Funktionierende Anleitung oder Profil für Magenta Anschlüsse

[Looser]

Hier mal ein paar Statements aus dem Nachbaruniversum:

https://administrator.de/forum/firew...ch-316914.html

Meiner Meinung nach ist ein Hypervisor einfach kein gehärtetes OS wie z.B. pfSense und Co..
Deswegen gehört die Firewall separiert auf dedizierte Hardware. Schlußendlich kann das aber jeder halten wie er meint.
Wie immer im Leben: Lebe mit den Konsequenzen Deines Handelns.....

[fwolf]

Hier mal ein paar Statements aus dem Nachbaruniversum:
https://administrator.de/forum/firew...ch-316914.html

Ich finde dort nur substanzlose "Meinungen", Behauptungen und nachweisbare Falschinformationen.

Die meisten haben Angst vor einem Ausbruch aus einer VM.
Angenommen ein Angreifer schafft das: Das setzt Kontrolle des Gastsystems voraus und wurde in der Vergangenheit meines Wissens lediglich einmal durch einen Bug in einem emulierten Grafiktreiber (VMware) und einen fehlerhaften Floppy Disk Controller (QEMU) gezeigt (und einmal durch einen bereits privilegierten und authentifizierten User auf dem Gastsystem).
Wenn ich innerhalb einer VM Beliebiges in den FrameBuffer schreiben kann, brauch ich glaube ich nicht weiter auszuführen, welche Rechte ich auf der VM besitze. Gleiches gilt für das Schreiben auf Floppies.
Wenn ich diese Rechte auf einer Firewall-Appliance hab,... naja, dann ist's vermutlich zu spät. Denndann kann ich dort den gesamten ein-/ausgehenden Traffic sowie Traffic zwischen Subnetzen und VLANs manipulieren. Von da ist's kein weiter Weg mehr. Auch auf der Appliance.

Es ist an dieser Stelle viel schwieriger einen unbekannten Hypervisor und eine unbekannte Betriebsumgebung zu manipulieren als einen Angriff von der Firewall aus zu starten. Auf vielen UTM-Firewalls liegen neben Zertifikaten für Proxies auch noch deren Private Keys.

Die Gefahr ist also nicht ein Ausbruch aus einer VM (das ist viel schwieriger), sondern eine Remote Code Execution auf der Firewall selbst.

Meiner Meinung nach ist ein Hypervisor einfach kein gehärtetes OS wie z.B. pfSense und Co..

Gehärtetes OS? Überlege nochmal, welche Schritte Du ausführen mußt, um aus einem Gast auszubrechen. Das Gastsystem ist die erste Hürde. Das ist die Voraussetzung.