Router virtualisieren

[edlomprul]

Hallo,

ist es sinnvoll einen Router zu virtualisieren?

Welche Vor- und/oder Nachteile habe ich dadurch? Ich meine mich daran zu erinnern irgendwo mal gelesen zu haben "NEIN TU DAS NICHT", aber ich finde dazu nichts vernünftiges mehr. Ich meine das in misc der OpenBSD Mailing Liste mal gelesen zu haben...

In meine konkreten Fällen würde ich dann Router und Server zusammenlegen. Würde Strom und Anschaffungskosten sparen. Außerdem sind virtuelle Maschinen leicht transferierbar.

 

[Columbo0815]

ist es sinnvoll einen Router zu virtualisieren?

Ob es sinnvoll ist sollen andere beurteilen. Ich tippe jedoch auf "nicht sinnvoll". Sicherer wird es dadurch wohl kaum. "Günstiger" könnte es uU sein.

Welche Vor- und/oder Nachteile habe ich dadurch? Ich meine mich daran zu erinnern irgendwo mal gelesen zu haben "NEIN TU DAS NICHT", aber ich finde dazu nichts vernünftiges mehr. Ich meine das in misc der OpenBSD Mailing Liste mal gelesen zu haben...

Das kann ich mir gut vorstellen, dass du das auf einer OpenBSD-Mailingliste gelesen hast. Theo ist wohl strikter Gegner von Virtualisierung. Ich erinnere mich an Mails, in denen er "freundlich" darauf hingewiesen hat, dass man doch richtige Hardware nehmen solle und keine Software, die Fehler hat.

In meine konkreten Fällen würde ich dann Router und Server zusammenlegen. Würde Strom und Anschaffungskosten sparen. Außerdem sind virtuelle Maschinen leicht transferierbar.

Ich (ohne das fachlich belegen zu können) stimme dir da zu. Große Bauchschmerzen hätte ich mit einem virtualisierten Router wohl nicht, wenn ich denn den Host kenne

HTH

 

[Illuminatus]

es ergeben sich die gleichen Vorteile wie bei der Virtualisierung anderer Maschinen.

Nachteilig kann es sein, wenn du auf die Infrastruktur per Remote dich einloggen möchtest, der Virtualisierer aber ein Problem hat. Sei es Netzwerk bezogen oder auf den Betrieb der VMs allgemein. Dein Virtualisierer sollte also rock-solid sein. Ein High-Availability Setup ist je nach Größe und Wichtigkeit sinnvoll.

 

[mark05]

hi

router oder firewalls zu virutalisieren halte ich fuer nonsens.

was nutzen mir all die sicherheits features ala openbsd wenn ich
das system unter fremder software laeuft was in allen punkten angreifbar ist .
( ueberspitzt gesagt ) .


holger

 

[TCM]

das system unter fremder software laeuft was in allen punkten angreifbar ist .

Und wie greifst du den virtuellen Switch über Layer 3 an?

 

[edlomprul]

Danke schonmal für den Input!

Ich werf gleich noch ne weitere Frage in den Raum:

ECC Speicher in Routern sinnvoll? Der Datenverkehr übers Netzwerk verfügt ja theoretisch über eigene Fehlererkennung. Oder mache ich da nen Denkfehler?

 

[Crest]

Also...

1) Der Hypervisor ist eine relativ große Angriffsfläche mehr für deinen Router.
2) Router sind (fast) immer I/O bound. OpenBSD hat iirc erst im kommenden 5.3 VirtIO Unterstützung. Selbst damit ist die Packet I/O noch langsamer als direkt auf der Hardware.
3) Genaueres kann dir keiner sagen solange du nicht mehr Details von dir gibst.

 

[TCM]

Also...

1) Der Hypervisor ist eine relativ große Angriffsfläche mehr für deinen Router.

Auch hier mal bitte konkret werden. Welche Fläche bietet ein L2-Switch, an den keiner rankommt?

 

[Nukama]

ECC Speicher in Routern sinnvoll? Der Datenverkehr übers Netzwerk verfügt ja theoretisch über eigene Fehlererkennung. Oder mache ich da nen Denkfehler?

Router bitte mit ECC ausstatten: DEFCON 19: Bit-squatting: DNS Hijacking Without Exploitation

Wenn schon nicht auf die fehlerhafte Software der Virtualisierung vertraut wird, dann sollte auch nicht auf die fehlerhafte Hardware vertraut werden.

 

[Illuminatus]

http://wiki.mikrotik.com/wiki/Manual:Metarouter#Where_it_can_be_used.3F

Falls du dich mit dem Linux Lager anfreunden magst. Du kaufst ein Board, und kannst quasi virtuelle Router Instanzen auf diesem betreiben.

 

[mark05]

Auch hier mal bitte konkret werden. Welche Fläche bietet ein L2-Switch, an den keiner rankommt?

z.b. arp spoolfing via vm guest ...........

desweiteren

wer sagt das die speicherverwaltung vom wirt sauber ist und nicht anfaellig fuer buffer overflow ........
linux ist dank shared memory ein ode fuer probleme die auch schon ausgenutzt worden sind.

also grundsaetzlich hast du einen zusaetzlichen "layer" der porbleme machenb kann!
im rahmen von z.b. PCI-DSS sind vmware , xen etc nicht gerne gesehen in kombination mit routern , firewalls sprich
allem was sicherheits relevant ist.

holger

 

[edlomprul]

Das "Problem" das ich habe ist halt, dass ich keine günstigen ECC mit geringer Leistungsaufnahme kenne.
Folgende CPUs habe ich mal rausgesucht:
AMD Opteron 3320 EE (4x 1.90GHz, Sockel-AM3+, 25W TDP)
(Opteron deshalb, weil es keine anderen CPUs in der Kombi ECC/Low Power gibt)
oder
Intel Xeon E3-1220LV2 (2x 2.30GHz, Sockel-1155, 17W TDP)
(Xeon deshalb, weil es keine anderen CPUs in der Kombi ECC/Low Power gibt)

Beide Lösungen würden preislich ähnlich sein und hätten genügend PCIe Slots.

Der Router soll machen: NAT, DNS, NTPD, VPN, QoS,Intrusion Detection, VoIP, Load Balancing/Failover (zwei mal WAN), ClamAV (http/ftp Proxy),WLAN Access Point (zwei mal); Bandbreiten der WANs sind 25MBit/s und 50MBit/s.

Der Server wär vorerst nur Webserver (Intra- und Extranet) und Fileserver (vier mal 1TB 10000rpm RAID10, verschlüsselt), Anbindung per Gigabit Ethernet.

Benutzeranzahl 6-12 Leute, drei davon immer per WLAN verbunden. Dazu kommen meinetwegen noch die Handys und Telefone (VoIP).


Edit:
Ich bin schon Freund des Linux Lagers, aber nicht auf Routern... (Auf dem Server sogar mit hoher Wahrscheinlichkeit)

 

[TCM]

z.b. arp spoolfing via vm guest ...........

1. musst du dafür schon auf dem Gast drauf sein. Der muss also irgendeine Lücke haben, bei einem Router also im IP-Stack, so dass du den Kernel übernehmen kannst. 2. ist ein vSwitch z.B. bei VMware sicherer als ein normaler, weil VMware genau weiß, welche MAC-Adresse an einem Port hängt und standardmäßig nur diese erlaubt.

Zur Not reichst du eine NIC per Passthrough direkt in die VM, dann umgehst du VMware komplett und hast direkt mit der MMU von VT-d zu tun. Dann verlässt du dich quasi auf die Hardware und der Hypervisor ist zum Großteil außen vor.

wer sagt das die speicherverwaltung vom wirt sauber ist und nicht anfaellig fuer buffer overflow ........
linux ist dank shared memory ein ode fuer probleme die auch schon ausgenutzt worden sind.

Es geht um Router. Bei deren IP-Stacks ist selten was mit shared memory im Gange.

also grundsaetzlich hast du einen zusaetzlichen "layer" der porbleme machenb kann!
im rahmen von z.b. PCI-DSS sind vmware , xen etc nicht gerne gesehen in kombination mit routern , firewalls sprich
allem was sicherheits relevant ist.

holger

Prinzipiell richtig, aber eher für das Szenario relevant, wenn ein interner Dienst kompromittiert wird und dadurch der Router mit Firewall anfällig wird. Wenn jedoch von außen keine Dienste erreichbar sind, dürfte es sehr sehr schwer sein, nur auf IP-Ebene z.B. ein aktuelles OpenBSD anzugreifen und root auf der Kiste zu kriegen.

Also in "richtigen" Installationen hat ein virtueller Router nichts verloren, keine Frage. Aber zu Hause, warum nicht die brachliegende Leistung des Servers nutzen, um ordentlichen Durchsatz im Router zu haben und ein Gerät zu sparen?

Edit:

Der Router soll machen: NAT, DNS, NTPD, VPN, QoS,Intrusion Detection, VoIP, Load Balancing/Failover (zwei mal WAN), ClamAV (http/ftp Proxy),WLAN Access Point (zwei mal); Bandbreiten der WANs sind 25MBit/s und 50MBit/s.

OK, in solch einem Szenario wäre ich natürlich auch vorsichtig mit Virtualisierung. Das ist kein Router, das ist ein Server, der routet.