La creazione di un bridge di rete per connettere una macchina virtuale a Internet non è sicura?

3

Ho creato una macchina virtuale usando Hyper-V con OpenSUSE 13.2. Per ottenere una connessione Internet sul sistema operativo virtuale ho creato uno switch virtuale esterno. Windows 8.1 crea quindi un bridge di rete tra la mia scheda WiFi e la vEthernet (External Virtual Switch).

In base a un avviso su questo sito Web Microsoft, questa è una cattiva idea:

Warning

You shouldn't create a bridge between an Internet connection and a network connection because it creates an unprotected link between your network and the Internet, which makes your network accessible to anyone on the Internet.

Questo è davvero insicuro e se sì, esiste un metodo alternativo per garantire che la macchina virtuale abbia una connessione Internet mentre è sicura?

    
posta daanskitte 23.06.2015 - 16:21
fonte

2 risposte

1

La risposta breve a questo è Sì, è insicuro.

Per spiegare, devi prima capire cos'è un Bridge. Un ponte nella sua definizione più semplice collega due o più reti insieme. Direi che questo concetto di base è stato confuso da quando il collegamento con un laico è stato offuscato dai dispositivi "Tutto in uno".

Ciò che devi fare è mappare le connessioni Internet esterne al tuo Virtual Virtual Switch interno per le tue VM. Questo lascia la connessione aperta e vulnerabile.

Lascia che sia un po 'più realistico. Tu (come la persona cosciente della sicurezza che sei) probabilmente hai una rotta / firewall (diavolo se usi la connessione Wifi in un bar, hanno una specie di protezione). Ora stai prendendo quella connessione al tuo laptop e collegandolo alla tua rete VM interna.

L'essenza di ciò che è stato affermato da MS è vera, ma se davvero ti preoccupi di dover considerare i rischi coinvolti, gli attaccanti stanno davvero cercando di colpire la tua rotta ISP esterna, per entrare nella tua connessione bridge Wi-Fi e passato il tuo SUSE FW (lo stai facendo giusto?). Molto probabilmente no, se vi compromettessimo l'e-mail o la connessione in auto da voi stabilita.

Nella remota possibilità che tu sia connesso direttamente alla Connessione Esterna, ovviamente sei esposto, e trattare il problema è abbastanza simile al modo in cui affrontiamo oggi questo problema, inserisci un firewall tra i due. Potresti, se ti interessa, impostare un FW virtuale (gratuito o acquistato) che protegga quella connessione, spingendo la connessione a ponte verso il Virtual FW e sulla tua rete interna.

    
risposta data 23.06.2015 - 19:03
fonte
4

Per essere onesti, per quanto riguarda la sicurezza delle informazioni, qualsiasi dispositivo connesso a Internet è vulnerabile.

Microsoft è corretto nel dirlo. Immagina uno scenario in cui hai più nodi di rete interni che comunicano solo internamente. Decidi di aprire una sola porta su un nodo della rete per comunicare liberamente con Internet esterno. Ciò mette a repentaglio l'intera rete interna. Immagina se un hacker potesse accedere a quella macchina "aperta" e infettare i tuoi nodi interni, aumentare i privilegi e ottenere il controllo completo sulla rete. Grande rischio. Quindi, vedi, qualsiasi tipo di comunicazione insicura tra due reti lascia aperto agli attacchi. Nel tuo caso, la tua "rete virtuale" è a rischio poiché ora hai configurato un "bridge esterno" che consente al tuo hyper-visor "aperto" di comunicare con la tua "rete virtuale". Quindi un attaccante può attraversare il tuo iper-visore o attaccare direttamente quelle macchine se l'aggressore trova un modo.

Sfortunatamente, i "bridge" sono l'unico modo per incanalare il traffico IP dalla tua visiera alle tue macchine virtuali . La protezione di questi ponti costituisce una parte incredibilmente importante della politica di sicurezza. Politiche solide con meccanismi di sicurezza delle porte possono aiutarti a mitigare i tuoi rischi.

    
risposta data 23.06.2015 - 18:25
fonte

Leggi altre domande sui tag