Bundesamt für Sicherheit in der Informationstechnik

G 3.99 Fehlerhafte Netzanbindungen eines Virtualisierungsservers

Netzverbindungen für virtuelle IT-Systeme

Ein Virtualisierungsserver sorgt für die Netzzugänge der auf ihm betriebenen virtuellen IT-Systeme. Hierzu stellt er in der Regel den virtuellen IT-Systemen eine emulierte Netzkarte zur Verfügung. Diese wiederum ermöglicht es den virtuellen IT-Systemen, auf Netze oder Speichernetze zu zugreifen. Diese (Speicher-) Netze können entweder physische oder virtuelle Netze sein.

Damit virtuelle IT-Systeme physische Netze nutzen können, muss der Virtualisierungsserver eine Verbindung der virtuellen Netzkomponenten der virtuellen IT-Systeme zu den physischen Netzen ermöglichen. Dies wird dadurch realisiert, dass der Virtualisierungsserver seine physischen Interfaces den virtuellen IT-Systemen zur Verfügung stellt. Die Verfahrensweise ist bei den verschiedenen Virtualisierungsprodukten unterschiedlich. Es gibt jedoch zwei wesentliche Prinzipien, wie der Übergang von virtuellen zu physischen Netzkomponenten realisiert wird:

  • durch direkte Zuordnung von virtuellen zu physischen Netzen. Die Netzkarte eines virtuellen IT-Systems wird direkt einer physikalischen Schnittstelle des Virtualisierungsservers zugeordnet.
  • durch indirekte Zuordnung. Die (virtuellen) Netzkarten der virtuellen IT-Systeme werden mit einem virtuellen Switch verbunden. Dieser wird vom Virtualisierungsserver in Software nachgebildet. Der virtuelle Switch wiederum kann mittels einer physischen Netzkarte mit dem physischen Netz verbunden sein. Da ein virtueller Switch nicht zwingend einen physischen Netzübergang besitzen muss, kann auf diese Weise ein Netz realisiert werden, in dem die daran angeschlossenen virtuellen IT-Systeme keine Verbindung nach außen besitzen. Eine solche Konfiguration kann zum Beispiel für Testsysteme genutzt werden, die keine Außenverbindungen benötigen.

Innerhalb der Verwaltungssoftware des Virtualisierungsservers werden die Netzschnittstellen der virtuellen IT-Systeme den physikalischen Schnittstellen des Virtualisierungsservers zugeordnet. Wird diese Zuordnung fehlerhaft vorgenommen, kann eine virtuelle Maschine mit einem falschen Netz verbunden werden. Wird beispielsweise ein Intranet-Webserver mit vertraulichen Daten, der nur im internen Netz betrieben werden soll, auf diese Weise versehentlich am Sicherheitsgateway (Firewall) vorbei mit dem Internet verbunden, sind die vertraulichen Daten möglicherweise im Internet sichtbar.

Ein Virtualisierungsserver besitzt häufig eine im Vergleich zu sonstigen Servern große Anzahl an Netzkarten. Diese große Anzahl wird benötigt, um eine möglichst gute Integration des Virtualisierungsservers in das Netz des Rechenzentrums zu erreichen. Es wird dadurch möglich, auf einem Virtualisierungsserver virtuelle IT-Systeme zu betreiben, die in unterschiedlichen Netzsegmenten benötigt werden. Des Weiteren werden weitere Schnittstellen für verschiedene Funktionen der Virtualisierungsserver benötigt, beispielsweise für den Zugriff auf Speichernetze oder die Live Migration, die es erlaubt, ein laufendes virtuelles IT-System von einem Virtualisierungsserver auf einen anderen zu verschieben.

Auf Grund der für einen Server untypischen Anzahl an Netzkarten und Kabelverbindungen zu Switchen und ähnlichen IT-Systemen besteht verstärkt die Gefahr, durch eine fehlerhafte Verkabelung unbeabsichtigt Fehler in der Netzinfrastruktur zu erzeugen. Solche Fehler können neben den in G 3.4 Unzulässige Kabelverbindungen und G 3.29 Fehlende oder ungeeignete Segmentierung schon angeführten beispielsweise sein:

  • Mittels zweier physischer Netzkarten des Virtualisierungsservers und einem virtuellen Switch wird fälschlicherweise eine Kopplung von zwei Netzsegmenten geschaltet (Brücke). Diese Netze sollten aber getrennt sein. Verbindungen zwischen diesen Netzen sollten nur durch ein Sicherheitsgateway ermöglicht werden. Durch die Falschverkabelung können nun direkte Verbindungen zwischen Systemen aufgebaut werden. Die eigentlich gewünschte Segmentierung des Netzes wird unbeabsichtigt aufgehoben.
  • Zwei physische Netzkarten eines Virtualisierungsservers sind einem virtuellen Switch zugeordnet. Sie werden versehentlich mit zwei unterschiedlichen physischen Netzsegmenten verbunden. Der virtuelle Switch ist so konfiguriert, dass er auf der einen Netzschnittstelle empfangene Pakete nicht an die andere Schnittstelle weiterleitet und somit keine Brücke ( s. o. ) bildet. Auf Grund der zwei Netzschnittstellen, die mit unterschiedlichen Netzsegmenten verbunden sind, ist der virtuelle Switch nicht eindeutig einem physischen Segment zugeordnet. Durch diesen Fehler kommt es durch den Lastverteilungsmechanismus des virtuellen Switches dazu, das Netzpakete eines an diesen Switch angeschlossenen virtuellen IT-Systems mal in das eine, mal in das andere Netzsegment weitergeleitet werden. Hierdurch ist das virtuelle IT-System nur sporadisch im Netz erreichbar und die Verfügbarkeit des Systems gefährdet.
  • Einige Virtualisierungsprodukte können eine Falschverkabelung (wie in den vorherigen zwei Fällen beschrieben) erkennen und schalten in einem solchen Fall eine oder mehrere physische Netzkarten ab. Mit welchem physischen Netzsegment der virtuelle Switch dann tatsächlich verbunden ist, kann möglicherweise nicht mehr vorhergesagt werden. Hierdurch kann es zu Verbindungsabbrüchen zu den mit dem betroffenen virtuellen Switch verbundenen IT-Systemen kommen.
  • Mit zwei oder mehreren Virtualisierungsservern wird eine virtuelle Infrastruktur aufgebaut. Hierzu sollen diese Server mit mehreren physischen Netzsegmenten verbunden werden, die jeweils virtuellen Switches zugeordnet werden. Diese Switche werden korrespondierend mit dem jeweiligen physischen Segment benannt (Switch A - Segment A, Switch B - Segment B usw.). Durch einen Verkabelungsfehler wird nun auf einem der beiden Virtualisierungsserver das physische Segment A mit dem virtuellen Switch B verbunden. Wird jetzt die Funktion Live Migration in dieser virtuellen Infrastruktur genutzt, kommt es durch den Migrationsprozess dazu, dass sich ein virtuelles IT-System am Switch B nach einer Migration in einem anderen physischen Netzsegment befindet als vor der Migration. Der Grund dafür liegt darin, dass der Switch B auf dem einen Virtualisierungsserver mit dem Segment B, auf dem anderen jedoch mit dem Segment A verbunden ist. Die Verfügbarkeit des Systems ist dadurch gefährdet. Es besteht auch die Gefahr, dass auf die von diesem System bereitgehaltenen Daten in Netzen zugegriffen werden kann, in denen dieser Zugriff eigentlich nicht zulässig ist.
  • Virtualisierungsserver benötigen zum Betrieb der virtuellen IT-Systeme meist Verbindungen zu Speichernetzen, in denen die Daten (Konfigurationsdateien, Dateicontainer virtueller Festplatten) liegen. Werden die Verbindungen zu diesen Speichernetzen fehlerhaft verkabelt, können Störungen auftreten, wenn die Virtualisierungsserver auf das Speichernetz zu greifen. Dies gefährdet die Verfügbarkeit der virtuellen IT-Systeme, die auf diesen Virtualisierungsservern betrieben werden. Hiervon kann möglicherweise eine große Anzahl virtueller IT-Systeme betroffen sein.
  • Auch Fehler in der Verkabelung von Netzkarten, die die Virtualisierungsserver zur Kommunikation untereinander in einer virtuellen Infrastruktur nutzen, haben weitreichende Folgen für deren Funktion. So basieren die Funktionen Live Migration und Fault Tolerance auf der Synchronisierung einer Kopie eines virtuellen IT-Systems auf zwei unterschiedlichen Virtualisierungsservern. Mit Fault Tolerance wird ein Verfahren bezeichnet, bei dem ein virtuelles IT-System auf zwei Virtualisierungsservern gleichzeitig betrieben wird, wobei nur eine Kopie aktiv, die andere passiv ist. Fällt einer der Virtualisierungsserver aus, übernimmt die auf dem weiterlaufenden Server beheimatete Kopie des virtuellen IT-Systems transparent alle Funktionen des ausgefallenen. Werden nun die Netzverbindungen, die die Virtualisierungsserver zur Synchronisation virtueller IT-Systeme für die Live Migration oder Fault Tolerance verwenden, fehlerhaft verkabelt, ist es möglich, dass diese Virtualisierungsfunktionen nicht einwandfrei funktionieren. Die Verfügbarkeit der virtuellen IT-Systeme ist aufgrund dessen gefährdet.

Netzverbindungen für Virtualisierungsserver

Die Netzverbindungen der Virtualisierungsserver werden häufig redundant ausgelegt, da von den physischen Schnittstellen eine Vielzahl von Funktionen der virtuellen Infrastruktur abhängt. Um die Verfügbarkeit von Netzschnittstellen zu steigern, werden meist mehrere Netzwerkkarten so konfiguriert, dass sie wechselweise oder sogar gleichzeitig die Funktion der jeweils anderen ausführen können. Hierzu existieren verschiedene Verfahren:

  • Load Balancing: Die MAC-Adressen der virtuellen IT-Systeme werden auf der Basis eines Algorithmus auf die physischen Schnittstellen verteilt, um eine möglichst gleichmäßige Auslastung der einzelnen physischen Schnittstellen zu erreichen. Fällt eine der Schnittstellen aus, übernimmt eine der verbliebenen die Aufgabe der ausgefallenen. Hierbei wird die Netzverbindung der virtuellen IT-Systeme allerhöchstens unmerklich unterbrochen. Dieses Verfahren arbeitet mit allen gängigen physischen Switches zusammen und erfordert in der Regel keine spezielle Konfiguration dieser Switche. Load Balancing ist zwar nicht virtualisierungsspezifisch, dem Verfahren kommt jedoch beim Einsatz virtueller IT-Systeme eine besondere Bedeutung zu.
  • IEEE 802.3ad (Link Aggregation Control Protocol - LACP) oder Etherchannel (Cisco) sind Protokolle, bei denen mehrere physische Schnittstellen zu einem logischen Kanal zusammengeschaltet werden. Diese Verfahren erfordern in der Regel eine angepasste Konfiguration auf dem verbundenen, physischen Switch.

Es existieren des Weiteren eine Reihe von herstellerspezifischen Bezeichnungen für verschiedene Protokolle und Verfahren zur Verfügbarkeitssteigerung von Netzwerkkarten wie Bonding im Linux-Umfeld, Teaming, Port Aggregation, Link Aggregation und Trunking. Hierbei erfordern einige Protokolle, dass entsprechend angepasste Konfigurationen auf den physischen Switchen vorgenommen werden müssen. Teilweise sind die Verfahren nur eingeschränkt kompatibel. Werden diese Verfahren unzulässig gemischt oder kommt es zu Missverständnissen zwischen den Administratoren der Virtualisierungsserver und denen der physischen Netzinfrastruktursysteme, können Inkompatibilitäten durch Fehlfunktionen auftreten. Die sich dabei ergebenden Verbindungsabbrüche treten häufig nur sporadisch auf und ihre Ursachen sind dementsprechend schwer zu ermitteln.

Stand: 12. EL Stand 2011