. Hab sie als virtuelle Firewall ständig im Einsatz. An dieser Stelle nochmal herzlichen Dank für das Produkt!
Ein Plugin/Feature würde ich mir noch wünschen: KVM mit Libvirt und Integrierung in die grüne Zone. Das ganze natürlich mit Selinux und co gut abgesichert ...
Eine solide Firewall als Host, dazu Gäste wie Sambaserver, Datenbankserver, Mailserver und so weiter wären wirklich etwas feines. Bisher habe ich alles virtuell auf einem minimalen Host laufen, der ebenfalls über die Firewall gehen musste um einen Internetzugriff zu bekommen. Es wäre gewaltig, wenn ich mir die zusätzliche Sicherheitslücke sparen könnte.
Sicher wäre genau anders herum. Die Firewall ist der Hauptangriffspunkt eines Netzwerks (von den Nutzern mal abgesehen). Ein Angreifer, der diese Firewall überwindet, hat dann in deinem Fall auch direkt Zugriff auf alle virtuellen Slaves, ganz egal, wie diese einzeln abgesichert sind. Sicher wäre es, die Firewall in einem virtuellen Gefängnis zu betreiben, damit eine gekarperte Firewall die restlichen System erst einmal unbehälligt lässt.
Leider ist das genau der weit verbreitete Irrglaube.
Niemand muss eine virtuelle Firewall angreifen, wenn er direkt Angriffe gegen das eigentliche Hostsystem fahren kann und das ist möglich, da dieses System immer noch die eigentliche Hardware verwaltet! Sobald der Angreifer Vollzugriff auf den Host hat ist es wirklich nur mehr eine Frage (Minuten) der Zeit bis alle virtuellen Systeme kompromittiert sind (Ist es natürlich auch wenn die Firewall der Hypervisor ist ...).
Klar die sicherste Lösung ist immer noch eine Firewall als eigenständiges Gerät zu betreiben. Damit müssen nach der Überwindung der Firewall wirklich noch eigene Angriffe gegen das jeweilige Ziel gefahren werden (und nicht nur gegen den Hypervisor). Bei Anwendungen in SoHo Bereichen verursacht dies allerdings zusätzliche Kosten (Anschaffung, Strom, Wartung, ...) die man durch zusammenführen minimieren kann. Außerdem ist es ja gerade in kleineren Firmen oft der Fall, dass sich die Admins sich nicht wirklich perfekt mit Netzwerk- und Servermanagement auskennen. Von diesen zu verlangen ein System mit Hypervisor aufzusetzen, das auch gegen Angriffe Robust ist und aktuellen Verteidigungstechniken integriert hat, ist eine Illusion.
Von daher kommt auch der Wunsch einen Hypervisor als Plugin zu haben. Dadurch gibt es zwar nur mehr ein Angriffsziel, welches aber nach besten Wissen von mehreren Profis abgesichert ist (Wie gut dann die jeweilige Konfiguration vom Firmenadmin ist, sei dahingestellt.).
Im Verglich zu den anderen Plugins ist das auch kein weiteres Sicherheitsrisiko. Darüber zu diskutieren führt aber unweigerlich zu der Feststellung, dass eine Firewall keine weiteren Funktionen haben soll. Auf eine Grundsatzdiskussion, dass bei SoHo Firewalls zusätzliche Funktionen durchaus sinn machen, will ich mich aber nicht einlassen.
Du hast absolut Recht wenn du sagst das jeder Dienst auf einer Firewall ein zusätzliches Risiko darstellt.
Aber wie du über das Netz die Hardware bzw. den Hypervisor angreifen willst kann ich noch nicht nachvollziehen. Besonders da selbst ältere Hypervisoren wie Xen die Möglichkeit bieten die PCI Resourcen des Netzwerkinterfaces das mit dem Internet verbunden ist komplett in die virtuelle Maschine zu mappen (PCI-Passtrough) und so der Host nicht mal einen Treiber für diese Karte hat.
So würde ich sagen die Sicherste ist getrennte Hardware. Die 2. Wahl eine Virtuelle Firewall deren Internet per Passtrough eingebunden ist.
Na ja die ganzen Erweiterungen sind optional.
Von daher passt der Begriff durchaus, denn es ist ja eine
"Firewall mit Erweiterungsmöglichkeiten".
IPFire ist wirklich etwas feines. Hab sie als virtuelle Firewall
ständig im Einsatz. An dieser Stelle nochmal herzlichen Dank
für das Produkt!
Ein Plugin/Feature würde ich mir noch wünschen:
KVM mit Libvirt und Integrierung in die grüne Zone.
Das ganze natürlich mit Selinux und co gut abgesichert ...
Eine solide Firewall als Host, dazu Gäste wie Sambaserver,
Datenbankserver, Mailserver und so weiter wären wirklich
etwas feines. Bisher habe ich alles virtuell auf einem
minimalen Host laufen, der ebenfalls über die Firewall gehen
musste um einen Internetzugriff zu bekommen. Es wäre
gewaltig, wenn ich mir die zusätzliche Sicherheitslücke
sparen könnte.
Sicher wäre genau anders herum.
Die Firewall ist der Hauptangriffspunkt eines Netzwerks (von den Nutzern mal abgesehen).
Ein Angreifer, der diese Firewall überwindet, hat dann in deinem Fall auch direkt Zugriff auf alle virtuellen Slaves, ganz egal, wie diese einzeln abgesichert sind.
Sicher wäre es, die Firewall in einem virtuellen Gefängnis zu betreiben, damit eine gekarperte Firewall die restlichen System erst einmal unbehälligt lässt.
Leider ist das genau der weit verbreitete Irrglaube.
Niemand muss eine virtuelle Firewall angreifen, wenn er direkt Angriffe gegen das eigentliche Hostsystem fahren kann und das ist möglich, da dieses System immer noch die eigentliche Hardware verwaltet!
Sobald der Angreifer Vollzugriff auf den Host hat ist es wirklich nur mehr eine Frage (Minuten) der Zeit bis alle virtuellen Systeme kompromittiert sind (Ist es natürlich auch wenn die Firewall der Hypervisor ist ...).
Klar die sicherste Lösung ist immer noch eine Firewall als eigenständiges Gerät zu betreiben. Damit müssen nach der Überwindung der Firewall wirklich noch eigene Angriffe gegen das jeweilige Ziel gefahren werden (und nicht nur gegen den Hypervisor).
Bei Anwendungen in SoHo Bereichen verursacht dies allerdings zusätzliche Kosten (Anschaffung, Strom, Wartung, ...) die man durch zusammenführen minimieren kann.
Außerdem ist es ja gerade in kleineren Firmen oft der Fall, dass sich die Admins sich nicht wirklich perfekt mit Netzwerk- und Servermanagement auskennen. Von diesen zu verlangen ein System mit Hypervisor aufzusetzen, das auch gegen Angriffe Robust ist und aktuellen Verteidigungstechniken integriert hat, ist eine Illusion.
Von daher kommt auch der Wunsch einen Hypervisor als Plugin zu haben. Dadurch gibt es zwar nur mehr ein Angriffsziel, welches aber nach besten Wissen von mehreren Profis abgesichert ist (Wie gut dann die jeweilige Konfiguration vom Firmenadmin ist, sei dahingestellt.).
Im Verglich zu den anderen Plugins ist das auch kein weiteres Sicherheitsrisiko. Darüber zu diskutieren führt aber unweigerlich zu der Feststellung, dass eine Firewall keine weiteren Funktionen haben soll. Auf eine Grundsatzdiskussion, dass bei SoHo Firewalls zusätzliche Funktionen durchaus sinn machen, will ich mich aber nicht einlassen.
Du hast absolut Recht wenn du sagst das jeder Dienst auf einer Firewall ein zusätzliches Risiko darstellt.
Aber wie du über das Netz die Hardware bzw. den Hypervisor angreifen willst kann ich noch nicht nachvollziehen.
Besonders da selbst ältere Hypervisoren wie Xen die Möglichkeit bieten die PCI Resourcen des Netzwerkinterfaces das mit dem Internet verbunden ist komplett in die virtuelle Maschine zu mappen (PCI-Passtrough) und so der Host nicht mal einen Treiber für diese Karte hat.
So würde ich sagen die Sicherste ist getrennte Hardware. Die 2. Wahl eine Virtuelle Firewall deren Internet per Passtrough eingebunden ist.