Hyper V zwei Netzwerkkarten und zwei Internetzugänge

[cj_berlin 1.315]

Ja, weil @NilsK die Überzeugung vertritt, dass "man" aus der VM auf den Host ausbrechen kann. Nimmt man das als gegeben hin, so bleibt als Lösung nur nicht virtualisieren.

[axl 0]

vor 2 Minuten schrieb cj_berlin:

Ja, weil @NilsK die Überzeugung vertritt, dass "man" aus der VM auf den Host ausbrechen kann. Nimmt man das als gegeben hin, so bleibt als Lösung nur nicht virtualisieren.

du machst mir Spass :-)... jetzt bin ich so ratlos wie vorher.... dann werd ich die Kiste halt nicht ins inerten Netz hängen

[cj_berlin 1.315]

Was soll ich denn dazu sagen? Zwei Berater, drei Meinungen.

 

Ich kenne keinen PoC für aktuelle Betriebssystem-Versionen, der nicht ganz massiv zusätzliche Informationen erfordern würde, über die ein externer Angreifer normalerweise nicht verfügt. Nils kennt so etwas vielleicht. Ich war schon bei Dutzenden Pentests dabei, auch mit hohem Schutzbedarf, wo es nicht gelungen ist. Aber prinzipielle Nicht-Machbarkeit wird dadurch natürlich nicht begründet.

[NilsK 2.934]

Moin,

 

also, zunächst einmal war Evgenijs Antwort nach meinem Verständnis auf eine viel engere Frage bezogen und hatte nicht den Fokus, den Übergriff unmöglich zu machen. Bezüglich der ursprünglichen Frage, wie man eine VM so anbindet, dass sie nicht zum selben Netz gehört, stimme ich Evgenij natürlich zu.

 

Und zum anderen: Ich sage nicht, dass es simpel sei, von einer VM aus den Host durchzugreifen. Aber in den vergangenen Jahren hat jeder einzelne Hersteller von Hypervisoren in seinem Produkt den GAU gehabt, dass eine Sicherheitslücke entdeckt wurde, mit der genau sowas möglich ist. Bei VMware war es z.B. mal die virtuelle Grafikkarte, die man über einen manipulierten Treiber für den Übergriff nutzen konnte. Hyper-V hatte zwei oder drei Jahre später eine ähnliche Lücke - was genau es da war, weiß ich gerade nicht mehr. Und da ist man dann schlicht machtlos - wenn ich schon VMs in separate Netzwerke stecke, dann gehören sie nicht auf denselben Host. Finde ich jedenfalls, und dabei werde ich wohl auch noch eine Weile bleiben.

 

Was mir wichtig ist: Virtualisierung per se bedeutet eben nicht Separierung. Man kann einfach auch in der Konfiguration viel falsch machen. Pentests etwa finden normalerweise nur in Umgebungen statt, die sehr weit entwickelt sind, da kommen solche simplen Dinge gar nicht vor, wie ich sie in der freien Wildbahn leider oft sehe. 

 

Dass Evgenij und ich uns hier mit unterschiedlichen Meinungen und Interpretationen beharken, gehört zur Folklore.

 

Gruß, Nils

 

[testperson 1.677]

Hi,

 

evtl. missinterpretiere ich hier etwas. Allerdings scheinst du mir ein wenig blauäugig an die gesamte Sache heranzugehen.

 

vor 2 Stunden schrieb axl:

aber hier ist alles was man braucht, 1Gbit Internet, 2x HyperV die redundant laufen würden...

Je nachdem wie du das meinst, ist das in meinen Augen nicht ohne und bringt schon eine gewisse Komplexität mit. Wenn es hier schon bei der Konfiguration der Netzwerkkarte(n) / vSwitche hapert, nunja.. 

 

Wer ist denn für die Linux Webserver oder sonstigen Webanwendungen zuständig und wie steht der zu den Ideen?

Wirkliche Gründe, die den Betrieb im eigenen Rechenzentrum / Serverraum erzwingen, scheinen mir nicht vorzuliegen.

 

Ggfs. wäre es auch hilfreich, einen entsprechenden Dienstleister hinzuzuziehen, der mit Beratung zur Seite steht und ggfs. auch bei der Implementierung sowie Betrieb unterstützen kann.

 

Gruß

Jan

bearbeitet 21. Juli 2022 von testperson

[djmaker 95]

.... und jetzt auch noch meinen Senf dazu.

 

Ich bin bei Nils: Web-Anwendungen sollte man physisch separieren (ggf auf einem separaten Virtualisierungs-Host). Ich würde da aber auf jeden Fall mit VLANs und einem Rverse-Proxy arbeiten.

 

Schlussendlich ist Sicherheit immer ein zuerst Konzept, und dann erst eine technische Lösung. Wenn es nur einen Webserver betrifft -> zu einen Hoster auslagern.