Jump to content

Ein Hyper-V Host, interne VMs und eine isolierte, DMZ VM


Recommended Posts

Hallo Zusammen,

ich habe leider nur einen Hyper-V Host, auf dem aktuell 5 VMs laufen (mit Windows Server), welche nur übers interne Netz erreichbar sind.

Nun möchte ich noch eine weitere VM bereitstellen, ein Linux Server. Dieser soll aus dem Internet per Portfording erreichbar sein.

 

Wie kann ich das möglichst sicher gestalten?

Gibt es überhaupt eine sinnvolle Lösung?

Ich denke mal, wenn überhaupt, dann über einen zusätzlichen "Virtuellen Switch" und ein separates VLan, oder?

 

Danke und Gruß

spooner

 

 

Link to post

Moin,

das wird davon abhängen, wie Deine DMZ gestrickt ist. Meistens sind das separate Switche und separate Beine auf den Routern. In diesem Fall einfach eine zusätzliche Netzwerkkarte im Host und einen zusätzlichen vSwitch. Und das wäre absolut eine "sinnvolle Lösung" :-) 

  • Thanks 1
Link to post

ja, ich hab mir das auch schon überlegt, sprich eher einen zweiten separaten, zusätzlichen Hpyer-V Host anzuschaffen.

Weil das Problem ist ja trotzdem, das wenn die VM gehackt/infiziert wird, dass es dann auf den Host übergehen kann.

Klar, für restliche Netzwerk hilft auf jeden Fall die zusätzliche NIC.

mmh, ist schwierig, wenn man nur eingeschränkte mittel zur Verfügung hat.

Link to post
vor 16 Minuten schrieb spooner:

Weil das Problem ist ja trotzdem, das wenn die VM gehackt/infiziert wird, dass es dann auf den Host übergehen kann.

"VM escape" ist eine extrem rare Geschichte und meist nur unter Laborbedingungen reproduzierbar. Nimmt man diesen Angriffsvektor aber als konkrete Gefährdung an, folgt daraus, dass auch der Host, auf dem die DMZ läuft, mit seinem Management-Interface nicht im LAN stehen darf (und somit auch nicht Mitglied des produktiven AD ist). Der nächste logische Schritt ist dann, dass auch für die Verwaltung dieses Hosts eine Admin-Workstation verwendet werden muss, die im DMZ-Management-Netz steht und nicht im LAN.

 

Jetzt muss man sich aber die viel profanere Frage stellen: Wenn Du eine Edge-VM on-prem hostest, muss sie vermutlich mit irgendwelchen Systemen im LAN kommunizieren und sich gegenüber diesen direkt authentifizieren, Sonst könnte man sie ja für schmales Geld in irgendein Shared Hosting stecken. Ist das nicht eine viel konkretere Gefährdung als die theoretische Möglichkeit, dass jemand die VM nicht nur übernimmt, sondern auch daraus ausbricht?

  • Like 2
Link to post

Auf der Linux VM soll später eine nextcloud eingerichtet und somit gibt es ja ein direktes Port forwarding auf die VM.

Wenn diese nur über VPN oder intern erreichbar wäre, dann hätte ich mir keine Gedanken gemacht.

Bin leider Linux und nextcloud Neuling, weiß aktuell auch noch nicht in wie weit die Systeme überhaupt angreifbar sind.

Link to post

Der Kunde möchte eine Inhouse Lösung und zusätzlich gibt es noch das Problem, dass bei seinen Kunden Dropbox, OneDrive, GoogleDrive gesperrt ist.

Er muss aber größere Dateien austauschen und deshalb die privateCloud mit nextcloud.

Link to post

Moin,

 

man kann das technisch so machen, aber bei Portforwarding ist dann deine Linux-VM für die Sicherheit allein zuständig. Das kann schon mal heikel werden. Und aus der Perspektive ist das Szenario "jemand übernimmt die VM so, dass er auf den Host übergreifen kann" für mich dann nicht mehr exotisch genug, um das einfach mal so einzurichten. (Andere Angriffe, die noch simpler sind, natürlich schon gar nicht.)

 

Gruß, Nils

PS. ja, das Ansinnen "ich muss Dateien austauschen" ist eigentlich gängig, aber Angriffe auf halbgare Lösungen eben auch ...

Edited by NilsK
  • Like 1
Link to post

Die nextcloud soll nicht nur als privatCloud genutzt werden, sondern eventuell noch weitere Dienste / Apps (Kalender, Kanban Board, usw.).

Um die Sache halt an sich schon sicherer zu machen kommt Linux als Betriebssystem zum Einsatz.

Dieses Konstrukt ist jetzt an sich kein Hexenwerk und unzählige Male im Einsatz.

Und natürlich auch immer ein Port Forwarding.

Kann natürlich auch sein, dass ich mir jetzt umsonst Gedanken mache, weil es vielleicht keine so große Angriffmöglichkeit ist.

 

Aktuell tendiere ich zu dem eigenen Hyper-V im eigenen VLan / DMZ, aber dafür muss halt leider wieder zusätzliche Hardware angeschafft werden.

Link to post
  • 2 weeks later...

Ein RaspberryPI bietet sich für so etwas an. Wenn man möchte, kann man auch SSDs über einen USB-Hub anschließen und auch ein RAID daraus bilden. Ein Zertifikat binden und schon auch die Browser still.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...