Virtualisation et sécurité

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Virtualisation et sécurité

Messagepar ccnet » 15 Mai 2009 10:58

Bonjour à tous,

je sujet revient très régulièrement de façon indirecte avec des utilisateurs qui virtualisent à tout va parfois, ne comprennent pas pourquoi certains participants (dont moi, jdh, ...) sont, non pas contre la virtualisation, mais contre un usage inconsidéré (par exemple ipcop sur vmware). En particulier contre le fait de placer sur une même machine physique des vm appartenant à des zones de confiances différentes.

A tous je recommande la lecture de l'éditorial d'Hervé Schauer à cette url : http://www.hsc-news.com/archives/2009/000056.html ainsi que des liens cités dans l'éditorial.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 15 Mai 2009 11:20

Il y a eu un n° de MISC (Avril-Mai 2009) sur le sujet de la sécurité de la virtualisation.


Ce qu'il faut retenir, c'est que la virtualisation peut être logiquement être utilisé à l'intérieur d'une même zone : réseau LAN, réseau DMZ.

Mais il ne faut ni virtualiser le firewall ni virtualiser sur le même serveur des VM logiquement situé sur des zones différentes.

En fait la règle est simple ! Car on peut comprendre que si une VM est comprise, on peut éventuellement compromettre l'hyperviseur (pour faire simple). Et si l'hyperviseur est compromis, toutes les VM sont compromises.

Par exemple, on pourra virtualiser, en DMZ, le relais mail, le serveur ftp et un serveur web public.


Par contre, il n'est pas interdit de tester une config de firewall ... pour autant que l'on ne mette pas en production !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 15 Mai 2009 15:27

Analyse et conclusion que je partage.
Un autre article : "La sécurité des systèmes virtualisés" dans Hackin9 de Mai-Juin.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar acounamatataa » 07 Oct 2009 17:03

Merci pour ce magnifique sujet. J'ai une question en relation avec mon projet de fin d'étude mais je ne sais pas si c'est le bon endroit de le poster.
Je devrais installer un firewall et un proxy open sources sur Linux pour sécurisé le réseau locale d'une entreprise. Je ne dispose que d'une seule machine. Est ce que je peux installé sur la même machine le firewall et le proxy. sinon pourrai-je dans ce cas mettre le Firewall sur la machine physique et l'autre sur un système virtuel?

Coordialement
acounamatataa
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Oct 2009 15:25

Messagepar jdh » 07 Oct 2009 17:13

Logiquement, on ne virtualise pas un firewall car on ne doit pas virtualiser des machines situées sur des zones différentes. (Par nature le firewall est à l'intersection des zones)

On préfèrera donc 2 machines : un firewall (même une machine de récup peut convenir), et un proxy (idéalement situé en DMZ).

Par exemple, pour une société avec 2 sites, j'ai acheté 2 machines neuves et assemblées par site (soit 2x200€ par site), j'ai installé le firewall pfsense mis en cluster (c'est d'ailleurs assez aisé et bluffant), enfin j'ai ajouté un pc du même type (amd + 2G + 160G sata + cartes réseau) comme proxy (sur une base Debian + Squid + SquidGuard + LightSquid + script de mise à jour de blacklist). Ce n'est donc pas très couteux !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar acounamatataa » 07 Oct 2009 18:24

Merci beaucoup pour votre réponse.
Pour mon projet de fin d'étude je suis chargé d'auditer un seul site pas deux comme vous. Donc mon but est de sécurisé l'accés externe vers mon LAN et si j'aurais le temps installer un proxy ou autre , je n'est pas les moyens de m'investir ni la société car elle a d'autre priorités..
Vu que je suis un peu préssé par le temps, (des dizaines de jours pour la soutenance) et je n'ai qu'une seule machine je croix que je vais me contenter d'installer un firewall "netfilter" sous ubuntu. mais pourrai-je installer un autre outils open sources de sécurité au lieu du proxy (VPN, ...) qui pourrai fonctionné sur le même machine. Désolé de mes questions répététifs mais je veux me profiter de ce projet pour apprendre le max. d'outils open sources.

Et merci.
acounamatataa
Matelot
Matelot
 
Messages: 2
Inscrit le: 07 Oct 2009 15:25


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron