Ein Angestellter eines Kunde, bei dem ich mehr in der Rolle des Prozessberaters arbeite, fragte mich vor kurzem, warum ich in letzter Zeit so viel Zeit in das Sicherheitsmanagement von Servern stecke.
Es stimmt: Ich beschäftige mich – im eigenen Netz, aber auch im Auftrag von Kunden – immer wieder mit KVM Hosts und Web- / Datenbank-/ Mail-Servern bzw. MS Windows-Clients in Gastinstanzen. Ein Thema, das mich seit längerem – vielleicht zu Unrecht – beunruhigt, ist die Abschottung von Gastsystemen und virtuellen Netzwerkbereichen hinter (virtuellen Bridges/Switches) gegeneinander.
Mehrere Punkte und Fragen sorgen hier bei mir immer wieder für besagte Unruhe:
- Sind iptables-Regeln für Paketfilter auf dem Host hinreichend? Sind nicht auch zusätzliche ebtables-Regeln erforderlich?
- Ist eine Paketfilter auf dem Host und damit für die virtuellen Bridges überhaupt sinnvoll? Oder sollte jeder Netzwerkbereich seine eigene virtuelle Perimeter-Firewall bekommen? Oder beides?
- Wie können virtuelle Bridges/Switches angegriffen werden? Was ist z.B. mit ARP-Sppofing/-Flooding?
- Wenn Firewall-Regeln auf dem Host und übergreifend für virtuelle Bridges/Switches: Sind Regeln zu etablierten Verbindungen der Form
- $IPTABLES -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
- $IPTABLES -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
- $IPTABLES -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT
ein potentielles Sicherheitsrisiko, da damit ein Bridge-übergreifender Kontext auf dem Host geschaffen wird?
- Welche Möglichkeiten hat eine Angreifer bei aktiviertem Routing über den Host zwischen 2 virtuellen Netzwerksegmenten?
Zu all diesen Punkten gibt es in diversen einschlägigen Foren Diskussionspunkte. Ich finde, das Spektrum der Fragen ist ein genaueres, eigenes Studium von virtuellen Bridges auf Linux-Hosts wert. Ich werden in kommenden Artikeln immer mal wieder auf diese Fragestellungen und zugehörige Scan- und ggf. Penetrations-Tests und notwendige Verteidigungsmaßnahmen zurückkommen.