Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 831 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Virtual Appliance] Risk to install ASG on ESX for firewall

lbn
Hello,

At home, I have installed ASG virtual appliance on my ESX and the ASG make the connection to internet.

I ask me one question : The ESX is directly connected to the internet, so it can be hacked by a hacker ? Is the hardware ASG (or Software) is the best practice to protect correctly a network ? What is the best practice ? (it is not for my home, but this question is first for my customer.. I would like not make a security fail..)

Thank in advance

Best regards (and sorry for my english...)


This thread was automatically locked due to age.
  • 0
    anything connected to the net has the possibility to be compromised.  As far as the host as long as it is setup with best practices you'll be fine. you can run ASG on esxi and arrange it so that it sees inet traffic before the rest of the network....or you can run ASg on it's own box in front of the esxi host as well on it's own hardware.  I've done it both ways.  if it gives your client more peace of mind to run ASg on its own hardware in front of the esxi host go that way..if your client is willing to let the asg run as a vm go that route..either way works..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Yes it works either way, but it is not recommended for security reasons. Even if the data exchange between the guest systems on the ESXi host is not activated this barrier is not so secure. There are known cases where ESXi systems were compromised and hackers made their way from a guest system connected to the web to another one connected to the inner network.
    There's no reason against running an ASG as a virtual app, but you should better separate this host system and do not run guest systems connected to the inner network on it. 
    I have three ESXi hosts, one is serving DMZ guests only and the others are serving guests on the inner network. The ASG runs on its own hardware and controls the traffic between the DMZ guests and the inner network. IMHO this is a secure way to separate the network areas.

    Like to read?
    Virtualisierung und die Risiken
    Darf man einen Domänencontroller virtualisieren? » Bents Blog » Von Nils Kaczenski
    How to Secure VMware ESX Server

    The first two links are in german but I am sure there's enough stuff in english available as well.
  • 0
    That's the key..shared nics.  the scenario you talk about is possible even if the systems weren't on the same host.  It is possible to make them secure and the articles reference older esxi versions.  Sure best practices say you need to run everything on different hardware sometimes you simply don't have the hardware and.or the money for that.  As long as you setup the host correctly and the associated guests there's no more danger running them all on one as if they were on physically separate hardware or hosts machines.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    You can put the Service Console on an internal vSwitch which is protected by the Astaro Security Gateway, just make sure that you have the Astaro Security Gateway set to automatically start on boot of VMware.
Cookie Information Banner