Sicherheit mit VMWARE

hallo,


welches der folgenden möglichkeiten ist die beste, um das host-system weitestgehend vom guest-system, das ins internet geht, abzuschirmen:





über auskunft würde ich mich freuen.


mfg
clouser

 

[x] Do not use a network connection

...ansonsten: über irrige Annahme, man würde mit einer VM besonders sicher "unterwegs" sein, ist hier schon mehr als einmal diskutiert worden. Solange beide Systeme Daten austauschen können, ist das Gastsystem sicherheitstechnisch so zu behandeln, wie das Hostsystem.

 

Hallo kalweit,


erstmal danke für die Antwort.

Wenn ich
[x] Do not use a network connection
wähle, kann ich dann noch mit meinem Gast-System ins Internet? Darum geht es mir ja. Wenn möglich, das Host-System ohne Internetfunktion, Internet soll nur über das Gast-System gehen.

Sicherlich werden Gast-Systeme von den Sicherheitsstandards her genauso behandelt wie mein Hostsystem (Richtlinien, Dienste, usw.).

Es ging mir darum, dass man eine Art Schranke durch vmware aufbaut, die es zusätzlich zu überwinden gilt - eine Schranke zwischen dem eigentlichen Teil des Rechners und den austauschbaren Komponenten wie den Gast-Betriebssystemen.
Ich denke, dass nicht ohne Grund ein Gast-System als Sandkastensystem bezeichnet wird?

Auch ging es mir um diese Snapshot-Funktion: Da ich kein Image-Programm und auch nicht so viel Speicher, um ein Image anzufertigen, besitze, ganz interessant.

Zuletzt noch eine Frage: Wie tauschen denn Host und Guest Daten aus? Wie angreif-/eingreifbar ist dieser "Datenstrom" - heisst, inwieweit kann jemand, der mein Gastsystem gekapert hat, auch mein Hostsystem kompromittieren?

Über Erläuterungen würde ich mich sehr freuen. Danke im Voraus!


MfG
clouser

 

Nein.

Das ist ein Taschenspielertrick. Wenn das ginge, könntest du z.B. ein Modem in den Rechner einbauen und dieses ohne Treiber im Hostsystem im Gastsystem nutzen. Die VM kann aber nur Hardware verwenden, die im Hostsystem auch richtig konfiguriert ist. Zwar sollte ein Anreifer in dem Fall keinen direkten Zugriff auf das Hostsystem haben, aber am Ende hängt das alles nur von der "Qualität" der VM ab. Schließlich ist das auch nur ein Stück Software.

Eine zusätzliche Schranke: vielleicht, ein wirkliches Hindernis - bei den meisten Konfigurationen: nein. Erschwerend kommt hinzu, dass man in VM-Umgebungen gern die Systempflege (sowohl Host als auch Gast) vergisst. Beispiel: Host keine Internetverbindung = Autoupdate.

Das hilft dir auch nichts, wenn das Hostsystem die Segel streicht. Hast du schon mal geschaut, wie groß deine vmdk-Dateien sind? Dafür kann man sich mehr als ein System-Image halten.

...über eine virtuelle LAN-Verbindung.

 

Vielen Dank für die Antwort!

Also ich benutze die neueste VMware-Version und bin dabei, mich durch das 500 Seiten-Benutzerhandbuch zu lesen.

Also an der "Qualität" der Software (VMware = das Beste auf dem Markt - neueste Version!) selbst und an meinen Einstellungen dieser dürfte es nicht liegen --> Es wäre also doch so, dass normalerweise Guest von Host abgetrennt ist, auch wenn Guest die low-level Komponenten der Netzwerkkarte (oder so), etc. pp. verwendet.

Soll das heissen, dass der Host, der absichtlich vom Internet abgetrennt wird (Dienste deaktivieren, etc. pp.) sich per Autoupdate eine Internetverbindung "machen" kann? Oder wie ist das zu verstehen?

Irgendjemand meinte, dass das Image so groß wie die Festplatte selbst wird. Die virtuellen Machines übersteigen jedenfalls nicht 8GB.

Wie kann man die am besten absichern? Welche Richtlinien oder was auch immer genau müssten konfiguriert werden? Welche Softwares zum Schützen solcher virtuellen LAN-Verbindungen eingespielt werden...?


mfg
clouser

 

da fehlt ein "kein" in meiner Antwort

So wie du auch sonst Rechner im LAN voreinander schützt.

 

Zusatz:

Wenn man auf dem Host alle für's Internet benötigten Protkolle "ent-bindet" (Netzwerkadapter), ausser bridge vmware oder wie es genau heisst, ist man in der Lage, das zur Kommunikation "Host-Guest" nötige "virtuelle LAN" aufzubauen, anschließend im Guest-System allein Internet einzurichten - und dadurch nach zusätzlichem Deaktivieren von bestimmten Diensten, etc. auf dem Host einen absolut vom Internet abgetrennten Host zu haben?

Dann stellt sich nur noch die Frage, wie man die virtuelle LAN-Verbindung angriffssicher macht?

 

Auto-Update ist auf meinem System (nach Sicherheitshandbuch) absichtlich ausgeschaltet, weil ein zusätzlicher unnötiger Port geöffnet würde? - denn die Patches installiere ich manuell; falls der Dienst "Windows-Update" mit "Autoupdate" gemeint ist.

Hmm... Vielleicht ist mir dieser Punkt etwas unklar. Ich habe ja sonst keine weiteren Rechner im LAN, wenn die Rechnern im Internet gemeint sind, da schütze ich mich mit der Firewall davor, unter anderem. Denke aber, man kann die Firewall nicht zum Schutz einer virtuellen LAN-Verbindung benutzen, oder doch?

Ansonsten sind z.B. bei meinen virtuellen Verbindungen folgende Elemente aktiviert:

* Client für Microsoft-Netzwerke
* Datei- und Druckerfreigabe für Microsoft-Netzwerke (eventuell weg?)
* Sniffem NDIS 5.0 packet driver (wofür ist der?)
* Internetprotokoll (TCP/IP)

Vielleicht sind einige Elemente nicht nötig? Über Erläuterungen würde ich mich freuen.

Vielen Dank im Voraus.


mfg
clouser