Virtualisation et Sécurité

Message par **micha30000** » mar. 18 sept. 2007 11:25

De plus en plus on parle de problèmes de sécurité accrus lors de l'utilisation de logiciels de virtualisation (de type VMWare ESX, etc).

Entre autre :
- la couche logicielle de virtualisation crée une surface d'attaque supplémentaire. A plus forte raison si elle est pas mise à jour...
- une machine qui a plus d'OS a forcément plus de failles (logique), et surtout, en cas d'intrusion, plus de services sont vulnérables.

Un lien intéressant explique ces problèmes ICI.

Le débât est ouvert.

Message par **steff00** » mar. 18 sept. 2007 11:38

Est-ce qu'une attaque réussit au niveau de la machine virtuelle peut "déborder" sur la machine physique ? Parce que si mes souvenirs sont exacts, si la mémoire allouée est correctement définie, on ne peut pas saturer l'ensemble de la mémoire physique de la machine sans avoir changer les paramètres de memoire allouées à la machine virtuelle

Message par **trailx** » mar. 18 sept. 2007 11:44

Tout dépend si on parle de para-virtualisé ou virtualisé pour le débordement mémoire...

En revanche je pense qu'il reste toujours la faille "processeur" pour éxécuter du code et remonter sur le controleur...

Mais je ne connais pas d'exploit référencé encore...

Message par **steff00** » mar. 18 sept. 2007 11:49

je pensais virtualisé
mais effectivement je n'avais pas pensé au processeur

je ne me souviens plus si on peut dédier un proc à une machine virtuelle, dans le cadre d'une machine physique multi-processeur

Message par **trailx** » mar. 18 sept. 2007 11:53

On peut effectivment binder un Virtaul Cpu sur un Core physique de processeur ou processeur tout court suivant le modèle

Message par **kalistyan** » mar. 18 sept. 2007 12:09

Drapal :d

Message par **micha30000** » mar. 18 sept. 2007 12:12

Est-ce qu'une attaque réussit au niveau de la machine virtuelle peut "déborder" sur la machine physique ?

J'imagine que oui, le but d'une attaque étant souvent le déni de service (buffer-overflow, etc).

je ne me souviens plus si on peut dédier un proc à une machine virtuelle, dans le cadre d'une machine physique multi-processeur

Oui on peut attribuer un nombre de processeur ou de core sur un nombre disponible. Par contre je ne sais pas si on peut choisir le core qu'on dédie.

Message par **steff00** » mar. 18 sept. 2007 12:39

http://www.vmware.com/pdf/vi3_security_hardening_wp.pdf

un ensemble de règles de base pour Esx Server
il y a pas mal de bonnes choses dedans
même si on peut penser que ce sont des évidences (encore que pas toutes...) ça ne fait jamais de mal

Message par **ZEPsikopat** » mar. 18 sept. 2007 18:13

Est-ce qu'une attaque réussit au niveau de la machine virtuelle peut "déborder" sur la machine physique ?
J'imagine que oui, le but d'une attaque étant souvent le déni de service (buffer-overflow, etc).

je ne me souviens plus si on peut dédier un proc à une machine virtuelle, dans le cadre d'une machine physique multi-processeur
Oui on peut attribuer un nombre de processeur ou de core sur un nombre disponible. Par contre je ne sais pas si on peut choisir le core qu'on dédie.

On ne peut pas choisir le core dédié, mais ce n'est pas un mal, ça permet de garder la souplesse de répartition de charge entre les CPU faite par le noyau.

Ensuite, le DoS est envisageable dans la théorie, mais dans la pratique, on ne corromp que la machine virtuelle et non l'hôte, puisqu'il se verouille une partie de la mémoire pour son fonctionnement perso.

Message par **dricfr** » mer. 19 sept. 2007 08:41

Je m'étais déjà posé la question :

Deux liens "génériques" dans le sujet créé à ce moment là :
http://smpfr.mesdiscussions.net/smpfr/S ... _189_1.htm

Message par **trailx** » mer. 19 sept. 2007 10:52

On ne peut pas choisir le core dédié

Sur Xen et Vmware, lorsque l'on binde un vcpu il est bindé sur un core par défaut. Pour le binder sur un cpu entier, il faut prendre core0 et core1 par exemple. Dans le fichier de conf lorsque tu bindes, on écrit pas vcpu=>core 0 mais vcpu =>cpu0 ce qui peut preter à confusion... Mais les logiciels de virtualisation travaillent avec les cpus logiques et non physiques, c'est pour cela que lorsque que tu bindes tu le fais sur un core du cpu et non le cpu entier physique

Message par **micha30000** » ven. 28 sept. 2007 22:01

Nouvel article sur les failles ouvertes par la virtualization :
http://www.lemondeinformatique.fr/actua ... 24053.html

Une douzaine de nouvelles failles sur VMWare, dont 3 trouvées par IBM inhérentes au serveur DHCP livré avec VMWare.

« en prenant le contrôle de la machine, l'attaquant peut accéder à n'importe quelle machine virtuelle présente. »

Donc ça commence à être grave... surtout quand on voit comme c'est chiant à mettre à jour ce logiciel...

Message par **augur1** » dim. 14 oct. 2007 01:06

C’est maintenant officiel System Center Virtual Machine Manager 2007 est passé en version RTM (Release To Manufacturing).
SCVMM va permettre de gérer plusieurs Virtual Server de façon centralisée

http://www.laboratoire-microsoft.org/ne ... 7_rtm.html

Message par **gizmo78** » dim. 14 oct. 2007 01:44

jai un tite question sur la virtualisation avec vmware serveur:

_ est-ce quon peut prendre la machine virtuelle et la transferer sur un vrai hdd pour pouvoir booter dessus?

Message par **micha30000** » dim. 14 oct. 2007 08:21

gizmo >> non.

Message par **gizmo78** » dim. 14 oct. 2007 12:13

ok merci

Message par **trailx** » dim. 14 oct. 2007 20:49

est-ce quon peut prendre la machine virtuelle et la transferer sur un vrai hdd pour pouvoir booter dessus?

Oui c'est possible, il s'agit de V2P (virtual to physical).

Pour cela il te faut un produit comme PowerConverter de PlateSpin

Peut etre la version payante de VmwareConverter le fait également

Message par **micha30000** » dim. 14 oct. 2007 22:32

Je connaissais pas... En même temps, ça doit être bien la merde au niveau des drivers et compagnie... enfin j'sais pas.

Message par **Dream49** » lun. 15 oct. 2007 00:14

est-ce quon peut prendre la machine virtuelle et la transferer sur un vrai hdd pour pouvoir booter dessus?
Oui c'est possible, il s'agit de V2P (virtual to physical).

Pour cela il te faut un produit comme PowerConverter de PlateSpin
Peut etre la version payante de VmwareConverter le fait également

c'est P2V et vmware converter qui convertissent un serveur physique en serveur virtuel ( les deux marche tres bien d'ailleur) mais je ne connais pas de produit faisant l'inverse ...

edit: apres un poil de recherche :

Les améliorations futures de VMware Converter 3.0 :

* Intégration dans VirtualCenter, Workstation
* Support des systèmes Linux
* Possibilité de V2P (Virtual to Physical)
* Support des formats Acronis True Image et StorageCraft
* Support de Windows Vista

A voir alors

Message par **Ryu_wm** » lun. 15 oct. 2007 10:17

je peux dire que cela fonctionne puisque j'ai porté une appliance totalement virtuelle ( developpée uniquement sur une VM ) sur une becane physique

il s'agissait de "Personnal Backup Appliance" qui tourne sous linux, donc pour le portage ça à aidé, seule contrainte la becane physique DEVAIT etre en SCSI et non pas IDE

Message par **gizmo78** » lun. 15 oct. 2007 11:28

ouais ca apres le scsi ou ide tu le choisis dans la config de la machine virtuel nan?

Message par **micha30000** » lun. 15 oct. 2007 13:06

Non, je pense que c'est dans le cas de son image virtuelle, il a du prendre SCSI pour décrire le disque virtuel, donc portable sur un disque SCSI seulement sinon Kernel Panic. Enfin j'pense.

Message par **Ryu_wm** » lun. 15 oct. 2007 15:16

voui vala

la machine virtuelle tournait avec des drivers scsi ( comme c'est très souvent le cas pour une appliance esx ) donc après pour le portage il faut mieux avoir une becane avec controleur scsi non exotique pour que ça reparte

Message par **trailx** » lun. 15 oct. 2007 15:56

@ Dream49:
Je maintiens mes propos il sont justes

et je te confirme que PowerConverter me permet de faire du V2P .

Message par **Dream49** » mar. 16 oct. 2007 00:05

je vois pas forcément l'interet mais ouai a prioris ca marche