Там опасность к виртуализации маршрутизатора?
Аргументы, которые обычно выдвигают против этого, - это безопасность самого гипервизора, что, как показала история, не вызывает большого беспокойства. Это всегда может измениться, но пока не было серьезных повторяющихся проблем с безопасностью гипервизора. Некоторые люди просто отказываются доверять ему без уважительной причины. Речь идет не об атаке других хостов, если кто-то владеет брандмауэром, в этом случае не имеет значения, где он запущен, и из всех вещей, которые могут быть скомпрометированы, брандмауэр ВСЕГО вниз по списку, если вы не сделаете что-то глупое, например, открыть его управление для всего Интернета с установленным паролем по умолчанию. У этих людей есть какой-то иррациональный страх, что будет какой-то волшебный "корень ESX". пакет, отправленный из Интернета через один из его мостовых интерфейсов, каким-то образом что-то сделает с гипервизором. Это чрезвычайно маловероятно, существуют миллионы более вероятных способов взлома вашей сети.
Многочисленные производственные центры обработки данных используют pfSense в ESX, я сам установил, вероятно, более 100. Наши брандмауэры работают в ESX. Из всего этого опыта, единственными небольшими недостатками виртуализации ваших брандмауэров являются: 1) если ваша инфраструктура виртуализации выйдет из строя, вы не сможете добраться до нее для устранения неполадок, если вы физически не находитесь в этом месте (в основном это применимо к центрам обработки данных Colo). Это должно происходить очень редко, особенно если вы развернули CARP с одним брандмауэром на каждый физический хост. Иногда я вижу сценарии, когда это происходит, и кто-то должен физически пойти к месту, чтобы увидеть, что не так с их гипервизором в качестве виртуального брандмауэра, и единственный путь внутрь тоже не работает. 2) Более подвержен ошибкам конфигурации, которые могут создать проблемы с безопасностью. Когда у вас есть vswitch нефильтрованного интернет-трафика и один или несколько частных сетевых трафиков, есть несколько возможностей для перенаправления нефильтрованного интернет-трафика в ваши частные сети (потенциальное влияние которых будет варьироваться от одной среды к другой). Это очень маловероятные сценарии, но гораздо более вероятные, чем совершение такой же ошибки в среде, где полностью ненадежный трафик никаким образом не связан с внутренними хостами.
Ни то, ни другое не должно удерживать вас от этого - просто будьте осторожны, чтобы избежать сбоев в сценарии 1, особенно если это происходит в центре обработки данных, где у вас нет физического доступа, если вы потеряете брандмауэр.
Есть некоторая неотъемлемая опасность запускать что-либо в виртуальной среде, независимо от того, о каком сервере вы говорите. Недавно я ответил на аналогичный вопрос . Поскольку ваш маршрутизатор / брандмауэр уже будет иметь доступ к вашей внутренней сети, нет реальной причины атаковать уровень гипервизора - уже существуют гораздо лучшие векторы атаки.
Единственная причина, по которой я действительно вижу, что нужно делать после гипервизора, - это если ваша виртуальная машина находится в DMZ. Оттуда вы можете перейти к гипервизору и перейти к машине во внутренней сети. Это не тот вариант использования, который вы описываете.
Лично я храню виртуальную копию своего брандмауэра для аварийного восстановления. Использование его не идеально, но это вариант.
Есть опасность, что что-нибудь подключат к периоду интернета.
Процитирую бессмертного Странного Ала:
Выключите компьютер и убедитесь, что он выключился
Бросьте его в яму высотой в сорок три фута
Полностью закопайте его; камни и валуны должны быть в порядке
Затем сожгите всю одежду, которую вы, возможно, носили, когда были в сети!
Все, что вы открываете внешнему миру, имеет поверхность для атаки. Если вы запускаете pfSense на выделенном оборудовании и оно взломано, у вашего злоумышленника теперь есть плацдарм для внутренней атаки. Если ваша виртуальная машина pfSense будет скомпрометирована, у злоумышленника есть дополнительный вектор атаки - инструменты гипервизора (при условии, что вы их установили), с которыми он может работать, но в этот момент ваша сеть уже скомпрометирована, и вы находитесь в мире в любом случае больно.
Так что менее безопасно использовать виртуализированный экземпляр pfSense? Да, незначительно. Я бы беспокоился об этом? №
РЕДАКТИРОВАТЬ: После дальнейшего рассмотрения - если в pfSense есть конкретная ошибка, о которой я не знаю, где возникают проблемы с виртуализированными сетевыми адаптерами, которые каким-то образом создают брешь в безопасности, то приведенное выше недействительно. Однако мне неизвестна такая уязвимость.