Hola FerrerdeCouto

Gracias lo probaré está noche y ya te contaré como ha ido porque creo que las nuevas seguro que las tengo con E1000 pero las migradas desde el esx 4.0 es posible que no. A ver si hay suerte.

Un saludo

Hola FerrerdeCouto

Gracias lo probaré está noche y ya te contaré como ha ido porque creo que las nuevas seguro que las tengo con E1000 pero las migradas desde el esx 4.0 es posible que no. A ver si hay suerte.

Un saludo

Buenos días

Pues no no era eso, ya tenía las tarjetas en E1000, supongo que en la migración me dió a elegir aunque no me acuerdo, lo hice con la opción Migrate una vez que tuve los dos esx en el vCenter. Así pues sigo igual, mi paso ahora pienso que es instalar las tools pero me surge otro problema. Sigo los pasos del kb de wmware que explica como hacerlo para linux con el compiler, cuando no está disponible RPM pero en la instalación de las tools me pregunta la ruta al directorio donde están los directorios rc0 - rc6 pero el appliance de IPCOP no los tiene con lo que no tengo forma de avanzar, sin embargo he visto por internet que hay alguna versión de IPCOP con las tools instaladas, no sé si has tocado alguna vez este appliance o tienes alguna otra idea. Gracias.

Hola a todos,

¿Alguna nueva idea? Muchas gracias

Un saludo,

David

Buenos días

¿Alguién utiliza un virtual appliance como Firewall con un rendimiento de red optimo? ¿Alguna sugerencia sobre cual podría ir bien bajo el hardware especificado? Entiendo que es algo que se hace y que debería funcionar adecuadamente. Gracias.

Un saludo,

Hola,

Dispones de Vyatta, m0n0wall y otros. Mira en el marketplace de VMware.

Saludos.

-

José Luis Gómez Ferrer de Couto

Founder of PiPo e2H

Blog: http://blog.e2h.net

Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias.

If you find this or any other answer useful, please consider awarding points. Thank you.

-

[http://blog.e2h.net|http://feeds.feedburner.com/PipoE2h-SolucionesTicAvanzadas]

Hola,

Partiendo de la base que es un craso error montar un firewall virtualizado (por el agujero de seguridad que representa), creo que no has escogido la distro más optima para estos menesteres. La única distro free que funciona decentemente bajo ESXi, es pfSense (www.pfsense.com). Pero aún así, no sé si te dará el throughput que esperas.

Espero que no ofrezcas servicio al exterior con ese applaince. Si es así, tienes un problema y lo mejor que puedes hacer es ponerte en manos de fabricantes como StoneSoft o CheckPoint, aunque el problema sigue existiendo. IMHO.

saludos.

Hola,

Decir únicamente, "palabra de Dios nsolop"... "te alabamos señor". Más de acuerdo no puedo estar.

Un saludo.

-

José Luis Gómez Ferrer de Couto

Founder of PiPo e2H

Blog: http://blog.e2h.net

Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias.

If you find this or any other answer useful, please consider awarding points. Thank you.

-

[http://blog.e2h.net|http://feeds.feedburner.com/PipoE2h-SolucionesTicAvanzadas]

Hola

Gracias a todos por vuestras opiniones. Primero comentar, por responder un poco a todo lo comentado, que mi entorno es de pruebas y además en mi casa, con lo que ni tiene carga de trabajo ni necesito dar servicio a nada en concreto con lo que no necesito nada especial, excepto para simular un entorno lo mas real posible. Por otro lado carezco de presupuesto para soluciones de pago, por eso usar en principio IPCOP, porque además sé de empresas que lo usan en producción, además a mi hasta el cambio de hardware y de versión de esx, funcionaba bastante bien con una velocidad de internet mas lenta. Independientemente de la calidad y prestaciones de las diferentes soluciones estoy bastante convencido que el esx 4.1 necesita bastantes mas prestaciones para ofrecer el mismo rendimiento.

Ahora ya tengo instalado y estoy configurando vyatta, de las dos opciones que me propuso FerrerdeCouto me pareció bastante buena, es muy completo y con una configuración por comandos muy buena (no se puede decir lo mismo del modo gráfico), y aparentemente muy potente. A ver cuando lo tenga listo y pase todo el tráfico por él que tal va de rendimiento, espero que al menos igual que a nsolop. De todos modos les echaré un vistazo a las otras opciones (untangle y pfsense). Por mi parte tampoco creo que un firewall virtualizado sea un agujero de seguridad, sé de varios sitios donde se usa en producción y estoy de acuerdo en que si se hacen bien las cosas puede ir muy bien, al igual que si se hacen mal un firewall físico también puede ser un agujero de seguridad. Si puedo ajustar mi infraestructura probaré también el vShield.

Ya os contaré con que solución me ha funcionado el tema (también he optado por cambiar el switch y poner uno de giga). Gracias.

Saludos,

Hola,

Por mi blog tienes artículos sobre Vyatta, explicando instalación, configuración de VPNs y gestión de contenidos.

Saludos.

-

José Luis Gómez Ferrer de Couto

Founder of PiPo e2H

Blog: http://blog.e2h.net

Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias.

If you find this or any other answer useful, please consider awarding points. Thank you.

-

[http://blog.e2h.net|http://feeds.feedburner.com/PipoE2h-SolucionesTicAvanzadas]

Hola

Gracias, FerrerdeCouto les echaré un vistazo....

Saludos,

Nooooo, que no se diga eso de "Dios nsolop" solo un mortal más con muchas ganas de compartir experiencias y jugar con tecnologia jejejeje

Saludos a todos!

Regards/Saludos

Por favor no olvides calificar las respuestas que te resultaron de ayuda o fueron correctas.

Please, don't forget the awarding points for "helpful" and/or "correct" answers.

________________________________________

Nicolás Solop

VMware vExpert 2010 - VCP 410- VCP 310 - VAC - VTSP

My Linkedin Profile

Join to Virtualizacion en Español group in Likedin

!http://feeds.feedburner.com/WetcomGroup.1.gif!

Si realizais busquedas en profundidad os saldrán documentos como este: http://taviso.decsystem.org/virtsec.pdf (el documento sigue vigente) y multitud de threads en mailing lists serias que hablan sobre el particular.

Personalmente, este verano pasado pensé en migrar los firewall físicos a virtual. Pero investigué el tema y lo descarté automáticamente. Y hay muchos motivos y entre ellos:

- ¿que pasa con el throughtput si es un punto importante en tu infraestructura? Queda penalizado.

- ¿que pasa con VPNs críticas como se produzca un vmotion o un HA o el servidor ESXi (y pasa lo mismo en el resto de hypersores) vaya un poco cargado? Pérdida garantizada de la conectivdad. Probadlo.

- ¿habeis mirado los logs de vuestros firewalls? En las pruebas que yo hice las pérdidas de paquetes eran constantes ... y si son firewalls de producción ..

- ¿que pasa con ataques DoS o DDoS? En un entorno físico los "sufre" el firewall, en un entorno virtual, toda la infraestructura.

- ¿que pasa con el arp poisoning? En un entorno virtual, los firewalls se lo comen con patatas, en un físico no es trivial para nada. Y sí, se instalan firewalls en producción que controlan reglas a nivel de entradas MAC.

.. y la lista sigue.

Yo en mi casa si dsipongo de un firewall virtual, normal, pero en la empresa ni soñarlo ... Y considero un riesgo altísimo poner un firewall virtual en un entorno virtual, pero allá cada uno.

Saludos.

Hola de nuevo,

Hace unos años en las oficinas de VMware había un cartel/banner con la frase "No todo es virtualizable" hace unos meses con la salida de vSphere a la calle el mensaje del cartel/banner cambió a "Casi todo es virtualizable".

Yo tengo una idea particular con respecto a esos mensajes y es la siguiente... si el equipo que estamos pensando poner en una infraestructura virtual tiene tantos requerimientos físicos como los de una máquina completa y las funcionalidades de HA, VMotion y DRS no hacen una diferencia considerable entonces el equipo no debe ir en una infraestructura virtual.

Partiendo de esta premisa:

Si el nivel de troughput que puede entregar la infraestructura virtual no alcanza a los niveles que el sistema requiere el equipo no debe ir virtualizado.

Particularmente no vi muchas desconexiones a causa del vmotion (experiencias con RDP, y transferencias FTP) pero debería probar las desconexiones de VPN. Con respecto a HA creo que estamos en la misma situación que con un firewall físico, en caso de una caída de la caja debería haber un vuelco de servicio y no creo que la conexión se mantenga activa.

Los logs de mi firewall al momento no tienen pérdida de paquetes pero no puedo garantizar que en el futuro con un incremento del tráfico no se puedan producir. Solo el tiempo lo dirá.

Con respecto a los ataques de DoS creo que se podrían contener por medio de resource pools con el objetivo de limitar el consumo de recursos de ese o esos firewalls.

Con respecto al tema del arp poisoning no puedo opinar ya que no soy un experto y no tengo conocimientos en la materia. Pero supongo que de alguna forma pueden mitigar de alguna manera estos temas por medio de políticas de seguridad en los switches virtuales.

Nada, como dije antes solo quiero compartir experiencias acá en el foro y lograr un buen debate. Lo que expresé arriba es lo que vi y con lo que trabajé y lo que no conozco como el tema del arp poisoning lo dejo en manos de otros expertos.

Saludos a todos.

Por favor no olvides calificar las respuestas que te resultaron de ayuda o fueron correctas.

Please, don't forget the awarding points for "helpful" and/or "correct" answers.

________________________________________

Nicolás Solop

VMware vExpert 2010 - VCP 410- VCP 310 - VAC - VTSP

My Linkedin Profile

Join to Virtualizacion en Español group in Likedin

!http://feeds.feedburner.com/WetcomGroup.1.gif!

Varias cosas:

- Un DoS o DDoS no lo paras con un resource pool, de hecho no lo podrás parar nunca ni evitar que lo sufra toda tu infraestructura de virtualización (al final el servidor/es ESXi estrán gastando muchos recursos en esa tarea). Haz la prueba. Hay herramientas para simular ataques de ese tipo. Añade además la capa "molesta" de la virtualización y ya tienes una caida en toda regla del servicio. Pero esto no es solo problema de VMware, lo és para todos las palataformas de virtualización.

- Sobre el HA, vMotion y demás "bichos": una caida inesperada de un firewall físico en un cluster tiene el mismo efecto en un entorno virtual. Ahora bien, un balanceo de carga "controlado" en un entorno físico no tiene pérdidas de paquetes y en el virtual sí. Puedes probar por ejemplo un virtual firewall Stonegate y después en físico. Dehech, por ejemplo, stonesoft solo te dá soporte en modo HA en vSphere, mientras que en físico los firewalls funcionan activo/activo ... y van perfectos.

- El arp posioning: puedes controlar hasta cierto punto con los virtual switches, pero no todo lo que puedes controlar en un entorno físico. Y el motivo principal, que por ejemplo con vmware se agrava, es que se utilizan direcciones MAC conocidas, esto es del rango 00:50:56 en vmware.

... y añadimos a todo esto las posibles vulnerabilidades que presenta el kernel vmware. Resultado: una capa de software más que es vulnerable.

Es solo mi opinión, pero yo que de verdad un firewall (y un IDS/IPS todavía menos) no me lo planteo en un entorno de virtualización ni "jarto de cola-cao" )

Saludos.

Excelentes puntos,

No soy especialista en el área de seguridad informática pero podríamos limitar el alcance del DoS por medio de políticas de ancho de banda en el port group donde se colocan los firewalls y con un resource pool limitar el consumo de recursos de las virtuales que los corren?. Pregunto desde el desconocimiento.

Con respecto a una caída por medio de HA podríamos trabajar con dos firewalls virtualizados en cluster del mismo modo que dos firewalls físicos y así "emular" el ambiente. Creo que con eso podríamos resolver ese punto.

No tengo mucha experiencia de trabajar en ambientes grandes con los Nexus 1000V de Cisco para ambentes de VMware pero con estos virtual switches no podríamos lograr un nivel mayor de control?. Vuelvo a recordar que no soy un especialista de seguridad informática.

Con respecto a las vulnerabilidades del kernel estamos (como decimos en Argentina) al horno por que no tenemos forma de controlarlo.

Al fin de cuentas esto termina siendo como la pizza hay gustos para todos y cada uno puede elegir el que más le guste o la calidad de la pizza que pueda pagar. Costo/beneficio + un poco de sabor

Regards/Saludos

Por favor no olvides calificar las respuestas que te resultaron de ayuda o fueron correctas.

Please, don't forget the awarding points for "helpful" and/or "correct" answers.

________________________________________

Nicolás Solop

VMware vExpert 2010 - VCP 410- VCP 310 - VAC - VTSP

My Linkedin Profile

Join to Virtualizacion en Español group in Likedin

!http://feeds.feedburner.com/WetcomGroup.1.gif!