Fehler im Artikel: Netzwerk

Zitat:"Im Modus „Host-Only Adapter“ greift der virtuelle Rechner direkt auf die Netzwerkkarte des Host-Computers zu und erhält die vom Internetprovider oder vom DSL-Router zugewiesene IP-Adresse."

Das ist falsch. Es handelt sich stattdessen, wie "Host-only" schon sagt, um ein virtuelles Netzwerk nur zwischen Gast und Host. Sofern der Host kein eigenes, manuell eingerichtetes Routing macht, kommt der Gast nicht ins LAN und nicht ins WAN. Der Gast ist auch von aussen nicht erreichbar. Host und Gast sind in einem eigenen Subnetz ohne Routing durch Virtualbox. Nützlich ist diese Einstellung beispielsweise dann, wenn ich auf dem Host zwecks besserer Skalierbarkeit oder Portabilität einen Datenbankserver virtualisieren will, der über das Netzwerk _nur_ den Host bedienen soll, aber weder von aussen erreichbar ist, noch selbst andere LAN-Teilnehmer oder das WAN über einen Router im lokalen Netzwerk kontaktieren soll. Oder wenn ein Gast nur über Routing des Hosts, das für das private Host-only-Subnetz eingerichtet werden muss, nach aussen kommen soll.
Was Peter stattdessen beschreibt ist eine paravirtualisiertes Netzwerkschnittstelle wie unter KVM/Qemu und XEN. Das geht auch mit Virtualbox, falls der Gast VirtIO unterstützt. Edit: Wobei auch dann der Gast wie bei einer Netzwerkbucke eine eigene IP im LAN bekommt und nicht einfach die IP des Hosts.

 

das ist das mindeste, was man tun sollte hinsichtlich IT-Sicherheit.
Besser wäre es deshalb, zwischen Host- und Guestsystem überhaupt keinen Datenaustausch (foldersharing) zuzulassen,
insbesonders wenn VMs für Surfen, Downloads und anschließende Programmtests benutzt werden. Es sind schon etliche Exploitscodes diesbezüglich bekannt geworden und sollte neben VMs auch für sog. Sandboxes beachtet werden.

 

Weil mir irgendwann der Kragen geplatzt ist, dass neuerdings bei jeder Installation, jeder, aber auch wirklich jeder Scheiß, ständig versucht ungefragt ins Internet zu gehen (meist schon aus der TMP heraus, mehrmals während der Installation, spätestens aber nach der Installation), habe ich mir eine VM OHNE internet eingerichtet.

Ich lade also aus dem Netz irgendwelche Software, schiebe diese in den gemeinsamen Ordner (foldersharing) und teste den Spaß.

Ich höre hier zum ersten Mal, das der gemeinsame Ordner (Schnittstelle) ein Sicherheitsrisiko darstellt, habe aber erlebt dass der Schreibschutz unter Windows 7 ein Witz ist.

Wie sollte ich künftig vorgehen?

 

Die Sicherheitslücken wurden erstmals 2008 u.a. bei VMware aufgedeckt - ist also schon länger her- , und wurden inzwischen gepatcht, nur deshalb sollte man sich aber nicht sicher wähnen. Malware kann auch heutzutage vom Guest auf den Host überspringen.
Grundsätzliche Gegenmaßnahmen:
- Copy & Paste, ebenso drag 'n drop von oder aus der Virtuellen Maschine sollte strikt vermieden werden, falls es die Option zulässt.
- Shared Folder deaktivieren, bzw. deinstallieren,
- Programme aus unsicheren Quellen im Guest niemals als Administrator ausführen. User, die manuell normalen Benutzeraccounts das Laden von Treibern erlaubt haben, sollten dies wieder rückgängig machen,
- im Guestsystem also niemals mit Admin-Privilegien arbeiten, sondern im limitierten Useraccount, denn potentielle Malware könnte theoretisch einfach die deinstallierten Komponenten von der Hand wieder installieren oder direkt über den "Backdoor"-Port gehen.
Auch Netzwerkschnittstellen können Sicherheitslücken darstellen, deshalb >
- KEIN Homebanking oder online-shopping im Guestsystem; noch restriktiver: virtuellen NIC nicht installieren.
Empfehlenwert wäre es daher, mit Linuxbasierter Virtualisierung zu arbeiten. Linux als Host und WIN in einer VM.