Re: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2006 ml@sikurezza.org
Soggetto: Re: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati
Mittente: simo
Data: Tue, 25 Jul 2006 13:54:30 +0200 (CEST)

On Tue, 2006-07-25 at 09:13 +0200, ego@xxxxxxxxxxxxx wrote:

> > Una nota curiosa riguarda il fatto che sul linux on board non e' abilitato
> > iptables (e gli autori del libro succitato) ne sconsigliano
> > l'installazione.
> 
> anche questo me lo aspetto, calcola che da quanto ne so il kernel Ã stato
> pesantemente riscritto.
> 
> Sicuramente con il tempo staremo a vedere cosa succederÃ e sono
> confidente, senza un pÃ di malizia, che nel momento in cui queste
> tecnologie verranno utilizzate in larga scala, si scopriranno
> simpaticissimi flaws :-)
> Comunque, io non ho ancora trovato risposta al discorso dell'interazione
> reale fra macchina ospitata ed ospitante per quel che concerne l'accesso
> alla RAM e/o drivers specifici. Oppure nessuno dell'engeneering di EMC
> (vmware) mi ha detto "quello che dici non Ã possibile perchÃ". CiÃ mi fa
> pensare che in realtÃ ci stiano ancora lavorando...
> 
> Direi che sarebbe il caso di metter su delle honeypot di ESX, io un
> pensierino ce l'ho fatto... :-D

Direi che se hai i soldi per comprarti un ESX hai anche i soldi per
piazzarci davanti un firewall e separare la lan di management da quella
su cui sono esposte le macchine virtuali, mi sorprenderebbe molto di
trovare gente che espone direttamente l'ESX che comunque offre ben pochi
servizi di suo (ssh, consolle vmware, ...), ma di certo non servizi che
esporrei mai al mondo.

Per dare una mezza risposta alla tua domanda, l'accesso alla RAM ed ai
dispositivi fisici e' tutto mediato da ESX. Chiarmente una volta
allocato un blocco di memoria ci si scrive dentro direttamente ma e' ESX
che decide dove stia fisicamente quel blocco di memoria. Per quanto
riguarda i dispositivi fisici, l,accesso diretto e' limitato a poca
roba, non so neanche se ESX permetta di accedere a dispositivi USB come
fa Vmware Server o Vmware Workstation.

Io direi che il vettore piu' probabile di attacco per uscire
dall'ambiente virtuale potrebbe essere lo spazio di I/O su cui si
attestano le utility di vmware. E' uno spazio creato apposta per
"parlare" con il server sottostante e quindi potenzialmente vulnerabile.

Simo.

In risposta a:
- I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati, Rissone Ruggero
- Re: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati, ego

Data:
- precedente: Re: [ml] Specificare interfaccia per client FTP, Paolo Pedaletti
- successivo: Re: [ml] microsoft acquisisce sysinternal, BlueRaven
- indice

Argomento:
- precedente: Re: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati, ego
- successivo: Re: I: [ml] sicurezza dei sistemi operativi in ambienti virtualizzati, Mailing List Manager
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005