Dienste isolieren mit VMM

M

mgruner

New Member
Moin,

ich habe jetzt seit mehreren Jahren ein OpenBSD mit von außen erreichbaren relayd als reverse proxy und SSL Endpunkt für diverse interne Dienste zu Hause im Einsatz und fühle mich als langjähriger Linux Nutzer sehr wohl damit. Nachdem ich mit meinem OpenWRT Router im Moment nicht glücklich werde möchte ich gerne ein paar der Funktionalitäten (DHCP, DNS) sowie eine zentrale LDAP Instanz zur Authentifizierung meiner Benutzer in die Hände einer kleinen OpenBSD Box legen. Dort werkelt ein Celeron mit EPT so dass grundsätzlich der Einsatz von VMD denkbar erscheint.

Die Frage die ich mir stelle: ist die zusätzliche Komplexität durch den Virtualisierungs-Layer den möglichen Sicherheitsgewinn von isolierten Diensten wert?

Danke für Eure Meinungen dazu.
 
Wenn Du mit "Sicherheitsgewinn" einen Schutz vor Hardwarediebstahl meinst und wenn Du physikalischen Zugriff auf die "OpenBSD-Box" hast, kannst Du das System auch noch vollverschluesseln. USB-Stick mit Entschluesselungskey einstecken, System booten, USB-Stick entfernen und das System laeuft. Dann musst Du beim Neustart den Key nicht manuell eingeben. Ansonsten kann man sensible Daten und Dienste auch in einer separat verschluesselten VM laufen lassen, wenn man das Hostsystem nicht verschluesseln will oder kann. Hierbei geht es um den Fall eines Diebstahl deiner Hardware, um dadurch deine Daten zu schuetzen.

Ich persoenlich sehe ansonsten keinen Sicherheitsgewinn durch eine zusaetzliche VM. Du hast nur mehr Arbeit dadurch.
 
midnight schrieb:
Wenn Du mit "Sicherheitsgewinn" einen Schutz vor Hardwarediebstahl meinst
Zum Vergrößern anklicken....
Ich denke, hier ist eher von Sicherheitsgewinn im Sinne der Isolation der Dienste gemeint.

Sprich: wenn Dein Proxy-Dienst exploitet wird, das das nicht so ohne Weiteres auf den Rest übergreifen kann.
Aber Virtualisierung bedeutet natürlich auch Overhead und damit Komplexitätszuwachs, die etwaige Sicherheitsgewinne durch die Isolation kompensieren kann.

Und die Frage ist wohl (soweit ich verstanden hab): Bleibt durch die Auftrennung durch VMs "unterm Strich" ein Sicherheitsgewinn über oder nicht.
 
Andy_m4 schrieb:
Und die Frage ist wohl (soweit ich verstanden hab): Bleibt durch die Auftrennung durch VMs "unterm Strich" ein Sicherheitsgewinn über oder nicht.
Zum Vergrößern anklicken....
Unter OpenBSD laufen alle Dienste i.d.R. unter einem separaten User, welcher ausserhalb seines $HOME keinen Zugriff aufs System hat. Durch Pledge, Unveil, usw. duerfen und koennen diese auch nur auf vordefinierte Prozesse, Speicherbereiche, Verzeichnisse und Dateien zugreifen.

Es ist natuerlich nie zu 100% auszuschliessen, dass ein Programm durch einen Bug Root-Rechte erlangt. Da kann eine solche Isolation schon Sinn ergeben. Das ist im erweiterten Sinne auch die Grundidee von Jails unter FreeBSD.

Wenn ich beispielsweise eine Datenbank in einer VM laufen lassen und einen Webserver in einer anderen VM, dann muessen diese VMs miteinander kommunizieren koennen. Das geht hierbei nicht mehr mit sockets in einem chroot des Webservers, sondern nur noch ueber eine IP-Verbindung. Das bedeutet, dass die Datenbank von "extern" erreichbar sein muss. Von daher muss man separate VMs von Fall zu Fall bewerten. Durch die groessere Komplexitaet des Gesamtsystems muss man schon wissen, was man tut und wie man das nach allen Seiten abdichtet.
 
OK, danke euch für eure Gedanken. Nachdem die Kiste nicht ins böse Internetz exponiert ist spare ich mir die Virtualisierung lieber. Das mit dem changeroot als Default für Dienste bei OpenBSD hatte ich nicht mehr so auf dem Schirm.
 
Ja. Das ist so der Punkt.
Ne VM würde noch ein bisschen mehr Isolierung bringen als das was eh schon an Isolierungsmaßnahmen da ist. Aber rechtfertigt das den Einsatz von virtuellen Maschinen im konkreten Fall? Da würde ich in so nem Fall wie "die Kiste läuft eh nur im internen Netz" auch ein Fragezeichen hinter setzen.
 
Anderer Blickpunkt: Wenn du in Zukunft vielleicht 'mehr' machen willst, weil du Geschmack daran findest und Möglichkeiten dadurch für dich entdeckst, kann es doch sinnvoll sein.
Der Komfort nimmt zu, sobald es die Komplexität für dich runterdrückt ("Wie war das und jenes noch gleich gesetzt/zu finden?" entfällt) und du das wie deine Westentasche kennst.
Alles modular verpackt nach gleichem Schema kann schon eine gute Administrationshilfe sein, gerade auch wenn man schmerzfrei eine ganze VM wegpfeffern kann oder einen snapshot zurücksetzen.

Dazu dann natürlich die Frage wieviel Ressourcen du an Hardware hast, wieviel stromhungriger das wird und nicht zu vergessen das Backup. Neues Schema, größerer Platzbedarf etc.
Bei ein paar Diensten lohnt das nicht, es sei denn man hat eh Spaß an sowas, ist lerngierig und hat ein unverplantes Wochenende. :)
 
Da hättest du quasi schon einen Einsatzzweck auch mit Sicherheit nach innen. In ein paar Jahren böte sich dann ein abgeschirmtes VLAN für die Kids an, ggf. Zugangsfilter gegen spam/scam/gore und jeweils eigene Netzlaufwerke. Vor allem willst du dein eigenes Netz nicht auf dem Schulhof rumgereichten Exploits während der Pubertät ausgesetzt wissen. :p
 
VLANs habe ich unabhängig von den Kindern eh schon um die ganzen IoT Devices etwas einzuhegen. Aber ein eigenes VLAN für die Devices der Kids ist natürlich eine spannende Idee...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben