SMPFR

bonjour,

pour ceux qui ont deja testé, y a-t-il un risque a mettre un esxi en frontal en DMZ ?
j'entends par la sans firewall directement relié au net quoi !

les VM a l'interieur seront protégées, la n'est pas le problème.

ma question porte donc sur le risque de me faire hacker l'hyperviseur

Merci !

Salut,

Concernant le host, y a pas grand chose sur le net... :/

Au niveau des risques, dans l'ensemble même problème que pour une VM... non ?

Bon ma réponse n'apporte pas grand chose (voir rien ) mais suis pas un expert

dans l'hyperviseur sur le serveur, tu peux pas restreindre son accès pour une seule adresse Ip?

@kali => en effet ça m'aide beaucoup
@gizmo => je sais pas. here is the question !

a mon avis, ya pas grand chose qui est "ouvert" sur l'hyperviseur
ya quelques ports comme le 443 mais c'est a peu près tout

ya pas de backdoor ?

bien sur je mettrais un mot de passe correct pour connecter le client de l'hyperviseur, mais ça me rassure pas quand meme

pour connecter un client? VPN?

je pense que t'y a déjà pensé mais on sait jamais

je vais aller jeter un coup d'oeil sur l'esxi que j'ai au taff et je te dis ca

pour preciser la demande, je prevois de mettre un esxi en direct sur le net, avec:
une VM type pfsense qui servira de routeur/firewall/client-serveur VPN
un DC secondaire windows (sur le lan virtuel)
un filer type openfiler ou freenas (sur le lan virtuel)

il n'y aura aucune ouverture du WEB vers le lan virtuel, tout passera par le VPN (sauf pt'etre le RDP pour une raison de confort mais qui sera bloqué une fois l'installation terminée)

donc niveau secu des VM ça devrait aller (pfsense bloque tout par defaut, ce qui me va assez bien )

me reste donc la question de la securité de l'hyperviseur
voila

pour connecter un client? VPN?

je parlais du vsphere client de l'esx pour le management des VM (me connecter au host quoi)

j'ai regardé sur l'esxi: l'adresse ip que tu attribue c'est celle pour manager le serveur et donc pour se connecter avec vsphere, si tu mets celle de ton lan et donc pas celle qui ira sur le net normalement pas de problème sauf backdoor/failles

??? pas compris.
l'@IP du host sera forcement l'IP publique non ?
sinon comment je ferais pour ne serait-ce que pour me connecter le temps d'installer le reste ???

bas ton esx serait sur un lan nan? car si tu mets l'adresse ip publique sur le serveur direct ouais c'est clair ca pue du cul niveau sécu

Sur le WAN a dit le Mr. :d

l'ESX sera sur le WEB en direct (hebergé chez OVH sur serveur dédié)
voila, vous savez tout

nan mais j'avais pigé qu'il aurait accès au web

je pensais juste qu'il serait sur un lan mais si il est chez ovh ca change tout

à part mettre un méga pwd je vois pas :/

mais je pense que niveau sécu ca craint un poil de cul de mammouth quand même

mais je pense que niveau sécu ca craint un poil de cul de mammouth quand même

tiens, je me souviens plus pourquoi j'ai ouvert ce topic

je pense qu'ils ont fait les choses bien, OVH le propose donc c'est que ça doit etre assez fiable, c'est pas comme un windows ou un linix ou tu peux mettre un firewall soft, la c'est figé tu peux rien y changer donc si c'est une passoire, ça se serait deja su.

je pense aussi ^^

après si t'es un peu parano je pense que tu peux t'inquiéter mais si tu mets un passwd qui tabasse y a pas de raison

ce qui m'inquiete c'est pas le password, c'est plutot les failles ou backdoor

j'ai bien compris

après si t'as la dernière version faut voir si elle comporte des risques mais en même temps t'as d'autres choix? c'est une vrai question hein ^^

Faudrait poser la question au support OVH...

@gizmo=> autre choix, oui, n'importe quel hyperviseur, mais je connais que esx. je sais pas si OVH en propose d'autres.
@kali => tu crois vraiment que OVH va me dire que leur truc est foireux et pisse comme une passoire ?

Faut tourner la question différement...

Genre, n'y aurait il pas une erreur sur la possibilité de mettre un host ESXi en DMZ...

bas t'as proxmox aussi, poulpito l'utilise depuis un moment et moi aussi

bouaaah ! mettre un hyperviseur en frontal sur le net pourquoi pas
mais sans firewall.... ça craint surtout si un petit malin arrive à rentrer, et peut du coup prendre le contrôle de tes VM :/

maintenant, j'ai jamais utilisé esXi, je ne sais pas si on peut facilement ou non bricoler le systeme host, rajouter des modules dessus etc...

au passage, l'idée d'avoir une VM comme routeur/firewall principal est pas terrible car si y'a un problème sur la VM, le reste n'aura plus acces au net. c'est un élément supplémentaire de non-stabilité

sinon, tu t'installes une debian avec un hyperviseur xen, et tu te fais un firewall sous iptables directement sur le dom0

Go voir le module de fridu qui permet de manager simplement iptables
c'est ce que j'utilise sur mon proxmox

Hey , j'avais pas vu ce topic

Nous avons menés une étude pour une banque française (dont je ne peux pas citer le nom bien sur) y'a quelques semaines.

En conclusion, l'isolation des processus ainsi que les certifications obtenus par VMWare dans le cadre du cloisonnement, permettent de partager un hôte ESX 4.x (pas 3) inter-DMZ mais également DMZ/Lan-neutre/Lan-prod , à la seule condition que l'interface vmkernel soit séparées physiquement (adaptateur physique), de ou des interfaces servant à accéder aux VMs.

(et que l'adaptateur physique qui héberge le vmkernel ou la vmconsole soit protégés par le firewall ESX ou mieux , bien sur)

merci pour l'info tugs