Zugschlusbeobachtungen

Nur eine kurze Notiz für mich selbst und alle die es brauchen können. Sei H ein zu virtualisierender Host, E der ESX-Server, auf den H virtualisiert werden soll, V der Virtual-Center-Server und C der Client der armen Sau, die das alles machen muss.

Dann spricht:

• C über die bekannten Mechanismen mit V
• C CIFS (TCP/445) und TCP/9089 mit H
• V vermutlich irgendwie mit E (das war in meinem Testsetup eh schon erlaubt)
• H https (TCP/443) und irgend ein VMware-Gedöns (TCP/902) mit E

Und wieviele hochprivilegierte Passworte hier mehr oder weniger verschlüsselt zwischen den einzelnen Maschinen ausgetauscht werden, will ich am besten gar nicht erst wissen.

Seit Jahren schon unke ich darüber, dass Virtualisierung a la vmware, Xen und Co zwar sehr kostensenkend und vereinfachend sein kann, aber mit einer Reduktion des Sicherheitsniveaus einhergeht. Und auch seit Jahren werde ich dafür belächelt und die virtuelle Umgebung trotzdem weiter ausgerollt.

Continue reading "virtually exploitable"