Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virtual Appliance Fragen - Welches Betriebssytem Linux oder Windows? Sicherheit usw.

Hallo Zusammen,
würde gerne die Virtual Appliance V7 von Astaro installieren, hätte jedoch noch ein paar Fragen:
- Welches Hostsystem ist zu empfehlen auf dem dann VMWare läuft? Windows oder Linux? Hätte am Liebsten Windows :-)
- Wie sieht es mit der Sicherheits des Hostsystem aus? Das ist theoretisch eine Sicherheitslücke, oder? 
- Würde gerne aus der Kiste eine Sicherheitskiste machen, sprich Viren- und Firewall-Lösung als VM auf die Kiste.

Gruß spooner


This thread was automatically locked due to age.
Parents
  • Du musst dir im klaren sein, daß ein WAN Interface von ASG vorher durch den VM Host durchgenudelt wird.
    Jeder Bug im TCP Stack des Hosts kann bis zur dir durchgereicht werden,
    oder (noch schlimmer), dein Gast (Firewall) merkt nix davon , daß der Host oben drüber kompromitriert wurde.

    Ansonsten ist Vmware esxi sehr nett und performant (läuft aber nicht aber auf jeder gurke)

    Gregor Kemter
  • Du musst dir im klaren sein, daß ein WAN Interface von ASG vorher durch den VM Host durchgenudelt wird.
    Jeder Bug im TCP Stack des Hosts kann bis zur dir durchgereicht werden,


    Also meine derzeitige Konfiguration sieht so aus:

    -ASG als VM unter VMWare Server 2.0 unter Windows Server 2003
    -Host mit 3 NICs
    -NIC1: Für internes LAN
    -NIC2: Anschluss an DSL-Modem, diese NIC ist direkt an die VM angeschlossen
    -NIC3: nicht benutzt

    Auf NIC2 ist im Host nicht ein einziges Protokoll gebunden, wird also exklusiv durch die VM genutzt. 

    So könnte oben beschriebens Szenario eigentlich ausgeschlossen werden, oder?

    Gruß
    Bastian
  • Hallo Zusammen,
    danke für euere Antworten. 
    Hatte das auch so geplant, wie Monarch, mit mehreren Nics, bzw. zwei:
    Nic 1 = DSL-Modem
    Nic 2 = internes LAN

    Hab mir aber jetzt aus Sicherheitsgründen überlegt, dass ich als Hostsystem Debian oder Fedora mit VMWare Server einsetze und dann eine VM1 = ASG V7 Virtual Appliance und eine VM2 = Symantec Endpoint Protection Manager/Server.

    Denke, das müsste ganz laufen. Klar sehe ich das auch als Nachteil gekemter geschrieben hat, aber im Host sage ich das er als Gateway über die VM ASG gehen soll und ist die Sache doch eigentlich ziemlich sicher oder?

    Gruß spooner

  • .....
    So könnte oben beschriebens Szenario eigentlich ausgeschlossen werden, oder?

    Gruß
    Bastian


    Was der Windows Server mit einer Netzwerkkarte ohne gebundene Protokolle genau macht, kann ich dir nicht sagen.
    So eine NetzwerkKarte horcht trotzdem "im Kabel" auf Ihrer MacAdresse, zb. für WakeOnLan oder ähnliche Gimmicks.
    Will dich nicht verunsichern, das sind nur Argumente warum ICH , eine Firewall immer als separate Box einsetze.

    Gregor Kemter
Reply

  • .....
    So könnte oben beschriebens Szenario eigentlich ausgeschlossen werden, oder?

    Gruß
    Bastian


    Was der Windows Server mit einer Netzwerkkarte ohne gebundene Protokolle genau macht, kann ich dir nicht sagen.
    So eine NetzwerkKarte horcht trotzdem "im Kabel" auf Ihrer MacAdresse, zb. für WakeOnLan oder ähnliche Gimmicks.
    Will dich nicht verunsichern, das sind nur Argumente warum ICH , eine Firewall immer als separate Box einsetze.

    Gregor Kemter
Children
  • Ich verstehe schon den Grund deiner Bedenken - würde ich auch niemals so in einer Produktivumgebung installieren (glaub dann wär ich meinen Job als Securitybeauftrager gleich los [:$]).

    Aber für den Hausgebrauch ists mir gut genug [;)]

    @spooner
    Nur um sicher zu gehen - du schreibst ja leider nicht, wo du das ganze installieren willst - für den Einsatz in einer Firma rate ich aus den selben grundsätzlichen Gründen wie Gregor von diesem Aufbau ab.
  • es ist erst mal für zu Hause bzw. auch zum testen.
    Wenn es super laufen würde dann hatte ich überlegt das vielleicht auch mal Kunden an zu bieten, aber wenn ich das so alles lese, dann ist ja eher davon abzuraten.
    Aber warum bietet Astaro das dann überhaupt an?
  • Die Virtual Appliance macht meiner Meinung nach schon Sinn:

    a) um den Kunden die größte Flexibilität zu bieten, es ist ja auch möglich, das Produkt als interne Firewall einzusetzen, oder als Mail/Webgateway etc. und nicht als Edge-Firewall, wo die maximale Sicherheit auf Paketebene gefordert ist
    b) für Installationen in VMware ESX-Umgebungen
    c) letztlich auch, um interne oder externe Tests (Beta-Versionen o.ä.) zu vereinfachen

    mfg
    Monarch