Descarga la aplicación para disfrutar aún más
Esta es una vista previa del archivo. Inicie sesión para ver el archivo original
Tema 5 Virtualización - 1 Alberto E García Gutiérrez Servicios Inteligentes de Red UNIVERSIDAD DE CANTABRIA Tema 5: Virtualización Grado Ingeniería Tecnologías de Telecomunicación, Mención Telemática Cuarto curso, 2022-2023 Segundo Cuatrimestre- Aula 14 Profesor: Alberto Eloy García Gutiérrez http://www.tlmat.unican.es/ Tema 5 Virtualización - 2 Alberto E García Gutiérrez Servicios Inteligentes de Red Infrastructure-as-a-service Se cu ri ty -a s- a- se rv ic e Storage-as-a-service In te gr at io n -a s- a- se rv ic e Cloud-as-a-service Database-as-a-service Information-as-a-service Process-as-a-service P la tf o rm -a s- a- se rv ic e Application-as-a-service Management/Governance-as-a-service Testing-as-a-service Tema 5 Virtualización - 3 Alberto E García Gutiérrez Servicios Inteligentes de Red Cloud = Virtualización ??? Tema 5 Virtualización - 4 Alberto E García Gutiérrez Servicios Inteligentes de Red Virtualizar… el qué? Capa de Clientes Capa de Servidores Capa de Red Capa de Almacenamiento Capa de Backup Discos Físicos Volumenes (Lógicos) Tema 5 Virtualización - 5 Alberto E García Gutiérrez Servicios Inteligentes de Red Tipos de Hypervisor Hypervisor Hardware VM 1 Gues t OS VM N Gues t OS … Hypervisor Hardware Host OS Native Apps Type 1: Bare Metal • Microsoft Hyper-V • VMWare ESX • Citrix XenServer (Xen) • Oracle VM Server (Xen) • Amazon EC2 (Xen) • IBM System Z Hypervisor Type 2: Hosted • Microsoft Virtual PC • VMWare Workstation • Citrix XenClient Tema 5 Virtualización - 6 Alberto E García Gutiérrez Servicios Inteligentes de Red Arquitecturas de Hypervisor Hypervisor Hardware OS VM 1 OS Apps VM N OS Apps QEMU Control Dom 0 GuestVM GuestVM Hardware Host OS Host OS Process Hypervisor OS Apps GuestVM QEMU OS Apps GuestVM QEMU Host OS Process KVMXEN Tema 5 Virtualización - 7 Alberto E García Gutiérrez Servicios Inteligentes de Red Virtualización basada en hypervisores Hypervisor Hardware Guest OS Guest OS Apps Apps Apps Apps Host OS Hypervisor Hardware Modified Guest OS Modified Guest OS Apps Apps Apps Apps Host OS Bins / Libs Hardware Apps Apps Host OS Bins / Libs Full VirtualizationParavirtualización Emulación Tema 5 Virtualización - 8 Alberto E García Gutiérrez Servicios Inteligentes de Red Anillos de protección del Sistema Operatico Ring 0 Kernel Ring 1 Ring 2 Ring 3 Device drivers Device drivers Applications Most privileged Least privileged Tema 5 Virtualización - 9 Alberto E García Gutiérrez Servicios Inteligentes de Red Kernel vs. User mode http://resources.infosecinstitute.com/windows- architecture-and-userkernel-mode/ https://i.stack.imgur.com/2mDPs.png http://resources.infosecinstitute.com/windows-architecture-and-userkernel-mode/ https://i.stack.imgur.com/2mDPs.png Tema 5 Virtualización - 10 Alberto E García Gutiérrez Servicios Inteligentes de Red Virtualización, anillos y modos VMM Host Computer System Hardware Guest OS User AppsRing 3 Ring 2 Ring 1 Ring 0 R o o t M o d e P ri vi le ge Le ve ls N o n -r o o t M o d e P ri vi le ge Le ve ls Virtualization Layer Host Computer System Hardware Paravirtualized Guest OS User Apps Full Virtualization Paravirtualization VMM Host Computer System Hardware Guest OS User Apps Emulation H yp ercalls B in ary Tran slatio n Trap s Tema 5 Virtualización - 11 Alberto E García Gutiérrez Servicios Inteligentes de Red Virtual Machine Management Tema 5 Virtualización - 12 Alberto E García Gutiérrez Servicios Inteligentes de Red VMBus Hypervisor Hardware Parent OS Network VSP Virtual Switch Internal NIC Root VM Physical NIC Child OS Network VSC VM Bus VM NIC Child VM AppsAppsApps I/O Stack I/O Stack Tema 5 Virtualización - 13 Alberto E García Gutiérrez Servicios Inteligentes de Red I/O y networking Virtualization en el VMM Drivers a medida en el VMM + Alta eficiencia - Alto coste de ingeniería SW - Baja tolerancia de fallos (driver bugs) Virtualización en el Host Reuso de drivers del host OS + Bajo coste de ingeniería SW + Alta tolerancia a fallos - Menor eficiencia VMM Hardware Block device Root VM or Host OS Guest VM Guest VM Network device VMM Hardware Network device Network device driver Block device driver Block device driver Network device driver Guest VM Guest VM Tema 5 Virtualización - 14 Alberto E García Gutiérrez Servicios Inteligentes de Red Red virtual: Modo Bridge Hypervisor Hardware Parent OS Dom0Eth0 (Virtual) Root VM eth0 (Real) Child OS Dom1 VM Bus (vif1.0) VM NIC (eth0) Child VM AppsApps Virtual Switch (Bridge0) I/O Stack I/O Stack Child OS Dom2 VM NIC (eth0) Child VM AppsApps I/O Stack Child OS Dom3 VM NIC (eth0) Child VM AppsApps I/O Stack VM Bus (vif2.0) VM Bus (vif3.0) Tema 5 Virtualización - 15 Alberto E García Gutiérrez Servicios Inteligentes de Red Red Virtual: Modo Route Hypervisor Hardware Parent OS Dom0 Virtual Switch Eth0 (Virtual) Root VM eth0 (Real) Child OS Dom1 VM Bus (vif1.0) VM NIC (eth0) Child VM AppsApps I/O Stack I/O Stack Child OS Dom2 VM NIC (eth0) Child VM AppsApps I/O Stack Child OS Dom3 VM NIC (eth0) Child VM AppsApps I/O Stack VM Bus (vif2.0) VM Bus (vif3.0) Routing table Static MAC/IP Tema 5 Virtualización - 16 Alberto E García Gutiérrez Servicios Inteligentes de Red Fallos en el Networking Virtual vif3.0 – vif1.0 SpoofingSniffing Tema 5 Virtualización - 17 Alberto E García Gutiérrez Servicios Inteligentes de Red Firewall Networking Virtual: Primeros auxilios Routing layer Shared layer √ Tema 5 Virtualización - 18 Alberto E García Gutiérrez Servicios Inteligentes de Red VMWARE Default Virtual Network Switches Network Type Switch Name Bridged VMnet0 NAT VMnet8 Host-only VMnet1 Tema 5 Virtualización - 19 Alberto E García Gutiérrez Servicios Inteligentes de Red Hyper-V • vSwitch • External—se une a un adaptador de red físico y proporciona al vSwitch acceso a una red física. • Internal—pasa el tráfico entre las máquinas virtuales y el host de Hyper-V. Este tipo de vSwitch no proporciona conectividad a una conexión de red física. • Private—pasa tráfico entre las máquinas virtuales en el host Hyper-V únicamente. Tema 5 Virtualización - 20 Alberto E García Gutiérrez Servicios Inteligentes de Red KVM • Usermode Networking • En la configuración predeterminada, el sistema operativo invitado tendrá acceso a los servicios de red, pero no será visible para otras máquinas en la red. • Bridged Networking • Las redes en puente permiten que las interfaces virtuales se conecten a la red externa a través de la interfaz física, lo que las hace aparecer como hosts normales para el resto de la red. • Private Virtual Switch (Guest-Only Network) • Red virtual para uso exclusivo de los invitados y el anfitrión Tema 5 Virtualización - 21 Alberto E García Gutiérrez Servicios Inteligentes de Red Virtual-Box Tema 5 Virtualización - 22 Alberto E García Gutiérrez Servicios Inteligentes de Red Virtual Box VMWare Hyper-V Kvm NAT √ NAT ? √ User mode Bridge √ Bridged √ External √ Bridged Host-only √ Host-only √ Internal √ Private Internal ? √ Private ? Tema 5 Virtualización - 23 Alberto E García Gutiérrez Servicios Inteligentes de Red Hypervisor Hardware Guest OS Guest OS Apps Apps Apps Apps Bins / Libs Bins / Libs Hardware Apps Apps Host OS Bins / Libs Máquinas Virtuales Contenedores Bins / Libs Docker Alternativa = Contenedores Tema 5 Virtualización - 24 Alberto E García Gutiérrez Servicios Inteligentes de Red Adaptabilidad Guest OS App A Bins / Libs Bins / Libs App A Guest OS App A Bins / Libs Guest OS App A’ Bins / Libs Máquina Virtual: Cada cambio en App requiere una nueva VM App A Apps B /L A’ App Original Copia de App App Modificada (Solo diferencias) Copia de App App Modificada Tema 5 Virtualización - 25 Alberto E García Gutiérrez Servicios Inteligentes de Red Despliegue Repositorio de código Dockerfile app A Host 1 OS (Linux) Docker Engine Bins / Libs App A Cotenedor A Registro de Imágenes de contenedores Host 2 OS (Linux) Bins / Libs App A Cotenedor A Bins / Libs App B Cotenedor B D o cker Push Search Pull Run Build Tema 5 Virtualización - 26 Alberto E García Gutiérrez Servicios Inteligentes de Red Actualización Bins / Libs App A Cotenedor A Registro de Imágenes de contenedores Imagen Base A Cotenedor A Cotenedor A Mod A’ Push Mod A’’ A Cotenedor A Bins / Libs App A Cotenedor A Docker Engine Bins / Libs App A Cotenedor A’’ A Update Tema 5 Virtualización - 27 Alberto E García Gutiérrez Servicios Inteligentes de Red Tema 5 Virtualización - 28 Alberto E García Gutiérrez Servicios Inteligentes de Red Imagen Tema 5 Virtualización - 29 Alberto E García Gutiérrez Servicios Inteligentes de Red Docker rkt LXC LXD Tecnología de virtualización En el nivel del sistema operativo En el nivel del sistema operativo, hipervisor En el nivel del sistema operativo En el nivel del sistema operativo Full system container No No Sí Sí Contenedor de aplicaciones Sí Sí No No Licencia Apache 2.0 Apache 2.0 GNU LGPLv2.1+ Apache 2.0 Formato del contenedor Docker Container appc, DockerContaine r Linux Container (LXC) Linux Container (LXC) Plataformas compatibles Linux, Windows, macOS, Microsoft Azure, Amazon Web Services (AWS) Linux, Windows, macOS Linux Linux Último lanzamiento Abril de 2017 Febrero de 2017 Enero de 2017 Marzo de 2017 El núcleo de Linux requiere un parche No No No No Lenguaje de programación Go Go C, Python 3, Shell, Lua Go Linux-VServer OpenVZ runC En el nivel del sistema operativo En el nivel del sistema operativo, hipervisor En el nivel del sistema operativo Sí Sí No No No Sí GNU GPL v.2 GNU GPL v.2 Apache 2.0 Security Context Virtuozzo Containers OCI Bundle Linux Linux (solo Virtuozzo Linux, RHEL7) Linux Abril de 2007 Julio de 2016 Marzo de 2017 Sí Distribucion autónoma No C C Go Tema 5 Virtualización - 30 Alberto E García Gutiérrez Servicios Inteligentes de Red Una vez que se habilita la función de contenedor en Windows, se crea un nuevo Adaptador Ethernet virtual de Hyper-V y todos los contenedores tendrán una vNIC conectada a vSwitch. Básicamente solo soporta NAT Networking Docker + Windows https://4sysops.com/wp-content/uploads/2016/12/vNIC-created-for-containers.png Tema 5 Virtualización - 31 Alberto E García Gutiérrez Servicios Inteligentes de Red Docker Networking modes • Bridged • Para comunicar contenedores en el mismo host • Host • Sobre puertos del Docker host. Solo en Linux • Nulo • Macvlan • Overlay • Default – Swarm • User defined • Plugins Tema 5 Virtualización - 32 Alberto E García Gutiérrez Servicios Inteligentes de Red Bridge mode Tema 5 Virtualización - 33 Alberto E García Gutiérrez Servicios Inteligentes de Red Host mode Tema 5 Virtualización - 34 Alberto E García Gutiérrez Servicios Inteligentes de Red Nulo Tema 5 Virtualización - 35 Alberto E García Gutiérrez Servicios Inteligentes de Red Container mode (MacVlan) Tema 5 Virtualización - 36 Alberto E García Gutiérrez Servicios Inteligentes de Red Overlay Tema 5 Virtualización - 37 Alberto E García Gutiérrez Servicios Inteligentes de Red Superficies de ataque de la virtualización • Virtual CPUs • Symmetric multiprocessing • Soft MMU • Interrupt and timer mechanisms • I/O and networking • Paravirtualized I/O • VM exits • Hypercalls • VM management functionalities • Remote management software • Hypervisor add-ons: • Break of isolation • Denial of service (DOS) • Virtual machine-based rootkit • Revert to snapshots problem Source: http://www.cvedetails.com/ http://www.cvedetails.com/ Tema 5 Virtualización - 38 Alberto E García Gutiérrez Servicios Inteligentes de Red CPUs Virtuales Hardware VM 1 vCP U vCP U Core 1 1 2 Core 2 1 2 Core 3 1 2 Core 4 1 2 VM 2 vCP U vCP U VM 3 vCP U Hypervisor Common VMCS Area Tema 5 Virtualización - 39 Alberto E García Gutiérrez Servicios Inteligentes de Red Sistemas de multiprocesado simétrico I/OCache Cache Processor 1 Processor 2 Processor 3 Processor N Cache Cache Main Memory Bus Arbiter System Bus Tema 5 Virtualización - 40 Alberto E García Gutiérrez Servicios Inteligentes de Red Soft MMU Host Serial Port STDIO Virtual Console FILE TCP/IP Generic Read/Write FunctionQEMU Generic Layer PLO11 UART Read/Write Handlers Controller Specific Handlers TLBs MMU Soft MMU Host Memory User Application TCG QEMU VM Tema 5 Virtualización - 41 Alberto E García Gutiérrez Servicios Inteligentes de Red Mecanismos de temporizado e interrupción GDT R LAPI C CPU Hypervisor Interrupt handler Shadow IDT Guest IDT VM Physical interrupt Non-assigned Interrupt (exit) IDTRAPIC time r CR0- x PIT Time r Serial PIC PCI Bus IDE / SCSI VirtIO Net VirtIO Block VirtIO xyz Virtual devices Physical interface Which is which??? Memory Tema 5 Virtualización - 42 Alberto E García Gutiérrez Servicios Inteligentes de Red I/O y networking I/O virtualization in VMM Rewritten Device drivers in VMM + High performance - High engineering cost - Low fault tolerance (driver bugs) Hosted I/O virtualization Existing device drivers in a host OS + Low engineering cost + High fault tolerance - Performance overheads VMM Hardware Block device Root VM or Host OS Guest VM Guest VM Network device VMM Hardware Network device Network device driver Block device driver Block devic e driver Networ k device driver Guest VM Guest VM Tema 5 Virtualización - 43 Alberto E García Gutiérrez Servicios Inteligentes de Red I/O Paravirtualizadas Guest VM Guest OS Host OS (Linux) KVM (kernel module) QEMU vCPU vCPUUser space Kernel space VirtIO Backend I/O operation Native drivers VirtIO Frontend Shared descriptor ring: Optimization by batching I/O requests Reducing VMM intervention cost Split driver model Front-end driver in a guest VM Virtual driver to forward an I/O request to its back-end driver Back-end driver in a host OS Request a forwarded I/O to HW via native driver Tema 5 Virtualización - 44 Alberto E García Gutiérrez Servicios Inteligentes de Red VM Exits Hypervisor core Back-end Drivers VM Virtual Devices Virtual device Local APIC timer SRIOV device VM core SRIO V Virtual device: the I/O thread triggers VM Exit by sending IPI SRIOV / Local Timer: VM core receiving external interrupt triggers VM Exit VMM Guest VM Guest VM VMXOFFVMXON VM Exit VM Exit VM Entry Tema 5 Virtualización - 45 Alberto E García Gutiérrez Servicios Inteligentes de Red Hypercalls Host VM KVM/ARM VM Exits Kernel / KVM KVM User Kernel / KVM User Exception HVC Ret Switch state Host VM KVM Hypercall Kernel / KVM KVM User Kernel / KVM User HVC HVC Ret Switch state Ret Tema 5 Virtualización - 46 Alberto E García Gutiérrez Servicios Inteligentes de Red Funcionalidades de gestión de MV Xen Hypervisor toolstack pygrub dom 0 Pygrub = Grub for Paravirtualized guests, running Python in domain 0 Result: guest kernel image reflects to domain builder domain builder guest disk Paravirtualize d Domain Tema 5 Virtualización - 47 Alberto E García Gutiérrez Servicios Inteligentes de Red Software de gestión remota Tema 5 Virtualización - 48 Alberto E García Gutiérrez Servicios Inteligentes de Red Hypervisor add-ons Source: http://virtualization.info/en/news/2010/02/paper-xendesktop-modular- reference.html User space Object Manager Policy Enforcer Security Server Security Policy Policy Decision Enforcer Policy Decision Maker Object Request Decision Query http://virtualization.info/en/news/2010/02/paper-xendesktop-modular-reference.html Tema 5 Virtualización - 49 Alberto E García Gutiérrez Servicios Inteligentes de Red El fin del aislamiento Hypervisor (Type 2) Hardware Host OS Bins / Libs Gues t OS Gues t OS Gues t OS Bins / Libs Bins / Libs App A App B App A’ VM Hardware Host OS Bins / Libs Bins / Libs D o ck er App A Container App A’ App B App B’ App B’ Tema 5 Virtualización - 50 Alberto E García Gutiérrez Servicios Inteligentes de Red Denial of Service (DOS) Source: http://www.telco.com/blog/protect-your-customers-private-data- before-a-security-breach-dont-wait-until-after-it-happens/ http://www.telco.com/blog/protect-your-customers-private-data-before-a-security-breach-dont-wait-until-after-it-happens/ Tema 5 Virtualización - 51 Alberto E García Gutiérrez Servicios Inteligentes de Red Rootkits específicos para MV Source: https://www.slideshare.net/malvvv/zeronights02 https://www.slideshare.net/malvvv/zeronights02 Tema 5 Virtualización - 52 Alberto E García Gutiérrez Servicios Inteligentes de Red Problema del día de la marmota (retorno a un Snapshot) Tema 5 Virtualización - 53 Alberto E García Gutiérrez Servicios Inteligentes de Red Superficies de ataque: resumen 2.- Guest VM’s user space 1.- Network 3.- Guest VM’s kernel space 4.- Dom0 / Host OS 5.- Hypervisor Tema 5 Virtualización - 54 Alberto E García Gutiérrez Servicios Inteligentes de Red Atacando a las VM: En breve VMM Hardware Guest VM Guest VM Root VM or Host OS Mng m Tool VMI Honest-but-curious Admin Malicious Admin Malicious Tenant Remote Attacker A C E Mngm interface ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ Tema 5 Virtualización - 55 Alberto E García Gutiérrez Servicios Inteligentes de Red Detección de entornos virtuales • Tener acceso como usuario • Particularidades en procesos, sistemas de archivos y / o registro • Características especiales en la memoria. • Hardware virtual • Instrucciones de bajo nivel para máquinas virtuales. • Escaneo / mapeo • Particularidades en direcciones IP / MAC, servicios, puertos de escucha • Directamente sobre el objetivo • Análisis de ruta (traceroute) Tema 5 Virtualización - 56 Alberto E García Gutiérrez Servicios Inteligentes de Red Identificación del hypervisor • Vmware Backdoor • Nunca del eliminada del todo, revela multitud de información acerca del sistema • movw $0x5658 %dx = Vmware I/O port • Los valores pasados por mov al registro cx: 01h (Processor speed), oAh (Vmware versión), … • Linux • Si puede instalar cualquier cosa bajo la cuenta explotada: • lmvirt: disponible sin los permisos de root • Si tienes permisos de root: Virt-what • Windows • Tienes su propia GUI – PowerShell • Mac OS X • Sin confirmar si sigue siendo vulnerable a Red Pill Tema 5 Virtualización - 57 Alberto E García Gutiérrez Servicios Inteligentes de Red Ataques directos al hypervisor • Inyectar un hipervisor falso entre el sistema de destino y el hardware • Pruebas de concepto: Blue Pill, SubVirt 2 y Vitriol • Las medidas de seguridad regulares son ineficaces contra estas amenazas porque el sistema operativo, que se ejecuta por encima del hipervisor no autorizado, desconoce que la máquina se ha visto comprometida • El hiperjacking sigue siendo solo un escenario de ataque teórico, pero ha atraído una considerable atención de la prensa debido al daño potencial que podría causar. Tema 5 Virtualización - 58 Alberto E García Gutiérrez Servicios Inteligentes de Red Ataques entre máquinas virtuales comprometiendo al hipervisor • Explota vulnerabilidades en hipervisores que permiten que el malware o los ataques remotos comprometan las protecciones de separación de VM y obtengan acceso a otras VM, hosts o incluso al propio hipervisor. • Estos ataques a menudo se llevan a cabo una vez que un atacante ha obtenido acceso a una VM de bajo valor, por lo tanto, menos segura en el host, que luego se utiliza como punto de lanzamiento para ataques adicionales en el sistema • Algunos ejemplos han utilizado dos o más máquinas virtuales comprometidas en colusión para permitir un ataque exitoso contra máquinas virtuales seguras o el propio hipervisor Colusión proviene del vocablo latino collusio, convenio a través del cual se pretende alcanzar cierto provecho a costa de un tercero, valiéndose de medios fraudulentos Tema 5 Virtualización - 59 Alberto E García Gutiérrez Servicios Inteligentes de Red Orientación precisa de máquinas virtuales en una nube • Chequeo de co-residentes basado en la red: • Dirección IP Dom0 coincidente • Dom0: primer salto desde esta instancia o último salto a la víctima • Paquetes pequeños de ida y vuelta • Direcciones IP internas cercanas (numéricamente) • Estrategia 1: recolocación por fuerza bruta • Una tasa de éxito estimada del 8.4% • Estrategia 2: Abuso de las ubicaciones adyacentes • Ataque de inundación de instancias justo después del lanzamiento de las instancias de destino, explotando las características del procesamiento paralelo Tema 5 Virtualización - 60 Alberto E García Gutiérrez Servicios Inteligentes de Red Ataques de “Canal-común” (Side-cannel) • La co-residencia brinda la capacidad de: • Denegación de servicio • Estimar la carga de trabajo de la víctima • Extraer claves criptográficas a través de canales laterales Source: http://i1-news.softpedia-static.com/images/news2/new-ffs- rowhammer-attack-targets-linux-vm-setups-507290-3.png Rowhammer http://i1-news.softpedia-static.com/images/news2/new-ffs-rowhammer-attack-targets-linux-vm-setups-507290-3.png Tema 5 Virtualización - 61 Alberto E García Gutiérrez Servicios Inteligentes de Red VM de nivel de confianza mixto Hypervisor Hardware VM 5 VM 1 VM 2 VM 6 VM 10 VM 3 VM 7 VM 4 VM 11 VM 8 VM 12 VM 9 High Priority Low Priority Tenant 1 Tenant 2 Hypervisor Hardware VM 5 VM 1 VM 2 VM 6 VM 10 VM 3VM 7 VM 4 VM 11 VM 8 VM 12 VM 9 Aislamiento Tema 5 Virtualización - 62 Alberto E García Gutiérrez Servicios Inteligentes de Red Brechas instantáneas Hypervisor Hardware VM 5 VM 1 VM 2 VM 6 VM 10 VM 3 VM 7 VM 4 VM 11 VM 8 VM 12 VM 9 Autoupdates Disabled Enabled Actualizaciones críticas Hypervisor Hardware VM 5 VM 1 VM 2 VM 6 VM 10 VM 3 VM 7 VM 4 VM 11 VM 8 VM 12 VM 9 Tema 5 Virtualización - 63 Alberto E García Gutiérrez Servicios Inteligentes de Red Ataques a la confidencialidad Quién puede ver dentro??? Escalada de privilegios (ejm. Side channel attack) Tema 5 Virtualización - 64 Alberto E García Gutiérrez Servicios Inteligentes de Red Contención de recursos AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age ntVIRTUALIZATION SERVER AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age nt AV Age ntVIRTUALIZATION SERVER Antivirus (AV) Tareas programadas Tema 5 Virtualización - 65 Alberto E García Gutiérrez Servicios Inteligentes de Red Ataques que liberan recursos VM 2 VM 3 % Recursos 100 50 0 VM 2 VM 3 % Recursos 100 50 0 Flooding attack VM 2 VM 3 % Recursos 100 50 0 Hypervisor reacciona Tema 5 Virtualización - 66 Alberto E García Gutiérrez Servicios Inteligentes de Red Puntos ciegos de comunicación Hypervisor Hardware VM 5 VM 1 VM 2 VM 6 VM 10 VM 3VM 7 VM 4 VM 11 VM 8 VM 12 VM 9 Root VM Virtual Switch Tema 5 Virtualización - 67 Alberto E García Gutiérrez Servicios Inteligentes de Red Hypervisor Rootkits basados en máquinas virtuales Root VM BluePill Root VM BluePill Hypervisor Hardware User’ s VM User’ s VM … Blue Pill Tema 5 Virtualización - 68 Alberto E García Gutiérrez Servicios Inteligentes de Red Denegación de Servicio Tema 5 Virtualización - 69 Alberto E García Gutiérrez Servicios Inteligentes de Red Seguridad de virtualización • Implementación de controles de seguridad. • Asegurar máquinas virtuales, redes virtuales y otros dispositivos virtuales • Garantizar el control y la autoridad sobre cada máquina virtual. • Creación e implementación de una política de seguridad en toda la infraestructura / entorno. • Tratar los problemas de seguridad. Tema 5 Virtualización - 70 Alberto E García Gutiérrez Servicios Inteligentes de Red Monitorización de VM Hypervisor Root VM Hardware User’ s VM Secure VM Introspection API Security App Hypervisor Root VM Hardware User’s VM Secure Introspection CodeSecurity Handler Kernel code EVENT Hypervisor Root VM Hardware User’s VM Security App Rootkit VM introspection Kernel protection Rootkit detection Tema 5 Virtualización - 71 Alberto E García Gutiérrez Servicios Inteligentes de Red Aplicación de aislamiento: módulos de seguridad Source: https://www.slideshare.net/xen_com_mgr/2- ian-pxencommunityupdate Source: https://www.slideshare.net/FrankCaviggia/kvmsecurity https://www.slideshare.net/xen_com_mgr/2-ian-pxencommunityupdate https://www.slideshare.net/FrankCaviggia/kvmsecurity Tema 5 Virtualización - 72 Alberto E García Gutiérrez Servicios Inteligentes de Red Aplicación de aislamiento: protección de VMM y VM contra su VMM Hypervisor Root VM Hardware User’s VM Security Handler Measurement handler User’s VM BMC Remote verifier Arquitectura HyperSentry Hypervisor Root VM Hardware User’s VM Security Handler User’s VM Kernel KernelKernel Arquitectura CloudVisor Tema 5 Virtualización - 73 Alberto E García Gutiérrez Servicios Inteligentes de Red Aplicación de aislamiento : Microkernels Source: https://en.wikipedia.org/wiki/GNU_Hurd https://en.wikipedia.org/wiki/GNU_Hurd Tema 5 Virtualización - 74 Alberto E García Gutiérrez Servicios Inteligentes de Red Aplicación de aislamiento : Eliminación del VMM Control Monitor Hardware Guest OS Guest OS Apps Apps Apps Apps Manager System Manager Arquitectura NoHype Tema 5 Virtualización - 75 Alberto E García Gutiérrez Servicios Inteligentes de Red Security-as-a-service VMM Hardware Guest VM Guest VM Root VM or Host OS Mngm Tool VMI Honest-but-curious Admin Malicious Admin Remote Attacker A C E Mngm interface FIREWAL/IDP F I R E W A L / I D P Tema 5 Virtualización - 76 Alberto E García Gutiérrez Servicios Inteligentes de Red Beneficios del Firewall/IDS/IPS • Cortafuegos • Aislamiento de la máquina virtual • Filtrado de grano fino • Cobertura de todos los protocolos basados en IP • Cobertura de todo el marco • Prevención de ataques de denegación de servicio (DoS) • Capacidad para diseñar políticas por interfaz de red • Detección de escaneos de reconocimiento en servidores de computación en la nube • Conocimiento de ubicación • Detección y prevención de intrusiones • Nuevas vulnerabilidades reacción rápida hasta parches • Amplias bases de datos de patrones (públicos) Tema 5 Virtualización - 77 Alberto E García Gutiérrez Servicios Inteligentes de Red Monitoreo de integridad y beneficios de la inspección de registros • Monitoreo de integridad • Detección a pedido o programada • Amplia comprobación de propiedades de archivos, incluidos los atributos • Monitoreo a nivel de directorio • Monitoreo flexible y práctico a través de incluye / excluye • Informes auditables. • Inspección de registro • Detección de comportamiento sospechoso • Colección de acciones administrativas relacionadas con la seguridad. • Recopilación optimizada de eventos de seguridad en su centro de datos Tema 5 Virtualización - 78 Alberto E García Gutiérrez Servicios Inteligentes de Red Beneficios de la protección contra malware mediante virtualización • Prevención del impacto del malware en máquinas virtuales activas e inactivas • Protección contra ataques que desinstalan, inhiben o parchean fraudulentamente la seguridad antivirus • Integración estrecha con consolas de administración de virtualización como VMware vCenter • Configuración automática de seguridad de nuevas máquinas virtuales. Tema 5 Virtualización - 79 Alberto E García Gutiérrez Servicios Inteligentes de Red UNIVERSIDAD DE CANTABRIA Tema 5: Virtualización Grado Ingeniería Tecnologías de Telecomunicación, Mención Telemática Cuarto curso, 2021-2022 Segundo Cuatrimestre- Aula 14 Profesor: Alberto Eloy García Gutiérrez http://www.tlmat.unican.es/
Compartir