4
Ins Net mittels VMware als Sandkastensystem
Ich möchte folgendes erreichen: Über ein in VMware eingebettetes Windows XP Professional ins Internet gehen bei gleichzeitiger gänzlicher Isolation des Host- vom Guest-System.
Ziel: Schädlinge sollen im "Sandkasten"-Netz hängenbleiben, das jederzeit per Snapshot gereinigt werden kann.
Anfänglich klappte die Konfiguration nicht (also TCP/IP-Protokoll bei der Host-Verbindung entfernen, usw.). ->
Bei mir ist DHCP im Betriebssystem ausgeschaltet (da ich NETBIOS ausgeschaltet habe), IP muss also erstmal statisch vergeben werden, als Gateway/DNS des Rechner = die IP des Routers.
Über mein Guest-Betriebssystem konnte ich den Router gar nicht konfigurieren. Ich habe den Router also durch Host konfiguriert, alles lief, konnte auch mit Host ins Internet.
Anfänglich ging es nicht, mit Guest ins Internet zu kommen (ohne Host, also TCP/IP-Protokoll der HOST-LAN deaktiviert, nur VMware Bridge-Protokoll aktiv).
Nun funktioniert es so, dass ich eben auf dem HOST-System bei der HOST-LAN TCP/IP-Protokoll deaktiviert habe (nur VMware Bridge-Protokoll aktiv), und gleichzeitig auch in der VMnet1-Verbindung (IP 192.168.x.x) als Gateway und DNS die IP des Routers vergeben habe.
Im Guest-System selber habe ich der LAN-Verbindung eine IP im Bereich der Router-IP-Bandbreite vergeben, also 172.x.x.32 z.B., und als DNS und Gateway ebenfalls die IP des Routers).
Auf dem HOST-System sehen die Verbindungen also so aus:
LAN
VMWare Bridge Protocol - aktiv
TCP/IP - deaktiviert
VMnet1
VMWare Bridge Protocol - aktiv
TCP/IP - aktiv
IP 192.168.x.x.
Subnet 255.255.255
Gateway 172.23.56.1
DNS 172.23.56.1
VMnet8
VMWare Bridge Protocol - aktiv
TCP/IP - aktiv
Obtain an IP address automatically
Obtain DNS server address automatically
IP: 0.0.0.0
Subnet: 0.0.0.0
bzw. wird nicht angezeigt?
(assigned by DHCP)
GUEST-System:
LAN
TCP/IP - aktiv
IP 172.23.56.32
Subnet 255.255.255
Gateway 172.23.56.1
DNS 172.23.56.1
Ist das richtig so? Funktioniert, doch mit dem gewünschten Ziel (s. Überschrift)?
Denn so funktioniert das Internet über das Guest-System, aber nicht mehr über das Host-System - doch sind Guest und Host so voneinander isoliert? bzw. könnten Schädlinge so noch vom Guest auf das Host-System kommen? (Copy/Paste und Drag/Drop zwischen Host und Guest sind deaktiviert)
Oder muss ich sonst noch etwas, z.b. in der Registry vornehmen?
vielen dank im voraus!
mfg
vivian88
ps: bitte keine hinweise mit einem 500-seiten dicken vmware-handbuch lesen, bin kein it-profi und müsste davor noch ein paar andere fachbücher lesen, um alles im vmware-manual zu verstehen. daher frage ich hier.
Ziel: Schädlinge sollen im "Sandkasten"-Netz hängenbleiben, das jederzeit per Snapshot gereinigt werden kann.
Anfänglich klappte die Konfiguration nicht (also TCP/IP-Protokoll bei der Host-Verbindung entfernen, usw.). ->
Bei mir ist DHCP im Betriebssystem ausgeschaltet (da ich NETBIOS ausgeschaltet habe), IP muss also erstmal statisch vergeben werden, als Gateway/DNS des Rechner = die IP des Routers.
Über mein Guest-Betriebssystem konnte ich den Router gar nicht konfigurieren. Ich habe den Router also durch Host konfiguriert, alles lief, konnte auch mit Host ins Internet.
Anfänglich ging es nicht, mit Guest ins Internet zu kommen (ohne Host, also TCP/IP-Protokoll der HOST-LAN deaktiviert, nur VMware Bridge-Protokoll aktiv).
Nun funktioniert es so, dass ich eben auf dem HOST-System bei der HOST-LAN TCP/IP-Protokoll deaktiviert habe (nur VMware Bridge-Protokoll aktiv), und gleichzeitig auch in der VMnet1-Verbindung (IP 192.168.x.x) als Gateway und DNS die IP des Routers vergeben habe.
Im Guest-System selber habe ich der LAN-Verbindung eine IP im Bereich der Router-IP-Bandbreite vergeben, also 172.x.x.32 z.B., und als DNS und Gateway ebenfalls die IP des Routers).
Auf dem HOST-System sehen die Verbindungen also so aus:
LAN
VMWare Bridge Protocol - aktiv
TCP/IP - deaktiviert
VMnet1
VMWare Bridge Protocol - aktiv
TCP/IP - aktiv
IP 192.168.x.x.
Subnet 255.255.255
Gateway 172.23.56.1
DNS 172.23.56.1
VMnet8
VMWare Bridge Protocol - aktiv
TCP/IP - aktiv
Obtain an IP address automatically
Obtain DNS server address automatically
IP: 0.0.0.0
Subnet: 0.0.0.0
bzw. wird nicht angezeigt?
(assigned by DHCP)
GUEST-System:
LAN
TCP/IP - aktiv
IP 172.23.56.32
Subnet 255.255.255
Gateway 172.23.56.1
DNS 172.23.56.1
Ist das richtig so? Funktioniert, doch mit dem gewünschten Ziel (s. Überschrift)?
Denn so funktioniert das Internet über das Guest-System, aber nicht mehr über das Host-System - doch sind Guest und Host so voneinander isoliert? bzw. könnten Schädlinge so noch vom Guest auf das Host-System kommen? (Copy/Paste und Drag/Drop zwischen Host und Guest sind deaktiviert)
Oder muss ich sonst noch etwas, z.b. in der Registry vornehmen?
vielen dank im voraus!
mfg
vivian88
ps: bitte keine hinweise mit einem 500-seiten dicken vmware-handbuch lesen, bin kein it-profi und müsste davor noch ein paar andere fachbücher lesen, um alles im vmware-manual zu verstehen. daher frage ich hier.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 56191
Url: https://administrator.de/contentid/56191
Printed on: April 26, 2024 at 04:04 o'clock
4 Comments
Latest comment
Na, ist doch prima, wie du das hingekriegt hast, dafür dass du nach eigener Aussage kein "Profi" bist. Hut ab! Ich kenne einge Leute, bei denen bräuchte man schon allein 3 Tage um ihnen begreiflich zu machen was überhaupt eine VM ist und wofür man das gebrauchen könnte. 
Deine Idee ist schon ganz ok, mit Sicherheit durch VM Surfen.
Das gastgebende System kann somit so gut wie nicht infiziert werden - solange nur die VMware eine Netzverbindung hat, kann sie über das Netz auch nicht den physikalischen Rechner infizieren.
Zusätzlich könntest du mal ein Image machen, zb. mit Drivesnapshot oder Acronis True Image vom Gesamtsystem. Probleme machen nämlich nicht nur Schädlinge, sondern oft auch einfach dass man was verkonfiguriert und z. B. das Windows Grundsystem garnicht mehr booten will usw. Dann kannst das Image ruckzucki wiederherstellen, wenn mal "was ist".
Ich mach sehr viel mit VMs, und die Snapshotfunktion ist einfach Gold wert.
Allerdings haben VMs auch Grenzen, was Performance u. Kompatibilität angeht.
Für die "gängigen" Anwendungen jedoch eine sehr feine Sache - vor allem bei den aktuellen PCs mit viel RAM und schneller CPU vergisst man oft, dass man überhaupt auf ner VM arbeitet.
Übrigens - wenn du mit VMware Workstation VMs anlegst, kannst du diese mit VMware Player abspielen - das soll noch performanter sein als wenn man nur Workstation nutzt zum VM abspielen.
Ich arbeite meist per Remote Desktop Verbindung von meinem "normalen" Desktop auf einem virtuellen XP, das auf VMware Server läuft.
Andererseits denke ich, dass man wenn man mit einem "normalen" pc mit eingeschränkten Benutzerrechten arbeitet, sein System up-to-date hält und zb. Firefox nutzt und nicht auf "gefährlichen" Seiten rumsurft oder beliebige Email-Anhänge anklickt die Wahrscheinlichkeit einer Infektion so gross auch nicht ist.
Mit der VM bist dennoch noch sicherer im Internet unterwegs.
Deine Idee ist schon ganz ok, mit Sicherheit durch VM Surfen.
Das gastgebende System kann somit so gut wie nicht infiziert werden - solange nur die VMware eine Netzverbindung hat, kann sie über das Netz auch nicht den physikalischen Rechner infizieren.
Zusätzlich könntest du mal ein Image machen, zb. mit Drivesnapshot oder Acronis True Image vom Gesamtsystem. Probleme machen nämlich nicht nur Schädlinge, sondern oft auch einfach dass man was verkonfiguriert und z. B. das Windows Grundsystem garnicht mehr booten will usw. Dann kannst das Image ruckzucki wiederherstellen, wenn mal "was ist".
Ich mach sehr viel mit VMs, und die Snapshotfunktion ist einfach Gold wert.
Allerdings haben VMs auch Grenzen, was Performance u. Kompatibilität angeht.
Für die "gängigen" Anwendungen jedoch eine sehr feine Sache - vor allem bei den aktuellen PCs mit viel RAM und schneller CPU vergisst man oft, dass man überhaupt auf ner VM arbeitet.
Übrigens - wenn du mit VMware Workstation VMs anlegst, kannst du diese mit VMware Player abspielen - das soll noch performanter sein als wenn man nur Workstation nutzt zum VM abspielen.
Ich arbeite meist per Remote Desktop Verbindung von meinem "normalen" Desktop auf einem virtuellen XP, das auf VMware Server läuft.
Andererseits denke ich, dass man wenn man mit einem "normalen" pc mit eingeschränkten Benutzerrechten arbeitet, sein System up-to-date hält und zb. Firefox nutzt und nicht auf "gefährlichen" Seiten rumsurft oder beliebige Email-Anhänge anklickt die Wahrscheinlichkeit einer Infektion so gross auch nicht ist.
Mit der VM bist dennoch noch sicherer im Internet unterwegs.
@einfach... Hast Du eigentlich gelesen, was vivian geschrieben hat? Es geht ihr nicht darum, ein möglichst sicheres System in einer VM laufen zu lassen, sondern um einen sog. Honeypot, sprich einen Rechner im Netz, der absichtlich Viren, Würmer, Trojaner ... "fängt", um sie später z.B. analysieren zu können.
@vivian Ich würde eventuell auf dem Hostsystem noch eine Firewall und einen gute AV-Lösung
laufen lassen und in jedem Fall den Tipp von oben befolgen, ein Image vom fertig konfigurierten
Gesamtsystem (oder zumindest vom Hostsystem) zu erstellen. Man kann nie genau wissen, was
sich die Malwareprogrammierer noch einfallen lassen. In jedem Fall sollte das ganze besser in
keinem Produktivnetz laufen, am sichersten wäre es, die ganze Konstellation per VLan vom
restlichen Netz abzutrennen oder eine richtige physikalische Trennung des ganzen Systems zu
erreichen. Das dürfte aber zum ausprobieren etwas teuer werden
Alternativ könntest Du auf einem extra Rechner auch den VMWare Server laufen lassen, da ist
das Hostsystem unter Linux und somit erheblich weniger anfällig für (Windows) Malware.
Gruß
cykes
@vivian Ich würde eventuell auf dem Hostsystem noch eine Firewall und einen gute AV-Lösung
laufen lassen und in jedem Fall den Tipp von oben befolgen, ein Image vom fertig konfigurierten
Gesamtsystem (oder zumindest vom Hostsystem) zu erstellen. Man kann nie genau wissen, was
sich die Malwareprogrammierer noch einfallen lassen. In jedem Fall sollte das ganze besser in
keinem Produktivnetz laufen, am sichersten wäre es, die ganze Konstellation per VLan vom
restlichen Netz abzutrennen oder eine richtige physikalische Trennung des ganzen Systems zu
erreichen. Das dürfte aber zum ausprobieren etwas teuer werden
Alternativ könntest Du auf einem extra Rechner auch den VMWare Server laufen lassen, da ist
das Hostsystem unter Linux und somit erheblich weniger anfällig für (Windows) Malware.
Gruß
cykes
vielen dank für die antworten!
@einfach.. : okay, dann hat das ja super geklappt
; dachte bloß, ich müsste noch irgendwo etwas einstellen, um das gastsystem vollständig vom wirtsystem zu isolieren.
@cykes: einfach.. hat das schon richtig verstanden. dieses ungeziefer interessiert mich nicht die bohne, es geht lediglich um ein möglichst sicheres System durch eine VM.
Gruß,
vivian88
@einfach.. : okay, dann hat das ja super geklappt
; dachte bloß, ich müsste noch irgendwo etwas einstellen, um das gastsystem vollständig vom wirtsystem zu isolieren.@cykes: einfach.. hat das schon richtig verstanden. dieses ungeziefer interessiert mich nicht die bohne, es geht lediglich um ein möglichst sicheres System durch eine VM.
Gruß,
vivian88
Ok, sorry, dann hatte ich das falsch verstanden Das nächste mal trinke ich vor der Antwort noch nen Kaffee, das hilft *g*
Das nächste mal trinke ich vor der Antwort noch nen Kaffee, das hilft *g*