Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Firewall als VM ein Sicherheitsproblem ?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Firewall als VM ein Sicherheitsproblem ? (Read 2177 times)
Thomas_L
Newbie
Posts: 30
Karma: 1
Firewall als VM ein Sicherheitsproblem ?
«
on:
May 03, 2021, 09:05:31 pm »
Guten Abend,
ich möchte bitte kurz um eure Meinung fragen.
Ist es eurer Meinung nach ein Sicherheitsproblem eine Firewall als VM laufen zu lassen?
In unserem konkreten Fall eine OPNsense als VM auf Hyper-V.
Eine Host-NIC hängt direkt im Internet hat aber keine Protokolle gebunden (nur den virtuellen Switch).
Ein virtueller Switch ist auf diese NIC gebunden und ist nur für die Firewall.
Ist eine VM bei richtiger Implementierung unsicherer als ein eigene Box?
Mein Kollege hält dieses Setup nicht für sicher und würde lieber eine eigene Box haben.
Ich sehe einige Vorteile in einer VM (mehr Leistung und Flexibilität).
Was ist eure Meinung? Habt ihr eure Firewall(s) als VM laufen direkt am Internet und direkt im LAN?
Vielen Dank für euer Input und bleibt gesund!
Thomas
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: Firewall als VM ein Sicherheitsproblem ?
«
Reply #1 on:
May 03, 2021, 09:13:00 pm »
Hallo,
Firewalls als VM setze ich nur im Netzwerk selbst ein.
Die Firewalls mit Netzwerkübergängen zu anderen Netzwerken/Providern mache ich nur mit Hardware.
Fehlersuche bzw. Ausfallsicherheit finde ich immer ein Streitthema. Ich schließe gerne zu viele Layer aus und will bei meinen Netzwerken verlässliche Performance auf den Routern oder Firewalls. Das hat man in der Regel mit Virtualisierung nicht.
VG,
Dominik
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
kosta
Hero Member
Posts: 540
Karma: 2
Re: Firewall als VM ein Sicherheitsproblem ?
«
Reply #2 on:
May 03, 2021, 10:39:25 pm »
Da gab's schon ne Diskussion:
https://forum.opnsense.org/index.php?topic=21876.msg103413#msg103413
Es hängt meiner Meinung nach sehr stark davon ab, welchen Netzwerk-Größenordnung du betreibst.
Ich schätze bei KMU oder auch bis zu einigen Hunderten Benutzer, wird es vollkommen egal sein, ob Hardware oder virtuell (kommt natürlich drauf an, was du mit der FW machst, VPN, Verschlüsselung usw...).
Sofern die Performance der "Kiste" ausreichend ist, spielen die Virtualisierungslayer da wenig Rolle meiner Meinung nach.
Die Vorteile der Virtualisierung liegen an der Hand.
Sicherheitstechnisch? Pff... wenn ordentlich getrennt, ist es mMn vollkommen egal.
Ausfallsicherheit? Was ist ausfallsicherer, dein Server (Hardware), die Software (Windows), oder eine einzelne Hardware-Firewall? Hyper-V? Benötigt Patches... Firewall-Neustart OK? Geht überhaupt? Denn wenn FW weg, ist deine Leitung auch weg. Bootet die FW danach verlässlich? Oder kommst aus dem Home Office gar nicht mehr drauf?
Einzelne Kiste wiederum, fällt aus und ist vorbei... bräuchtest zwei für eine Ausfallsicherheit.
Wenn es hilft:
Wir haben Sophos. Wir werden vermutlich auf OPNsense wechseln.
Die nächsten Monate wird OPNsense auf einem DL380 Gen10 betrieben.
Ich hätte vor, dass wir Ende des Jahres in ein Hardware-Teil investieren.
«
Last Edit: May 03, 2021, 10:41:04 pm by kosta
»
Logged
Thomas_L
Newbie
Posts: 30
Karma: 1
Re: Firewall als VM ein Sicherheitsproblem ?
«
Reply #3 on:
May 04, 2021, 08:54:41 am »
Guten Morgen!
Vielen Dank so weit für die Antworten.
Den anderen Thread habe ich tatsächlich übersehen, das tut mir leid.
Ich habe ihn jetzt gelesen. Soweit ist mir jetzt einiges klarer.
Zum Thema Ausfallsicherheit würde ich natürlich nie nur auf eine VM Firewall setzen. Ein Notfall-Zugriff über eine eigene IP und eine abgelöste Appliance oder einen Mikrotik Router würde ich immer machen. Auch eine kleine OPNsense APU mit den Basissicherheitsfeatures wie Blacklists und dgl. wäre denkbar.
Ich sehe eine VM auch als Ergänzung für die vielen Funktionen die eine OPNsense bietet und die auch einiges an Leistung brauchen. Ich würde das ggf. in einem Subnet aufteilen was ich mit welcher Firewall bearbeite.
Zum Thema Ausfallsicherheit muss ich auch sagen dass ein ohnehin vorhandener HPE ProLiant Server mit 4h CarePack schon eine Ausfallsicherheit bietet die man bei den meisten Appliance Herstellern wohl vergeblich sucht.
Es gibt also nicht nur Entweder Oder sondern auch Und. Oder sind meine Gedanken zum Thema 2 Firewalls ohnehin für die Rundablage?
Aber ich merke eine Tendenz in Richtung Appliance ;-)
Somit werde ich wohl meinem Kollegen nachgeben und wir werden uns um eine Appliance schauen.
Vielen Dank für eure Gedanken und noch einen schönen Tag!
Thomas
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Firewall als VM ein Sicherheitsproblem ?