Vlákno názorů k článku AdGuard Home: bezpečnější procházení webu a rodičovská kontrola od Bugsa - S tou nutností použití hvězdičkového certifikátu pro DoT...
-
MalekStříbrný podporovatelA na jakém HW to prosím provozujete? Koukal jsme ze to chce aspon 100MB úložiště což už není na běžný router.
-
Krásné řešení.
Taky jsem kdysi provozoval něco podobného.
Ale jaksi jsem ztratil důvěru ve virtuální firewall.
FW by měl být kus železa s 2 × RJ45.
Jeden WAN (plný bordelu) a druhý čistý LAN.
Když se začnete učit etický hachking, tak rychle pochopíte proč to je lepší.
Takže jsem to rozbil a mám samostatnou krabičku s firewallem .... která řeší i další věci.
Za ním je potom druhá krabička (NAS), která toho řeší polovinu.
Ve finále těžko říct jestli to je lepší.
To staré řešení fungovalo roky bez problémů.
Bezpečné to bylo v tom že to nikdo neměl.
Takže to bylo zranitelné na The Heartbleed Bug a dost možná i na Log4Shell.
Ale z venčí se k tomu nikdo nedostal. Snad. Teoretická cesta tam byla.
Chápete kam Vás směruju? -
jaký je přesně ten zásadní bezpečnostně relevantní rozdíl mezi tím, když firewall běží na nějakém pofidérním železe v kdovíjak nedokumentovaně ořezaném čemsi, o čem nikdo pořádně neví jak to výrobce zprasil, vs když běží na virtualizovaném železe v dobře známém a prozkoumaném a zdokumentovaném, k danému účelu vytvořeném operačním systému?
ta uzavřená krabice bez adekvátní dokumentace zabezpečená primárně svou obskuritou že je dramaticky bezpečnější, jak z toho tvrzení plyne?
rád bych to věděl, neptám se jen pro kamaráda. -
"jaký je přesně ten zásadní bezpečnostně relevantní rozdíl"
Ten naprosto zasadni rozdil ktery zjevne vubec nechapes je v tom, ze mas fyzicky oddelenou infrastrukturu. A pokud se bavime o bezpecnosti je zvysovani komplexity vzdycky pruser.
Je to podobny jako rozdil mezi tim, jestli mam management vlanu ... nebo oddeleny samostatny switch.
Virtualizovany firewall je typicka ukazka bezpebecnosniho failu. Protoze fyzicky mas do ty site pripojenyho i hosta (tzn v lepsim pripade musis resit a konfigurovat dva firewally). A naprosto typicky pak potrebujes aby VMko komunikovalo nejak s hostem, coz je jedna z potencielni der.
-
DannyStříbrný podporovatelA vy zas nechapete co psal predrecnik. Ona ta "vyhrazena krabice" je dost casto blackbox, co sam o sobe je bezpecnostnim rizikem. Uvnitr stary kernel, stare knihovny.... olepene nejakymi fancy webovymi omalovankami, aby to hezky vypadalo navenek... ktery jsou samy o sobe plne der. Pribehu "znamych znacek", kde se s opravnenimi roota dalo spustit cokoliv je okolo hromada.
A ani ten virtualizovy firewall sam o sobe failem byt nemusi, zalezi jak to postavite. Aneb co komu brani mit vyhrazeny hypervizor jen pro ten firewall, kdyz tedy potrebuje separatni zelezo? Ono kdyz se podivate i na ty "fyzicke krabice", tak to reseni se obcas moc nelisi, i tam dost casto bezi na podkladu nejaky hypervizor.
-
Add firewall ve virtualu.
Já v tom vidím jen dva reálné rozdíly mezi HW a virtuálním FW:
Teoreticky lze útočit na síťovou vrstvu hypervisoru (virtuální switch, L2, atd.). To se ale dá technicky eliminovat tím, že WAN rozhraní není na hostu vůbec připojeno a je předané firewallu přes PCI passthrough nebo jako celé USB/NIC zařízení.
Druhý rozdíl je, že FW VM sdílí hypervisor s ostatními stroji. Pokud by někdo kompromitoval jinou VM, mohl by se teoreticky pokusit dostat i k firewallu přes chyby v hypervisoru nebo managementu.
Jenže v okamžiku, kdy má útočník pod kontrolou nějaký stroj za firewallem na tom samém hypervisoru, mám už mnohem větší problém než to, že by mohl zkusit napadnout FW VM. To už není běžný „útok z internetu“, ale cílený průnik do vnitřní infrastruktury.
Samostatná krabička FW má výhodu v tvrdé fyzické hranici důvěry, ale u domácího nebo labového prostředí je rozdíl mezi HW a virtualizovaným FW spíš teoretický než praktický.
ČLÁNKY DO MAILU