simulation de securisation de virtualisation

[kro_kro]

hello

j'ai besoin , pour tests et temps limité , d'avoir DMZ et LAN sur un même serveur de virtualisation.

je sais c'est pas beau, pas sécurisé ...; mais je n'ai que ça à portée de main !

Donc , est-il possible au moins de compartimenter le réseau de la DMZ que façon à ce que l'hôte ne voie rien ? en dehors du pci passthru qui n'est pas compatible avec ma configuration ...

je pense à quelque chose du style netfilter qui mette à la poubelle les trames pour l'adresse MAC de la carte hôte mais laisse passer les adresses MAC virtuelles des machines invitées... bref travailler au niveau ethernet puisque la carte devra être en mode pont ....

je suis nul en iptables , qui me semble-t-il travaille comme son nom l'indique sur les trames IP ....

des idées ?

cordialement

K

[jdh]

Chaque système de virtualisation vient avec sa vision des réseaux.
On fait avec ce qu'on a !

Par exemple, VMware voit un ensemble de 10 switchs virtuels, dont l'un est relié à une carte ethernet d'accès extérieur, l'autre est relié à l'hôte, le troisième fait du nat, et ainsi de suite (voir les détails précis sur le site ...).


J'ai du mal à comprendre que l'on puisse aussi mal présenter un problème :
si vous avez décidé de virtualiser, pourquoi ne pas indiquer votre choix ?

Attention, je répète, la virtualisation complique la perception des réalités réseaux. Alors lire la doc sur le sujet pour le système de virtualisation choisi !

Alors avant d'imaginer des solutions techniques, regardez comme cela est conçu et ce qu'on peut faire ... et c'est forcément décrit !

Le traitement des paquets ip, ce sera le noyau de virtualisation qui s'en occupera !

[kro_kro]

pour appendre la virtualisation dans son garage ....
avec une seule machine ... il faut de l'imagination ....


donc

1 - la littérature de la virtualisation ne me propose que QUE le PCI-PASSTHRU

2- le problème n'est pas la solution de virtualisation , que ce soit vmware xen kvm c'est toujours pareil ...

donc je veux isoler le carte réseau (physique et bridgée) dévolue à la dmz du système hôte .
avec iptables on peut isoler en "droppant" les paquets vers l'hote et laissant passer la dmz (quelques en soient les adresses) .

il y a des trucs formidables comme VDE ou virconel qui simulent plein de choses , mais apparemment pas mon idée .

peut-être avec un filtre basé sur PCAP ?
mais mes notions de programmation remontent au cobol des années 80 ....

Le traitement des paquets ip, ce sera le noyau de virtualisation qui s'en occupera !

ah bon ? cela me parait faux puisqu'on on peut faire de la virtualisation avec une seule carte réseau ! donc l'hôte traite le traffic !

[jdh]

VDE2 est, semble-t-il, un bel outil pour "virtualiser un réseau". (Je n'ai pas lu suffisamment l'article de Linux Magazine du mois de novembre 2009, je ne peux que mal en parler.)


Sinon avec une machine, en faisant un choix d'hyperviseur gratuit (et il en existe de nombreux), on n'a pas à s'occuper de l'aspect réseau : on créé une VM et roule ...

Mais il est clair que l'aspect firewall d'un hyperviseur est une vraie question ... qui m'amène à répéter qu'il ne faut pas virtualiser sur le même hôte des VM situés dans des zones différentes (en production) !


NB : la revue indiquée traite de VDE2 et Netkit, soit 2 approches possibles mais AMHA c'est juste destiné à tester une infrastructure réseau, et pas tester des VM complètes.

NB2 : dans les hyperviseurs gratuits et faciles à installer, je compte VMware ESXi 3.5/4, Citrix XenServer 5.5, Microsoft HyperV 2008 R2. Perso, je trouve assez remarquable Proxmox (OpenVZ+KVM).

[Franck78]

kro_kro, dans les machines virtuelles, la carte réseau est virtuelle. Je vois pas pourquoi tu te focalises sur cette idée d'avoir une carte physique par VM (c'est possible).
Linux (et win) connaissent depuis belles lurettes les cartes virtuelles. ppp0, tun0,ipsec0,....
eth0 dans VM1 n'est pas la même que eth0 de VM2. Aucun lien de ton point de vue. A brancher sur un switch virtuel, un routeur virtuel, .... et une règle IPTABLE s'appliquera pareillement sur une eth0 virtuelle ou physique.

mais apparemment pas mon idée

c'est donc qu'elle ne présente pas d'intérèt.

Pour info, on peut affecter une, deux, trois, N cartes réseaux virtuelles à une machine virtuelle. Ainsi que n'importe quel périph émulable

[kro_kro]

a Jdh ,
oui proxmox est pas mal , je l'ai essayé pour tester Virconel .... c'est joli, et pas mal pour faire des labos de cours ... pour des démos de routage par exemple ...
VDE ne me semble pas correspondre au besoin , car une interface bridgée sur plusieurs vm = un HUB! bien plus simple!


a franck78
oui oui , je sais , mais je voudrais que mon serveur fasse son tartuffe en disant "cachez moi ce réseau que je ne saurais voir"


bref je veux maquetter un truc tel que les machines virtuelles du LAN s'adressent au routeur (3 pattes , rouge=inet, vert=Lan, orange=dmz) .... et lycée de versailles pour la DMZ ...

j'ai un routeur à 3 pattes , un serveur (hote ) a deux pattes dmz et lan .

et je veux voir mes paquets passer par le routeur !!!!

c'est moche : isn't it ?


plus tard, quand j'aurais + de matériel , les machines virtuelles migreront (si elles sont encore en vie) dans une vraie dmz


pour finir j'ai jeté mon dévolu sur KVM, qui est mieux maintenu dans les distributions , alors que XEN exige la recompile systématique du dom0 ....

et xenserver5.5 est si limité qu'il ne reconnait par mes cartes réseau ...

[Franck78]

ce que tu cherches est d'un limpidité hallucinante

Je sais pas moi, tu prends une carte mère, trois carte réseau PCI un disque dur et ton logiciel de firewall. Tu as ce que tu veux. Pas besoin de virtualisation!

[kro_kro]

en faisant les poubelles , j'ai récupéré pas mal de choses !
mais je ne sais pourquoi les cartes réseaux j'en vois jamais ....
il me manque aussi un boitier potable .....



je vais quand même fouiller iptables , il semble pouvoir filtrer sur adresses mac ....



fouillé ...

trouvé ebtables qui semble utilisable ...

[Franck78]

on dirait que tu n'as pas envie de comprendre que chaque carte réseau virtuelle est unique, possède sa propre mac, n'a rien en commun que le code émulateur sous-jacent aux VM. Ton sujet n'est pas la mise en évidence de bug d'isolation entre VM que je sache? Alors arrète de te masturber la tête avec une plateforme de simulation de virtualisation avec cartes réseaux réelles.
D'abord ca n'existe pas, un firewall virtuel en prod.
Deuxio, on ne s'embète pas avec une machine qui va héberger une dizaine ou plus de VM à attribuer des périh rééls. Nonobstant l'ineptie de la chose, c'est rapidement irréalisable.

'ai besoin , pour tests et temps limité , d'avoir DMZ et LAN sur un même serveur de virtualisation.

ben oui, c'est une VM avec deux cartes réseaux virtuelles, des centaines d'hotes virtuels sur deux switch virtuels.
Bien sur tu lies aussi la carte réseau physqiue à un des switchs virtuels. Tu veux aussi attacher une deuxième carte réseau physique à l'autre switch virtuel? Et bien vas-y. C'est pas le linux dom0 qui va se mettre à router tout seul entre les cartes.

mais je ne sais pourquoi les cartes réseaux j'en vois jamais ....

parcequ'un seule suffit et elle est intégrée à la CM.

[HaM]

Bonjour,

Ce qu'il est possible de faire (ce que je fait avec KVM) avec une carte réseau physique est de créer des interfaces VLAN sur l'interface physique:
_ eth0.10
eth0 /
\_ eth0.11

Puis créer des bridges contenant l'interface VLAN voulue:
- Br0 (eth0.10)
- Br2 (eth0.11)

Lorsque tu créé une VM tu rajoute son interface (vnet...) au bridge souhaité. Ainsi les paquets sortent taggés avec un VLAN et tu peut donc "considérer" que tes flux sont "physiquement" séparés ou au moins sur deux segments Ethernet différents.

[kro_kro]

Merci HAM,

il en a au moins qui proposent des choses au lieu vouloir de donner des leçons ...

[jdh]

Il y a confusion !

Je NE COMPRENDS pas le besoin ! Parce qu'il n'est pas CLAIR ! Je ne VOIE pas du tout ce que vous voulez faire !

Alors ne soyez pas surpris de nos réponses (à Franck78 ou moi).
(D'ailleurs, cela devrait plutôt vous faire réfléchir si nous ne répondons pas comme vous le souhaitez ... car nous en avons des posts à notre compteur !)


Et puis qu'est ce que signifie "pci passthru" ?
Si j'en crois la définition d'IBM http://www.ibm.com/developerworks/linux ... ssthrough/ (2me lien en cherchant avec "pci passthru"), cela ne sert qu'à "affecter" une carte pci à une VM, mais bien évidemment pas une carte réseau car ce type de carte est virtualisée différemment (et selon chaque système de virtualisation).

Sous KVM (utilisé par Proxmox), on ajoute une carte réseau connecté à rien, puis on affecte cette interface à plusieurs VM : elles seront isolées !

[jdh]

jdh a écrit:
Le traitement des paquets ip, ce sera le noyau de virtualisation qui s'en occupera !

ah bon ? cela me parait faux puisqu'on on peut faire de la virtualisation avec une seule carte réseau ! donc l'hôte traite le traffic !

Bien évidemment qu'on peut virtualiser avec une seule carte réseau ! Et ce sont les couches réseaux de l'hyperviseur qui vont transférer les paquets utiles à chaque interface de chaque VM. C'est le boulot de l'hyperviseur et la VM ne voit que les paquets qui lui sont adressés.

Le plus étonnant c'est d'avoir un hôte de virtualisation (hyperviseur) avec une seule carte réseau et plusieurs VM dont certaines peuvent avoir plusieurs cartes réseaux (virtuelles). Et cela sans aucun problème ! Par exemple, j'ai testé un firewall comme pfSense en WAN+LAN sur un hôte Proxmox avec une seule carte réseau, sans difficulté mais il FAUT faire attention à l'interprétation d'un accept/refus de trafic !

[Franck78]

@kro_kro, mais il ne tient qu'a toi d'exprimer en quoi nous interpètons mal ton problème gars

ce que tu cherches est d'un limpidité hallucinante Wink

ca t'interpelle pas un peu un message de ce genre? Tu as pris la peine de préciser ton objectif ? Non, tu continues sur ta lancée sans prèter attention aux questions/remarques.

bref je veux maquetter un truc tel que les machines virtuelles du LAN s'adressent au routeur (3 pattes , rouge=inet, vert=Lan, orange=dmz) .... et lycée de versailles pour la DMZ ...

j'ai un routeur à 3 pattes , un serveur (hote ) a deux pattes dmz et lan .

et je veux voir mes paquets passer par le routeur !!!!

c'est moche : isn't it ?

Ca pourra être qualifier de beau ou moche quand tu ne seras plus l'unique personne au monde a comprendre ce que ca veut dire.

Merci HAM,
il en a au moins qui proposent des choses au lieu vouloir de donner des leçons ...

@HAM, je t'adore, proposer des LAN virtuels à un gars omnibulé par des cartes réelles

[kro_kro]

Merci HAM,
il en a au moins qui proposent des choses au lieu vouloir de donner des leçons ...

@HAM, je t'adore, proposer des LAN virtuels à un gars omnibulé par des cartes réelles

çà s'appelle de l'humour