» Kerio Control (ex Kerio WinRoute Firewall)

stinger996669


Возможно где-то действительно не правильно понял...

Но это


Цитата:

Если зломушленнику каким либо образом удастся взломать машину с Hyper-V с файрволом, он автоматически получает доступ к другим виртуальным машинам.

не правда. Сервер с ролью Hyper-V может вообще не иметь сетевых адаптеров (назначенных для ОС - все адаптеры только для виртуалок)


Цитата:

Если сервер виртуализации находится за выделенным файрволом, то у сисадмина хотя-бы остается время для контрмер.

Ровно столько же времени, сколько и после взлома виртуализированного файервола.

progmike


Цитата:

Сервер с ролью Hyper-V может вообще не иметь сетевых адаптеров (назначенных для ОС - все адаптеры только для виртуалок)

Совершенно согласен, но в данном примере у нас не этот случай, ветка же все-таки для Керио и тут у нас как минимум один выделенный сетевой адаптер который выходит в Интернет.

Конкретизирую пример, фактически у нас тут получается так:

Машина с Хайпер-Ви:
На ней виртуалки:
1. Керио (тут уже требуется внешняя линия для интернета)
2. Можно на вторую поставить Веб-Сервер
3. Почтовый сервер
4. RODC (я сюда первичный домен бы не поставил)

Честно говоря для меня составить эту схему сложно, потому что я себе такую схему даже не представляю, я сторонник выделенного файрвола. Или приведу более извратный пример, который я реально видел.

У человека, моего коллеги, в одной Кредитной Организации (!) в Косово на приличном сервере был Хайпер-Ви с такой конфигурацией.

1. Форефронт ТМГ
2. SQL 2005 со всеми кредитными данными клиентов (!!!)
3. Домен Контроллер
4. Файл сервер
х. на всех машинах были и другие сервисы

Представляете, что может произойти если на такую машину пойдет самая DDoS атака. Про более серьезные атаки молчу. Для первого примера, риску подвергается почтовый сервер организации, лично для моей организации это сверхкритично. Второе полетит веб сервер и если компания предоставлят веб услуги да и еще под контролем гос. регулятора - то это вообще хана котенку.

Помимо всего, для Виндовсов есть куча эксплойтов, злоумышленник может получть доступ к такой машине в обход файрвола. Если злоумышленнику теоретически удастся взломать такую машину, он сразу получает доступ к критичной информации например к личным данным клиентов.

В случае с выделенным Appliance-ом он взламывает систему Керио, но это еще не значит что он сразу и с наскока получит доступ домену или другим службам, имеющим свою собственную систему авторизации. Есть одно НО - я учитываю, что Керио не введен в домен и через него злоумышленник не получит доступа к каталогу юзеров.



Цитата:

Ровно столько же времени, сколько и после взлома виртуализированного файервола.

Насколько я знаю все известные эксплойты для Керио Appliance приводили к отказу работы системы. Если я не ошибаюсь то это приведет отказу выхода условной компании во внешнюю сеть, это уже серьезный сигнал для сетевого администратора, чтоб принять контрмеры.

В конце концов есть куча Best Practice примеров от серьезных компаний и ни в одним я еще не видел чтоб Файрвол работал на виртуальной машине с другими критичными "сервисами" (читай машинами) на одном сервере виртуализации. Любой уважающий себе ИТ аудит отметит такую конфигурацию как опасную для бизнесс процессов.

stinger996669

Я так не думаю и не согласен почти по всем пунктам.

1. Сервер MS Windows с ролью Hyper-V (хост) настраивает все сетевые адаптеры в трёх вариантах:
- внешняя - доступ виртуальных машин к физическому устройству (сетевой плате)
- внутренняя - сеть между всеми виртуальными машинами и хостом
- часная - сеть только между виртуальными машинами.

При этом, "внешние" сетевые адаптеры могут быть подключены к хосту (реальной машине), либо нет.

Вопрос: если Kerio Control в Hyper-V имеет две сетевые, среди которых:

а) внешняя, подключенная к сетевому адаптеру "Интернет", и НЕ подключенная к хосту;
б) внешняя, подключенная к сетевому адаптеру "Локальная", она же подключена ко все остальным виртуалкам, и НЕ подключена к хосту,

чем такое построение отличается от выделенного сервера под файервол, если учесть, что при отдельномй машине с Kerio Control, машинка с Hyper-V и критичными серверами находится в одной подсети (в моем примере хост с Hyper-V вообще изолирован) ?

2. Произведённая DDoS атака на файер (если, конечно, он не умеет от неё защищаться) приведет к пожиранию ресурсов и отказу в обслуживании (в нашем случае - отказ к доступу в интернет).

Если виртуальной машине с Kerio Control жёстко назначен лимит ресурсов (например, не более 50% времени процессора + относительно низкий приоритет) - DDoS может привести к отказу доступа в интернет (как и на реальной машине), но не сможет положить остальные виртуальные машины.

Кроме того не стоит забывать про встроенный IDS, который должен справиться с DDoS

3. Если будет использован эксплойт, и злоумышленник получит доступ к консоли Kerio Control (допустим), он в равной степени сможет произвести атаку как по внешней сети на виртуальные сервера, так и по физической сети (в случае выделенного сервера) - на все рядом стоящие сервера (включая Hyper-V).

Выходит, что в случае (3) сервер с Hyper-V вообще не пострадает при использовании Kerio Control в виде виртуальной машины. Это даст возможность, например, использовать резервные копии виртуалок для восстановления (и, кстати, очень быстрого) всех виртуальных машин.
Если же Kerio Control находится на выделенном сервере, он (в случае взлома) подвергает опасности сам хост Hyper-V. И в случае тотального взлома, и хост, и критичные сервисы, оказываются не рабочими.

4. На счёт вводить Kerio Control в состав домена или нет - тож мимо. На машине с контролом (в не зависимости от аппаратной части) не хранится пароль доступа к сервисам каталогов. Только хеш. Максимум, что сможет получить злоумышленник - списки доменных пользователей и компов. Воспользоваться списками будет крайне сложно, если учётная запись, с которой введён Kerio в домен является ограниченной "только для чтения" (например), поскольку и сервера в домене, и рабочие станции имеют собственные средства проверки подлинности и последние заплатки уязвимостей (в идеале, конечно же).


___________

чувствую, мы увлеклись не по профилю темы. Предлаю перейти личку или тему про Hyper-V.

progmike

Во всяком случае свою идею я довел.

На эту тему можно спорить очень долго и не менее нудно. Я могу привести достаточно контрдоводов по всем 4 пунктам, НО ... это уже будет демагогия и притом с моей стороны.

по всем 4 пунктам не могу сказать что Вы неправы. Но как Вы правильно заметили в самом конце - "в идеале конечно же" все это применимо ко всем Вашим контрдоводам. Так написано во всех характеристиках продуктов и это конечно же имеет место быть.
Неизвестные атаки и уязвимости никто не отменял. Заплатки и обновления на шаг позади. Бывают ситуации от которых никто не застрахован. А в нашем деле лучше перестраховаться, чем посыпать голову пеплом после.

Я отталкиваюсь от двух принципов.

Первый принцип: Файрвол должен быть обособлен от остальных машин в сети. Это показывают Best Practices как от самого Microsoft так и от Cisco, да и сами Кериоты советуют также.

Второй принцип:У Винды как системы все же больше уязвимостей чем у Линукса. Если бы это было не так, зачем тогда Кериоты отказались от Виндовс версии и проталкивают свой Эплайнс? Помимо всего они специально создали "железный" вариант Керио, это о чем то говорит.

---------

Согласен мы обсуждаем тему более обширную чем данная ветка. Согласен можем перенести наш дебат в личку.

progmike

Солидарен +100
И походу если человек уперся то его не переубедить!!!

Gera81, http-сервер тоже виртуальная машина (убунту сервер), как и керио.

Кстати, насколько опасна следующая ситуация:
адсл модем настроен бриджем, на машине хайпер-в, в виртуалке с керио поднимается ппое соединение с интернетом?
Плюс ещё один вопрос (это будет исправлено в ближайшее время, но всё же интересно), если модем при описанной выше схеме воткнут не в отдельную сетевуху, а внутрь сети локальной, насколько это ухудшение безопасности?

Всем доброго времени суток.
В свете последнего обсуждения хочу спросить. На хосте (server 2008 R2) в виртуалке (VirtualBox) работает Kerio Appliance 8.0. В настройках виртуалки выделено 2 сетевых интерфейса. Один мостом на локалку, второй тоже мостом на инет. Правильно ли?

kornvladimir

IMHO иначе и не заработает. Тут уже нужно быть внимательным при настройке Файера и IPS/IDS.

Вот Вам интересная статейка.

http://www.cnews.ru/reviews/free/virtualization/article/defence.shtml

и еще

http://www.oszone.net/9193/

Добавлено:
Было бы очень хорошо если модератор мог бы выделить мою с progmike переписку в отдельный тред, интересная тема получится. ИМХО конечно.

icydrago

Цитата:

адсл модем настроен бриджем, на машине хайпер-в, в виртуалке с керио поднимается ппое соединение с интернетом?
Плюс ещё один вопрос (это будет исправлено в ближайшее время, но всё же интересно), если модем при описанной выше схеме воткнут не в отдельную сетевуху, а внутрь сети локальной, насколько это ухудшение безопасности?

ИМХО вполне безопасная ситуация. Пакеты интернет-трафика инкапсулируются в PPPoE внутри файервола и спокойно летят на модем - к провайдеру.
Если в локальной сети никто не знает пароля подключения PPPoE - проблем быть не должно.

Кроме, конечно, падения скорости.

kornvladimir

Цитата:

На хосте (server 2008 R2) в виртуалке (VirtualBox) работает Kerio Appliance 8.0. В настройках виртуалки выделено 2 сетевых интерфейса. Один мостом на локалку, второй тоже мостом на инет.

Если хост не имеет доступа к сетевому интерфейсу интернета - всё правильно.

stinger996669
Спасибо, почитаю.

stinger996669

и все заитересованные в вопросе безопасности Appliance решений в среде виртуализации, прошу в тему:

http://forum.ru-board.com/topic.cgi?forum=8&topic=49152#1

Цитата:

Если хост не имеет доступа к сетевому интерфейсу интернета - всё правильно.

Да, не имеет.

кто тестил 8 версию контрола, не подскажете там НАТ стал грузить более чем 1 ядро?

icydrago
А откуда вы пытаетесь зайти на http сервер? Доменное имя или локальный ip? Такое дело что с локальной сети вам надо писать локальный ip адрес данного http сервера а вот снаружи (интернет) должно мапится нормально (если вы конечно правила правильно прописали). Ну и если вы используете днс керио или другой какой локальный днс сервер можно поиграть с настройкой чтобы резолвило доменное имя в ваш локальный ip http сервера для удобства.

Gera81, днс - проброс от керио, в локалке захожу по ip 192.168.100.5 и по имени http://web-server/ - всё гут. с интернета и по имени blah-blah.dyndns.com:8080, и по ip 555.555.555.555:8080 заходит, а вот по 80 порту - никак. Правило проброса одно на оба порта с мапом на 80 порт. Т.е. это правило на 8080 порт работает, а на 80 - нет.

icydrago
У вас что то на внешнем интерфейсе по 80 порту сидит.
У меня правило такое как у вас нормально работает.

Gera81, все верно. правило такое. Вопрос, что сидит? Как проверить?

icydrago
Глупо конечно а может провайдер его кроет?

Gera81, клялись, что ничего не кроет.
Копаю в сторону админки. Такое ощущение, что она на 80 порту!

icydrago

Цитата:

Такое ощущение, что она на 80 порту!

А на какой системе стоит сам веб-сервер??? Может его блокирует его собственный файрвол?

stinger996669 и веб-сервер, и керио стоят в хайпер-в. Веб-сервер на убунте поднят. Собственно веб-сервер прослушивает только 80 порт.

Попробывал ещё в правиле прописать и 4080 (порт админки керио), так оно всё-равно заходит на веб-сервер извне.

Как проверить, не блочит ли провайдер 80 порт?

Для начала проверьте все таки у себя, если у Вас правило на Керио аналогичное Gera81, то запустите, на всякий случай, вот такую вот команду на своем веб сервере.

netstat -anltp | grep "LISTEN"

Может быть всетаки банально порт "прикрыт", тем более как Вы говорите порт 8080 откликается.

Если все ОК попробуйте вот такое вот правило на Керио

Источник
<АЙПИ Веб сервера>

Назначение
<Интернет Интерфейс>

Сервис
HTTP

Дейсвие
Разрешить

НАТ

Не трогаем



Правило поставьте повыше над запрещающими правилами.
По идее должно сработать.

stinger996669, я же делаю мап с 8080 (или любого другого) на 80 порт. Т.е. веб-сервер всегда по 80 порту откликается. На всякий случай проверил, открыты 80, 139, 445, 3306.
Вот мои правила включая Ваше правило.



Меня смущает то, что керио при заходе на http://192.168.1.1/ пробрасывает на https://192.168.1.1:4081/ .

icydrago
У меня тоже пробрасывает. У вас на хост машине где поднята роль хипер-в интернет интерфейс выключен? И на ней случаем нет сервисов на 80 порту? Хорошо бы еще в логи керио поглядеть на наличие ошибок с биндингом 80 порта.

Gera81, Интернет-интерфейс - pppoe подключение, которое поднимает керио. А хост машина просто включена в локалку (на неё RDP пробрасывается).
А как посмотреть эти ошибки?

icydrago

все правильно на фаере.


все же подозрительно, что все же все работает из локалки
можно и на провайдера подозревать.

icydrago
Журналы у керио есть свои в админке.

stinger996669, а как проверить на 100% блочит пров или нет? И саааамое главное, как доказать? )))


Gera81, их там много, с какого журнала?

icydrago
проверить 80 порт можно телнетом
telnet <host> <port>
например
telnet yandex.ru 80
Это касается TCP. Если порт закрыт - сразу отвалится, если открыт - будет черный экран с курсором (ну или какие-то данные, в зависимости от того что там за портом).

журналы
Error
Warning

Gera81, telnet сказал, что не удалось открыть подключение к этому узлу на порт 80, сбой подключения.

В журналах ничего особого нет.