Hypervisors zijn tools die worden gebruikt om virtuele machines (VM's) te maken voor het hosten van services, testen en softwareontwikkeling in een veilige omgeving. Helaas is dit beveiligingsniveau alleen mogelijk door de virtuele machine volledig te sandboxen van de fysieke wereld, wat een probleem is als het project een netwerk nodig heeft.
Om deze reden bieden hypervisors verschillende netwerkmodi om netwerkmogelijkheden aan een VM te bieden met behoud van een bepaald beveiligingsniveau. Deze netwerkmodi omvatten NAT-, bridged- en host-only netwerken.
Wat zijn NAT, bridged en host-only netwerkmodi precies? Hoe werken ze en welke moet je gebruiken?
Wat is NAT?
Network Address Translation (NAT) is een netwerkmodus waarbij de hosts het IP-adres van de VM vertalen naar de router zodat de VM verbinding kan maken met internet.
Kortom, wanneer verbinding wordt gemaakt met internet, wordt het IP-adres van de VM gemaskeerd door het IP-adres van de host. Deze modus staat de onderlinge verbinding tussen VM's niet toe en staat een VM ook niet toe om te communiceren met andere fysieke machines behalve de host.
De VM krijgt een IP adres via een virtuele DHCP-server gekoppeld aan de netwerkmodem van de fysieke host, niet de DHCP-server van de fysieke router. Er wordt automatisch een virtuele DHCP-server gemaakt wanneer een virtuele machine wordt gemaakt. Dit betekent dat het IP-adres van een VM die een NAT-adapter gebruikt, zonder problemen hetzelfde IP-adres kan hebben als een andere VM. Dit betekent echter ook dat elke VM die door de fysieke hostmachine wordt gehost, niet met elkaar kan communiceren omdat ze hetzelfde IP-adres delen.
In gevallen waarin VM's NAT en een netwerkverbinding met elkaar vereisen, bieden sommige hypervisors, zoals VirtualBox, opties voor de modus "NAT-netwerk".
Wat is een host-only netwerk?
Een host-only netwerk biedt het hoogste niveau van netwerkbeveiliging in ruil voor zeer beperkte netwerkmogelijkheden. Een host-only netwerk stelt bijvoorbeeld alle VM's en de hostmachine in staat om met elkaar te netwerken terwijl ze zijn afgesloten van het fysieke netwerk. En aangezien de hostmachine het adres voor de VM's niet vertaalt, kan de router ze geen internettoegang bieden.
Een host-only netwerk maakt gebruik van een virtuele DHCP-server vanaf de hostmachine om elke VM een uniek IP-adres te geven. MAC-adressen worden automatisch ingesteld, maar u kunt desgewenst het MAC-adres en IP-adres wijzigen.
Wat is een overbrugd netwerk?
Een overbrugd netwerk is het meest tolerante van alle soorten netwerkverbindingen.
Het stelt een VM in staat om te netwerken met andere VM's en alle fysieke machines op het fysieke netwerk. Hoewel een overbrugd netwerk VM's alle netwerkfunctionaliteiten biedt, is het ook aanzienlijk vermindert de beveiliging omdat de VM's ook vatbaar zijn voor netwerkkwetsbaarheden, vergelijkbaar met een open fysiek netwerk.
Een bridge-adapter voorziet elke VM van een uniek IP-adres binnen het fysieke netwerksubnet. VM's krijgen hun IP-adres niet van een virtuele DHCP-server, maar van de fysieke router in uw netwerk. Om een gebrugd netwerk te gebruiken, moet een gebruiker handmatig de gebrugde adaptermodus op de hypervisor selecteren en unieke MAC-adressen instellen voor elke VM.
Vergelijking van NAT-, Bridged- en Host-only-netwerken
NAT-, bridged- en host-only-netwerken zijn drie van de meest voorkomende netwerkmodi die virtuele machines gebruiken voor connectiviteit. Afhankelijk van de verbindingsmodus heeft uw virtuele machine verschillende netwerkmogelijkheden. Hoewel een IP open voor alle verbindingen handig en nuttig lijkt, is het risico dat een volledig open verbinding met zich meebrengt, het gemak niet waard. Bovendien is het instellen van de juiste netwerkmodus eenvoudig en binnen enkele seconden gedaan.
Het belangrijkste is dat u moet begrijpen welke netwerkmodus het beste bij uw behoeften past. Om het voor u eenvoudiger te maken, volgt hier een tabel met waartoe elke specifieke netwerkmodus toegang biedt:
Netwerkmodus |
Toegang tot andere VM's |
Toegang tot host |
Toegang tot fysieke machines |
Internet toegang |
|---|---|---|---|---|
NAT |
Nee |
Ja (enkele reis) |
Nee |
Ja |
overbrugd |
Ja |
Ja |
Ja |
Ja |
Host-Alleen |
Ja |
Ja |
Nee |
Nee |
NAT versus Overbrugde modus vs. Host-only: welke netwerkmodus te gebruiken?
Er zijn veel praktische toepassingen voor het gebruik van een virtuele machine. Veel van deze toepassingen zijn meestal in de vorm van test-, onderwijs-, ontwikkelings- en hostingservices.
Op basis van de tabel is NAT beperkt in het verbinden met andere VM's en de machines op het fysieke netwerk. VM's die zijn geconfigureerd om NAT te gebruiken, zijn onzichtbaar voor fysieke machines en andere VM's die door de hostmachine worden gehost. En aangezien een VM in een NAT-configuratie niet door andere machines kan worden gezien, wordt het risico van mogelijke poortscanning-aanvallen geëlimineerd.
Dit maakt NAT een geschikte netwerkverbinding voor testprojecten waarbij de VM geïsoleerd moet zijn maar ook internettoegang nodig heeft. Bovendien kan NAT ook worden gebruikt door instellingen die VM's als clients gebruiken om op internet te surfen en verschillende bedrijfstaken uit te voeren.
Aan de andere kant maakt een bridge-netwerkconfiguratie verbinding met vergelijkbare ingestelde VM's, de hostmachine, fysieke machines op de server en internet mogelijk. Deze modus biedt volledige netwerkconnectiviteit ten koste van de minste mate van beveiliging. Een gebrugd netwerk is bijvoorbeeld nodig als een virtuele machine een webserver, bestandsserver of mailserver host.
In tegenstelling tot het overbrugde netwerk biedt een host-only netwerk de beste netwerkbeveiliging ten koste van lage connectiviteit. Een overbrugd netwerk maakt alleen verbinding met de host en andere VM's mogelijk. Hoewel erg geïsoleerd, een host-only verbinding kan het beste worden gebruikt bij het opzetten van een privé virtueel netwerk voor testen en leren over cyberbeveiliging.
U kunt verschillende netwerkmodi voor virtuele machines mixen en matchen
Test-, ontwikkelings- en hostingservices zijn vrij brede gebieden van het gebruik van VM's. Voor meer gespecialiseerde taken kunt u echter situaties tegenkomen waarin NAT-, bridge- of host-only netwerkmodi niet passen bij het type verbinding dat u nodig hebt.
Om uw netwerkmodus op maat te maken, kunt u verbindingsmodi mixen en matchen. Dit is mogelijk omdat hypervisors VM's vaak vier tot acht netwerkadapters geven. U kunt dus indien nodig meerdere netwerkmodi gebruiken. U hebt bijvoorbeeld een netwerk nodig dat een internet- en VM-naar-VM-verbinding heeft terwijl het onzichtbaar is voor het fysieke netwerk. U zou NAT en host-only netwerkmodi combineren om zo'n verbinding tot stand te brengen.
En dat is eigenlijk alles wat u moet weten over VM-netwerkmodi. Hopelijk kunt u nu uw VM-netwerken gebruiken en aanpassen.
