The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Программный роутер на vm - безопасность."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"Программный роутер на vm - безопасность."  +/
Сообщение от PashaTurok (ok) on 29-Май-13, 19:10 
Уважаемые форумчане. Подскажите кто знает.
Есть 1(один) сервер. Две сетевые карты. На сервере крутятся N виртуальных машин. Данный сервер нужен внутри lan так как ... для производства короче нужен. На нем много очень и очень важной-важной информации :).

Проблема в том, что нужен еще и софтверный роутер, на который можно нацепить впн, радиус и т.п. Замышляю следующее решение:
- на сервере ставим kvm на линукс ос.
- две сетевухи - делаем два моста.
- к одной сетевухе подключаем LAN, к другой WAN
- поднимаем одну виртуалку, где через iptables делаем роутер.

Вопрос 1. Насколько это безопасно. 2. Насколько это безопасно для главной машины domain 0(не виртуалки) 3. Насолько это безопасно для остальных виртуальных машин.

Буду бладодарен любой помощи.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Программный роутер на vm - безопасность."  +/
Сообщение от PashaTurok (ok) on 30-Май-13, 11:31 
Неужто никто не знает?


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Программный роутер на vm - безопасность."  +1 +/
Сообщение от reader (ok) on 30-Май-13, 12:34 
> Неужто никто не знает?

вы серьезно полагаете что кто-то сможет гарантировать, что в системах виртуализации не осталось уязвимостей позволяющих выйти из виртуалки в хост систему?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Программный роутер на vm - безопасность."  +/
Сообщение от PashaTurok (ok) on 30-Май-13, 17:12 
>> Неужто никто не знает?
> вы серьезно полагаете что кто-то сможет гарантировать, что в системах виртуализации не
> осталось уязвимостей позволяющих выйти из виртуалки в хост систему?

Я не знаю. Поэтому и спрашиваю. А что всё так плохо? Неужели не залатали все дырки в текущих версиях kvm?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Программный роутер на vm - безопасность."  +/
Сообщение от gg (??) on 30-Май-13, 18:31 
>>> Неужто никто не знает?
>> вы серьезно полагаете что кто-то сможет гарантировать, что в системах виртуализации не
>> осталось уязвимостей позволяющих выйти из виртуалки в хост систему?
> Я не знаю. Поэтому и спрашиваю. А что всё так плохо? Неужели
> не залатали все дырки в текущих версиях kvm?

Вам ответили, что ВСЕ дырки залатать практически невозможно.
Посчитаем, чтобы вас полностью проломить, нужно
1. пробить роутер,
2. пробить квм,
3. получить рута на хосте
Не так и плохо, но отдельный роутет выглядит понадежнее.

У меня есть подобный сервер, только отдна сетевуха (внешняя) в виртуалку с роутером проброшена полностью и сетевой стек хоста ее не видит.
Пока работает )))

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Программный роутер на vm - безопасность."  +/
Сообщение от Аноним (??) on 31-Май-13, 03:08 
> Я не знаю. Поэтому и спрашиваю. А что всё так плохо? Неужели
> не залатали все дырки в текущих версиях kvm?

Если смотреть с практической точки зрения, каких-либо известных багов позволяющих огреть линуксное ядро по сети пакетами не нацеленными на какие-то user-mode сервисами не было уже фиг знает сколько времени. А на роутере в виртуалке можно повырубить или зафайрволить все сетевые сервисы по максимум, так что через них тоже на систему не попадут.

И даже если допустить что это как-то прошибут, придется понять что это виртуалка и попытаться прошибить виртуализатор.

Не то чтобы это на 100% невозможно в теории, но на практике это довольно высокая планка и практичность и реалистичность атаки на именно этот компонент системы вызывает сомнения.

С точки зрения атакующего проще и практичнее будет долбануть не роутер, а то что этим интернетом пользоваться собирается. Ну там браузер например. Или приложение которое данные гоняет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру