KSM deaktivieren! 24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
11 / 36
libvirt ●
●
Verwalten von Gästen über ein Netzwerk –
Erstellen
–
Starten
–
Stoppen
–
Migrieren
–
Snapshots erstellen
–
…
Interessant: –
Sicherung der Netzwerkkommunikation
–
Härtung von QEMU
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
12 / 36
Zugriff auf libvirt ●
●
●
Verschiedene Protokolle: –
SSH
–
TLS
–
SASL/GSSAPI
–
…
Bei SSH hat der Nutzer Konsolenzugriff => TLS und SASL/GSSAPI sind zu bevorzugen Sichere Kommunikation und gegenseitige Authentifizierung möglich 24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
13 / 36
sVirt ●
Härtungsmodul von libvirt
●
sVirt unterstützt: –
SELinux
–
cgroups
–
AppArmor
●
Wird automatisch verwendet
●
Kein zusätzlicher Konfigurationsaufwand
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
14 / 36
sVirt + CentOS 7 ●
● ●
Berechtigungen des QEMU-Prozesses werden minimiert Starke „Schutzhülle“ um QEMU Schwachstellen in QEMU ermöglichen typischerweise keinen Ausbruch
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
15 / 36
Netzwerkanbindung ●
●
Netzwerkschnittstellen: –
Gastnetzwerk
–
Managementnetzwerk
–
Storagenetzwerk
Verwaltet mittels libvirt
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
16 / 36
Fragestellungen ●
●
●
Kann ein Gast unberechtigt Netzwerkverkehr mitlesen? Kann ein Gast auf das Management- oder Storagenetzwerk zugreifen? Sind typische netzwerkbasierte Angriffe durch den Gast möglich?
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
17 / 36
Konnektivität ● ●
Konnektivität zwischen Gästen (IPv4, IPv6) Trennung des Gastes vom Management- und Storage-Netzwerk
●
Trennung des Gastes von Diensten des Hosts
●
Beschränkung auf IP (kein STP, CDP, ...)
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
18 / 36
Filterung ●
MAC-Address-Spoofing
●
IP-Address-Spoofing
●
ARP-Spoofing
●
ARP-Flooding
●
NDP-/RA-Spoofing
●
DHCP-Spoofing
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
19 / 36
Anbindungsmöglichkeiten ●
Linux-Bridge
●
macvtap
●
Open vSwitch
●
Virtuelles Libvirt-Netzwerk
●
Hardwaredurchreichung
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
20 / 36
Linux-Bridge - Konfiguration
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
21 / 36
Linux-Bridge Sicherheitsanforderungen ●
Host hat keine IP-Adresse des Gastnetzwerkes
●
IP-Forwarding ist nicht aktiviert –
●
Achtung: libvirt schaltet IP-Forwarding an!
RP-Filter ist aktiviert Ansonsten: Gefahr fehlender Netzwerktrennung!
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
22 / 36
Linux-Bridge - Filterung ●
●
●
Möglich mit –
iptables
–
libvirt (Filter clean-traffic)
Netzwerkbasierte Angriffe können unterbunden werden Gastkommunikation kann eingeschränkt werden
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
24 / 36
macvtap ●
Virtuelle Netzwerkkarte
●
Mehrere Modi
●
●
–
bridge
–
vepa
–
private
–
passthrough
Filterung –
Durch Host nicht möglich
–
möglich durch externe Komponenten
Host nicht erreichbar
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
25 / 36
macvtap - Modus bridge ● ●
Effizient Filterung von hostinternem Verkehr nicht möglich
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
26 / 36
macvtap - Modus vepa ●
●
●
Verkehr der Gäste wird immer ausgeleitet Externe Filterung möglich Externer Switch muss Hairpin-Modus unterstützen
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
27 / 36
macvtap - Modus private ●
●
Gäste können nicht miteinander kommunizieren Kann u. U. umgangen werden! –
Hairpin-Modus nicht verwenden
–
Router korrekt konfigurieren 24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
28 / 36
macvtap - Modus passthrough ●
●
Jeder Gast hat eigene Netzwerkkarte Gast kann Netzwerkkarte umfangreich konfigurieren
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
29 / 36
macvtap - Zusammenfassung ●
Netzwerktrennung vorhanden
●
Modi: –
bridge: sinnvoll, aber keine Filterung
–
vepa: sinnvoll, ext. Filterung möglich
–
private: nicht sinnvoll
–
passthrough: nicht sinnvoll
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
30 / 36
Zusammenfassung ●
Sichere Netzwerkanbindung möglich
●
Umfangreiche Filterung möglich
●
Sicherheitskritische Konfigurationsfehler nicht ausgeschlossen
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
31 / 36
Speicheranbindung I ●
Schutz der Festplattenabbilder –
Vertraulichkeit
–
Integrität
–
Verfügbarkeit
●
Bei Speicherung und Übermittlung
●
Netzwerkbasierte Speicherbackends –
Ceph
–
GlusterFS
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
32 / 36
Speicheranbindung II ●
●
●
●
Verschlüsselung durch QEMU (qcow2) –
Mangelhaftes Konzept: Von Verwendung wird abgeraten!
–
Wird wahrscheinlich in 2017 entfernt
Ceph: Keine Sicherung der Kommunikation möglich GlusterFS: Sicherung der Kommunikation optional Ceph und GlusterFS erfordern strikte logische sowie physische Zugangsbeschränkungen
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
33 / 36
Fazit I ●
●
KVM-Stack (CentOS 7, KVM, QEMU, libvirt) –
solider Code
–
mehrschichtiges Sicherheitskonzept
–
Ausbruch aus Gast unwahrscheinlich
Netzwerkanbindung –
Umfangreich konfigurierbar
–
Grundsätzlich sicher
–
Sicherheitskritische Konfigurationsfehler nicht ausgeschlossen
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"