Mail Server Web,- Mailserver in vDSM

[rednag]

Hallo Leute,

ich habe mir ein paar Gedanken um die Sicherheit gemacht. Jetzt benötige ich mal hilfreiche Ratschläge von euch.
Macht es Sinn wenn ich vDSM installiere und darin dann die Web Station und den Mail Server?
Hintergrund ist ein "ausbrechen" aus der Web Station zu verhindern, bzw. andere Angriffsvektoren zu minimieren.
Ich weiß nicht welche unterschiedlichen Angriffswege es gibt, aber in meinen Gedanken sollte dieses Setup ein zusätzlichen Plus an Sicherheit geben oder denke ich hier völlig falsch?

wie sind Eure Einschätzungen hierzu? Lohnt sich der Aufwand und bringt es was?

Gruß rednag

 

[rednag]

**push**

 

[TheGardner]

Hatte schon beim ersten Mal überlegt was zu schreiben, aber dachte dann - ach sollen andere da mal antworten!

Die Gegenfrage wäre: Sind Deine Daten so empfindlich, dass sie aufs Korn genommen werden? Also vielmehr: Ist der Aufwand wirklich nötig, das Ganze aufzusetzen?
Gehen wir mal davon aus ja, dann probiere das Ganze einfach mal! Vielleicht auch zweigleisig - also die vDSM Variante erstmal nur als Test-Projekt neben Deiner eigentlichen Einrichtung! Wirklich rausfinden, ob das Ganze dann einen Mehrwert an Sicherheit bringt, wirst Du wohl nicht. Allerdings, wenn ich mir überlege, wie das Ganze mit vDSM dann technisch/theoretisch funktioniert, dann würde ich schon der Meinung sein, dass es sicher(er) sein sollte.
Im Endeffekt kann mich aber schon wieder der nächste Technikfreak -hier oder woanders- komplett zum Zweifeln bringen, wenn er/sie mir wieder irgendwelche Angriffszenarien offenbart, die meine schöne Theorie zunichte macht!

Das ist nen zweischneidiges Schwert. Wenn mir die Sache was wert ist, dann würde ichs machen! Dümmer wird man definitiv dadurch nicht, auch wenn man am Ende sagt, dass es eigentlich blos ein bisschen rumfummeln und rumfrickeln ist!

 

[rednag]

Hatte schon beim ersten Mal überlegt was zu schreiben, aber dachte dann - ach sollen andere da mal antworten!

Das hat sich bestimt jeder gedacht

Es geht mit nicht um meine streng geheimen Regierungsdokumente zu TTIP oder CETA cool, aber in meinem Laienhaften Verständnis könnte dann ein Angriff "nur" auf die Dienste erfolgen. Ein "ausbrechen" auf andere Ordner/Dateien sollte hier doch fast unmöglich sein. Eben weil die Dienste separiert werden.
Wobei auch hier Ports an vDSM weitergeleitet werden müssen. Sprich der Traffic befindet sich schonmal im lokalen Netz. Natürlich könnte man das auch mit einer DMZ lösen, aber ich bin momentan nicht flüssig für neue Hardware. Eine DS nur für Web,- Mailserver in einer DMZ wäre was feines. Ok, ich schweife vom Thema ab...
Es wundert mich nur das augenscheinlich noch niemand auf die Idee gekommen ist das zu machen, bzw. in Erwägung gezogen hat.

 

[jahlives]

ich würde grundsätzlich folgendes anmerken: virtuelle Maschinen erstellt man nicht primär wegen der Sicherheit sondern wegen der besseren Ausnutzung der bestehenden Hardware. Ein "Mehr" an Sicherheit ist durch Virtualisierung nicht unbedingt gegeben u.U. sogar weniger. Denn die Virtualisierung setzt mehr Code voraus und wie wir alle wissen bietetet "mehr Code" auch mehr Möglichkeiten für Fehler/Lücken.

 

[rednag]

@jahlives

von dieser Seite habe ich das ganze noch garnicht betrachtet.
Wie in meinem ersten Posting geschrieben weiß ich nicht um die Möglichkeiten eines Angriffs. Ich meine hier nicht eine DDOS sondern explizite Ausnutzung evtl. vorhandener Lücken. Sprich der Angriff ermöglicht eine Ausnutzung von Sicherheitslücken. Kann der Angreifer dann auch den Host mit dem vDSM "übernehmen". Also vDSM und den Host unter seine Kontrolle bringen? Wenn es sich "nur" eine Übernahme des vDSM handelt, würde dieses Setup dann doch eine gewisse Sicherheit bringen, weil andere Dienste nicht in Mitleidenschaft gezogen werden können. Vielleicht sehe ich den Wald vor lauter Bäumen auch nicht...

 

[jahlives]

aus einen virtuellen Host kann man je nach Lücke im worstcase den kompletten physikalischen Host übernehmen. Kommt auf die Art der Lücke an. Unabhängig von der eingesetzten Virtualisierungssoftware greift diese immer irgendwie auf die Hardware zu. Das geschieht unter root. Dort eine Lücke/Fehler und man könnte ausbrechen. So gab es z.B. bei qemu-kvm einen Fehler der über virtuelle Floppy Disks eine Angriffsfläche bot. Oder recht aktuell bei vmware via viruelle Drucker unter Windows.

 

[rednag]

Ok. Wenn das so ist, dann führt dieses Konzept nicht zum gewünschten Erfolg.

 

[jahlives]

ich sage nicht es könnte nicht zum Erfolg führen ;-) Bei vielen Angriffsszenarien kann dich Virtualisierung schon schützen z.B. vor Lücken in der Software, welche in der virtuellen Maschine läuft. Aber sobald es um Lücken in der Virtualisierungssoftware selber geht, ist oft auch ein kompletter Ausbruch aus der virtuellen Umgebung möglich. Es ist ein Fakt, dass mehr Codezeilen immer auch mehr Fehlerquellen bedeuten. Ein virtuelles System ist in seiner Gesamtheit immer komplexer, als dasselbe System direkt auf einer phys Kiste installiert.

 

[rednag]

Nun, das leuchtet mir schon ein. Deswegen habe ich immer so wenig Dienste wie möglich am laufen.
Ich mag das puristische Design irgendwie
Leider bin ich jetzt mit Deiner Aussage auch nicht schlauer. Zumindest kann ich davon keine Abschätzung ableiten ob sich dieses Szenario lohnt umsusetzen.
Aber ich glaube eine eindeutiges Pro/Contra wird es hier nicht geben.

 

[haydibe]

Empfehlung: DockerDSM (ressourcensparender in Bezug auf RAM) oder VirtualDSM verwenden.

Warum: Ein Hack in an einem Deiner Dienste würde sowohl in DSM als auch vDSM/DockerDSM greifen. Im ersten Fall wäre der Angreifer DIREKT auf Deinem System. Im zweiten Fall müsste der Angreifer über seinen ersten erfolgreichen Angriff einen weiteren erfolgreichen Angriff aif die Virtualisierungslösung bzw. Docker durchführen können, bevor der Angreifer DIREKT auf Deinem System ist. Wird es leichter das gesamtsystem zu hacken? Nein! Wird es leichter einen Dienst leichter zu haken? Nein! Hat man mehr Aufwand das gesamtsystem zu hacken? Ja!

Die Virutalisierungslösung bzw. Docker-Host ist von aussen nicht zu erreichen und damit auch nicht direkt angreifbar.
Einzige Ausnahme: der Angreifer schafft es TCP/IP Pakete so zu manipuieren, das der Angriff den Netzwerkkarten-Treiber der Virtualisierungslösung bzw. den im Docker-Container laufenen Treiber so angreifen kann, dass dieser darüber die darunterliegen Plattform angreifen kann.
Wie wahrscheinlich ist das so etwas möglich ist? Höchst unwahscheinlich!

 

[jahlives]

Die Virutalisierungslösung bzw. Docker-Host ist von aussen nicht zu erreichen und damit auch nicht direkt angreifbar.

das stimmt so nicht ganz. Jede Aktion (z.B. durch einen Zugriff auf einen Dienst in der virtuellen Umgebung) hat auch eine Aktion auf dem physikalischen System zur Folge. Greift der Docker auf seine Festplatte zu, dann findet ein Zugriff unter root auf den phys Host statt. Ein Fehler im Treiber und pawn, gehört dem Bösen dein phys Server

Zudem ist Docker ein nicht ganz so passendes Bsp für Virtualisierung: denn Docker macht eigentlich nur einen Container. Solche Container machen keine Abstraktion der Hardware Schicht, sondern greifen direkt auf die Hardware des phys Hosts zu. Das kann man von der Architektur her nicht direkt mit Lösungen wie qemu-kvm, Virtualbox oder ESX vergleichen.
So unwahrscheinlich ist ein Angriff via manipulierte Pakete gar nicht. Zumindest für lokale User gibt es auch im TCP/IP Stack genügend Lücken z.B.: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8655 um nur eine zu nennen

 

[haydibe]

Ich habe Docker nicht mit Virtualisierung verglichen. Ich nutze beides und finde Container mitlweile deutlich charmanter - nur lässt sich damit nicht alles abbilden.

Klar können überall Fehler enthalten sein. Am Ende des Tage is alles nur Software... und komplexe Software zu schreiben ist nicht trivial. Bei der Absicherung ist ein PenTest auch nur so erfolgreich bei der Verwundbarkeitsüberprüfung wie der Mensch der die Tests design bzw. was er testet.

Allerdings VM/Docker prinzipiel als unsicherer Einzustufen, als den direkten betrieb halte ich für panikmache. Bsw mit der TCP/IP Stack Lücke: bei Docker wäre sowohl der Host als auch der Container davon betroffen. Verschlimmert das die Situation? Nö.

Gerade die VM-eigenen Treiber für den Durchstich auf die Host-Treiben wurden nicht gestern erst entwickelt und haben einen entsprechenden reife Grad. Wobei ich hier nur für Vmware und Virtualbox sprechen kann.