[GTER] Firewalls virtuais [ERA] Metrica para Throughput

Renato Frederick renato at frederick.eti.br
Mon Dec 30 16:34:34 -02 2013 

Em 30/12/13 13:39, Shine escreveu:
> Boas questões Renato!
> Acho que aqui já fica interessante a participação do GTS, porque entramos
> em um ponto de convergência entre rede e segurança.
> Vou deixar alguns comentários inline.
Opa! Realmente, pessoal da GTS pode falar com mais propriedade.

> Em 29 de dezembro de 2013 01:57, Renato Frederick
> <renato at frederick.eti.br>escreveu:
>
>> Já tive casos em que o cliente tem uma caixa física lá no datacenter, toda
>> blindada, separando fisicamente os segmentos de rede do cliente, você pode
>> ir até seguindo o cabo e ver de onde e para onde vai e que ele insiste em
>> usar este appliance físico, sem chances de virtualizar, porque ele confia
>> sua segurança neste ponto.
>>
> Acho que o ponto de usar o firewall físico faz sentido para proteger um
> host de um ataque direto originado da rede externa. Mas vamos aplicar o
> princípio que as máquinas estão virtualizadas e no final das contas um host
> pode ser comprometido e assim o acesso ao hypervisor é potencialmente
> possível... aí o firewall externo não vai ajudar muito, concorda?
Sim, mas já vi gente argumentando contra a virtualização do firewall no 
seguinte aspecto:

Se eu tenho uma camada a mais atrás do meu O.S, fulano de tal, 
implementador do firewall "lava as mãos" pois não pode garantir a 
integridade dali para trás. e Aí começa todo o drama com a gerência e 
tal....
>
>
>> Mas, já tive casos também de clientes que compraram hosting e todo o
>> processo era "nas nuvens", então o firewall tinha um switch virtual,
>> integrado ao vmware, daí passava a VLAN XYZ, etc....
>>
> Ah sim, vShield. Aqui falamos de proteger o vSwitch, separando os processos
> do hypervisor. Acho que é proprietário.
Sim, é proprietário e até onde eu pesquisei não achei furos, mas como 
não sou expert em segurança...
>
>> Se analisarmos tecnicamente, o firewall físico ou virtual está fazendo a
>> mesma coisa. O que precisamos pensar é que tem uma tecnologia que me dá um
>> switch virtual. Se esta tecnologia não possui furos, OK. Porque a partir do
>> momento em que o cliente que tinha a caixa física se dispôs a virtualizar,
>> as premissas de que o tráfego da DMZ não vai ser visto pela LAN, que a VLAN
>> ABC não enxergará a DEF, que todo aquele isolamento que fazemos lá no core
>> da rede, está garantido, OK!
>>
> Acho que não está bem definido. Existem soluções que usam VLAN mas existem
> também soluções que usam túneis entre os vSW como por exemplo GRE.
>
>
>> Agora vamos imaginar que eu virtualizei tudo, que eu tenho em meu
>> datacenter diversos clientes, todos "nas nuvens" e que por erro de
>> programação, meu virtual switch  pode ser atacado, desta maneira, um hacker
>> conseguiria obter informações de outras redes. Neste cenário, realmente o
>> ambiente físico seria melhor.....
>>
> Eu entendo o seu ponto de vista, é bem mais difícil fazer um tapping do
> tráfego de uma rede física do que um virtual. No entanto, o acesso para a
> rede virtual só pode ser feito passando por VMs ou por gateways que passam
> na rede, ou seja o acesso ao vSW é parcial mesmo que o atacante acesse a
> rede por diversos VMs. Acho que o seu pensamento estava em comprometer o
> próprio vSwitch, mas isso na prática é como tentar comprometer um firewall
> ou outro dispositivo da rede.

Exato, em termos de "ataque", acho que quando você tem uma estrutura 
só(e o atacante sabe disto), deve ser mais fácil comprometer, do que ter 
diversas estruturas de diversos fabricantes. Mas, de forma alguma quero 
falar que uma rede virtualizada é menos segura. Até porque não tenho 
nenhum embasamento para afirmar o que é melhor ou não!
>
>> Enfim, a partir do momento em que você coloca toda uma pilha de software
>> emulando o meio real, tem que ter alguma garantia de que cada ambiente só
>> enxergue o necessário e que os processos fiquem confinados neste ambiente!
>>
>   Mas isso é a premissa de segurança em qualquer ambiente de TI, não é?

Com certeza, isolamento é a premissa! :)
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list