Il giorno dom, 15/11/2009 alle 11.32 +0100, Claudio Criscione ha scritto: > Buongiorno Samuele, > > [...] > > La domanda è, quanto può essere sicura una soluzione di questo genere? > > Vmware riesce ad isolare i due ambientei in modo sicuro così che un > > eventuale intruso che entrasse in possesso di una delle vm sulla parte dmz, > > rimanga confinato li e non riesca a passare nella lan? > [...] > > vista teorico la cosa mi sembra fattibile, salvo bug di sicurezza di > > vmware. > > In realtà la storia è un pò complicata. Prima di tutto, valuta bene > l'opportunità di usare Server o ESXi, dato che sono entrambi gratuiti: non > entro nel merito ma non è affatto banale come scelta. > Detto questo, eccoti un pò di punti da considerare: > > - E' tutt'altro che scontato che VMware isoli veramente le macchine, vedi > cloudburst. Gli attacchi di VM hopping sono qui per restare: certamente non > sarà l'unico della storia. In assoluto se stai pensando ad un ambiente > *molto* > sicuro la risposta banale è "non si mischiano macchine a livelli di sicurezza > diversi sullo stesso host", tipo DMZ o LAN. Ovviamente non stiamo parlando di un livello di sicurezza di una banca o simile. Se mantengo aggiornato il server vmware aggiornandolo a mano a mano che vengono rilasciate le pacth di sicurezza, e a questo punto le probabilità che mi entrino in lan bucando il firewall o bucando vmware si equivalgono direi che ci può stare. Se invece è 10 volte più probabile che mi buchino vmware piuttosto che il firewall allora il discorso cambia.
> - Avrai il tuo bel da fare a sanitizzare il traffico che eventualmente deve > passare tra una macchina virtuale all'altra. Devo verificare cosa succede > nell'ultimissimo Server 2, ma in genere il traffico intra-vm avviene in > memory > senza arrivare alla scheda di rete. Anche assumendo che tu possa bloccarlo > con > successo via iptables ti perdi la possibilità di monitorarlo. Tra le vm sulla dmz non applico firwall, in quanto ora come ora sono collegate tra di loro su uno switch. Creo una vmnetdmz che metto in bridge solo con eth1 e una vmnetlan che metto in bridge solo con eth0. Se non abilito l'ip forward, il traffico tra le due schede di rete fisiche dovrebbe rimanere distinto. Da quello che ho capito, i pacchetti dati di una vm in lan che deve comunicare con la vm in dmz, seguono questo percorso: vminlan -> vmnetlan -> eth0 su vmware -> interfaccia lan su firewall esterno -> interfaccia dmz su firewall esterno -> eth1 su vmware -> vmnetdmz -> vmindmz. > - Devi comunque amministrare la macchina, il che significa che se non fai > attenzione rischi che dalle vm si possa raggiugnere l'interfaccia di > amministrazione, cosa tutt'altro che piacevole (dato che, once again, il > traffico host-guest avviene in memory e non è banale identificare, che so, un > bruteforce) > Se io rimuovo l'indirizzo ip/disabilito il tcp sulla eth1, ammesso che non buchino vmware, come è possibile raggiungere dalla vm in dmz l'host? Se si mi sfugge qualcosa. > PS: Questo fine settimana dovrei pubblicare le presentazioni che sto per fare > sulla sicurezza della virtualizzazione qui in Polonia. Grazie, attendo il link :-)
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
