I need some advices about hardware

Well, obviously you seems to trust a lot Hypervisor technology but it seems to me that it can be a major security risk as, there can be flaws in the hypervisor that can allow one attacker to escape from it and gain access to the whole machine. 

So, for me, running in a virtual machine an UTM directly exposed on the Internet is a really big mistake. 

Thank you for your link, I'll give it a thought.

Hi

Actually I dont trust any software solutions connected to the internet, all my 
systems are in a Faraday cage, except this one.


Hope you find the system you are looking for, and
please can you let us all know what you finally purchased, it will 
help others in their hardware decisions.

Tak

Aimee

Unless your entire network is inside that cage you still have rf leakage.

Well, obviously you seems to trust a lot Hypervisor technology but it seems to me that it can be a major security risk as, there can be flaws in the hypervisor that can allow one attacker to escape from it and gain access to the whole machine. 

So, for me, running in a virtual machine an UTM directly exposed on the Internet is a really big mistake. 

Thank you for your link, I'll give it a thought.

Why is it a "big mistake"? There may be increased risk in running the UTM in a virtual machine, but I am not sure that I would call it a "big mistake". 

If an attacker manages to break the UTM, then they own the UTM itself, the protected LAN(s), VPN communications, local authentications, DNS, etc. From the owned UTM, they can see and attack all the devices over the LAN, including my host server that is running the guest UTM itself. This is true whether they break a UTM running on dedicated hardware or in a virtual machine. 

For the most part, breaking the UTM is mostly independent of whether the attacker recognizes that the UTM is running in a virtual machine. If they happen to crash the host server, whether from the LAN side or through the hypervisor, then the UTM crashes with it and they've lost all their hard work because all access is dropped. You might consider it added protection, but I think of it as "security by dumb luck". 

Let us say that it is possible to develop an attack that breaks UTMs by exploiting a hypervisor-specific vulnerability. First, the attacker must modify the attack for the various hypervisors on the market (VMware, HyperV, VirtualBox). Second, the attacker must find virtualized UTMs. I suspect that virtualized UTMs are relatively rare compared with real hardware UTMs. I note that Sophos also sells and supports virtualized UTMs, too. The rarity of virtualized UTMs on the Internet is security by obscurity, but I doubt that many (any?) attackers are focused on developing exploits for this specialized, corner case. It would be a far better use of time to develop generalized exploits that work against all UTMs. 

Frankly, my threat model does not include attackers who are sophisticated enough to detect that my UTM is virtualized, and from there run specialized exploits at the hypervisor, or running a "shotgun attack" looking for virtualized UTMs. Remember, this is an ordinary home network; we are not guarding NSA secrets here. The additional security that might be achieved by buying a separate device to run the UTM in order to mitigate the threat of an attacker breaking out into the server through the hypervisor does not seem worth the significant cost of buying (and running) additional hardware. Besides, a UTM running on a Core i7 with lots of RAM is nice to have, virtualized or not.

I assume that the virtualized UTM is more secure than the off-the-shelf consumer grade NAT/router device that it replaced. Furthermore, I am getting a valuable eduction from implementing and managing a UTM. That makes it worth taking on a little extra risk, too. 

Let us agree to disagree. :-)

I guess the fact that Microsoft run's multi-billion dollar revenue generating data centers around the world that heavily depend on Hyper-V and it's security doesn't count for much now days. I would think it's pretty secure at this point but anything is certainly possible but I don't usually wear my tin foil hat most days. To each his/her own I suppose.

The real concern about using any form of vm with an internet facing network is that there is another level of software which is not part of the VM exposed to the internet.

I think you will find that there are very few hyper-v servers actually exposed to the internet.



Ian M

Has there been any proof of any of what you and oupsman say? I could easily make such statements about anything but that doesn't make them true. So I guess what I'm asking is do you have anything to backup what you are describing because it just sounds like a bunch of FUD to me but please correct me if I'm wrong.

Has there been any proof of any of what you and oupsman say? I could easily make such statements about anything but that doesn't make them true. So I guess what I'm asking is do you have anything to backup what you are describing because it just sounds like a bunch of FUD to me but please correct me if I'm wrong.

Well, for me it's just a matter of not adding some potentials attacks layer to a service. 

For me, the UTM is just a service and this service protects my network from being exposed on the internet, no matter how : if, by accessing to the hypervisor, an attacker can gain access to my NAS, then the UTM service has failed to work. 

And so, in the event of a flaw on the hypervisor, flaw used by an attacker to bypass all the UTM security, then your UTM has failed to protect your network. 

It's all theoretical but security is, in my point of vue, as much theoretical than practical.

The real concern about using any form of vm with an internet facing network is that there is another level of software which is not part of the VM exposed to the internet.

I think you will find that there are very few hyper-v servers actually exposed to the internet.

Ian M

I know companies who are using Hyper-V servers exposed directly to the Internet for the web services that they provide for their customers. They use Hyper-V because they prefer a Microsoft-centric solution. A small (but measurable) percentage of web servers on the Internet are Hyper-V servers.

If you extend Ian's statement from "Hyper-V" to "virtual machines" in general, then there are vast numbers of virtual machine servers exposed to the Internet. I mentioned VMware, Hyper-V, and VirtualBox in my previous post (and forgot to include Parallels for Mac), but on the Internet there are many OpenVZ, KVM, Xen (PV and HVM), and other virtualization products that are in common use, plus all of the "cloud" services, which have their own variants. I am sure I left out some well-known virtualization technologies, but you get the point. Most of those servers are running Linux. So is the UTM.

To be fair to Ian, vulnerabilities are found and patched in the various virtualization technologies. They seem not unlike other Internet-exposed technologies such as Linux, Windows, etc.

Well, for me it's just a matter of not adding some potentials attacks layer to a service. 

For me, the UTM is just a service and this service protects my network from being exposed on the internet, no matter how : if, by accessing to the hypervisor, an attacker can gain access to my NAS, then the UTM service has failed to work. 

And so, in the event of a flaw on the hypervisor, flaw used by an attacker to bypass all the UTM security, then your UTM has failed to protect your network. 

It's all theoretical but security is, in my point of vue, as much theoretical than practical.

Oupsman is right in one regard. Running a UTM in a virtual machine increases the attack surface. The virtual machine adds potential vulnerabilities to the UTM/VM "system". 

We disagree on how much of a real-world threat increase the potential vulnerabilities associated with running a UTM on a virtual machine represent. Remember that an attacker must attack the UTM in some special way to exploit the underlying virtual machine vulnerability. It is far more likely that the attacker finds a vulnerability in the UTM software itself and roots the UTM, ignoring the underlying virtual machine. These are the vulnerabilities to which we are all exposed. We trust that Sophos is doing their job to minimize, identify, and mitigate these vulnerabilities. That's why we buy and use Sophos UTMs, right?

I strongly disagree with Oupsman's statements that "... security is, in my point of vue, as much theoretical than practical." Security in the purest sense is risk reduction, like buying insurance. There is no perfect security. Security is a matter of diminishing returns, and a good security practitioner must balance the real-world risk reduction against the cost to achieve it. 

All too often, the risk reduction achieved for a given solution is far out of alignment with the cost. Sometimes when it reaches the point of absurdity, we call it "Security Theater". I want to make it clear that I am NOT saying that Oupsman's choice to buy dedicated hardware vs. a virtualized UTM is "security theater". With sincere respect, I believe that Oupsman's assessment of the additional threat posed by running a UTM in a virtual machine is much too high. 

For me, the cost of buying dedicated hardware for a home UTM is not a good value for a minuscule security improvement. In my particular case, I had good, powerful, underutilized hardware on hand, and all I needed was a cheap $13 Ethernet port to make it work. That $13 bought me a major improvement in security, going from a consumer NAT/router to a UTM. There were additional side benefits in the form of many valuable lessons and a great experience. The money that I might have used to buy dedicated UTM hardware can now be applied to other security improvements (say, a better burglar alarm for my home) or treating the family to a mini-vacation. I am content that I made the right decision.

- - - - -

This is not a political forum, so please forgive this rant:
All too often I see vast resources wasted, spent on security mitigations which are based on potential threats that are exaggerated far out of proportion. Governments waste enormous sums of money on programs where the implemented mitigations are far worse than the threats they are supposed to protect us against. Security product vendors (especially their marketing departments) and security practitioners deliberately induce unreasonable fear in their customers to sell products and services. It is incumbent upon good security practitioners to help their customers make reasonable and prudent security assessments and associated decisions. Otherwise, they are no better than quack doctors who recommend unnecessary and risky surgical procedures.

It's not much the little security improvement that makes me buy dedicated hardware to run an UTM service, but the fact that I want to be able to install updates on my virtualization server without impairing the Internet access at home and, when I go in holidays, be able to shutdown the virtualization server a few day before and have an secured internet access until I finally shutdown the VDSL router and the UTM and jump into my car. 

And I know that I'm a little bit crazy. But, let's face it, it's absolutely dumb to have an UTM at home : there is no really need of such a thing in a house.

But, let's face it, it's absolutely dumb to have an UTM at home : there is no really need of such a thing in a house.

lol, many would beg to differ on that statement. In fact there is a company (iGuardian) making a big splash with doing just that. They are trying to make things as simple, secure and fast as possible.