Allgemeine Fragen etwas OT [gelöst]



  • Hallo,

    ich würde mich freuen wenn ihr mir einen Schubs in die richtige Richtung geben könntet :)
    Ich betreibe eine Suse als Fileserver und für FHEM auf eine hp Microserver.
    Ursprünglich wollte ich pfSense auf einer Extrahardware davor hängen um etwas für die Sicherheit zu tun (bis jetzt nur Fritz). Um den Aufwand für Ottonormalprivat etwas zu drücken, habe ich überlegt, ob man die Aufgaben nicht mit VMs auf dem vorhandenen Server zusammenfassen kann. Bei der Gelegenheit würde ich auch von der Suse auf OMV umsteigen. Dazu habe ich ein paar allgemeine Fragen und wäre für Tips dankbar.

    Ist es überhaupt sinnvoll eine Firewall in eine VM zu packen und mit einem anderen Server zusammen auf einer Hardware zu betreiben oder holt man sich nur Sicherheitsprobleme ins Haus?

    Wenn doch sinnvoll, solltes es KVM oder LXC sein (ich denke an Proxmox 4)?

    Danke für eure Hilfe.

    Patrick



  • Ich würde eine Firewall immer auf eine dedizierte Hardware packen. Grund: Die IP-Pakete durchlaufen erst das Host-OS, bevor es zu pfSense kommt, d.h. erst dann hat die pfSense Kontrolle darüber und genau das ist für mich ein Sicherheitsproblem.



  • Hallo!

    Der Server, auf dem du virtualisierst, sollte 2 Netzwerkschnittstellen haben, 1 für WAN, an der nur die pfSense hängt, 1 für LAN, an der deine VMs und auch der Wirt hängen. Mit 1 wirds estwas trickie, da müsstest du dich noch mit VLANs herumschlagen. Wenn der Host auch noch I/O MMU unterstützt und du diese Technik für WAN einsetzt, sehe ich keine ernsten Sicherheitsbedenken, dann durchläuft der WAN Traffic auch nicht das Wirt-OS.

    Dass die Sache mit KVM funktioniert, kann ich dir aus eigener Erfahrung bestätigen. Etwas Anpassung benötigt aber die Verwendung des virtIO Treibers in pfSense, dazu gibt es einen jüngeren Beitrag hier im deutschen Forum. Dass pfSense in einem LXC läuft, möchte ich aber bezweifeln, ist ja kein Linux.

    Grüße



  • Ist es überhaupt sinnvoll eine Firewall in eine VM zu packen

    Ja und nein, es gfibt sicherlich einige Anwendungsgebiete so etwas aufzuziehen, aber es gibt auch immer zwei
    Lager die einen befürworten so etwas und die anderen eben nicht.

    und mit einem anderen Server zusammen auf einer Hardware zu betreiben oder holt man sich nur Sicherheitsprobleme ins Haus?

    Das macht wie gesagt jeder für sich und ja es gibt dazu immer von beiden Seiten Pro und Contra dazu.
    Aber was spricht dagegen auf dem HP Proliant OpenSUSE zu installieren und dann dort einen Fileserver
    und eine FHEM drauf laufen zu lassen.

    doch sinnvoll, solltes es KVM oder LXC sein (ich denke an Proxmox 4)?

    Alix APU 1D4 mit mSATA oder SSD und pfSense sollte voll und ganz reichen und auch hinsichtlich des
    Stromverbrauchs sollte das passen.

    Und den Server hast Du ja schon in Betrieb.



  • Hallo,
    danke für die Antworten. Dass es unterschiedliche Ansichten gibt habe ich mir schon gedacht, aber solange nicht sofort alle schreien "er hat Jehova gesagt", geht ja noch ;)

    Also gegen Suse und FHEM auf einem Rechner spricht nix, mache ich ja zur Zeit so. Es soll nur ein Plus an Sicherheit hinzukommen. Und das, weil privat, zu einem sinnvollen Preisleistungsverhältnis. Für eine richtig gute Lösung mit Extrahardware würde ich ca. 300€ brauchen und ca. 20 Watt Mehrverbrauch… naja.

    Für den hp hätte ich noch eine Intel Pro Dual, er hätte dann drei Ports, 4GB, und SSD für OS. Das würde mich also nichts kosten, 24h läuft er eh schon.

    Was ich nicht ganz verstanden habe, ist der Host gefährdet durch die Weiterleitung der Ports oder ist das ein eher theoretisches Problem. Gut, irgendwie müssen die Pakete vom Port zu der VM mit der Firewall kommen. Und ein Fehler könnte irgendwie ausgenutzt werde um in den Host einzubrechen aber würde ein solcher Fehler nicht auch dazu führen, dass man eine in Hardware vorgeschaltete Firewall ebenfalls umgehen könnte?

    bye,
    Patrick


  • Moderator

    "Er hat Jehova gesagt!" :D

    Ich gebe @dkrizic recht, dass es nach der "reinen Lehre" - oder auch dem Prinzip der wenigsten Überraschung nach - sinnvoll und richtig ist, das Border Gateway als extra Hardware vorn anzustellen. Gelangt jemand durch Miskonfiguration oder Schlamperei egal wie auf die Dom0, den Hypervisor oder das System untendrunter, kann er eben problemlos deine Firewall aushebeln und quasi ein Kabel drumherum bauen. Sowas ist als potentieller Sicherheitsaspekt eben zu berücksichtigen, dass es nicht gut/schön ist.

    Hat man aber eben das Setup "1 Server" wie bei einer Mietkiste im RZ ohne Firewall Option vornedran, ist es eben das Beste, was man aus der Situation machen kann. Der andere Fall sollte aber schon nach Möglichkeit bevorzugt werden, da man von weniger obskuren Problemen erschlagen wird ;)

    Gegen Suse spricht doch eigentlich alles oder? ;) Spaß, aber richtig Freude macht das System eigentlich nicht (für mich) :) Als ernsthafte Serversoftware sehe ich das eher weniger aber das mag meine subjektive Meinung sein.

    Mit 3 Interfaces könntest du sogar eine Konstellation bauen, in der der Host selbst nur über einen NIC erreichbar ist (dediziert), der in einem extra VLAN oder eben im LAN hängt, und die anderen 2 Ports direkt zur Routing/Firewalling VM weiterreichen, damit die für sonst niemand zur Verfügung stehen. Die anderen VMs könnte man dann über den 3. dedizierten Port bridgen, so dass wirklich Ports 1&2 NUR der pfSense VM zur Nutzung stehen. Das würde die Sicherheit wieder etwas heben. Trotzdem gibt es natürlich auch im Hypervisor mal Probleme, dass bspw. Daten durchsuppen und die VM Isolation bröckeln kann. Deshalb ist eben virtualisieren immer mit ein wenig Risikozuwachs verbunden als reine Hardware :)

    Grüße



  • Was ich nicht ganz verstanden habe, ist der Host gefährdet durch die Weiterleitung der Ports oder ist das ein eher theoretisches Problem.

    Bis jemand drinnen ist ist das immer nur theoretisch.

    Gut, irgendwie müssen die Pakete vom Port zu der VM mit der Firewall kommen. Und ein Fehler könnte irgendwie ausgenutzt werde um in den Host einzubrechen aber würde ein solcher Fehler nicht auch dazu führen, dass man eine in Hardware vorgeschaltete Firewall ebenfalls umgehen könnte?

    Klar wenn Du Dich bei der Konfiguration vertan hast ist Dein Netz offen wie ein Scheunentor,
    ob nun virtuell oder nativ auf eigener Hardware ist dabei völlig egal.

    Wenn der Server mal nicht mehr läuft oder Probleme macht hat man aber auch gleich keine Firewall mehr
    und wenn das nur eine kleiner Server ist, ist da meist auch kein Platz mehr nach oben für die pfSense.

    Sicherlich wenn das Xeon E5-26xxv3 Single oder Dual CPU Systeme sind dann ist da locker noch Reserve
    dahinter. Mach wie Du denkst ich bin eher ein Freund von pfSense auf eigener Hardware bis zu einem
    gewissen Limit dann würde ich die auch lieber in eine VM setzen oder auf OpenBSD & OpenBGPD oder
    Quagga setzen wollen.



  • @catalpa:

    Für eine richtig gute Lösung mit Extrahardware würde ich ca. 300€ brauchen und ca. 20 Watt Mehrverbrauch… naja.

    Die von BlueKobold genannte Alix APU kostet weniger als 200, wenn du sie selbst zusammenschraubst, und braucht ca. 10W im normalen Firewall-Betrieb.

    @catalpa:

    Für den hp hätte ich noch eine Intel Pro Dual, er hätte dann drei Ports, 4GB, und SSD für OS. Das würde mich also nichts kosten, 24h läuft er eh schon.

    Auf diesem möchtest du 3 Maschinen virtualisieren? Da muss du mit der RAM Zuordnung aber sparsam umgehen. Ich würde da noch einen Riegel reinstecken.

    @catalpa:

    Was ich nicht ganz verstanden habe, ist der Host gefährdet durch die Weiterleitung der Ports oder ist das ein eher theoretisches Problem. Gut, irgendwie müssen die Pakete vom Port zu der VM mit der Firewall kommen. Und ein Fehler könnte irgendwie ausgenutzt werde um in den Host einzubrechen aber würde ein solcher Fehler nicht auch dazu führen, dass man eine in Hardware vorgeschaltete Firewall ebenfalls umgehen könnte?

    Von der I/O MMU Technik, die ich oben genannt habe, noch nichts gehört? Da arbeitet die virtuelle Maschine direkt mit der Hardware, während der Host nichts anderes damit zu tun hat die Hardware der VM bereit zu stellen. Vom Traffic, der da über die Schnittstelle geht, weiß der Host gar nichts, er wird ihn dir auch nicht anzeigen können. Es ist keine Softwarezugriff möglich.
    Wenn deine Hardware diese Technik nicht unterstützt, dann hängst du auf der NIC, die du für WAN verwendest, nichts weiteres drauf, auch nicht den Host. Dann geht der Traffic zwar über den Treiber des Hosts, sonst gibt es aber keine Berührungspunkte.
    Ja, sicher kann man das auch irgendwie hacken, aber nachdem es keine direkten Zugriffe auf den Host gibt, müssten diese über eine VM erfolgen, aber einerseits sollten diese entsprechend durch die Firewall abgesichert sein, natürlich sind auch die Sicherheitsupdates zu machen und andererseits ist ein solcher "Durchgriff" sehr schwierig.

    Übrigens habe ich SUSE sowohl als Wirt als auch als Webserver im Einsatz und bin damit zufrieden. Aber eine Diskussion darüber gehört nicht ins pfSense Forum.



  • @BlueKobold:

    Klar wenn Du Dich bei der Konfiguration vertan hast ist Dein Netz offen wie ein Scheunentor,
    ob nun virtuell oder nativ auf eigener Hardware ist dabei völlig egal.

    Wenn du beim Weggehen zuhause den Wohnungsschlüssel außen am Türschloss stecken lässt, ist die auch offen wie ein Scheunentor und womöglich die Wohnung leer, wenn du wieder nach Hause kommst.
    Fehler kann man überall im Leben machen. Manche sind auch Brand-gefährlich, andere nur dumm. Dort wo es gefährlich ist, sollte man mit doppelter Aufmerksamkeit arbeiten.

    @BlueKobold:

    Wenn der Server mal nicht mehr läuft oder Probleme macht hat man aber auch gleich keine Firewall mehr
    und wenn das nur eine kleiner Server ist, ist da meist auch kein Platz mehr nach oben für die pfSense.

    Die braucht er dann wohl auch nicht.



  • @viragomann:
    ich dachte bei "Fehler" weniger an einen Einrichtungsfehler als eher an eine Art Exloit auf niederinger Ebene. Irgendetwas obskures, unwahrscheinliches…

    @jegr:
    bei der Dreiportlösung, meinst du, den internen Port der Firewall nicht virtuell verbinden, so der wirklich als Kabel raus und über n Switch an den Serverport wieder rein?

    Zum Alix, der scheint zwar schön sparsam im Verbrauch aber auch recht exotisch, muss ich mir genauer ansehen. Für die Leistungsklasse ist das Board aber recht teuer und mit Rackgehäuse und Netzteil sind es dann auch 300€. Wenn man mit dem ca. doppelten Verbrauch leben kann, gibts auch ein Supermicro X10SBA (Gehäuse + NT + RAM) auch für fast den gleichen Preis.


  • Moderator

    bei der Dreiportlösung, meinst du, den internen Port der Firewall nicht virtuell verbinden, so der wirklich als Kabel raus und über n Switch an den Serverport wieder rein?

    Ja. Den Zugriff auf den Host/Hypervisor solltest du eh sehr selten brauchen (je nachdem) und damit wäre der zusätzlich rein physikalisch isoliert. Im Fehlerfalle dass jemand was falsch konfiguriert oder steckt, hinge der Port dann immer noch am internen Switch und nicht nackig im Netz :)

    Zum Alix, der scheint zwar schön sparsam im Verbrauch aber auch recht exotisch, muss ich mir genauer ansehen

    Inwiefern exotisch? Es ist eine x86 Architektur als embedded Board. Nichts abgefahrenes daran. Die ALIX wäre aber eh zu langsam um mehr als 30-50MBit zu wuppern, alles unter einer APU würde ich da nicht anfassen. Und bitte @alle nicht immer ALIX APU o.ä. schreiben. Das sind 2 verschiedene Brands. Genauso wie die WRAP vorher. Das war auch keine WRAP ALIX danach ;) Die Produktschiene heißt einfach so. ALIX ist die alte x86 Struktur und APU (AMD T40e x64) die neuen Boards mit mehr Power.

    Wer noch mehr möchte, kann entweder warten, bis bspw. die J1900 Serie von Lanner raus kommt (soll die Lücke zwischen APU und C2358er Atom füllen und hat AES-NI und Quickassist!), ein Device mit C23x8er Atom ins Auge nehmen (dann ist man aber auch bei ~400-450€) oder man muss es komplett selbst bauen. Was dann aber wieder schwierig wird, wenn man Rackmounted möchte. An der Stelle würde ich eher eine richtige Appliance einsetzen und nicht mehr selbst basteln.

    @catalpa: bei X120SBA hast du aber auch nur 2 NICs onboard. Reicht das dann überhaupt? Ein kompletter SuperServer mit dem Board wäre ja der E200-8B der auch schon bei ~350€ liegt - als Barebone. Bis man da fertig ist, hat man auch ~450€ weg. Da lohnt sich vielleicht der Blick auf Geräte wie die Lanner Fw7525B oder SG2220.

    Grüße



  • Zum Alix, der scheint zwar schön sparsam im Verbrauch aber auch recht exotisch,

    Auf den alten Alix Board und auch den neuen PC Engine APU Boards laufen so viele Firewall und Router OS
    das man wohl eher von dem Standard und nicht von einem exotischen Board reden kann/sollte.

    muss ich mir genauer ansehen. Für die Leistungsklasse ist das Board aber recht teuer

    Aber es kommt mit 3 GB LAN Ports, 3 miniPCIe slots + 1 SIM slot und 4 GB RAM + SDCard slot und
    SATA Anschluss. und Qualität hat eben Ihren Preis, die sollen ja auch 24/7 durchlaufen.

    Die von BlueKobold genannte Alix APU kostet weniger als 200, wenn du sie selbst
    zusammenschraubst, und braucht ca. 10W im normalen Firewall-Betrieb.

    Die ~220 € verstehen sich auf ein pfSense Komplettpaket auf PC Engines APU Basis von Varia-Store.

    und mit Rackgehäuse und Netzteil sind es dann auch 300€.

    Das sollte man dann aber auch mal vorher sagen denn dadurch wird sich fast jedes Angebot verteuern.

    Wenn man mit dem ca. doppelten Verbrauch leben kann, gibts auch ein Supermicro X10SBA (Gehäuse + NT + RAM) auch für fast den gleichen Preis.

    Sicherlich, funktionieren tut ja vieles, nur dann lieber ein Jetaway mit gleicher CPU und;
    Jetway NF9HG-2930 Thin mini-ITX Network Motherboard

    • SIM Slot onboard
    • 2 x PCIe x1 slot
    • 2 miniPCIe slots
    • 4 Intel GB LAN Ports


  • ja, sorry: im 19-Zoll-Gehäuse wäre schön. Unser "Serverraum" ist der Hauswirtschaftsraum und da ist schon genug SchnickSchnack drin. In einem Anfall von Ordnungsliebe habe ich seinerzeit die aus der Decke kommenden LAN-Kabel auf ein anständiges Patchfeld in einem kleinen Rack geführt und einen 19-Zoll-Switch eingebaut. Wenn der Router nun auch dort einziehen würde wäre das schön aufgeräumt und nur der hp ein NAS stehen doof rum.

    Das Jetway sieht in der Tat gut aus und bietet mehr für den fast gleichen Preis. Der DC-Stromanschluss ist auch nicht schlecht, weiß jemand etwas zur Stromaufnahme?



  • Das Jetway sieht in der Tat gut aus und bietet mehr für den fast gleichen Preis. Der DC-Stromanschluss ist auch nicht schlecht, weiß jemand etwas zur Stromaufnahme?

    Das Board sollte auch für pfSense, Squid und Snort reichen, das Netzteil wird direkt vorne am Board
    angeschlossen und somit braucht man auch nur ein externes Netzteil und keine PicoPSU und sonstige
    Adapter. Den Verbrauch kenne ich nicht.



  • Vielen Dank an alle, ihr habt mir gute Tips gegeben :)

    Auf lange Sicht werde ich Extra Hardware benutzen, das Jetway gefällt mir gut. Der Preisunterschied zur APU ist zu gering für meinen Geschmack, aber mal sehen.

    Für erste Experimente probiere ich es in der VM mit drei Ports.

    Danke,

    Patrick



  • Auf lange Sicht werde ich Extra Hardware benutzen,

    Was heißt extra Hardware? Und wozu?

    das Jetway gefällt mir gut.

    • das doppelte an Kernen
    • das doppelte an GHz
    • das doppekte an GB RAM
    • zwei PCIe x1 Slots
    • nur zwei miniPCIe Slots
    • nur mini ITX Format

    Der Preisunterschied zur APU ist zu gering für meinen Geschmack, aber mal sehen.

    Der Mehrwert sollte das aber auch wieder wett machen, denn bei Varia-Store kann man auch ein
    19" Dual Rack mount Gehäuse kaufen und sich das mit diesem Board ausrüsten, je nach Wunsch.

    Für erste Experimente probiere ich es in der VM mit drei Ports.

    würde ich auch machen wollen und gleich die VM wenn installiert mal kopieren
    und wenn dann einmal etwas "passiert" kann man die VM einfach löschen und
    wieder mit der nächsten Kopie zu arbeiten. Denk dran immer alles sichern,
    also so oft wie möglich die Konfiguration sichern, dann kommt man auch
    schnell wieder an den Punkt wo man ein "Malörchen" hatte.



  • mit Extrahardware meinte ich halt nur "Router auf eigener Hardware", keine VM im hp ;)