Was haltet ihr von der Konstellation / bzg Sicherheit.

[Flare 12]

Hi,

 

bisher hatten wir 2 Mailrelays in der DMZ auf zwei Rechnern die nicht wirklich ausgelastet waren..

 

Hier nun das wozu ich ein paar Meinungen hoeren möchte.

 

Habe einen Server mit VMWare Server aufgesetzt unter Linux Debian, dieser hat zwei Netzwerkkarten einen ins Lan und die andere in die DMZ.

Die NIC in die DMZ ist zwar aktiviert ( fürs bridging ) aber hat keine TCP/IP konfiguration.

Somit ist dieser nicht aus der DMZ erreichbar.

 

Auf dem VMServer laufen nun die beiden Relays die in der DMZ stehen.

Der NIC der in der DMZ ist wurde gebridget.

 

Also VMware Server im LAN, die Virtuellen Machinen in der DMZ.

 

Was meint Ihr dazu.. Meinungen mit begründung natürlich sind mir wichtig.

 

gruss Rene

[Pretender 10]

Hallo Flare,

 

bezogen auf die Ausfallsicherheit halte ich die Konstellation nicht für sinnvoll! Was passiert denn bei deinem Szenario mit den E-Mails, wenn die Maschine wegen eines Defektes nicht arbeitet?

 

Gruß,

 

Pretender

[nerd 28]

Hi,

 

zum einen stimme ich Pretender zu zum anderen halte ich es aus Sicherheitsgründen für nicht wirklich Sinnvoll einen solchen Aufbau zu wählen. Eine DMZ ist meistens dafür da um eine Verbindung zu terminieren und neu aufzubauen. Server in der DMZ sind einem besonderen Risiko ausgesetzt und werden deshalb durch eine eigene Firewall vom internen Netz abgeschottet um die Auswirkungen einer Kompromitierung des Server zu reduzieren. Wenn in deinem Fall einer der Mailserver übernommen wird kann der hacker ohne weiters (durch diverse vorhandenen VMWare Schwachstellen) aus der VM ausbrechen und über den Host in dein CN.

 

Gruß

[Flare 12]

@ all danke für eure hinweise..

 

@pretender.. stimmt sehr guter einwand.. hab ich mir auch den kopf drueber gemacht..

da wir auch nur einen mx haben und auf den backup verzichten da dieser von spamversendern leider zu sehr bevorzugt wurde. eine lösung habe ich nicht wirklich ausser das ersatzhardware bereit steht. eventuell hier eine round robin lösung ...

andererseits weiß die geschäftsleitung bescheid und akzeptieren eine gewisse downzeit die man durch ein zu kleines budget hat :)

 

@Johannes Schmidt

Ich hab mir schon überlegt gehabt den VMwareserver komplett in die DMZ zu stellen..

Deine Ausführung verstärkt mein gefühl das dieser auch da rein muss.

Ich bin ein VMNoob und kenne die Sicherheitslücken bzw die allgemeine Sicherheit von VMware nicht..

 

Gruss Flare

[Velius 10]

Versteh jetzt die Diskussion um VMware im speziellen nicht ganz - das Riskio ist realistisch betrachtet dasselbe wenn die Dinger phsysisch laufen. Im Gegenteil, für den Hacker ist es wohl einfacher nur ein System zu Kidnappen.

 

Der Killer an dieser Konfiguration ist definitv die NIC ins LAN und die DMZ! Damit wird der Sinn der DMZ, und ich meine nichtmal dass jedes System da zwei NICs haben sollte, ausgehebelt.

Grund: Wieso eine DMZ haben wenn es ein System gibt, welche beide Zonen ohne Filterung verschwimmen lässt?

 

Das ist wie ein Schloss mit ner riesen Mauer aber ohne Burgtor.:wink2:

Ein System mit jeweils mehreren NICs in verschiedenen Sicherheitszonen muss zwangsläufig immer einer Art Firewall sein!

[Flare 12]

@velius

 

ja das ist der knackpunkt.. der rechner hat 2 nics .. eine in die dmz und eine ins lan..

wie beschrieben hat die nic des hosts in der dmz keine ip bindung..

die virtuellen machinen haben selbstverständlich nur eine nic :) und zwar die der dmz :)

 

handel ist dennoch risikoreich ???

 

Gruss Flare

[Velius 10]

Das musst du selbst einschätzen, wie hoch das Risiko einzustuffen ist.

 

 

Aber wie ist das denn im Detail konfiguriert auf der Debian - hat die NIC auf dem Host OS echt keine IP Bindung? Dann könnte es rein nur vom Host her nahezu unmöglich sein einzubrechen - wäre dann vergleichbar mit ner Insel in der Luft ohne Brücken.:wink2:

 

 

Einzig ein Ausbrechen vom Guest auf den Host wäre dann vorstellbar - kenn aber auch keine Exploits die das direkt erlauben würden - also die Kontrolle des Hosts gewinnen über den Guest.

[Velius 10]

Also es gibt Exploits, die das Einschleusen von Code über den Guest auf den Host ermöglichen, aber keinen 'permanenten Kanal', also über den Guest den Host vernsteuern geht nicht. Schon gar nicht mit generischem Code wenn der Host keine IP Bindung auf der NIC hat, die dem Internet zugewandt ist. So kann der Hacker zwar immer wieder Code auf dem System einschleusen, gewinnt aber nie die Kontrolle darüber.

 

Am ehesten ist ein Crash des Host-Systems vorstellbar.

 

 

Aber anyhow: Wenn du es beobachtest und regelmäsig die Updates einspielst wäre es vertetbar denke ich.

[Flare 12]

@velius danke für deine meinung.

ich werd mal beobachten und mich weiter belesen was die sache betrifft,

nichts destotrotz könnt ich die machine auch in die DMZ komplett hängen,

dann muss ich mir keine gedanken mehr drueber machen.

 

was die ip bindung betrifft hab ich halt keine konfiguration eingetragen in etc/network/interfaces. bin mir jetzt nicht ganz sicher ob damit die ip bindung auch komplett weg ist, denke sie ist da nur nicht konfiguriert.. suche gerade noch im inet drueber .. hast du hier noch einen tipp wie die komplett abziehen kann. ???

bei windows ist es ein haekchen aber die kiste läuft nunmal unter debian :)

 

Gruss Flare

[Velius 10]

Was war eigentlich der Sinn hinter der NIC im LAN? Das Magament Interface für das Host OS?

[Flare 12]

hi,

ich wollt dort noch eine vm installieren die im lan ist..

die wird dann den bridge von eth0 benutzen ( lan nic ).

 

ja hostmanagement ohne ports in die dmz ist natuerlich ein netter nebeneffekt :)

 

Gruss Flare