¿En qué medida la virtualización de un firewall perimetral reduce la seguridad de la red?

3

Estoy buscando configurar un firewall de hardware para mi red doméstica. Sin embargo, no soy más que un estudiante pobre y pobre, así que busco virtualizar para reducir los costos de hardware.

Ahora, para un diagrama que explique lo que tengo en mi cabeza (y también porque me gustan los diagramas):

  +----------+
  | Internet |
  +----------+
       ‖
       ‖      Server running
       ‖        Hypervisor
+------O-------------------+      = and ‖ both represent network connections
|      ‖ WAN        DMZ    |
| +---------+   +--------+ |      The "O" symbol indicates a physical NIC
| | pfSense |===| Debian | |
| +---------+   +--------+ |      pfSense and Debian are both VMs
|      ‖ LAN               |
+------O-------------------+      The Debian VM will run an Apache server
       ‖
       ‖                          The Hypervisor ONLY exposes its management
    +-----+                       interface on the LAN NIC
    | LAN |
    +-----+

Ahora es claro que tener dos máquinas físicamente separadas es preferible a lo anterior desde un punto de vista de seguridad, ya que se reduce la superficie de ataque WAN. Mi pregunta es ¿cuánto se reduce la superficie de ataque?

No tengo afinidad con ningún hipervisor en particular, sin embargo, dada mi prueba, hasta ahora el VMware vSphere Hypervisor gratuito está buscando ser el mejor.

    
pregunta o.comp 08.01.2017 - 01:07
fuente

2 respuestas

2

Cuando se hace correctamente, es posible virtualizar un cortafuegos de manera segura y no debería ser menos seguro que el hardware separado tradicional. Hoy en día, el término que ha estado zumbando en los círculos de redes definidas por software (SDN) es virtualización de la función de red, también conocida como función de red virtualizada.

La función de red aquí se refiere a funcionalidades de red como detección y prevención de intrusiones, firewall, enrutamiento, etc.

La virtualización es el uso de una máquina poderosa que ejecuta múltiples máquinas virtuales que ejecutan aplicaciones de red virtualizadas, reemplazando múltiples aplicaciones de red de hardware físico.

Como se mencionó brevemente en otra respuesta, la principal limitación del firewall virtualizado es esencialmente el rendimiento, pero si estamos hablando de redes domésticas, esto no debería ser un problema.

    
respondido por el Lie Ryan 09.01.2017 - 03:20
fuente
2

El principal problema con la ejecución que en una VM es el rendimiento. Su enrutador / cortafuegos debe poder procesar paquetes y enrutarlos muy rápidamente y a un alto volumen. Esto no siempre es fácil de lograr con una máquina virtual.

Además, no estoy muy seguro de por qué lo haces de esta manera. ¿Qué le pasó a tu enrutador? Probablemente sea perfectamente capaz de hacer lo que quieras. Ciertamente, no elegiría conectar una máquina directamente a Internet si pudiera evitarlo. Un problema que tendrá es que la computadora host estará expuesta, por lo que cualquier vulnerabilidad también podría exponer a los invitados. Para no decir nada del colapso total de vez en cuando bajo la carga (dependiendo de los recursos del host) y tener que reiniciarse regularmente para instalar los parches del sistema operativo del host.

Si sus necesidades son bastante limitadas, también podría considerar una sola computadora de la placa con un segundo puerto de red agregado que actuaría como enrutador / firewall.

    
respondido por el Julian Knight 08.01.2017 - 21:31
fuente

Lea otras preguntas en las etiquetas