Virtualisierung Firewall + NAS

[BenutzerGa4gooPh]

Hallo Leute!

Früher wurde von vielen abgelehnt, Firewall zu virtualisieren. Mittlerweile hat sich der Trend wohl geändert. Könntet Ihr bitte folgendes Vorhaben (Heimnetzwerk) einschätzen:

Virtualisierung, Hostsystem Debian mit 2 Gästen/VMs:
1. pfSense mit Squid (Web-GUI) und Debian ohne Desktop Environment (NAS)
2. "NAS" (Debian Gast) ist für 1 Nutzer, also einmalige Konfiguration, es genügt wohl ftps (ftp over ssh), Samba m. E. unnötig

Hardware/Randbedingungen:
Internetzugang mit etwa 10 MBit/s, 5 Hosts im LAN
Prozessor AMD RX-427BB, 4 echte/physische Kerne
Benchmarks im Vergleich: https://www.cpubenchmark.net/cpu.php?cp ... BB&id=2496
RAM 8 GB
32-GB-SSD für OS eingebaut, keine Möglichkeit HDD einzubauen, externe USB3.0-Festplatte anschließbar/geplant

Fragen:
Ist o. g. vorhandene Hardware geeignet? Wenn nicht, lasse ich Virtualisierung weg und realisiere NAS auf anderweitiger HW.
Ab welcher Hardware (CPU-Kerne, CPU-Benchmarks) hat o. g. Virtualiserungsprojekt Sinn?
Wie sollte ich die CPU-Kerne und Speicher aufteilen? So als Ausgangspunkt, kann man ja testen, ändern.
Vorschläge für Virtualisierungslösung? KVM? Proxmox? Virtual Box ohne GUI wegen USB-HDD?
Bessere Vorschläge für einfachen Dateiserver als sftp?

Hoffentlich habe ich alle notwendigen Angaben gemacht, wenn nicht, bitte fragen. Danke für's Lesen und eure Gedanken dazu! Güße an alle!

Edit: Rechtschreibung.

[MSfree]

Früher wurde von vielen abgelehnt, Firewall zu virtualisieren.

Mein Bauch sagt mir immer noch, daß eine Firewall in einer VM nur eine löchrige Firewall sein kann. Wenn es gelingt, den Host über das Netz anzugreifen, bringt die virtuelle Firewall nämlich nichts mehr.

Meiner Meinung nach sollte die FW auf der physikalischen Maschine laufen, dann darf auch ein Fileserver noch unvirtualisiert mit auf die Maschine. Das spart nicht nur Resourcen sondern ist auch deutlich sicherer.

[BenutzerGa4gooPh]

Das spart nicht nur Resourcen sondern ist auch deutlich sicherer.

1. Teil: unbestritten, 2. Teil warum?
Mit Virtualisierung wäre m. E. eine eindeutige ("protokollmäßige") Trennung der VMs per Paketfilter über getrennte (virtuelle) Netzwerkschnittstellen möglich.

[MSfree]

2. Teil warum?

Ich gehe davon aus, daß der Host praktisch ungeschützt im Internet steht und die Firewall-VM sich um die Sicherheit kümmern soll. Wie kann sowas jemals wirklich sicher sein? Wenn ich angreifen wollte, würde ich den Host übernehmen. Ich laufe also völlig unbekümmert mit lauten Rasseln bewaffnet durch das offene Scheunentor und strecke meine lange Nase gen Firewall-VM

Wenn du den Host ebenfall mit einer FW ausstattest, um das o.g. Scenario zu verhindern, kannst du dir die Firewall-VM auch gleich ganz sparen, die ist dann so überflüssig wie ein Kropf.

Wenn der Host dann schonmal gut abgesichert ist, schadet auch ein Fileserverdienst nicht, denn der wird ja durch die Firewall abgeschirmt. Alles in allem muß so etwas also schon zwangsläufig sicherer als zwei VMs sein.

VMs bringen meine Meinung nach keine zusätzliche Sicherheit, sie erlauben nur, mehrere Betriebssystemisntazen auf einer Hardware laufen zu lassen, was vor allem für Anbieter von virtuellen Hosts von Interesse ist.

[BenutzerGa4gooPh]

Wenn du den Host ebenfalls mit einer FW ausstattest, um das o.g. Scenario zu verhindern ...

Das Hostsystem sollte WAN-seitig gar keine IP-Konfig erhalten oder/und sicherheitshalber noch einen einfachen Paketfilter gegen von außen initierte Verbindungen. Weiß nicht, ob beides geht, sollte ich wohl testen.

...kannst du dir die Firewall-VM auch gleich ganz sparen ...

Die Firewall-VM benötige ich für Routing zwischen mehreren LAN-Schnittstellen, outbound/egress-Firewall sowie Paketfilter zwischen LAN-Segmenten (Gastnetz für Androiden).

Meine Vorstellung (erst mal ausgehend von den VBox-Möglichkeiten) geht in etwa dahin:

physisches WAN-IF (Hostsystem entweder ohne IP-Konfiguration oder/und Paketfilter/NAT, jedenfalls kein von außen inittierter Traffic möglich)
|
Bridging
|
1 virt. WAN-IF von pfsense-VM (NAT/PAT, DHCP-Client)
|
pfSense-VM -> Bridging zwischen 2 virtuellen IFs -> Fileserver-VM
|
3 virt. LAN-IFs pfSense-VM (mit DHCP-Server pro IF, Paketfilter etc.)
|
Bridging
|
3 physische LAN-IFs (Hostsystem, theoretisch könnte nur 1 konfiguriertes Host-IF für Erreichbarkeit Hostsystem aus LAN genügen)

[MSfree]

Das Hostsystem sollte WAN-seitig gar keine IP-Konfig erhalten oder/und sicherheitshalber noch einen einfachen Paketfilter gegen von außen initierte Verbindungen.

Trotzdem muß jedes Netzwerkpaket von der physikalischen Netzwerkschnittstelle zur virtuellen Schnittstelle der VM transportiert werden, was natürlich in Software passiert, die wiederum Fehler haben kann.

Ich halte es einfach für besser, unberechtigten Traffic schon kurz hinter der RJ45-Buchse abzuweisen und nicht erst unnötig durch das RAM des Hostsystem wandern zu lassen. Wie gut RAM gegen Zugriff durch andere Prozesse "geschützt" ist, haben und Spectre und Meltdown einducksvoll gezeigt.

Die Firewall-VM benötige ich für Routing zwischen mehreren LAN-Schnittstellen, outbound/egress-Firewall sowie Paketfilter zwischen LAN-Segmenten (Gastnetz für Androiden).

Dafür ist aber keine VM nötig, das geht auch auf einer physikalischen Maschine.

Ich mache das auf meinem Router alles mit expliziten iptables-Regeln, und was nicht direkt mit iptables geht, habe ich mit lnetfilter_queue und eigener Programmen realisiert. Ich weiß glücklicherweise, wie man mit gcc, g++ und make umgeht.

[BenutzerGa4gooPh]

Ich halte es einfach für besser, unberechtigten Traffic schon kurz hinter der RJ45-Buchse abzuweisen und nicht erst unnötig durch das RAM des Hostsystem wandern zu lassen. Wie gut RAM gegen Zugriff durch andere Prozesse "geschützt" ist, haben uns Spectre und Meltdown einducksvoll gezeigt.

Das Argument hat jetzt Eindruck gemacht.
Nichtsdestotrotz sollten damit vHosts der Profi-Hoster und "Klaut's" (wie klaut es) so richtig Probleme haben und die laufen immer noch.

Nun gut, ich danke dir herzlich, mal sehen, was andere noch sagen, ansonsten plane ich um: physische pfSense-"Appliance" (*) und getrennter Homeserver (anderes Gerät) mit WoL oder Knöpfchen bei Bedarf gestartet. So läuft auch ohne Virtualisierung nur 1 Büchse ständig.

(*) Klingt so schön wichtig(tuerisch).