1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Sicherheit mit VMWARE

Discussion in 'Sicherheit' started by clouser, Feb 28, 2007.

Thread Status:
Not open for further replies.
  1. clouser

    clouser Kbyte

    hallo,


    welches der folgenden möglichkeiten ist die beste, um das host-system weitestgehend vom guest-system, das ins internet geht, abzuschirmen:


    [​IMG]


    über auskunft würde ich mich freuen.


    mfg
    clouser
     
  2. kalweit

    kalweit Hüter der Glaskugel

    [x] Do not use a network connection

    ...ansonsten: über irrige Annahme, man würde mit einer VM besonders sicher "unterwegs" sein, ist hier schon mehr als einmal diskutiert worden. Solange beide Systeme Daten austauschen können, ist das Gastsystem sicherheitstechnisch so zu behandeln, wie das Hostsystem.
     
  3. clouser

    clouser Kbyte

    Hallo kalweit,


    erstmal danke für die Antwort.

    Wenn ich
    [x] Do not use a network connection
    wähle, kann ich dann noch mit meinem Gast-System ins Internet? Darum geht es mir ja. Wenn möglich, das Host-System ohne Internetfunktion, Internet soll nur über das Gast-System gehen.

    Sicherlich werden Gast-Systeme von den Sicherheitsstandards her genauso behandelt wie mein Hostsystem (Richtlinien, Dienste, usw.).

    Es ging mir darum, dass man eine Art Schranke durch vmware aufbaut, die es zusätzlich zu überwinden gilt - eine Schranke zwischen dem eigentlichen Teil des Rechners und den austauschbaren Komponenten wie den Gast-Betriebssystemen.
    Ich denke, dass nicht ohne Grund ein Gast-System als Sandkastensystem bezeichnet wird?

    Auch ging es mir um diese Snapshot-Funktion: Da ich kein Image-Programm und auch nicht so viel Speicher, um ein Image anzufertigen, besitze, ganz interessant.

    Zuletzt noch eine Frage: Wie tauschen denn Host und Guest Daten aus? Wie angreif-/eingreifbar ist dieser "Datenstrom" - heisst, inwieweit kann jemand, der mein Gastsystem gekapert hat, auch mein Hostsystem kompromittieren?

    Über Erläuterungen würde ich mich sehr freuen. Danke im Voraus!


    MfG
    clouser
     
  4. kalweit

    kalweit Hüter der Glaskugel

    Nein.

    Das ist ein Taschenspielertrick. Wenn das ginge, könntest du z.B. ein Modem in den Rechner einbauen und dieses ohne Treiber im Hostsystem im Gastsystem nutzen. Die VM kann aber nur Hardware verwenden, die im Hostsystem auch richtig konfiguriert ist. Zwar sollte ein Anreifer in dem Fall keinen direkten Zugriff auf das Hostsystem haben, aber am Ende hängt das alles nur von der "Qualität" der VM ab. Schließlich ist das auch nur ein Stück Software.

    Eine zusätzliche Schranke: vielleicht, ein wirkliches Hindernis - bei den meisten Konfigurationen: nein. Erschwerend kommt hinzu, dass man in VM-Umgebungen gern die Systempflege (sowohl Host als auch Gast) vergisst. Beispiel: Host keine Internetverbindung = Autoupdate.

    Das hilft dir auch nichts, wenn das Hostsystem die Segel streicht. Hast du schon mal geschaut, wie groß deine vmdk-Dateien sind? Dafür kann man sich mehr als ein System-Image halten.

    ...über eine virtuelle LAN-Verbindung.
     
  5. clouser

    clouser Kbyte

    Vielen Dank für die Antwort!

    Also ich benutze die neueste VMware-Version und bin dabei, mich durch das 500 Seiten-Benutzerhandbuch zu lesen.

    Also an der "Qualität" der Software (VMware = das Beste auf dem Markt - neueste Version!) selbst und an meinen Einstellungen dieser dürfte es nicht liegen --> Es wäre also doch so, dass normalerweise Guest von Host abgetrennt ist, auch wenn Guest die low-level Komponenten der Netzwerkkarte (oder so), etc. pp. verwendet.

    Soll das heissen, dass der Host, der absichtlich vom Internet abgetrennt wird (Dienste deaktivieren, etc. pp.) sich per Autoupdate eine Internetverbindung "machen" kann? Oder wie ist das zu verstehen?

    Irgendjemand meinte, dass das Image so groß wie die Festplatte selbst wird. Die virtuellen Machines übersteigen jedenfalls nicht 8GB.

    Wie kann man die am besten absichern? Welche Richtlinien oder was auch immer genau müssten konfiguriert werden? Welche Softwares zum Schützen solcher virtuellen LAN-Verbindungen eingespielt werden...?


    mfg
    clouser
     
  6. kalweit

    kalweit Hüter der Glaskugel

    da fehlt ein "kein" in meiner Antwort ;)

    So wie du auch sonst Rechner im LAN voreinander schützt.
     
  7. clouser

    clouser Kbyte

    Zusatz:

    Wenn man auf dem Host alle für's Internet benötigten Protkolle "ent-bindet" (Netzwerkadapter), ausser bridge vmware oder wie es genau heisst, ist man in der Lage, das zur Kommunikation "Host-Guest" nötige "virtuelle LAN" aufzubauen, anschließend im Guest-System allein Internet einzurichten - und dadurch nach zusätzlichem Deaktivieren von bestimmten Diensten, etc. auf dem Host einen absolut vom Internet abgetrennten Host zu haben?

    Dann stellt sich nur noch die Frage, wie man die virtuelle LAN-Verbindung angriffssicher macht?
     
  8. clouser

    clouser Kbyte

    Auto-Update ist auf meinem System (nach Sicherheitshandbuch) absichtlich ausgeschaltet, weil ein zusätzlicher unnötiger Port geöffnet würde? - denn die Patches installiere ich manuell; falls der Dienst "Windows-Update" mit "Autoupdate" gemeint ist.

    Hmm... Vielleicht ist mir dieser Punkt etwas unklar. Ich habe ja sonst keine weiteren Rechner im LAN, wenn die Rechnern im Internet gemeint sind, da schütze ich mich mit der Firewall davor, unter anderem. Denke aber, man kann die Firewall nicht zum Schutz einer virtuellen LAN-Verbindung benutzen, oder doch?

    Ansonsten sind z.B. bei meinen virtuellen Verbindungen folgende Elemente aktiviert:

    * Client für Microsoft-Netzwerke
    * Datei- und Druckerfreigabe für Microsoft-Netzwerke (eventuell weg?)
    * Sniffem NDIS 5.0 packet driver (wofür ist der?)
    * Internetprotokoll (TCP/IP)

    Vielleicht sind einige Elemente nicht nötig? Über Erläuterungen würde ich mich freuen.

    Vielen Dank im Voraus.


    mfg
    clouser
     
Thread Status:
Not open for further replies.

Share This Page