Hoppa till innehåll

  • Logga in via Facebook Logga in via Twitter Logga in via Windows Live Log In with LinkedIn Log In with Google      Logga in   
  • Registrera dig nu!

VM-hoppande på ESX


Den här tråden har blivit arkiverad. Det betyder att du inte kan skriva något inlägg i tråden.
5 svar i denna tråden

#1 brillko

brillko

  • 72 inlägg

Skriven 08 December 2009 - 09:04

En kollega har vart på ett säkerhets seminarium och där påpekade de att detta var numea ett vanligt säkerhetsproblem...

Måste vara väldigt vanligt då jag inte kan finna 1 enda sak om det på varken Vmwares sida eller google ;)

Vi pratar om fullpatchade Esx-maskiner. V-switchar som bara har kort ut från maskinen och måste ut till en fysisk router med filterlistor för att vända. DMZ måste även ut genom IDP:er och brandväggar.

Det som de fick höra på seminariet var att man relativt lätt nu kunde hoppa via hypervisorn då det inte var fysiska maskiner. Och på så vis komma in i våra andra interna servers.

De ville såklart sälja nya säkerhetsprodukter.  Men är det en Ko på isen redan?

#2 Magnus_

Magnus_

  • 428 inlägg

Skriven 08 December 2009 - 14:35

Då det inte finns några perfekta system så finns det alltid en risk. Hur stor den rsisken är och vilken konsekvens det kan få får man utvärdera. Först ska någon känna till en exploit eller en bug i tex ESX, därefter ska någon veta hur man utnyttjar den (tex skriver ett virus), sen ska någon kunna komma åt ditt system (som kanske är uppsäkrat på nätnivå, brandväggar m.m) för att utnyttja det (tex ESX hosten eller en VM), allt inom en tidsram innan du hinner patcha ditt system.
 
Personligen tycker jag inte det är någon "ko på isen".
 
 

#3 sulan

sulan

  • 752 inlägg

Skriven 09 December 2009 - 22:49

Citat

ORIGINAL:  brillko

Ytterligare en fråga:

Säg att vi har 10 vms på varje vswitch. Pratar dessa vid kommunikation direkt med varandra över hypervisorn eller går trafiken ut över NIC och vänder i switchen/routern.

Ifall de sitter på samma portgrupp/VLAN kommer trafiken inte att gå ut och vända på det fysiska nätverket, utan endast gå i vSwitchen, vilket blir snabbt och fint, d.v.s. något man faktiskt kan sträva efter för VM:s som har mycket snack mellan sig.

Eric Siebert har skrivit en superbra artikel om detta, med fina bilder och allt: [link=http://itknowledgeexchange.techtarget.com/virtualization-pro/how-traffic-routes-between-vms-on-esx-hosts/]http://itknowledgeex...s-on-esx-hosts/[/link]


Men detta var inte relaterat till säkerhetsfrågan ovan, va? Angående denna så skulle jag gärna vilja se personerna från seminariet som hävdar att det är "vanligt säkerhetsproblem" att faktiskt visa det. "Talk is cheap", ni vet. :)

#4 brillko

brillko

  • 72 inlägg

Skriven 09 December 2009 - 20:45

Ytterligare en fråga:

Säg att vi har 10 vms på varje vswitch. Pratar dessa vid kommunikation direkt med varandra över hypervisorn eller går trafiken ut över NIC och vänder i switchen/routern.

#5 brillko

brillko

  • 72 inlägg

Skriven 10 December 2009 - 00:53

Sulan, Din länk var riktigt bra. Nu förstår jag helt.

Samma person hade även hört att man kunde komma åt vlan från hypervisorn... Och på så vis komma åt trafik från interna lanen från vårat DMZ. Men som vi konfat idag är egna nic för dmz, på egna vwitchar och egna portgrupper.

#6 sulan

sulan

  • 752 inlägg

Skriven 10 December 2009 - 10:39

Citat

ORIGINAL:  brillko

Sulan, Din länk var riktigt bra. Nu förstår jag helt.

Samma person hade även hört att man kunde komma åt vlan från hypervisorn... Och på så vis komma åt trafik från interna lanen från vårat DMZ. Men som vi konfat idag är egna nic för dmz, på egna vwitchar och egna portgrupper.
Med andra ord så ligger deras påstådda sårbarhet i vSwitcharna. Eller hade de redan hackat sig in i hypervisorn/console OS (motsv.) innan de hoppade mellan VLAN:en/portgrupperna? Som sagt, vi får nog aldrig veta ifall detta bara var en teoretisk säljar-attack eller en riktig. :)