Hallo Observer,
jaja, das gute alte Thema mit der Virtualisierung von Firewalls :-).
Ich habe das ganze schon einmal im IPFire Forum diskutiert, daher poste ich einfach meine Antwort hier als copy und
hier der Link zum gesamten Verlauf inkl. kleiner Diskussion mit einem der Entwickler.
Das nächste Thema das du sicher haben wirst und darauf achten musst ist grade bei Firewalls und ggf VPN und allem mit SSL die Entropie, ein entsprechenden Eintrag findest du auch
hier von mir.
VMs sind nicht wirklich unsicherer als Bare metal. Was glaubt ihr warum fast alles virtualisiert wird egal ob Enterprise oder ISP (NFV teilweise SDN).
Die Frage ist auch wie Virtualisiert wird, wenn alles über eine NIC nur mit VLANs läuft, ist das wirklich nicht sicher, aber das liegt am Design und eine HW Firewall wäre genauso betroffen (VLAN hopping usw.).
Ich habe das ganze gelöst indem ich entsprechend für jede Zone auch eine Physikalische NIC habe, die vom Wirt (bis auf Grün für Updates) keine IP haben und somit max. auf L2 mit spielen (hier auch sehr eingeschränkt) da bis auf BC und MC nichts weitergeleitet oder empfangen wird, da die VMs eine andere MAC haben/nutzen.
Ein Angreifer müsste eine Möglichkeit finden mein System auf L2 anzugreifen, das ist nicht so leicht aus dem Internet, ohne bei mir im LAN/WLAN zu sein.
Davon ab das erst Endian gehackt werden müsste um zu IPfire zu kommen, da mein IPFire mit der Endian über eine VM internal NIC verbunden sind, somit rein logisch ohne Physik dahinter.
Ich lasse mich gern eines besseren belehren, jedoch ist m.M.n. eine hohe Sicherheit gegeben, sofern die Netze auch über Physikalische NICs getrennt sind, mindestens Rot sollte eine eigene physikalische NIC haben.
Natürlich wird das nicht mit einer Checkpoint oder Palo Alto FW mithalten können, jedoch haben auch diese Bugs und können überlistet werden und das bei deren Preis ;-).
Sollte jemand über VM Firewalls lachen, soll dieser doch bitte ein realistisches Angriffsszenario aufzeigen. Die meisten die so etwas behaupten plappern nur etwas nach von dem sie mal was gehört haben und können nichts vorweisen und haben meist nicht einmal wirklich Ahnung von der Materie... Am besten noch "habe ich bei Computer Bild gelesen" und Heise oder Golem sind auch nicht wertiger als Argumentation.
Bei KVM gibt es reichlich Updates und es wird sehr auf die Qualität seitens RedHat geachtet, da viele extrem kritische Systeme ihrer Kunden darüber virtualisiert werden und sie es sich nicht leisten können gravierende Probleme zu haben.
Ich würde jedoch von so etwas wie VirtualBox abraten! Wenn Industrie/Professionelle Produkte genutzt werden ist das Risiko erheblich geringer, somit KVM oder ESXi von VM Ware. Zu Microsoft (Hyper-V) kann ich nichts sagen, jedoch bin ich der Meinung das ein Produkt aus Redmond NIEMALS ohne richtige FW direkt ans Internet sollte 😉. Deren erstes Produkt das nicht Suckt wird ein Staubsauger sein...
PS: Nicht falsch verstehen, ich nutze auch VirtualBox, aber das Einsatzgebiet ist ein anderes (Client tests o.ä.). VirtualBox und Server haben in einem gemeinsamen Satz nichts zu suchen.
Ich hoffe das hilft dir ein etwas und beantwortet deine Fragen.