Netzwerk und virtuelle Maschinen einrichten

Ich hatte am WE einen Bekannten da, der sich etwas besser als ich mit der Materie auskennt.

Erste Erkenntnis:
Da die VM direkt auf die Netzwerkkarte des Hosts zugreifen muss, besteht keine ersichtliche Möglichkeit den Host komplett vom Netz weg zu bekommen...leider.

Entweder beide Systeme oder keiner.

Verschiedene Versuche wie z.B. statische IPs, Netzwerkbrücken etc. brachten keine Lösung.
Nach einem Firmenwareupdate der Fritzbox hatte ich, genauso wie PSO, die Möglichkeit IP zu routen.

Dann haben wir Überlegungen und Infos aus dem www umgesetzt, damit einen Rechner so gut wie keine Möglichkeit hat aufs Internet zuzugreifen. Es wurde der IE deinstalliert und bestimmte Dienste ausgeschaltet. Es gibt sogar Programme die solche Aufgaben übernehmen.

Ein sehr wichtiger Punkt ist die Netbiosdeaktivierung über TCP/IP.

Weitere Punkte:
SSDP deaktiviert
Telnet deaktiviert
Terminaldienste deaktiviert
Indexdienst deaktiviert
Netmeeting deaktiviert
NLA deaktiviert
Fehlerberichtserstattungsdienst deaktiviert
(Alle Angaben ohne Gewähr, da ich eventuell etwas nicht richtig verstanden habe).

Dann haben wir im Router alle nicht benötigten Ports geschlossen bzw. nur die freigegeben die benötigt werden..

Wenn die VM läuft, ist von außen auch nur diese zu sehen...sprich die Netzwerkanbindung hängt direkt an der VM und somit ist gibt keine Möglichkeit von außen den Host zu sehen. Darum bleibt die Firewall weiter installiert, damit im ausgeschalteten zustand der VM der Host von außen nicht zu scannen ist.

Ein weiterer entscheidender Punkt ist die Anmeldung am Host. Solange keine Adminrechte benötigt werden, sollte der Anwender sich mit eingeschränkten Rechten auf seinen PC einloggen. Mit diesen eingeschränkten Rechten, hat auch ein Hacker keine Möglichkeiten, oder sehr eingeschränkte, etwas an Systemsatein zu ändern. Diese Variante ist allen Internetnutzern wärmstens zu empfehlen.

@soulman

Leichtsinnigkeit des Nutzers bügelt kein noch so ausgeklügeltes System aus.
Vorsicht ist immer geboten.

Du hast natürlich Recht mit der VM Datei auf der HDD. Dies ist aber nur eine Datei ohne weiteren Zugriffsmöglichkeiten aufs Hostsystem. Diese Datei sieht für eventuelle Angreifer wie eine Festplatte aus und er wird, wenn Interesse besteht, das darauf installierte System angreifen / verändern / manipulieren... soll er doch. Einmal booten ohne abspeichern und alles ist wieder beim alten. Die einzige direkte Verbindung zur Festplatte besteht darin, ein Laufwerk in der VM direkt zu verknüpfen. Das wäre eine Einstiegsmöglichkeit auf die Hosthardware. Nachdem wir das System neu eingestellt hatten, sind wir auf einschlägigen Internetseiten unterwegs gewesen. Nach knapp zwei Stunden war der IE des VM System so instabil, das man kaum noch vernünftig surfen konnte. Anschließend haben wir Adaware, Spybot und Vierenscanner bemüht das Betriebssystem zu checken und konnten dutzende an Trojanern, Malware und was weiß ich nicht feststellen. Die Überprüfung des Host ergab keinen Angriff. Haben das VM System nicht bereinigt, einmal neu gebootet und die Scannaktion noch mal durchgezogen.... Ergebnis >>> die VM war sauber.

Ich gehe davon aus, das ein Hacker jedes System umbiegen kann... ohne wenn und aber. Ich denke aber auch, dass mit der VM das Risiko auf einen sehr keinen Nenner gebracht wurde. Angriffe werden im Normalfall von Programmen durchgeführt, und diese sehen einen kompletten Computer... der halt keiner ist. Es müssen tiefer Recherchen durchgeführt werden, um an das gewünschte Ziel zu kommen .

Ich finde solche technischen Lösung zwar auch sehr spannend (administriere z.B. bei uns die GSX/VMWare-Server), aber meiner Ansicht nach überschreitet dabei der Nutzen den Aufwand. Ich persönlich arbeite mittlerweile mal wieder drei Jahre mit meinem BS, ohne das jemals Viren, Trojaner oder sonstiges ein Problem waren. Grund dafür sind in erster Linie ein bewusster Umgang mit dem Medium. Also alles blocken was nicht bekannt ist, aktueller Virenscanner, E-Mails durch den Provider zusätzlich prüfen lassen, nicht benötigte Dienste ausschalten und nicht andauernd irgendwelche Software auf meinem System installieren. Spielchen wie z.B. extra User ohne Admin Rechte fürs Internet habe ich zwar auch mal probiert, aber dann mangels Usability wieder verworfen.

Sicherheit ist in erster Linie eine Sache der Organisation, erst an zweiter Stelle kommt die Technik.

Wie wäre es denn mit Ubuntu? Einfach booten von cd und es geht loss.
u b u n t u . c o m
Funktionierte wunderbar bei mir. Hat nur ein wenig gedauert bevor ich meine Wifikarte funktionsfähig hatte.

Leon

Für mich ist das Thema soweit auch abgehandelt. Mehr Zeit investiere ich da nicht. Als ich vor ein paar Wochen von dieser Möglichkeit gelesen habe, dachte ich mir, dass ich das mal antesten muss.

Zum Nutzen / Aufwand kann ich nur soviel sagen: Nach der erfolgreichen Installation und Einrichtung gibt es keine weiteren “Unannehmlichkeiten“. Die renommierten PC-Zeitschriften werden in den nächste Monaten genug darüber Berichten (aktuell in der 01/07 PC Profesional auch) und in einem Jahr gehören VM’s eventuell genauso zum Heim-PC wie ein guter Vieren Scanner. Bei meinen Rechchen bin ich schon auf fertige VM’s zum downloaden gestoßen. Der User braucht nur noch die Konsole installieren und die VM da hinein kopieren... fertig. Das Thema steckt halt noch in den Kinderschuhen.

Bei mir läuft VM stabil, die Installation und Handhabung ist relativ einfach und ich meine, dass es doch um einiges sicherer ist.

Ich hatte auch Monate oder gar Jahrelang keine Probleme im Internet. Aber in denn letzten zwei oder drei Monaten hatte ich zweimal einen kompletten Systemcrash... obwohl ich meine Gewohnheiten und Surfeigenschaften nicht geändert habe. Kann auch sein, dass mein Sohn nicht ganz unschuldig an der ganzen Sache war... wer weiß das schon.

Sicherheit, was Daten auf den PC angehen, steht an oberste Stelle. Darum nutze ich auch kein Outlook / Outlook Express.

Jetzt wird der Rechner wieder dazu genutzt wofür er gedacht ist. Zum Arbeiten, Surfen, Bild- / Musik- / Filmbearbeitung und zum Abspannen ein paar Spiele zu zocken. Freue mich schon die 600 PS Boliden aus GTR durch Monaco oder über die Nordschleife zu jagen oder in Doom 3 (ich weiß schon was ihr sagen wollt) den nächsten Level zu erreichen.


@Leon

Läuft das System nur von CD? Oder kann es in ein laufendes System eingebunden werden. Bin zu faul jetzt nachzulesen.
Habe mal Bart PE gedacht... läuft auch als eigenständiges Betriebssystem von CD.

Ubuntu gibt es als Live-Version, die wie auch Knoppix eigenständig von CD/DVD läuft. Ubuntu ist nur ein wenig größer.

..und man kan es natürlich auch auf der Festplatte installieren.

Habe einmal unter www.Ubuntuuser.de nachgeschaut. Ein Kriterium welches aus meiner Sicht gegen das System spricht, ist das es nicht direkt unter Windows läuft. Über einen Bootmanager wird ausgewählt, ob Windows oder Ubuntu laufen soll. Da meine Frau ebenfalls mit dem Rechner arbeitet, ist der Umstand des Systemwechsels in der alltäglichen Arbeit, also um kurz einmal ins Internet zu gucken, viel zu umständlich. Denke auch, das ein System nur den breiten Markt erreichen wird, wenn es der Autonormalverbraucher einfach einsetzen kann. Vom Sicherheitsaspekt wird Ubuntu etwas besser sein als die von mir genannten VM’s, da das System nie parallel in einer Umgebung läuft... bis auf die Daten, die genauso auf dem Host abgelegt werden.

Servus !

Linux läuft nicht unter Windows ?

... kein Wunder - würd ich auch nicht wollen


XEN in Verbindung mit einem entsprechenden Prozessor (z.B.: sog. Pacifica)
läßt auch Windows auf Linux laufen.

Ein LIVE-System, welches ohne Installation läuft, kann unter der folgenden Adresse heruntergeladen werden:

Bitte die angezeigte Seite herunterscrollen.




Die Demo ist ohne Installation lauffähig, allerdings eingeschränkt, weil pro Gast-Sitzung 2 Loopbacks benötigt werden.

Diese Einschränkung liegt bei der Festinstallation nicht vor.

Also Fedora (RedHat) oder CentOS herunterladen, XEN installieren ... und los gehts










4knoten

Da kann die Linux Distribution allerdings nichts dafür. Mir ist kein OS bekannt, das OHNE Zwischenschicht wie etwa einem Emulator oder einer virtuellen Maschine auf ein anderes OS aufsetzen könnte (Stichwort Kernel). Nicht umsonst werden Betriebssysteme ja für Prozessoren ausgelegt, nicht für Betriebssysteme.

Hatte früher Ubuntu via VMWare im Einsatz, mittlerweile habe ich Ubuntu aber eine eigene Partition gegönnt. Die Softwareinstallation über den Package Manager (nach Art der Software gegliedert, zusätzliche Quellen können hinzugefügt und aktualisiert werden) und die Vielfalt an qualitativ wirklich guter Software gefällt mir. Man muss allerdings vorsichtig sein, was die Hardware betrifft. Nicht jeder Hersteller stellt Linux Treiber zur Verfügung und nicht immer gibt es Wrapper, um die Windows Treiber verwenden zu können.

Gruß,
Thomas