Liest zuf\u00e4llig jemand die ComputerZeitung? Mir ist beim Aufr\u00e4umen meines Schreibtisches zuf\u00e4llig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19.<\/p>\n
Das Herzzentrum Lahr<\/a> hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer \u00e4hnlichen Idee und Check Point SecurePlatform hab ich auch schon erfolgreich auf VMware installiert. Ich \u00fcberlege jetzt schon seit einiger Zeit ob virtuelle Firewalls wirklich eine sichere L\u00f6sung darstellen k\u00f6nnen.<\/p>\n Meine Datenbasis:<\/p>\n 1. Die Secunia-Statistik zum VMware ESX Server 3.0<\/p>\n Vielleicht bin ja nur ich paranoid, aber f\u00fcr meinen pers\u00f6nlichen Geschmack sind das ein paar CVEs zuviel f\u00fcr ein Device, das direkt im Internet steht (nein, man kann die Firewall nicht<\/em> in die DMZ stellen!). Auch wenn viele der Probleme nicht remote ausnutzbar sein werden habe ich insgesamt kein so gutes Gef\u00fchl dabei. Und hat jemand am 05.04. den CVE-Eintrag von 2003 gesehen? Da hat sich hemand viel Zeit beim Beheben des Fehlers gelassen. Aber weiter im Text.<\/p>\n 2. VMware ESX kann ja auch nicht grad alles, was man von einer Firewall ben\u00f6tigt (ich kenne Firmen die mit 64 Interfaces nicht auskommen):<\/p>\n Anders ausgedr\u00fcckt, diverse fr\u00fcher physikalisch getrennte Sicherheitszonen sind jetzt in VLANs auf den Switchen zusammengefa\u00dft und man hofft, die Switch-Konfiguration im Griff zu haben. Ok, laut beiligender Zeichnung war man klug genug, f\u00fcr „Outside“ ein dediziertes Netzwerkinterface mit dem virtuellen Firewall-System zu verbinden.<\/p>\n Trotzdem … ein kleiner billiger NetScreen 5GT HA Cluster<\/em> kostet nur 3000 Euro (und damit weniger als eine einzelne Astaro-Lizenz) und ich habe eine dedizierte Hardware. F\u00fcr den Astaro-Preis kann ich auch fast schon Check Point kaufen und wenn das Ger\u00e4t unterdimensioniert ist, einfach eine andere Hardware unter die SecurePlatform schieben. Oder ist das eine saucoole L\u00f6sung und ich bin nur zu bl\u00f6d, das zu sehen? Und wenn <\/em>ich sowas schon installiere, ist es dann klug, daraus eine „Success Story“ zu machen, damit auch jeder im Internet wei\u00df, wo er potentiell angreifbare Firewalls auf VMware-Basis findet, die beim n\u00e4chsten VMware ESX Remote Exploit dem verantwortlichen IT-Leiter um die Ohren fliegen. Oder ist das saucool weil man sooo viel Geld damit spart und ich bin nur zu bl\u00f6d …<\/p>\n","protected":false},"excerpt":{"rendered":" Liest zuf\u00e4llig jemand die ComputerZeitung? Mir ist beim Aufr\u00e4umen meines Schreibtisches zuf\u00e4llig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19. Das Herzzentrum Lahr hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer \u00e4hnlichen Idee und Check Point SecurePlatform […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/522"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=522"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/522\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=522"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=522"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=522"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
„Nachteilig wirkt sich die notwendige Komplexit\u00e4tssteigerung im Switching-Bereich aus. Weil unter ESX maximal vier virtuelle Netzwerkkarten m\u00f6glich sind, musste Hussy (der IT-Leiter, Anm.) mittels VLA-Tagging und einer komplexen Switchkonfiguration samt Verkabelung nachhelfen.“<\/ul>\n
\nNachtrag:\u00c2\u00a0<\/strong><\/p>\n