Macht OpenVZ hier Sinn?

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
mod3

Macht OpenVZ hier Sinn?

Beitrag von mod3 » 01.12.2011 20:23:36

Nabend!

Betreibe derzeit für ein mittelständisches Unternehmen einen Gateway-Server.
Ist nen aktuelles Squeeze, 64bit.
Derzeit laufen direkt auf dem Host alle Dienste, die man für ein Gateway halt benötigt, bedeutet:

- bind9
- squid / squidGuard
- iptables-Firewall
- DHCP-Server

vor kurzem habe ich mit OpenVZ gearbeitet und bin damit sehr zufrieden.
Daher möchte ich das System nun folgendermaßen umstellen:
Das Hostsystem wird mit OpenVZ ausgerüstet, es erhält keinerlei Internetanbindung mehr, d.h. die lokalen iptables-Regeln werde alle auf "DROP" gesetzt, so kann man dann höchstens lokal am System noch Patches einspielen, wenn es mal nötig wird.
Alle Dienste kommen in einzelne VMs.
Diese erhalten auch den üblichen Fernwartungs-Zugriff, das bedeutet: SSH durch ein VPN.
Haltet ihr dieses Szenario für sinnvoll? Wir müssen jetzt nicht über den Sicherheitsbedarf dieses Unternehmens diskutieren, es geht mir nur darum, ob ich auf diese Weise wirklich einen Sicherheitsgewinn erhalte.
Das System verfügt über zwei Netzwerkkarten, ich könnte die VMs also auf dem Hostsystem direkt so konfigurieren, dass der DHCP-Server überhaupt nur Zugriff auf die interne Netzwerkkarte hat.
Außerdem kann ich eine dedizierte VM aufsetzen, die die Firewall verwaltet.
Aus Performance-Sicht ist das übrigens kein Problem, die Hardware ist sehr modern und macht das sicher locker mit.

Schönen Abend noch!
mod3


Kleiner Nachtrag: Für OpenVZ kann man ja vorgefertigte Images der VMs herunterladen.
Hat jemand zufällig eine gute Anleitung an der Hand, wie man diese VMs selbst erstellt?

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Macht OpenVZ hier Sinn?

Beitrag von novalix » 02.12.2011 10:44:58

mod3 hat geschrieben: Das Hostsystem wird mit OpenVZ ausgerüstet, es erhält keinerlei Internetanbindung mehr, d.h. die lokalen iptables-Regeln werde alle auf "DROP" gesetzt, so kann man dann höchstens lokal am System noch Patches einspielen, wenn es mal nötig wird.
Wenn Du das genau so umsetzt, stellt sich allerdings die Frage, wie die Gastsysteme ihre Funktionen im Netz bereitstellen sollen.
Anders ausgedrückt: Das Hostsystem ist in jedem (sinnvollen) Fall ein Gateway. Hier muss das Routing passieren.
That said: Natürlich bringt eine Abkapselung der einzelnen Dienste via Virtualisierung Vorteile bezüglich Sicherheit und Flexibilität. Der initiale Aufwand ist halt etwas höher.

Groetjes, niels
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

mod3

Re: Macht OpenVZ hier Sinn?

Beitrag von mod3 » 02.12.2011 12:11:11

Hm, wenn ich auf dem Hostsystem alle Netzwerkverbindungen abschotte (z.B. muss das Hostsystem selbst ja nicht im internen Netz erreichbar sein, es genügt doch, wenn es - bei Bedarf - eine Verbindung nach außen herstellen kann), dann können die virtualisierten Systeme doch trotzdem weiterhin über die beiden physikalischen Netzwerkkarten Verbindungen aufbauen?
Die lokalen iptables-Rules sind doch unabhängig von denen der Gastsysteme?

Benutzeravatar
crhn
Beiträge: 67
Registriert: 30.04.2011 12:24:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Macht OpenVZ hier Sinn?

Beitrag von crhn » 02.12.2011 15:05:30

Wenn du beim Host alles auf DROP setzt kommen auch die IPs der Gäste nicht mehr durch.
Ist der Host gleichzeitg noch nen Gateway in ein externes Netz oder warum hast du 2 Netzwerkkarten?

Generell find ich Virtualisierung immer schön. Verwaltungstechnisch find ich das persönlich schöner einen Dienst pro Rechner zu verwalten, auch wenn er nur virtuell ist.
Wegen der Sicherheit. Nehmen wir mal an in einem deiner Dienste ist eine Sicherheitslücke, dann hat der Angreifer nur Zugriff auf die VM des Diensts und kann an den anderen Diensten erstmal nichts machen. Also halt noch einer Layer mehr.

Wegen den Templates:
http://wiki.openvz.org/Debian_template_creation

mod3

Re: Macht OpenVZ hier Sinn?

Beitrag von mod3 » 02.12.2011 18:19:26

Die Hardware, auf der das laufen soll ist aktuell der Gateway-Server und auf ihm laufen halt die oben genannten Dienste.
In Zukunft möchte ich dann virtualisieren und das Host-System soll nichts mehr machen, außer eben hosten.
Also nochmal konkret, er hat derzeit 2 Netzwerkkarten: Eine ins interne Netz und eine ins äußere (Internet).

Hm, aber ich kann doch jedem Gast ein eigenes iptables-Skript mit auf den Weg geben?
Muss ich die Firewallregeln dann trotzdem noch im Host setzen? Das scheint mir unlogisch, immerhin sollten die Gastsysteme doch transparent und unabhängig auf die NICs des Hosts zugreifen können?
Sonst wäre doch der Sinn der Virtualisierung flöten, weil wir ein direktes Zusammentreffen der Netzwerkpakete verschiedener Systeme verursachen würden?

Vllt kam das falsch an: Die Gastsysteme erhalten natürlich ein jeweils passendes Firewall-Skript.

Unterstützt OpenVZ eigentlich Host-Only-Netzwerke?

Benutzeravatar
crhn
Beiträge: 67
Registriert: 30.04.2011 12:24:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Macht OpenVZ hier Sinn?

Beitrag von crhn » 02.12.2011 21:17:32

mod3 hat geschrieben:Hm, aber ich kann doch jedem Gast ein eigenes iptables-Skript mit auf den Weg geben?
Das hängt denke ich davon ab wie du das Networking gemacht hast.
http://wiki.openvz.org/Containers/Networking
Ich hab jetzt an Layer3 gedacht weil ich in letzter Zeit nur VServer benutzt hab. Da hab ich dich wahrscheinlich unnötig verwirrt.
Ich bin mir jetzt unsicher wie das bei den anderen ist, aber das wird denke ich schon so gehen wie du das haben willst.
Sonst ist die Dokumentation (bzw. das Wiki) von OpenVZ echt gut.

Edit1: Nochmal nen Link: http://wiki.openvz.org/Category:Networking

mod3

Re: Macht OpenVZ hier Sinn?

Beitrag von mod3 » 02.12.2011 21:30:19

Hm, das scheint in der Tat gut zu sein ;-)
Kenne bisher nur VMware Server, aber das ist mittlerweile denke ich längst überholt?

Antworten