stinger996669:
progmike
Цитата:
Совершенно согласен, но в данном примере у нас не этот случай, ветка же все-таки для Керио и тут у нас как минимум один выделенный сетевой адаптер который выходит в Интернет.
Конкретизирую пример, фактически у нас тут получается так:
Машина с Хайпер-Ви:
На ней виртуалки:
1. Керио (тут уже требуется внешняя линия для интернета)
2. Можно на вторую поставить Веб-Сервер
3. Почтовый сервер
4. RODC (я сюда первичный домен бы не поставил)
Честно говоря для меня составить эту схему сложно, потому что я себе такую схему даже не представляю, я сторонник выделенного файрвола. Или приведу более извратный пример, который я реально видел.
У человека, моего коллеги, в одной Кредитной Организации (!) в Косово на приличном сервере был Хайпер-Ви с такой конфигурацией.
1. Форефронт ТМГ
2. SQL 2005 со всеми кредитными данными клиентов (!!!)
3. Домен Контроллер
4. Файл сервер
х. на всех машинах были и другие сервисы
Представляете, что может произойти если на такую машину пойдет самая DDoS атака. Про более серьезные атаки молчу. Для первого примера, риску подвергается почтовый сервер организации, лично для моей организации это сверхкритично. Второе полетит веб сервер и если компания предоставлят веб услуги да и еще под контролем гос. регулятора - то это вообще хана котенку.
Помимо всего, для Виндовсов есть куча эксплойтов, злоумышленник может получть доступ к такой машине в обход файрвола. Если злоумышленнику теоретически удастся взломать такую машину, он сразу получает доступ к критичной информации например к личным данным клиентов.
В случае с выделенным Appliance-ом он взламывает систему Керио, но это еще не значит что он сразу и с наскока получит доступ домену или другим службам, имеющим свою собственную систему авторизации. Есть одно НО - я учитываю, что Керио не введен в домен и через него злоумышленник не получит доступа к каталогу юзеров.
Цитата:
Насколько я знаю все известные эксплойты для Керио Appliance приводили к отказу работы системы. Если я не ошибаюсь то это приведет отказу выхода условной компании во внешнюю сеть, это уже серьезный сигнал для сетевого администратора, чтоб принять контрмеры.
В конце концов есть куча Best Practice примеров от серьезных компаний и ни в одним я еще не видел чтоб Файрвол работал на виртуальной машине с другими критичными "сервисами" (читай машинами) на одном сервере виртуализации. Любой уважающий себе ИТ аудит отметит такую конфигурацию как опасную для бизнесс процессов.
progmike
Цитата:
| Сервер с ролью Hyper-V может вообще не иметь сетевых адаптеров (назначенных для ОС - все адаптеры только для виртуалок) |
Совершенно согласен, но в данном примере у нас не этот случай, ветка же все-таки для Керио и тут у нас как минимум один выделенный сетевой адаптер который выходит в Интернет.
Конкретизирую пример, фактически у нас тут получается так:
Машина с Хайпер-Ви:
На ней виртуалки:
1. Керио (тут уже требуется внешняя линия для интернета)
2. Можно на вторую поставить Веб-Сервер
3. Почтовый сервер
4. RODC (я сюда первичный домен бы не поставил)
Честно говоря для меня составить эту схему сложно, потому что я себе такую схему даже не представляю, я сторонник выделенного файрвола. Или приведу более извратный пример, который я реально видел.
У человека, моего коллеги, в одной Кредитной Организации (!) в Косово на приличном сервере был Хайпер-Ви с такой конфигурацией.
1. Форефронт ТМГ
2. SQL 2005 со всеми кредитными данными клиентов (!!!)
3. Домен Контроллер
4. Файл сервер
х. на всех машинах были и другие сервисы
Представляете, что может произойти если на такую машину пойдет самая DDoS атака. Про более серьезные атаки молчу. Для первого примера, риску подвергается почтовый сервер организации, лично для моей организации это сверхкритично. Второе полетит веб сервер и если компания предоставлят веб услуги да и еще под контролем гос. регулятора - то это вообще хана котенку.
Помимо всего, для Виндовсов есть куча эксплойтов, злоумышленник может получть доступ к такой машине в обход файрвола. Если злоумышленнику теоретически удастся взломать такую машину, он сразу получает доступ к критичной информации например к личным данным клиентов.
В случае с выделенным Appliance-ом он взламывает систему Керио, но это еще не значит что он сразу и с наскока получит доступ домену или другим службам, имеющим свою собственную систему авторизации. Есть одно НО - я учитываю, что Керио не введен в домен и через него злоумышленник не получит доступа к каталогу юзеров.
Цитата:
| Ровно столько же времени, сколько и после взлома виртуализированного файервола. |
Насколько я знаю все известные эксплойты для Керио Appliance приводили к отказу работы системы. Если я не ошибаюсь то это приведет отказу выхода условной компании во внешнюю сеть, это уже серьезный сигнал для сетевого администратора, чтоб принять контрмеры.
В конце концов есть куча Best Practice примеров от серьезных компаний и ни в одним я еще не видел чтоб Файрвол работал на виртуальной машине с другими критичными "сервисами" (читай машинами) на одном сервере виртуализации. Любой уважающий себе ИТ аудит отметит такую конфигурацию как опасную для бизнесс процессов.