Wie sicher sind Proxmox Network Bridge Interfaces

[Skankhunt42]

Hallo zusammen,

ich plane aktuell eine Malware Analysis Plattform aufzubauen.
Diese soll in insgesamt 2 VMs auf meinem Produktiven Proxmox Hypervisor laufen. (Ja ich weiß nicht ideal - auf einer kleinen Umgebung zuhause gehts leider nicht anders)

Die 2 Maschinen sollen untereinander kommunizieren dürfen. Dafür war geplant ein vmbr Interface anzulegen und dieses an die 2 Maschinen anzubinden.
Der Proxmox-Host soll keine IP Adresse auf der vmbr erhalten.

Nun würde der Maliziöse Traffic ebend über die vmbr laufen.
Ich stelle mir daher die Frage, wie sicher sind diese vmbr?
Kann der Traffic darin "ausbrechen" und an andere Systeme gelangen wenn diese über andere vmbr interfaces kommunizieren?

Danke euch.

 

[otherwisegg]

Hallo zusammen,

ich plane aktuell eine Malware Analysis Plattform aufzubauen.
Diese soll in insgesamt 2 VMs auf meinem Produktiven Proxmox Hypervisor laufen. (Ja ich weiß nicht ideal - auf einer kleinen Umgebung zuhause gehts leider nicht anders)

Die 2 Maschinen sollen untereinander kommunizieren dürfen. Dafür war geplant ein vmbr Interface anzulegen und dieses an die 2 Maschinen anzubinden.
Der Proxmox-Host soll keine IP Adresse auf der vmbr erhalten.

Nun würde der Maliziöse Traffic ebend über die vmbr laufen.
Ich stelle mir daher die Frage, wie sicher sind diese vmbr?
Kann der Traffic darin "ausbrechen" und an andere Systeme gelangen wenn diese über andere vmbr interfaces kommunizieren?

Danke euch.

Durchaus machbar - Haben wir ebenfalls, zwar nicht mit Maliziösen Traffic, aber diese "Isolation". Mal zusammengefasst:

- Solange die Netzwerkschnittstellen korrekt isoliert sind und keine IP-Adressen auf dem Proxmox-Host gebunden sind, die mit der Malware-Analyse in Verbindung stehen, sollte der Traffic grundsätzlich innerhalb der vmbr bleiben.
- Linux Bridges sind dazu konzipiert, den Traffic zwischen verschiedenen Brücken zu isolieren. Das bedeutet, dass Traffic, der über vmbr0 läuft, nicht direkt zu vmbr1 oder anderen Bridges gelangen kann, solange keine spezifischen Routing-Regeln dies erlauben.
- Wenn dein Proxmox-Host keine IP-Adresse auf der vmbr hat, sollte er nicht direkt dem maliziösen Traffic ausgesetzt sein. Das verringert das Risiko, dass der Host kompromittiert wird.

Sicherheitsaspekte hierbei gibts aber einige:
- Vorher sicherstellen, dass die Bridge-Konfiguration korrekt ist und dass keine IP-Adressen oder unnötigen Netzwerkdienste auf den Bridges laufen.
- Verwende VLANs (Virtual Local Area Networks), falls möglich, um den Traffic weiter zu isolieren.
- Setze zusätzliche Maßnahmen innerhalb der VMs um, z.B. Firewall-Regeln, um sicherzustellen, dass nur notwendiger Traffic zugelassen wird.
- Implementiere ein Netzwerk-Monitoring, um ungewöhnliche Aktivitäten sofort erkennen zu können.

Allerdings: Sag niemals nie. Treffe Vorsichtsmaßnahmen und hab ein Bewusstsein für die Risiken.

 

[Skankhunt42]

Durchaus machbar - Haben wir ebenfalls, zwar nicht mit Maliziösen Traffic, aber diese "Isolation". Mal zusammengefasst:

- Solange die Netzwerkschnittstellen korrekt isoliert sind und keine IP-Adressen auf dem Proxmox-Host gebunden sind, die mit der Malware-Analyse in Verbindung stehen, sollte der Traffic grundsätzlich innerhalb der vmbr bleiben.
- Linux Bridges sind dazu konzipiert, den Traffic zwischen verschiedenen Brücken zu isolieren. Das bedeutet, dass Traffic, der über vmbr0 läuft, nicht direkt zu vmbr1 oder anderen Bridges gelangen kann, solange keine spezifischen Routing-Regeln dies erlauben.
- Wenn dein Proxmox-Host keine IP-Adresse auf der vmbr hat, sollte er nicht direkt dem maliziösen Traffic ausgesetzt sein. Das verringert das Risiko, dass der Host kompromittiert wird.

Sicherheitsaspekte hierbei gibts aber einige:
- Vorher sicherstellen, dass die Bridge-Konfiguration korrekt ist und dass keine IP-Adressen oder unnötigen Netzwerkdienste auf den Bridges laufen.
- Verwende VLANs (Virtual Local Area Networks), falls möglich, um den Traffic weiter zu isolieren.
- Setze zusätzliche Maßnahmen innerhalb der VMs um, z.B. Firewall-Regeln, um sicherzustellen, dass nur notwendiger Traffic zugelassen wird.
- Implementiere ein Netzwerk-Monitoring, um ungewöhnliche Aktivitäten sofort erkennen zu können.

Allerdings: Sag niemals nie. Treffe Vorsichtsmaßnahmen und hab ein Bewusstsein für die Risiken.

Danke dir für deine Infos.
Genau so habe ich mir das auch gedacht.
Ich dachte ich hole mir noch ein paar andere Meinungen mit dazu.

Tatsächlich müsst eine der beiden VMs mit der Proxmox APi Kommunizieren können, dazu würde ich Proxmox in der vmbr allerdings ungerne eine IP Adresse geben wollen.
Das werde ich über ein zweites Interface an der VM "lösen" welches über meine Firewall mit DPI geroutet wird.

Dass das ganze niemals sicher ist, ist mir klar.
Ich würde das Risiko nur gerne so gering wie möglich halten wollen.

 

[otherwisegg]

Danke dir für deine Infos.
Genau so habe ich mir das auch gedacht.
Ich dachte ich hole mir noch ein paar andere Meinungen mit dazu.

Tatsächlich müsst eine der beiden VMs mit der Proxmox APi Kommunizieren können, dazu würde ich der vmbr allerdings ungerne eine IP Adresse geben wollen.
Das werde ich über ein zweites Interface an der VM "lösen" welches über meine Firewall mit DPI geroutet wird.

Das das ganze niemals sicher ist, ist mir klar.
Ich würde das Risiko nur gerne so gering wie möglich halten wollen.

Und das ist richtig so -> Lieber einmal zu viel nach Meinungen fragen als einmal zu wenig.
Der Ansatz mit dem zweiten Interface mit DPI ist gut, das wäre mir jetzt auch als erstes eingefallen.

 

[Jens_Le]

Achtung! Bei IPV6 muss man einer Bridge explizit sagen das es nicht an der Bridge genutzt wird.
https://forum.proxmox.com/threads/opnsense-vm-und-routing.148149/#post-670379
https://helpdesk.schabau.eu/archiv/proxmox013.html