Dotaz: Zabezpeceni Virtualniho stroje

Zdravim vsechny,

potrebuji poradit se zabezpecenim pristupu na virtualni stroj. ‚Host‘ OS je 64b CentOS 5.3 a ‚guest‘ bude stejny (premyslim i o 32bitu, jeste nevim).
Guest bude pouzivat vlastni fyzicke rozhrani eth3 (pridam pro nej vlastni sitovou kartu, kvuli zlepseni bezpecnosti.
Host ma eth0 a eth1 v ‚bondu‘  tzn. bond0 ktery je pripojeny v LAN za HW firewallem.
Guest bude fyzicky pripojen primo do switche umisteneho za radiem a bude mit verejnou IP – cili zadne zabezpeceni, bude to ‚nazivo‘ pripojene primo na providera.
Otazka: jak zabezpecit guest OS?
– Netfilters primo na host OS kde pridat pravidla pro eth3
– Netfilters na guest OS
– kombinace?
Moc dekuji za pripadne rady a pomoc, pekny den vsem.
 

Otazka: jak zabezpecit guest OS? – Netfilters primo na host OS kde pridat pravidla pro eth3 – Netfilters na guest OS – kombinace?

Podle toho čemu víc věříte.

Pokud jde v obou případech o stejný typ firewallu (zřejmě ano), pak bych firewall na hostiteli viděl jako o něco málo bezpečnější. Pokud by např. ve firewallu byla chyba buffer-overflow, jejím zneužitím se dostane útočník „jen“ na hostitelský počítač, ale už ne (tímto krokem) do hostovaného. Je to pořád ten známý princip, že je lepší mít obrané pásmo před vlastní bráněnou oblastí než přímo v ní. Takže firewall předřazený počítači může zachytit věci, které firewall přímo v počítači z principu zachytit nemůže (právě chyby ve firewallu nebo ještě v nižších částech systému).

Jo paranoia je oskliva nemoc Pokud jde o netfilter, tak pokud nebudes pouzivat nejake nestandartni moduly bude vzdycky radove vetsi sance, ze utocnik vyuzije chyby v aplikaci, ktera pobezi ne virt. stroji. Takze to zbytecne nekomplikuj.