क्या राउटर को वर्चुअल करने में कोई खतरा है?

मैंने pfSense के बारे में कुछ मंचों पर पढ़ा था कि यह pfSense को वर्चुअलाइज़ करना खतरनाक था। जो कारण बताया गया था कि एक हमलावर हाइपरविजर पर हमले के लिए स्प्रिंग बोर्ड के रूप में pfsense का उपयोग कर सकता है और फिर अन्य आभासी मशीनों तक पहुंच प्राप्त करने और अंततः सब कुछ ऑफ़लाइन लेने के लिए उपयोग कर सकता है।

यह मुझे पागल लगता है, लेकिन क्या इस विचार में वास्तविकता की कोई कमी है? क्या वर्चुअल सर्वर में एक राउटर एक बुरा विचार है?

आमतौर पर लोगों के पास जो तर्क होते हैं, वे हाइपरविजर की सुरक्षा के ही होते हैं, जो इतिहास में बहुत साबित होता है, वह बहुत चिंता का विषय नहीं है। यह हमेशा बदल सकता है, लेकिन अभी तक कोई भी महत्वपूर्ण आवर्ती हाइपरवाइजर सुरक्षा मुद्दे नहीं हैं। कुछ लोग बिना किसी अच्छे कारण के इस पर भरोसा करने से इंकार कर देते हैं। यह अन्य मेजबानों पर हमला करने के बारे में नहीं है अगर कोई फ़ायरवॉल का मालिक है, तो उस मामले में यह कोई फर्क नहीं पड़ता कि यह कहाँ चल रहा है, और उन सभी चीज़ों से जो समझौता होने की संभावना है, फ़ायरवॉल सूची से नीचे है जब तक कि आप खुले जैसा कुछ बेवकूफ न करें। डिफ़ॉल्ट पासवर्ड सेट के साथ पूरे इंटरनेट पर इसका प्रबंधन। उन लोगों को कुछ तर्कहीन भय है कि वहाँ एक जादू "रूट ESX" पैकेट होने जा रहा है जो इंटरनेट से अपने ब्रिजित इंटरफेस के माध्यम से भेजा गया है किसी तरह हाइपरवाइजर को कुछ करने जा रहा है। यह असाधारण रूप से असंभाव्य है, आपके नेटवर्क से छेड़छाड़ होने की संभावना लाखों हैं।

कई उत्पादन datacenters ESX में pfSense चलाते हैं, मैंने शायद 100 से अधिक खुद को अकेले सेटअप किया है। हमारे फायरवॉल ESX में चलते हैं। उन सभी अनुभवों से, आपके फायरवॉल को वर्चुअलाइज करने के लिए एकमात्र जोड़ी में कुछ कमियां हैं: 1) यदि आपका वर्चुअलाइजेशन इन्फ्रास्ट्रक्चर नीचे चला जाता है, तो आप उस स्थान पर समस्या निवारण के लिए इसे प्राप्त करने में सक्षम नहीं होने जा रहे हैं यदि आप उस स्थान पर नहीं हैं (ज्यादातर कोलो डेटासेंटर्स पर लागू होता है)। यह बहुत दुर्लभ होना चाहिए, खासकर यदि आपके पास शारीरिक होस्ट प्रति एक फ़ायरवॉल के साथ सीएआरपी तैनात है। मैं इस अवसर पर परिदृश्यों को देखता हूं, हालांकि ऐसा होता है, और किसी को शारीरिक रूप से उस स्थान पर जाकर देखना पड़ता है कि उनके हाइपरविजर के साथ उनके आभासी फ़ायरवॉल के रूप में क्या गलत है और केवल पथ नीचे है। 2) सुरक्षा की समस्याओं को रोकने के लिए कॉन्फ़िगरेशन गलतियों के लिए अधिक संभावना है। जब आपके पास अनफ़िल्टर्ड इंटरनेट ट्रैफ़िक, और एक या कई निजी नेटवर्क ट्रैफ़िक की एक vswitch है, तो अनफ़िल्टर्ड इंटरनेट ट्रैफ़िक को आपके निजी नेटवर्क में छोड़ने की कुछ संभावनाएँ हैं (संभावित प्रभाव एक वातावरण से दूसरे वातावरण में भिन्न होगा)। वे बहुत ही असंभावित परिदृश्य हैं, लेकिन एक ही तरह के वातावरण में एक ही तरह का पेंच बनाने की तुलना में कहीं अधिक संभावना है जहां पूरी तरह से अविश्वसनीय ट्रैफ़िक किसी भी फैशन में आंतरिक मेजबानों से जुड़ा नहीं है।

न तो उन लोगों को आपको ऐसा करने से रोकना चाहिए - बस परिदृश्य 1 से बचने के लिए सावधान रहें विशेष रूप से अगर यह एक डाटासेंटर में बैठा है जहां आपके पास फायरवॉल खो जाने पर तैयार नहीं है।

इंटरनेट की अवधि तक कुछ भी होने का खतरा है।

अमर वीर अल को उद्धृत करने के लिए:

अपने कंप्यूटर को बंद करें और सुनिश्चित करें कि यह शक्तियां इसे नीचे
जमीन में एक चालीस-तीन-फुट छेद में गिरा दें
इसे पूरी तरह से दफन करें; चट्टानों और बोल्डर ठीक होना चाहिए
फिर उन सभी कपड़ों को जला दें जिन्हें आपने कभी भी ऑनलाइन पहना हो!

आप बाहरी दुनिया में जो कुछ भी उजागर करते हैं, उसमें हमले की सतह होती है। यदि आप समर्पित हार्डवेयर पर pfSense चला रहे हैं, और यह समझौता हो जाता है, तो आपके हमलावर के पास अब सब कुछ आंतरिक रूप से हमला करने के लिए एक स्प्रिंगबोर्ड है। यदि आपकी pfSense वर्चुअल मशीन से समझौता हो जाता है, तो हमलावर के पास एक अतिरिक्त आक्रमण वेक्टर होता है - हाइपरवाइजर टूल (आपके द्वारा उन्हें स्थापित करने का अनुमान) - जिसके साथ काम करना है, लेकिन उस समय, आपके नेटवर्क का पहले से ही समझौता है और आप दुनिया में हैं वैसे भी चोट लगी है।

तो क्या किसी वर्चुअलाइज्ड pfSense इंस्टेंस का उपयोग करना कम सुरक्षित है? हां, थोड़ा। क्या यह कुछ भी है जिसकी मुझे चिंता होगी? नहीं।

संपादित करें: आगे के विचार के बाद - अगर pfSense में कोई विशिष्ट त्रुटि है, जिसके बारे में मुझे जानकारी नहीं है, जिसमें यह वर्चुअलाइज्ड NIC के साथ समस्या है जो किसी तरह सुरक्षा दोष पैदा करता है, तो उपरोक्त अमान्य है। मैं हालांकि इस तरह की भेद्यता से अनजान हूं।

वर्चुअल वातावरण के भीतर कुछ अंतर्निहित खतरा चल रहा है, भले ही आप किस तरह के सर्वर की बात कर रहे हों। मैंने हाल ही में एक ऐसे ही सवाल का जवाब दिया । चूंकि आपके राउटर / फ़ायरवॉल में पहले से ही आपके आंतरिक नेटवर्क तक पहुंच होगी, हाइपरविजर स्तर पर हमला करने का कोई वास्तविक कारण नहीं है - पहले से ही बहुत बेहतर हमले वैक्टर उपलब्ध हैं।

केवल कारण मैं वास्तव में देख सकता हूँ हाइपरवाइज़र के बाद अगर आपकी वर्चुअल मशीन DMZ में निवास कर रही है। वहां से आप हाइपरवाइजर के बाद और आंतरिक नेटवर्क पर एक मशीन में जा सकते हैं। वह उपयोग मामला नहीं है जिसका आप वर्णन कर रहे हैं।

व्यक्तिगत रूप से मैं DR प्रयोजनों के लिए अपने फ़ायरवॉल की एक वर्चुअलाइज्ड कॉपी रखता हूँ। इसका उपयोग करना आदर्श नहीं है, लेकिन यह एक विकल्प है।