VirtualBox a zabezpeceni site

[David Pasek]

Tato problematika je zajimava a opravdu je to spise sitarina, nicmene diky
virtualizaci hodne provazana s operacnima systemama/hypervisorama.

2012/11/18 Miroslav Lachman <000.fbsd at quip.cz>

> Dan Lukes wrote:
>
>> A jak resis (nebo nejdo jiny resi) podobny problem v te lokalni siti do
>> ktere mas VirtualBox pripojeny ? Rekneme, kdybys ty mel v umyslu zacit
>> pouzivat cizi MAC a IP adresu ve stejne siti ...
>>
>
> Mam od poskytovatele pul C rozsahu a v nem jsou vsechny servery pod moji
> spravou (pripadne jaily spravuje nekdo jiny, ale tam si nemuze zmenit IP),
> takze na te urovni meho rozsahu to neresim a poskytovatel to patrne resi
> nejakym nastavenim na Cisco routeru.
>
> Takze u sebe bych to mozna dokazal taky nastavit nejakym ACL na switchi
> "per port", jestli to vubec umoznuje.
>
>
Dan te chtel nasmerovat presne timto smerem. Problematika je totiz obecna a
je jen otazkou jakym zpusobem to resit, jake mas nastroje a ceho chces
docilit. Je to take o duvere a zodpovednostech.


> Jenze tohle vsechno jsou reseni, ktera na ten pripad s VirtualBoxem (nebo
> jinym hypervisorem) nenaroubuju, tam to potrebuju vyresit uvnitr toho
> jednoho hostitelskeho serveru.
>
>
S timto tvrzenim nemuzu souhlasit, ale je pravdou, ze ne kazda
virtualizacni a sitova platfroma umoznuje stejne moznosti, takze je potreba
si rict jake mam moznosti prave v tom mem prostredi.

Na toto tema jsem napsal prispevek na mem blogu (
http://davidpasek.blogspot.cz/2012/10/how-to-defend-against-arp.html ),
nicmene i kdyz se jedna o obecne tema, tak to tam konkretne rozebiram z
pohledu jine virtualizacni platformy.

Zpatky k tematu ... pokusim se naznacit ruzne moznosti. Konkretni aplikaci
pro virtualbox ve FreeBSD a tvoje sitove prostredi si budes muset najit sam.

L2 ethernet segment je "by design" nedostatecne zabezpecen a spoleha se na
duveru vsech zarizeni pripojenych do L2 site. V pripade, ze to nelze
organizacne nebo smluvne zajistit, tak je potreba se proti tomu branit.

Moznost 1 - celkem univerzalni detekce:
=============================
Detekovat konflikt IP address = vice IP adres na jednu MAC adresu =>
nastroj arpwatch v portech. Toto detekuje nejen omylem nebo umyslne spatne
nastavenou IP adresu, ale i potencialni utok typu ARP spoofing. Tuto
moznost detekce lze rozsirit i o aktivni prevenci, ktera je vsak velmi
zavisla na konkretnim prostredi.

Moznost 2 - zavisla na moznostech switche:
================================
Na CISCO svitchich tzv. port-security, kde se nastavuje mapovani MAC-IP.
Casto se to nastavuje proti DHCP serveru, ktery funguje jako zdroj pravdy o
mapovani mezi MAC a IP. Jde to nastavit i staticky. Jedna-li se o
softwarovy switch (bridge) v hypervisoru nebo v tomto pripade ve FreeBSD,
tak by se to pravdepodobne dalo naimplementovat pomoci ACL pravidel napr.
L2 rulema v IPFW.

Moznost 3 - zavisla na moznostech site a softwarovem switchi:
=============================================
Na routeru nastavit staticke ARP zaznamy (MAC-IP) a pouzit privatni VLANy.
Bojim se, ze funkcionalita PVLAN neni ve FreeBSD podporovana.

Moznost 4 - zavisla na moznost site a IP adresaci:
=====================================
Pouzit VLANy pro kazdy neduveryhodny subjekt/zonu. Kazda VLANa pak ma svoji
vlastni IP podsit a routuje se to na routeru. Ve virtualnich prostredich je
trend pouzivat i virtualni routery prave pro totalni izolaci jednotlivych
vzajemne neduveryhodnych subjektu.

Doufam, ze jsem popsal vsechny teoreticky mozna reseni.

David.
-- 
David Pasek
david.pasek at gmail.com, +420 602 525 736