Jump to content

Ein Hyper-V Host, interne VMs und eine isolierte, DMZ VM


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

ich habe leider nur einen Hyper-V Host, auf dem aktuell 5 VMs laufen (mit Windows Server), welche nur übers interne Netz erreichbar sind.

Nun möchte ich noch eine weitere VM bereitstellen, ein Linux Server. Dieser soll aus dem Internet per Portfording erreichbar sein.

 

Wie kann ich das möglichst sicher gestalten?

Gibt es überhaupt eine sinnvolle Lösung?

Ich denke mal, wenn überhaupt, dann über einen zusätzlichen "Virtuellen Switch" und ein separates VLan, oder?

 

Danke und Gruß

spooner

 

 

Link zu diesem Kommentar

ja, ich hab mir das auch schon überlegt, sprich eher einen zweiten separaten, zusätzlichen Hpyer-V Host anzuschaffen.

Weil das Problem ist ja trotzdem, das wenn die VM gehackt/infiziert wird, dass es dann auf den Host übergehen kann.

Klar, für restliche Netzwerk hilft auf jeden Fall die zusätzliche NIC.

mmh, ist schwierig, wenn man nur eingeschränkte mittel zur Verfügung hat.

Link zu diesem Kommentar
vor 16 Minuten schrieb spooner:

Weil das Problem ist ja trotzdem, das wenn die VM gehackt/infiziert wird, dass es dann auf den Host übergehen kann.

"VM escape" ist eine extrem rare Geschichte und meist nur unter Laborbedingungen reproduzierbar. Nimmt man diesen Angriffsvektor aber als konkrete Gefährdung an, folgt daraus, dass auch der Host, auf dem die DMZ läuft, mit seinem Management-Interface nicht im LAN stehen darf (und somit auch nicht Mitglied des produktiven AD ist). Der nächste logische Schritt ist dann, dass auch für die Verwaltung dieses Hosts eine Admin-Workstation verwendet werden muss, die im DMZ-Management-Netz steht und nicht im LAN.

 

Jetzt muss man sich aber die viel profanere Frage stellen: Wenn Du eine Edge-VM on-prem hostest, muss sie vermutlich mit irgendwelchen Systemen im LAN kommunizieren und sich gegenüber diesen direkt authentifizieren, Sonst könnte man sie ja für schmales Geld in irgendein Shared Hosting stecken. Ist das nicht eine viel konkretere Gefährdung als die theoretische Möglichkeit, dass jemand die VM nicht nur übernimmt, sondern auch daraus ausbricht?

Link zu diesem Kommentar

Moin,

 

man kann das technisch so machen, aber bei Portforwarding ist dann deine Linux-VM für die Sicherheit allein zuständig. Das kann schon mal heikel werden. Und aus der Perspektive ist das Szenario "jemand übernimmt die VM so, dass er auf den Host übergreifen kann" für mich dann nicht mehr exotisch genug, um das einfach mal so einzurichten. (Andere Angriffe, die noch simpler sind, natürlich schon gar nicht.)

 

Gruß, Nils

PS. ja, das Ansinnen "ich muss Dateien austauschen" ist eigentlich gängig, aber Angriffe auf halbgare Lösungen eben auch ...

bearbeitet von NilsK
Link zu diesem Kommentar

Die nextcloud soll nicht nur als privatCloud genutzt werden, sondern eventuell noch weitere Dienste / Apps (Kalender, Kanban Board, usw.).

Um die Sache halt an sich schon sicherer zu machen kommt Linux als Betriebssystem zum Einsatz.

Dieses Konstrukt ist jetzt an sich kein Hexenwerk und unzählige Male im Einsatz.

Und natürlich auch immer ein Port Forwarding.

Kann natürlich auch sein, dass ich mir jetzt umsonst Gedanken mache, weil es vielleicht keine so große Angriffmöglichkeit ist.

 

Aktuell tendiere ich zu dem eigenen Hyper-V im eigenen VLan / DMZ, aber dafür muss halt leider wieder zusätzliche Hardware angeschafft werden.

Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...