Uncategorized

Proxmox VE 9 – firewall bug(s) still present and undocumented

A Warning to Proxmox Users: The Firewall Bug That’s Still Lurking

As someone who’s passionate about security, I wanted to share a crucial reminder with all of you who use Proxmox VE. If you’re relying solely on the built-in firewall solution, you might be putting your system at risk. I know, I know – it’s easy to assume that the firewall is doing its job, but trust me, it’s not as straightforward as it seems.

The Problem with Proxmox’s Firewall

Here’s the thing: Proxmox VE 9 still has a bug that allows the network to come up before the firewall rules are loaded. This means that for a brief moment, your system is exposed to the outside world without any protection. It’s like leaving your front door open while you’re still getting ready for the day. Not ideal, right?

I’m not trying to be alarmist, but this bug has been around for a while, and it’s surprising that it still hasn’t been fixed. The Proxmox team has made some… let’s call them “interesting” design choices when it comes to their firewall. It’s not just about the bug itself, but also about how they’ve chosen to implement their firewall rules.

A Simple Test to Verify the Issue

If you want to see this bug in action, you can try a simple test. Just turn on a constant barrage of ICMP Echo requests (basically, a bunch of pings) and watch your Proxmox instance during boot. You’ll see that the network comes up before the firewall rules are loaded. It’s a pretty rudimentary test, but it gets the point across.

Now, you might be thinking, “But what’s the big deal? It’s just a brief moment, right?” Well, the thing is, that brief moment can be enough time for bots to take over your system through a new vulnerability. And if you’re not careful, you might not even notice it’s happening.

What You Can Do to Stay Safe

So, what can you do to protect yourself? First and foremost, don’t rely solely on Proxmox’s built-in firewall solution. Instead, use a separate firewall solution, like ufw, to add an extra layer of protection. It’s not that hard to set up, and it’s definitely worth the peace of mind.

Also, keep in mind that this bug isn’t just limited to Proxmox VE 9. It’s been around for a while, so if you’re using an older version, you’re still at risk. And even if you’re using the new “Proxmox firewall” (which uses nftables), you’re still not entirely safe.

A Call to Action

I’m not trying to bash Proxmox or their team. I just want to make sure that everyone is aware of this issue and takes steps to protect themselves. If you’re a Proxmox user, please take this warning seriously and take action to secure your system. And if you’re part of the Proxmox team, please take this as a constructive criticism and fix this bug once and for all.

Let’s work together to make our systems more secure, one bug at a time.

Ostrzeżenie dla użytkowników Proxmox: wciąż istniejący błąd zapory sieciowej

Jako ktoś, kto jest zainteresowany bezpieczeństwem, chciałbym podzielić się ważnym przypomnieniem z wszystkimi, którzy używają Proxmox VE. Jeśli polegasz wyłącznie na wbudowanym rozwiązaniu zapory sieciowej, możesz narażać swój system na ryzyko. Wiem, wiem – łatwo przyjąć, że zapora działa prawidłowo, ale ufaj mi, nie jest to tak proste.

Problem z zaporą sieciową Proxmox

Oto rzecz: Proxmox VE 9 wciąż ma błąd, który pozwala na uruchomienie sieci przed załadowaniem reguł zapory. Oznacza to, że przez krótki moment twój system jest narażony na zewnątrz bez żadnej ochrony. To jak pozostawienie drzwi frontowych otwartych, gdy się jeszcze przygotowujesz do dnia. Nieidealnie, prawda?

Nie próbuję być alarmistą, ale ten błąd jest już od dawna i jest zaskakujące, że wciąż nie został naprawiony. Zespół Proxmox podjął pewne… nazwijmy to “ciekawe” decyzje projektowe, jeśli chodzi o ich zaporę. To nie tylko kwestia samego błędu, ale także tego, jak zdecydowali się wdrożyć reguły zapory.

Prosta próba weryfikacji problemu

Jeśli chcesz zobaczyć ten błąd w działaniu, możesz wykonać prostą próbę. Wystarczy włączyć ciągłe bombardowanie żądań ICMP Echo (czyli po prostu pinging) i obserwować swoją instancję Proxmox podczas uruchamiania. Zobaczysz, że sieć jest uruchamiana przed załadowaniem reguł zapory. To dość podstawowa próba, ale stanowi punkt odniesienia.

Teraz możesz myśleć: “Ale co to za problema? To tylko krótki moment, prawda?” Otóż rzecz jest taka, że ten krótki moment może być wystarczający, aby boty przejęły kontrolę nad twoim systemem przez nową lukę w zabezpieczeniach. I jeśli nie będziesz ostrożny, możesz nawet nie zauważyć, że się to dzieje.

Co możesz zrobić, aby być bezpiecznym

Więc co możesz zrobić, aby się chronić? Po pierwsze, nie polegaj wyłącznie na wbudowanym rozwiązaniu zapory sieciowej Proxmox. Zamiast tego użyj oddzielnego rozwiązania zapory, takiego jak ufw, aby dodać dodatkową warstwę ochrony. To nie jest takie trudne do ustawienia, a na pewno jest warte pokoju ducha.

Ponadto pamiętaj, że ten błąd nie jest ograniczony tylko do Proxmox VE 9. Istnieje on już od dawna, więc jeśli używasz starszej wersji, nadal jesteś narażony. I nawet jeśli używasz nowej “zapy sieciowej Proxmox” (która używa nftables), nie jesteś całkowicie bezpieczny.

Wezwanie do działania

Nie próbuję krytykować Proxmox ani ich zespołu. Chcę tylko upewnić się, że każdy jest świadomy tego problemu i podejmuje działania, aby się chronić. Jeśli jesteś użytkownikiem Proxmox, proszę traktuj to ostrzeżenie poważnie i podejmij działania, aby zabezpieczyć swój system. A jeśli jesteś częścią zespołu Proxmox, proszę traktuj to jako konstruktywną krytykę i napraw ten błąd raz na zawsze.

Współpracujmy, aby nasze systemy były bardziej bezpieczne, jeden błąd na raz.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

WordPress Appliance - Powered by TurnKey Linux