A vírtualizáció elég e a biztonságért?

 ( Sipci1989 | 2011. június 12., vasárnap - 15:52 )

Helósztok. Mostanában elég sokszor nyitok itt fórumot remélem még nincs tele senkinek a töke a hülyeségeimmel. De jöjjön az amiről írni akarok. Csinálnom kellene pár ismerősnek+ ismeretlennek egy játék(cs 1.6) szervert a saját gépemre, mert közülük csak nekem van nyilvános IP címem. Mivel nem sokszor csináltam internet felől elérhető szervert(erős paranoia a nettel szemben), ezért gondoltam megpróbálom most megtanulni a biztonságos szerver készítésének fortélyait. Tehát ahol most tartok:

Van a gazda OS-em(Linux), amin fut egy VMWare Workstation 7, amin egy XP-s guest fut egyetlen bridgelt hálókártyával, amin keresztül kap egy IP címet a routeremtől. A routeren portforward van erre az IP címre a játéknak szükséges UDP portról.
A kérdésem pedig a következők.

1. A támadónak lehetséges e erről a virtualizált XP-ről elérni a routeremen lévő webadmint/a routeren keresztül a gazdagépemet?
2. A fenti megoldásnál biztonságosabb, hogyha a virtuális gép hálókártyája hostonly módban van, a gazda gépet adom meg neki átjárónak, és azt használom routerként?
3. Nektek milyen ötleteitek vannak a témával kapcsolatban?
4. Gyakorlatban milyen megoldást szoktak leggyakrabban alkalmazni?

A válaszokat előre is köszönöm.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

1. Igen/Igen
2. Nem
3. format c:
4. format c:

A virtualizalas nem noveli egy rendszer biztonsagat, max. optimalis esetben nem csokkenti. Ha az XP-s gepedet felnyomjak, teljesen mind1 hogy az fizikai vagy virtualis, a tuzfaladon belul van. Ami valamennyit segit, ha a V/P XP-d egy DMZ-n van, ha a routered tud ilyet.

Köszi a választ:D Elég nagy tévhitben éltem a virtualizációval kapcsolatban ezek szerint. A DMZ-nek utána nézek, de ha jól emlékszem a routerem képes erre.

halottál már a private vlan-ról?
Ha nem, ajánlom figyelmedbe....

Es ez ebben a scenarioban hol segit? A router mindenkeppen benne kellene legyen a vlan-ban, tehat a desktop gep is. Persze ha lenne egy router tobb green if-el, egyik a desktop vlanjaban, masik a virtualis gep vlanjaban, az megoldas volna, de az a router ami ezt tudja, nem soho kategoria.

Gondolom HLDS -t futtatsz majd, ahhoz NE windowst használj, akár futtasd a host os -ben. Van Linuxos HLDS, és szerintem jobban is működik.

--
http://neurogadget.com/

Hali. Igen HLDS-t használok, a Windowsos verzióval mi a probléma?

Bár a HLDS-hez nem értek, de a fentebb jelzett dolognál az a gond, hogy nyerni nem nyersz vele semmit, akkor meg minek eteted az erőforrásodat meg egy vendég OS-szel, mint virtualizált OS, amikor a játék szervernek is adhatod, vagy másra is használhatod, ha van natív megoldásod rá.

A fizikai gépemre nem nagyon szeretek semmi felesleges cuccot telepíteni, mert ha valamit nagyon elrontok, akkor újra kell telepítenem a gépet, ha virtuális gépen rontom el, akkor csak vissza lépek egy snapshootal, és meg van oldva. Persze tudom, hogy több erőforrást eszik, de nekem így kényelmesebb. Biztonságosnak meg azért gondoltam, mert jobban el van szeparálva a kiszolgáló program a fizikai gépemtől mint ha natívan futtatnám. De a fenti komentek alapján az utóbbi mondatban tévedek:\

Ha szeretnél virtualizálni, akkor én is a lentebb elhangzott OpenVZ-t javasolnám, bár csak Linux-ot virtualizál. Kicsi overhead-je van. Az ilyen közel realtime dolgoknál sokat számít.

Emlékeim szerint voltak vele stabilitási problémák.

De ha csak azt nézed, hogy vendég Win -ben akarsz futtatni egy szerver alkalmazást Linux host -al, amikor van natív Linuxos változata is, máris látod hogy mit spórolhatsz a dolgon.

--
http://neurogadget.com/

Szerintem:
A bridgelt adapter miatt a virtuális géped olyan, mintha a fizikai hálózatodban lenne, tehát mindent lát, a gazdagéped és a routered is.
A host only adapter használata akkor segíthet rajtad, ha a gazdagépről csak a szervernek szóló csomagokat továbbítod a virtuális gép felé, és a másik irányban is csak a szerver csomagjait fogadod el.

Egyébként:
Virtuális hardveren szerintem kifejezetten ellenjavalt egy gyakorlatilag valós idejű igényekkel rendelkező programot futtatni, ugyanis egy ilyen környezetben az ütemezés vicces dolgokat tud okozni, amit a játékosaid leginkább csúnya lag formájában fognak érzékelni.
Mivel HLDS-ből van natív linuxos változat, én a helyedben az futtatnám, mondjuk egy nagyon kevés joggal rendelkező user nevében, esetleg ha nagyon paranoiás vagy, megfejelve mondjuk egy OpenVZ-vel.

A lagra nem is gondoltam:\ . Mindegy este kiderül, hogy számot tevő késleltetés lesz e, addig is keresek linuxos HLDS-t + leírást, mert ha tényleg zavaró lag lesz, akkor kénytelen leszek natívan használni:(

linux+hlds nagy sávszél+portforward:)
Laggolni akkor is fog , ha rossz configja szervernek.(Értsd server.cfg modok,addonok.Server oldalról processek,IO művelete,sávszél_)
De ezek windowson is mennek steam+hlds.Eddig nem volt gond vele.(sv_lan 0)

Egyszerűbb, ha mindenki feltelepít egy Hamachi vagy hozzá hasonló VPN programot, és rögtön bárki lehet a host. Neked sem kell mindig a szerverrel bajlódnod, és sokkal erőforrás takarékosabb, lagg sem lesz számottevően nagyobb.

Köszönöm szépen a sok hozzászólást, és javaslatot:) Végül idő hiányában maradtam a VMWare/XP-s megoldásnál, és nem volt jelentős lag 5-6 játékos mellet, de mivel a közeljövőben normális játékos szám lesz, ezért meg próbálkozok erre a célra a fent említett OpenVZ(még soha nem használtam, de itt az ideje)/Linux hlds-el. Hamachival az a baj, hogy én csak az IP-t adom, és nem beszélek, csak egy játékossal, +ha már elvállaltam, hogy meg csinálom, akkor nem mondom vissza.