Frage zu KVM/qemu und openvswitch

[TomL]

Also ich glaube es macht Sinn nochmal aufzuklären was ich möchte und wo genau meine Probleme bzw Ziele liegen.

Warum tust Du das dann nicht auch? Ich habe noch nicht eine einzige Fehlermeldung gelesen, oder einen Befehl, der die Fehlermeldung produziert hat, und auch keinen Journalauszug mit Fehlermeldungen, oder Meldungen fehlgeschlagener Service-Units? Ich habe noch keine Beschreibung eines konkreten Versuchs gelesen, der fehlgeschlagen ist und wo Du Hilfe bei der Behebung des Problems brauchst.

Ich kann Dir nur sagen, es macht absolut keinen Sinn in einem hypothetischen Netzwerk hypothetische Fehler zu diagnostizieren und zu versuchen, diese Fehler hypothetisch zu beheben. Den letztlich gibts für den hypothetischen Erfolg keine reale Kontrollmöglichkeit, um das auch wirklich zu bestätigen.

Die eigentlich einzige Schwierigkeit die ich habe, ist das erstellen der entsprechenden Netzwerkbrücken,

Da hatte ich auch schon mal drauf hingewiesen, der Virt-Manager erstellt die Bridge-Devices doch automatisch.... da bekommt man alles Anschauungsmaterial frei Haus geliefert, um damit dann die Schritte zur Erstellung eigener Bridge-Devices anschließend selber manuell nachzubilden.... einschließlich passender Paketfilterregeln.

weil die Dokumentationen (von denen ich im Übrigen einige gelesen habe) immer relativ spezifisch sind und ich mir
meinen Fall nicht daraus ableiten kann

Eine bessere Dokumentation als das, was libvirt und Virt-Manager selber tun, gibts imho nicht. Ich denke, wenn man eine Bridge für eine VM auf ein physisches Nic erstellen kann, wird man das gleiche auch für ein zweites Nic und eine zweite VM tun können. Wie gesagt, der Virt-Manager liefert alle Infos, die man braucht.

...daher gehen irgendwie alle Doku's die ich gefunden habe davon aus, dass die Kommunikation des Hostsystems über die selbe nic läuft wie die VM Gäste.

Auch darauf hatte ich schon mal hingewiesen.... Du musst zu allererst festlegen, ob die VM ge'nat'et wird oder ob sie eigener Lan-Client werden soll. Denn als eigener LAN-Client via macvtap ist z.b. die direkte Kommunikation zwischen Host und VM nicht möglich, via NAT und TUN/TAP-Bridge aber sehr wohl.... wobei man das erstere (sowas wie lokales SSH zur VM) aber sowieso nicht braucht, man kann ja lokal die VM auch direkt via Virt-Manager öffnen. Auf einem anderen Host ist SSH->VM allerdings dann wieder kein Probleḿ.

Löse Dich mal von den theoretischen Betrachtungen, fang einfach an.... und nicht alles auf einmal..... und das wichtigste (hatte ich auch schon drauf hingewiesen) ist das Berechtigungsmanagement für die User... dem solltest Du viel Aufmerksamkeit widmen, denn die besten Sicherungsmaßnahmen nützen einen Dreck, wenn User über die Berechtigungen verfügen, sich darüber hinwegzusetzen.

jm2c

[haekks]

Danke für deine Antwort nochmal, also das ganze nochmal in ausführlich:

Zum IST - Zustand:


Momentan habe ich internet und lan access einfach über meine Fritzbox, alle Hosts hängen da dran, auch der VMhost.

Der VM host ist über die nic auf dem motherboard ( nenne sie mal nic0) an die FritzBox geknallt und bekommt eine Addresse via DHCP. Dies soll auch so bleiben im weiteren Verlauf
(mit dem unterschied dass der Host dann halt im LAN hinter dem Switch hängt und die IP statisch vergeben wird).
Die nic0 soll also ausschließlich für die LAN Anbindung des Host-Systems fungieren.


So weit so gut.


Da ich - leider - das Internet nicht lange abschalten bzw. lahmlegen kann, möchte ich den Host gerne in diesem Zustand komplett konfigurieren und dann in das Finale Setup knallen.


- Mein erster Versuch war, eine ovs-bridge anzulegen und tap-Interfaces da dran zu knallen. Dies ist daran gescheitert, dass ich die Interfaces im virt-manager nicht als
Netzwerk für den Gast auswählen konnte (leider habe ich das komplett zurückgebaut, daher kann ich konkret nix mehr dazu sagen). Die Interfaces waren auf jeden
Fall - wie in der Doku beschrieben - mit der Bridge verbunden, up, und via "ifconfig" auch sichtbar. Im virt-manager aber nicht... (networking wurde neu gestartet)

- Mein zweiter Versuch (es waren ca. 50 Versuche mit jeweils kleinen Änderungen) war es, die Funktion "Virtuelles Netzwerk erstellen" vom Virt-manager selbst zu verwenden (mein favorit)
Fehler dabei ist, dass pfSense entweder WAN oder LAN seitig erreichbar sein muss nach der Installation um in die GUI zu kommen.
Ich kann aber mein LAN-Netz für kein virtuelles Netz verwenden, da meine primäre nic (nic0) ja via DHCP schon im LAN steht... (gibt einen Konflikt).

- Ich habe daraufhin versucht nach der pfSense Installation die IP-Addressen manuell zu vergeben, aber dann friert die VM einfach ein.



Was du jetzt genau mit Usern und Berechtigungen meinst ist mir nicht ganz klar. Also das System steht bei mir Zuhause in LAN, also im schlimmsten Fall würde meine Freundin noch dran kommen aber davon geht erstmal wenig gefahr aus…


Das WiFi soll ja so oder so vom Land getrennt werden und ausschließlich Zugriff auf das Web bekommen

[TomL]

Nein, das meinte ich nicht.... ok... dann versuch ichs noch mal anders.... ich bin davon ausgegangen, dass Du den Aufbau eines größeren Netzes mit vielen Usern aus Weiterbildungsinteresse quasi im Kleinen nachbilden willst.... und vor diesem Hintergrund ist eben der Aspekt "Userberechtigung" ein deutlich relevanter Aspekt.... auch wenns bei diesen Laborbedingungen nur um 2 User geht.... bei dem gegebenen Hintergrund spielt die Anzahl keine Rolle.

Aber nun sprichst Du von einem kleinen Netzwerk zuhause für Dich und Deine Freundin....

Was du jetzt genau mit Usern und Berechtigungen meinst ist mir nicht ganz klar. Also das System steht bei mir Zuhause in LAN, also im schlimmsten Fall würde meine Freundin noch dran kommen aber davon geht erstmal wenig gefahr aus

... und da macht die Zielsetzung nen Seitwärts-Salto mit Looping. Um jetzt mal ausdrücklich pfsense und sophos ins Auge zu fassen, welche Aufgabe versprichst Du Dir eigentlich für pfsense, was soll das tun? Welchem Angriffsvektor ist die pfsense-Installation gegenübergestellt? Fakt ist, Deine LAN-Clients stehen hinter einer Fritzbox, werden (IPv4) ge'nat'et und sind somit gar nicht direkt im Internet exponiert.... zumindest solange Du nicht einen (oder mehrere) Port im Router öffnest und an ein System weiterleitest. Eine andere mögliche Begründung wäre hingegen, wenn Du die Fritzbox selber als kompromittierte Hardware einstufst... klar, kann man so machen, muss man aber nicht. Das heisst, für den Angriffsvektor "Internet" hat pfsense hinter einer gut eingestellten Fritte quasi überhaupt keine Funktion. Du könntest damit natürlich ausgehenden Traffic regulieren, aber dafür braucht man kein pfsense, dafür deinstalliert man einfach unötige Dienste und konfiguriert die benötigten Dienste auf localhost. Und was die Anwendungen im User-Space machen, kannst Du imho mit Anfangskenntnissen sowieso nicht kontrollieren, weil so einfach nicht zu unterscheiden ist, was erlaubt und was unerlaubt ist.

Und was ist mit Sophos ...?... was soll das prüfen? Für Linux gibts kaum/keine Viren-Programme, weil Linux von sich aus vorsieht, das sämtliche Antwendungsoftware (anders als bei Windows) im Userspace auch ohne Admin-Rechte laufen können muss. Das heisst, eine systemweite Kompromitierung ist gar nicht so einfach möglich... ggf. nur durch Missbrauch vorhandener User-Rechte (... worauf ich ja oben schon mehrfach hingewiesen haben)... soll heissen, kann der User (mangels Rechte) das System an sich nicht verändern, kanns ein Virus aus dem Userspace heraus auch nicht. Und wenns um Windows-Viren geht, kann das bei so kleinen privaten Netzen ein Windows-PC mit lokalen AV-Scanner sowieso besser und auch aktueller.

Also, wenn Du pfsense und sophos planst, dann solltest Du konkret erklären können, welche Angriffsvektoren in Deinem Netz durch exponierte Hardware bestehen und ob User durch Missbrauch von vergebenen Rechten das System kompromittieren könnten. Wenn beides nicht eindeutig erklärt ist, brauchst Du auch nichts davon. Der Einsatz von pfsense und sophos beinhaltet meiner Meinung nach immer zwingend auch die Betrachtung von restriktiven User-Rechten. Das eine ohne das andere kannste Dir imho sparen.

Der VM host ist über die nic auf dem motherboard ( nenne sie mal nic0) an die FritzBox geknallt und bekommt eine Addresse via DHCP. Dies soll auch so bleiben im weiteren Verlauf

Warum nennst Du sie nicht, wie sie heisst, z.B. eth0 oder enps20, o.ä.... dann weiss jeder, dass es sich um ein physisches NIC handelt. Das NIC wird auch nicht an die Fritte geknallt, ujnd wie und ob überhaupt das mit dem DHCP funktioniert ist hier auch nicht geklärt... bei IPv6 ist nämlich überlicherweise gar kein Router-DHCP aktiv, sondern der ISP-Prefix wird per Router-Advertisement an die Clients gesendet, die sich ihre IPv6 als 'Global Unicast Adress' via SLAAC selber generieren.

Bevor Du ans Eingemachte gehst, müsste Du Dir erst mal noch sehr viele Antworten holen... möglicherweise auf Fragen, die Du noch gar nicht kennst. Deswegen wiederhole ich meinen Rat, fang mit restriktiven User-Rechten und 'nem einfachen (aber dedizierten) Samba-Server an, vielleicht mit einem lokalen Paketfilter (nicht UFW o.ä. sondern direkt über das Kernelfrontend nft oder iptables) als Lernaufgabe, irgendwann später gehts weiter mit nem lokal erreichbaren Mailserver, oder mit ner Cal/Card-DAV-Synchronisation, spätestens dann wirds Zeit für ein Backup-Konzept.
Zusammengenommen bedeutet das, erst mal lokale Funktionalität erstellen. Und solange es lokal bleibt, bist Du hinter eine Fritte erst mal sicher. Willst Du es später zum Internet öffnen, dann kommen die erweiterten Security-Maßnahmen hinzu... aber dann gibts eben auch konkrete Angriffsvektoren, auf konkrete Ziele. Betrachte das immer unter der Prämisse, dass eine einzelne Sicherheits-Maßnahme immer eine binäre Beziehung gegen den Angreifer hat, entweder sie wirkt oder sie wirkt nicht. Es gibt aber nicht nur ein Angriffsszenario, insofern gibts auch nicht ein Allheilmittel, welches umfassend gegen alle Angriffsseznarien wirkt. Und es ist ziemlicher Quatsch, eine Sicherheitsmaßnahme einzurichten, für die gar kein Angriffsvektor besteht. Also, wie gesagt... es fehlen noch viele Antworten.

[haekks]

@Thomas:


Ich glaube du stellst dir das Ganze sehr viel seriöser (geplant) vor als es werden soll. Ich finde es schwer rauszufinden welche Informationen ich mitliefern soll.


Ich betrachte dieses Projekt als mehrstufig, ich möchte eine Art Spielwiese aufsetzen, vielleicht mal einen Teamspeak Server aufsetzen, eine kleinen Gameserver was weiß ich (bitte nimm die einzelnen Verwendungszwecke nicht zu wörtlich).


Mir ist bewusst dass ich das Ganze nicht wirklich "brauche", die Schaffung der DMZ und das Aufsetzen der pfSense soll mich auch nicht unbedingt vor Angriffen schützen, ich will halt auf ganz ganz unterster Ebene eine Sicherheit dafür bekommen wie ich von einem lokalen Netz in ein anderes route, ein wenig mit Firewall Policies rumspielen und zusätzlich ein paar VM's aufsetzen. Einfach um eine gewisse Grundkenntnis von dem ganzen Thema zu erlangen. Im laufenden Betrieb kann ich das bei unseren Kunden einfach nicht tun.


Ich troubleshoote weitestgehend VPN-WANs (meistens auf Cisco-HW) und mache hier und da mal einfache Changes (hinzufügen von Adressen zu Policies oder Access-Lists, LAN oder WAN IP changes usw.) habe aber auch noch einige technische Eskalationsstufen über mir. Die Geräte sind auch alle von anderer Stelle konfiguriert daher sind für mich viele Bereiche (wie du sicherlich festgestellt hast) ziemlich neu. Meine Firma hat mich hier schon sehr gefördert aber ich möchte selbst halt auch noch etwas tun.


Im ersten Schritt geht es mir einfach darum, den Virtualisierungshost mit pfSense ans laufen zu kriegen und meinem LAN bzw. Wifi wieder Internetaccess zu geben. Dann brauche ich an der pfSense ein DMZ Interface, that's it. Ich habe VMware schon kennengelernt und da fiel mir eine ähnliche Konfiguration etwas leicher (auch weil ich unter Windows einfach sattelfester bin als unter Linux). Ich möchte das Projekt aber unbedingt mit Open Source Mitteln umsetzen.




Grüße!