Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 833 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Virtual Appliance] Risk to install ASG on ESX for firewall

lbn
Hello,

At home, I have installed ASG virtual appliance on my ESX and the ASG make the connection to internet.

I ask me one question : The ESX is directly connected to the internet, so it can be hacked by a hacker ? Is the hardware ASG (or Software) is the best practice to protect correctly a network ? What is the best practice ? (it is not for my home, but this question is first for my customer.. I would like not make a security fail..)

Thank in advance

Best regards (and sorry for my english...)


This thread was automatically locked due to age.
Parents
  • 0
    anything connected to the net has the possibility to be compromised.  As far as the host as long as it is setup with best practices you'll be fine. you can run ASG on esxi and arrange it so that it sees inet traffic before the rest of the network....or you can run ASg on it's own box in front of the esxi host as well on it's own hardware.  I've done it both ways.  if it gives your client more peace of mind to run ASg on its own hardware in front of the esxi host go that way..if your client is willing to let the asg run as a vm go that route..either way works..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0
    anything connected to the net has the possibility to be compromised.  As far as the host as long as it is setup with best practices you'll be fine. you can run ASG on esxi and arrange it so that it sees inet traffic before the rest of the network....or you can run ASg on it's own box in front of the esxi host as well on it's own hardware.  I've done it both ways.  if it gives your client more peace of mind to run ASg on its own hardware in front of the esxi host go that way..if your client is willing to let the asg run as a vm go that route..either way works..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
  • 0 in reply to William Warren
    Yes it works either way, but it is not recommended for security reasons. Even if the data exchange between the guest systems on the ESXi host is not activated this barrier is not so secure. There are known cases where ESXi systems were compromised and hackers made their way from a guest system connected to the web to another one connected to the inner network.
    There's no reason against running an ASG as a virtual app, but you should better separate this host system and do not run guest systems connected to the inner network on it. 
    I have three ESXi hosts, one is serving DMZ guests only and the others are serving guests on the inner network. The ASG runs on its own hardware and controls the traffic between the DMZ guests and the inner network. IMHO this is a secure way to separate the network areas.

    Like to read?
    Virtualisierung und die Risiken
    Darf man einen Domänencontroller virtualisieren? » Bents Blog » Von Nils Kaczenski
    How to Secure VMware ESX Server

    The first two links are in german but I am sure there's enough stuff in english available as well.
Cookie Information Banner