Ein Hyper-V Host, interne VMs und eine isolierte, DMZ VM

[spooner 10]

Hallo Zusammen,

ich habe leider nur einen Hyper-V Host, auf dem aktuell 5 VMs laufen (mit Windows Server), welche nur übers interne Netz erreichbar sind.

Nun möchte ich noch eine weitere VM bereitstellen, ein Linux Server. Dieser soll aus dem Internet per Portfording erreichbar sein.

 

Wie kann ich das möglichst sicher gestalten?

Gibt es überhaupt eine sinnvolle Lösung?

Ich denke mal, wenn überhaupt, dann über einen zusätzlichen "Virtuellen Switch" und ein separates VLan, oder?

 

Danke und Gruß

spooner

 

 

[cj_berlin 1.312]

Moin,

das wird davon abhängen, wie Deine DMZ gestrickt ist. Meistens sind das separate Switche und separate Beine auf den Routern. In diesem Fall einfach eine zusätzliche Netzwerkkarte im Host und einen zusätzlichen vSwitch. Und das wäre absolut eine "sinnvolle Lösung"  

[djmaker 95]

. . .  wenn man davon absieht das es immer noch der gleiche physische host ist > ja.

 

Ich tendiere hier eher zu einem physischen PC mit aktivierter Hyper-V-Komponente.

[spooner 10]

ja, ich hab mir das auch schon überlegt, sprich eher einen zweiten separaten, zusätzlichen Hpyer-V Host anzuschaffen.

Weil das Problem ist ja trotzdem, das wenn die VM gehackt/infiziert wird, dass es dann auf den Host übergehen kann.

Klar, für restliche Netzwerk hilft auf jeden Fall die zusätzliche NIC.

mmh, ist schwierig, wenn man nur eingeschränkte mittel zur Verfügung hat.

[cj_berlin 1.312]

vor 16 Minuten schrieb spooner:

Weil das Problem ist ja trotzdem, das wenn die VM gehackt/infiziert wird, dass es dann auf den Host übergehen kann.

"VM escape" ist eine extrem rare Geschichte und meist nur unter Laborbedingungen reproduzierbar. Nimmt man diesen Angriffsvektor aber als konkrete Gefährdung an, folgt daraus, dass auch der Host, auf dem die DMZ läuft, mit seinem Management-Interface nicht im LAN stehen darf (und somit auch nicht Mitglied des produktiven AD ist). Der nächste logische Schritt ist dann, dass auch für die Verwaltung dieses Hosts eine Admin-Workstation verwendet werden muss, die im DMZ-Management-Netz steht und nicht im LAN.

 

Jetzt muss man sich aber die viel profanere Frage stellen: Wenn Du eine Edge-VM on-prem hostest, muss sie vermutlich mit irgendwelchen Systemen im LAN kommunizieren und sich gegenüber diesen direkt authentifizieren, Sonst könnte man sie ja für schmales Geld in irgendein Shared Hosting stecken. Ist das nicht eine viel konkretere Gefährdung als die theoretische Möglichkeit, dass jemand die VM nicht nur übernimmt, sondern auch daraus ausbricht?

[testperson 1.675]

Hi,

 

was soll denn über das Internet auf dieser Linux VM passieren? Ggfs. lassen sich andere / bessere Ansätze finden.

 

Gruß

Jan

[spooner 10]

Auf der Linux VM soll später eine nextcloud eingerichtet und somit gibt es ja ein direktes Port forwarding auf die VM.

Wenn diese nur über VPN oder intern erreichbar wäre, dann hätte ich mir keine Gedanken gemacht.

Bin leider Linux und nextcloud Neuling, weiß aktuell auch noch nicht in wie weit die Systeme überhaupt angreifbar sind.

[testperson 1.675]

Wäre es da nicht einfacher auf OneDrive zu setzen? Alternativ die Next- / Owncloud bei einem Hoster als Service zu beziehen?

[spooner 10]

Der Kunde möchte eine Inhouse Lösung und zusätzlich gibt es noch das Problem, dass bei seinen Kunden Dropbox, OneDrive, GoogleDrive gesperrt ist.

Er muss aber größere Dateien austauschen und deshalb die privateCloud mit nextcloud.

[NilsK 2.933]

Moin,

 

man kann das technisch so machen, aber bei Portforwarding ist dann deine Linux-VM für die Sicherheit allein zuständig. Das kann schon mal heikel werden. Und aus der Perspektive ist das Szenario "jemand übernimmt die VM so, dass er auf den Host übergreifen kann" für mich dann nicht mehr exotisch genug, um das einfach mal so einzurichten. (Andere Angriffe, die noch simpler sind, natürlich schon gar nicht.)

 

Gruß, Nils

PS. ja, das Ansinnen "ich muss Dateien austauschen" ist eigentlich gängig, aber Angriffe auf halbgare Lösungen eben auch ...

bearbeitet 11. Mai 2021 von NilsK

[djmaker 95]

Für den Datenaustausch gibt es genug andere externe Dienste (z.B. Citrix Fileshare etc. pp.).

[spooner 10]

Die nextcloud soll nicht nur als privatCloud genutzt werden, sondern eventuell noch weitere Dienste / Apps (Kalender, Kanban Board, usw.).

Um die Sache halt an sich schon sicherer zu machen kommt Linux als Betriebssystem zum Einsatz.

Dieses Konstrukt ist jetzt an sich kein Hexenwerk und unzählige Male im Einsatz.

Und natürlich auch immer ein Port Forwarding.

Kann natürlich auch sein, dass ich mir jetzt umsonst Gedanken mache, weil es vielleicht keine so große Angriffmöglichkeit ist.

 

Aktuell tendiere ich zu dem eigenen Hyper-V im eigenen VLan / DMZ, aber dafür muss halt leider wieder zusätzliche Hardware angeschafft werden.

[djmaker 95]

Eventuell kannst Du eine Web Application Firewall und / oder einen reverse proxy davorsetzen.

[spooner 10]

Hab mich jetzt dafür entschieden erst mal eine eigene kleine (ältere, vorhandene) Hardware für die nextcloud zu verwenden und somit keine (weniger) Sicherheitsbedenken.

[Sunny61 806]

Ein RaspberryPI bietet sich für so etwas an. Wenn man möchte, kann man auch SSDs über einen USB-Hub anschließen und auch ein RAID daraus bilden. Ein Zertifikat binden und schon auch die Browser still.