URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94706
[ Назад ]

Исходное сообщение
"Программный роутер на vm - безопасность."

Отправлено PashaTurok , 29-Май-13 19:10 
Уважаемые форумчане. Подскажите кто знает.
Есть 1(один) сервер. Две сетевые карты. На сервере крутятся N виртуальных машин. Данный сервер нужен внутри lan так как ... для производства короче нужен. На нем много очень и очень важной-важной информации :).

Проблема в том, что нужен еще и софтверный роутер, на который можно нацепить впн, радиус и т.п. Замышляю следующее решение:
- на сервере ставим kvm на линукс ос.
- две сетевухи - делаем два моста.
- к одной сетевухе подключаем LAN, к другой WAN
- поднимаем одну виртуалку, где через iptables делаем роутер.

Вопрос 1. Насколько это безопасно. 2. Насколько это безопасно для главной машины domain 0(не виртуалки) 3. Насолько это безопасно для остальных виртуальных машин.

Буду бладодарен любой помощи.


Содержание

Сообщения в этом обсуждении
"Программный роутер на vm - безопасность."
Отправлено PashaTurok , 30-Май-13 11:31 
Неужто никто не знает?



"Программный роутер на vm - безопасность."
Отправлено reader , 30-Май-13 12:34 
> Неужто никто не знает?

вы серьезно полагаете что кто-то сможет гарантировать, что в системах виртуализации не осталось уязвимостей позволяющих выйти из виртуалки в хост систему?


"Программный роутер на vm - безопасность."
Отправлено PashaTurok , 30-Май-13 17:12 
>> Неужто никто не знает?
> вы серьезно полагаете что кто-то сможет гарантировать, что в системах виртуализации не
> осталось уязвимостей позволяющих выйти из виртуалки в хост систему?

Я не знаю. Поэтому и спрашиваю. А что всё так плохо? Неужели не залатали все дырки в текущих версиях kvm?


"Программный роутер на vm - безопасность."
Отправлено gg , 30-Май-13 18:31 
>>> Неужто никто не знает?
>> вы серьезно полагаете что кто-то сможет гарантировать, что в системах виртуализации не
>> осталось уязвимостей позволяющих выйти из виртуалки в хост систему?
> Я не знаю. Поэтому и спрашиваю. А что всё так плохо? Неужели
> не залатали все дырки в текущих версиях kvm?

Вам ответили, что ВСЕ дырки залатать практически невозможно.
Посчитаем, чтобы вас полностью проломить, нужно
1. пробить роутер,
2. пробить квм,
3. получить рута на хосте
Не так и плохо, но отдельный роутет выглядит понадежнее.

У меня есть подобный сервер, только отдна сетевуха (внешняя) в виртуалку с роутером проброшена полностью и сетевой стек хоста ее не видит.
Пока работает )))


"Программный роутер на vm - безопасность."
Отправлено Аноним , 31-Май-13 03:08 
> Я не знаю. Поэтому и спрашиваю. А что всё так плохо? Неужели
> не залатали все дырки в текущих версиях kvm?

Если смотреть с практической точки зрения, каких-либо известных багов позволяющих огреть линуксное ядро по сети пакетами не нацеленными на какие-то user-mode сервисами не было уже фиг знает сколько времени. А на роутере в виртуалке можно повырубить или зафайрволить все сетевые сервисы по максимум, так что через них тоже на систему не попадут.

И даже если допустить что это как-то прошибут, придется понять что это виртуалка и попытаться прошибить виртуализатор.

Не то чтобы это на 100% невозможно в теории, но на практике это довольно высокая планка и практичность и реалистичность атаки на именно этот компонент системы вызывает сомнения.

С точки зрения атакующего проще и практичнее будет долбануть не роутер, а то что этим интернетом пользоваться собирается. Ну там браузер например. Или приложение которое данные гоняет.