Leider ist das genau der weit verbreitete Irrglaube.
Niemand muss eine virtuelle Firewall angreifen, wenn er direkt Angriffe gegen das eigentliche Hostsystem fahren kann und das ist möglich, da dieses System immer noch die eigentliche Hardware verwaltet! Sobald der Angreifer Vollzugriff auf den Host hat ist es wirklich nur mehr eine Frage (Minuten) der Zeit bis alle virtuellen Systeme kompromittiert sind (Ist es natürlich auch wenn die Firewall der Hypervisor ist ...).
Klar die sicherste Lösung ist immer noch eine Firewall als eigenständiges Gerät zu betreiben. Damit müssen nach der Überwindung der Firewall wirklich noch eigene Angriffe gegen das jeweilige Ziel gefahren werden (und nicht nur gegen den Hypervisor). Bei Anwendungen in SoHo Bereichen verursacht dies allerdings zusätzliche Kosten (Anschaffung, Strom, Wartung, ...) die man durch zusammenführen minimieren kann. Außerdem ist es ja gerade in kleineren Firmen oft der Fall, dass sich die Admins sich nicht wirklich perfekt mit Netzwerk- und Servermanagement auskennen. Von diesen zu verlangen ein System mit Hypervisor aufzusetzen, das auch gegen Angriffe Robust ist und aktuellen Verteidigungstechniken integriert hat, ist eine Illusion.
Von daher kommt auch der Wunsch einen Hypervisor als Plugin zu haben. Dadurch gibt es zwar nur mehr ein Angriffsziel, welches aber nach besten Wissen von mehreren Profis abgesichert ist (Wie gut dann die jeweilige Konfiguration vom Firmenadmin ist, sei dahingestellt.).
Im Verglich zu den anderen Plugins ist das auch kein weiteres Sicherheitsrisiko. Darüber zu diskutieren führt aber unweigerlich zu der Feststellung, dass eine Firewall keine weiteren Funktionen haben soll. Auf eine Grundsatzdiskussion, dass bei SoHo Firewalls zusätzliche Funktionen durchaus sinn machen, will ich mich aber nicht einlassen.
Du hast absolut Recht wenn du sagst das jeder Dienst auf einer Firewall ein zusätzliches Risiko darstellt.
Aber wie du über das Netz die Hardware bzw. den Hypervisor angreifen willst kann ich noch nicht nachvollziehen. Besonders da selbst ältere Hypervisoren wie Xen die Möglichkeit bieten die PCI Resourcen des Netzwerkinterfaces das mit dem Internet verbunden ist komplett in die virtuelle Maschine zu mappen (PCI-Passtrough) und so der Host nicht mal einen Treiber für diese Karte hat.
So würde ich sagen die Sicherste ist getrennte Hardware. Die 2. Wahl eine Virtuelle Firewall deren Internet per Passtrough eingebunden ist.
Leider ist das genau der weit verbreitete Irrglaube.
Niemand muss eine virtuelle Firewall angreifen, wenn er direkt Angriffe gegen das eigentliche Hostsystem fahren kann und das ist möglich, da dieses System immer noch die eigentliche Hardware verwaltet!
Sobald der Angreifer Vollzugriff auf den Host hat ist es wirklich nur mehr eine Frage (Minuten) der Zeit bis alle virtuellen Systeme kompromittiert sind (Ist es natürlich auch wenn die Firewall der Hypervisor ist ...).
Klar die sicherste Lösung ist immer noch eine Firewall als eigenständiges Gerät zu betreiben. Damit müssen nach der Überwindung der Firewall wirklich noch eigene Angriffe gegen das jeweilige Ziel gefahren werden (und nicht nur gegen den Hypervisor).
Bei Anwendungen in SoHo Bereichen verursacht dies allerdings zusätzliche Kosten (Anschaffung, Strom, Wartung, ...) die man durch zusammenführen minimieren kann.
Außerdem ist es ja gerade in kleineren Firmen oft der Fall, dass sich die Admins sich nicht wirklich perfekt mit Netzwerk- und Servermanagement auskennen. Von diesen zu verlangen ein System mit Hypervisor aufzusetzen, das auch gegen Angriffe Robust ist und aktuellen Verteidigungstechniken integriert hat, ist eine Illusion.
Von daher kommt auch der Wunsch einen Hypervisor als Plugin zu haben. Dadurch gibt es zwar nur mehr ein Angriffsziel, welches aber nach besten Wissen von mehreren Profis abgesichert ist (Wie gut dann die jeweilige Konfiguration vom Firmenadmin ist, sei dahingestellt.).
Im Verglich zu den anderen Plugins ist das auch kein weiteres Sicherheitsrisiko. Darüber zu diskutieren führt aber unweigerlich zu der Feststellung, dass eine Firewall keine weiteren Funktionen haben soll. Auf eine Grundsatzdiskussion, dass bei SoHo Firewalls zusätzliche Funktionen durchaus sinn machen, will ich mich aber nicht einlassen.
Du hast absolut Recht wenn du sagst das jeder Dienst auf einer Firewall ein zusätzliches Risiko darstellt.
Aber wie du über das Netz die Hardware bzw. den Hypervisor angreifen willst kann ich noch nicht nachvollziehen.
Besonders da selbst ältere Hypervisoren wie Xen die Möglichkeit bieten die PCI Resourcen des Netzwerkinterfaces das mit dem Internet verbunden ist komplett in die virtuelle Maschine zu mappen (PCI-Passtrough) und so der Host nicht mal einen Treiber für diese Karte hat.
So würde ich sagen die Sicherste ist getrennte Hardware. Die 2. Wahl eine Virtuelle Firewall deren Internet per Passtrough eingebunden ist.