在虚拟化环境中使用 pfSense 有哪些安全风险?

在虚拟化环境中使用 pfSense 有哪些安全风险?

我正在考虑使用普福斯在我的 ubuntu 服务器机箱上。我将使用 virtualbox 虚拟化 pfsense,并让其路由和防火墙所有流量,包括发往我服务器以及 LAN 其余部分的流量。

但是,我听说在专用盒子之外的任何设备上使用 pfSense 都存在安全风险。为什么会这样?这真的是个问题吗?

答案1

Theo 和其他人可以提出类似的观点,但历史表明这并不是一个重大问题。多年来,安全研究人员一直在寻找虚拟机管理程序中的漏洞,总的来说,他们至少在重大重复漏洞中毫发无损。并非完全如此,您必须根据需要修补虚拟机管理程序,而出于安全原因,您通常无需修补物理硬件,但实践证明这并没有显著差异。

这不仅仅是一个家庭网络问题。有许多关键的生产 pfSense 安装在虚拟机管理程序中运行,主要是 ESX。我们在 *.pfsense.org 托管基础设施上有 4 个 colo 数据中心,严格运行虚拟防火墙。我喜欢它,因为我们可以根据需要扩展 CPU 功率、RAM 等,而无需将昂贵的服务器专用于防火墙,并且根据历史记录,我并不担心虚拟机管理程序的安全性(但会关注新的发展)。

您确实需要小心确保虚拟机管理程序的主机操作系统无法将 IP 绑定到通向未过滤互联网连接的 NIC。这是将边缘防火墙作为虚拟机运行的重大风险,在虚拟机管理程序上搞砸网络比将物理电缆插入错误位置更容易。

答案2

但是,我听说在专用盒子之外的任何设备上使用 pfSense 都存在安全风险。为什么会这样?这真的是个问题吗?


永远值得引用西奥·德·拉特OpenBSD 项目的研究人员对这种心态的背后有着自己的答案:

如果您认为,世界各地的软件工程师都无法编写没有安全漏洞的操作系统或应用程序,然后却突然能够编写出没有安全漏洞的虚拟化层,那么您绝对是被误导了,甚至愚蠢至极。


建议不要在虚拟化平台上运行在网络中充当安全角色的服务器或设备,这归结为设计安全网络和系统的基本原则:功能分离。理想情况下,系统中的每个设备或元素都应具有一个功能角色。这减少了攻击面,并使配置和故障排除变得更加简单。在虚拟化平台上运行防火墙时,您不仅必须安全地配置防火墙,还必须安全地配置虚拟机监视器和底层主机操作系统。

在现实世界中,由于多种原因(资源有限是显而易见的原因),我们无法实现完美的功能分离,但我们可以努力实现。虽然我不认为在虚拟机上运行防火墙是最糟糕的事情,但我对此非常反感。请仔细考虑您的风险环境和可用资源,并做出明智且有据可查的决定。

答案3

多年来,我们一直在 Linux 上使用带有 KVM 的虚拟化 pfSense 实例。它的安全性较低,因为除了 pfSense 客户机之外,您还需要担心主机的安全性,因为 VM 主机的入侵至少会让攻击者关闭/杀死任何客户机 VM,最坏的情况下甚至会完全控制它们。

相关内容