Virtual PC σαν hardware firewall

[YDinopoulos]

Μιας κ προφατα αρχισα να "μαθαινω" linux ειχα την ιδεα μηπως μπορω να σεταρω ενα virtual pc κ να το τρεχω σαν firewall.

Βρηκα τον ακολουθο οδηγο και για καποιον που εχει ορεξη (και χρονο...) αξιζει να πειραματιστει !

λινκυ

[slaught]

Για πες μου λιγο γιατι να φτιαξει ενα host pc και να το κανεις fw?

Δεν καταλαβαινω την σκεψη σου!

[YDinopoulos]

Γιατι καλα τα software firewall, αλλα δεν μπορουν να συγκριθουν με hardware λυσεις τυπου firebox / barracuda κλπ.

Και σκεφτομαι να δοκιμασω κατι τετοιο να εχω ενα virtual pc/firewall σαν προστασια

[DJD]

Virtual pc για firewall είναι πολύ κακή ιδέα γιατί ο host είναι εκτεθειμένος, εκτός αν έχεις άλλο firewall μπροστά του. Διαφορετικά αν έχεις pcάκι στήσε κανένα Smoothwall, Firestarter, IPCop όλα δυνατά και open source. Αν είναι καθαρά για παιχνίδι η υπόθεση τότε και το virtual pc μια χαρά θα κάνει τη δουλειά (ίσως να μην αναγνωρίσουν τις virtual ethernet όμως).

[ChSin7]

Virtual pc για firewall είναι πολύ κακή ιδέα γιατί ο host είναι εκτεθειμένος, εκτός αν έχεις άλλο firewall μπροστά του. Διαφορετικά αν έχεις pcάκι στήσε κανένα Smoothwall, Firestarter, IPCop όλα δυνατά και open source. Αν είναι καθαρά για παιχνίδι η υπόθεση τότε και το virtual pc μια χαρά θα κάνει τη δουλειά (ίσως να μην αναγνωρίσουν τις virtual ethernet όμως).

Αυτό το θέμα (ο host είναι εκτεθειμένος) ξεπερνιέται πολύ ευκολα με πολύ μικρό κόστος. Αρκεί ενα USB-to-LAN adapter (φτηνό και μιας και οι ταχύτητες στην Ελλάδα είναι << USB speeds) το οποίο μπορεί να το βλέπει ΜΟΝΟ το Virtual Machine** και όχι το HOST machine (έχεις τέτοια δυνατότητα στα Virtual machines). Φυσικά πάνω στο modem-router είναι ΜΟΝΟ το USB-to-LAN συνδεδεμένο και απο κεί και πέρα όλα τα άλλα μηχανήματα πάνω σε κάποιο switch μαζί με το HOST (που θα κάνει και internet sharing στα υπολοιπα μηχανήματα αν υπάρχουν).

Έτσι : Nο VM-machine (firewall machine) --> No Internet ή Νο USB-to-Lan --> No Internet

** Φυσικά μιλάω για όλες τις άλλες λύσεις και όχι το MS VirtualPC μιας και δεν είναι και από τα πιο ασφαλή. Το VMWare

είναι κλάσεις ανώτερο και ο "player" είναι free.

[DJD]

Μα και πάλι ο host είναι εκτεθειμένος. Από τη στιγμή που έχεις ένα windows μηχανάκι στο internet ακόμα κι αν απομονώσεις το firewall δεν κερδίζεις τίποτα γιατί ο hypervisor είναι αυτός που μετατρέπει το modem σε virtual συσκευή. Ναι μεν είναι πιο δύσκολο, αλλά και πάλι έχεις ένα windows μηχανάκι στον αέρα. Βέβαια μιλάμε για ρίσκο για εταιρείες που προσέχουν το security τους, διαφορετικά για οικιακή χρήση είναι μια χαρά.

[Jaco]

Ο DJD έχει δίκιο σε γενικές γραμμές... εκτός του ότι είναι τρελό overhead το firewall σε vm, για οικιακή χρήση, είναι ίσως και λιγότερο ασφαλές απ' ότι να τρέχει το firewall στον ιδιο τον host...

Για πειραματισμό μάλλον έχει ενδιαφέρον, όπως έχει και νόημα σε μεγάλα VLANs τα οποία στήνονται πίσω από DMZ, για να τρώνε το πρώτο κύμα επιθέσεων απ' έξω... Δεν ξέρω αν πραγματικά το DMZ παρέχει ουσιαστική ασφάλεια τελικά, όπως ισχυρίζεται πχ η vmware, αλλά ξέρω ότι μιλάμε για μια ολόκληρη software πλατφόρμα και λειτουργικό, που τρέχει πάνω σε ένα άλλο λειτουργικό... δηλαδή οκ, αυτό μπορεί να προσφέρει κάποιες ευκολίες και να μειώνει το κόστος, αλλά προσωπικά δεν μου εμπνέει ασφάλεια, σταθερότητα και στιβαρότητα... λογικά πρέπει να υπάρχουν papers (εκτός της vmware) τα οποία να αναφέρουν αποτελέσματα από μετρήσεις και τεστ...

Πάντως εκτός από παιχνίδι με αυτά, τα οποία έχουν πολύ ψωμί και ενδιαφέρoν, μείνε με το κλασσικό σου firewall...

[TifoziF1]

Αυτό που προτείνουν παραπάνω το είχα δοκιμάσει για την ασφάλεια του δυκτύου της δουλειάς μου. Ασχετα αν επέλεξα την λύση του "stand-alone firewall PC" που περισσέυε σε κάποια αποθήκη, δούλεψε μια χαρά με ένα USB LAN adapter. Εκτός απο Firewall machine ήταν και proxy (άλλο δύκτυο το royter/modem με το VirtualFirewall, άλλο δύκτυο το host με τα υπόλοιπα μηχανήματα. Πάνω στο host ετρεχε και το TrendMicro suite (Firewall + antivirus +...)

http://www.prevelakis.net/Papers/VirtualFirewall.pdf

3.3 USB-attached Ethernet Interfaces VMware allows USB devices to be connected to (and controlled by) a Virtual Machine. This feature allows us to connect a USB WiFi device to our computer in such a way that the Windows environment is oblivious to the existence of the device which is controlled entirely by the VF. Unlike the case of the wired Ethernet interface or the built-in WiFi interface, this method allows us to have an Ethernet interface that is invisible to the host environment.

.....

4. Security Considerations

When running a firewall as a service of a general purpose OS, there is always the risk that some software will interfere with the operation of the firewall. This is actually very common with “Personal Firewall” products that run under Windows [Ratt04]. In fact, recently released hostile software (malware) such as the Bagle-BK Worm [Esec05], have been known to turn off virus protection and firewall features as soon as they take over a machine. Running the firewall in a separate VM should, therefore, be viewed as an improvement in the context of better management of the network connection (by channeling it though the firewall) rather than as bringing the security provided by an external firewall to your desktop. Another concern is that a hostile application may not even need to deal with the VM. Since the OS has access to the network hardware (assuming the wired Ethernet case) a virus may contain its own IP stack and hence access the network directly (via the layer 2 interface). Moreover, since packets pass through the host OS to reach the firewall, it is possible that the host can still

be attacked (via a layer-2 exploit). Normally I’d say that the chances of this happening are pretty remote, but Windows being Windows, we fear that some user-friendly feature of the OS will manage to get in the way. Alternatively, some combination of events may cause Windows to activate spontaneously IP services on the interface without asking the user. In the case of the wireless connection, the situation is even worse, with a lot of automated processing going on the host. Windows is so intrusive that in some cases it cannot even be convinced to keep the wireless hardware disabled. For this reason, the USB-based wireless solution (although more cumbersome) offers a direct path from the firewall to the hardware with the host seeing only the USB traffic. In general, the less the host OS knows about the network connection, the better. A more comprehensive solution from the security standpoint is that proposed in [Meus00] where a stripped down host OS runs various VMs. One of the VMs may run the Windows user interface and associated applications, while another may run the firewall. For performance reasons

this approach is not yet feasible.

Edit:

Ο DJD έχει δίκιο σε γενικές γραμμές... εκτός του ότι είναι τρελό overhead το firewall σε vm, για οικιακή χρήση, είναι ίσως και λιγότερο ασφαλές απ' ότι να τρέχει το firewall στον ιδιο τον host...

Ένα κακογραμμένο και βαρύ Windows-based Firewall είναι σίγουρα πιο τρελό overhead από ένα BSD tailor-made VM Firewall.

Μια απορία που έχω: Αν στο HOST OS, ο USB lan adapter θέλει drivers για να λειτουργήσει, οι οποίοι δεν εγκατασταθούν στο HOSΤ OS (Windows) αλλά μόνο στο VM Firewall OS αυτό από μόνο του, δεν κάνει την λύση αυτή ΠΟΛΥ ασφαλή ??

[Jaco]

Αν το vm είναι πραγματικά όσο ασφαλές λένε, δηλαδή η μνήμη του είναι sandboxed και δεν υπάρχει περίπτωση να βρίσκεται κάποιο security hole, τότε ναι... αλλά κανείς δεν μπορεί να το εγγυηθεί αυτό και γενικά έχουν βρεθεί τρύπες στα vm's (είχε συζητηθεί παρόμοιο θέμα παλιότερα αν θυμάμαι καλά και είχαν βρεθεί κάποια Links για το θέμα)...