Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ins Net mittels VMware als Sandkastensystem

Frage Sicherheit Firewall

Mitglied: vivian88

vivian88 (Level 1) - Jetzt verbinden

09.04.2007, aktualisiert 09.01.2009, 5271 Aufrufe, 4 Kommentare

Ich möchte folgendes erreichen: Über ein in VMware eingebettetes Windows XP Professional ins Internet gehen bei gleichzeitiger gänzlicher Isolation des Host- vom Guest-System.
Ziel: Schädlinge sollen im "Sandkasten"-Netz hängenbleiben, das jederzeit per Snapshot gereinigt werden kann.

Anfänglich klappte die Konfiguration nicht (also TCP/IP-Protokoll bei der Host-Verbindung entfernen, usw.). ->
Bei mir ist DHCP im Betriebssystem ausgeschaltet (da ich NETBIOS ausgeschaltet habe), IP muss also erstmal statisch vergeben werden, als Gateway/DNS des Rechner = die IP des Routers.

Über mein Guest-Betriebssystem konnte ich den Router gar nicht konfigurieren. Ich habe den Router also durch Host konfiguriert, alles lief, konnte auch mit Host ins Internet.

Anfänglich ging es nicht, mit Guest ins Internet zu kommen (ohne Host, also TCP/IP-Protokoll der HOST-LAN deaktiviert, nur VMware Bridge-Protokoll aktiv).

Nun funktioniert es so, dass ich eben auf dem HOST-System bei der HOST-LAN TCP/IP-Protokoll deaktiviert habe (nur VMware Bridge-Protokoll aktiv), und gleichzeitig auch in der VMnet1-Verbindung (IP 192.168.x.x) als Gateway und DNS die IP des Routers vergeben habe.

Im Guest-System selber habe ich der LAN-Verbindung eine IP im Bereich der Router-IP-Bandbreite vergeben, also 172.x.x.32 z.B., und als DNS und Gateway ebenfalls die IP des Routers).


Auf dem HOST-System sehen die Verbindungen also so aus:

LAN
VMWare Bridge Protocol - aktiv
TCP/IP - deaktiviert

VMnet1
VMWare Bridge Protocol - aktiv
TCP/IP - aktiv
IP 192.168.x.x.
Subnet 255.255.255
Gateway 172.23.56.1
DNS 172.23.56.1

VMnet8
VMWare Bridge Protocol - aktiv
TCP/IP - aktiv
Obtain an IP address automatically
Obtain DNS server address automatically
IP: 0.0.0.0
Subnet: 0.0.0.0
bzw. wird nicht angezeigt?
(assigned by DHCP)


GUEST-System:

LAN
TCP/IP - aktiv
IP 172.23.56.32
Subnet 255.255.255
Gateway 172.23.56.1
DNS 172.23.56.1

Ist das richtig so? Funktioniert, doch mit dem gewünschten Ziel (s. Überschrift)?
Denn so funktioniert das Internet über das Guest-System, aber nicht mehr über das Host-System - doch sind Guest und Host so voneinander isoliert? bzw. könnten Schädlinge so noch vom Guest auf das Host-System kommen? (Copy/Paste und Drag/Drop zwischen Host und Guest sind deaktiviert)
Oder muss ich sonst noch etwas, z.b. in der Registry vornehmen?


vielen dank im voraus!


Mit freundlichen Grüßen
vivian88


ps: bitte keine hinweise mit einem 500-seiten dicken vmware-handbuch lesen, bin kein it-profi und müsste davor noch ein paar andere fachbücher lesen, um alles im vmware-manual zu verstehen. daher frage ich hier.
Mitglied: spacyfreak
09.04.2007 um 22:47 Uhr
Na, ist doch prima, wie du das hingekriegt hast, dafür dass du nach eigener Aussage kein "Profi" bist. Hut ab! Ich kenne einge Leute, bei denen bräuchte man schon allein 3 Tage um ihnen begreiflich zu machen was überhaupt eine VM ist und wofür man das gebrauchen könnte.

Deine Idee ist schon ganz ok, mit Sicherheit durch VM Surfen.
Das gastgebende System kann somit so gut wie nicht infiziert werden - solange nur die VMware eine Netzverbindung hat, kann sie über das Netz auch nicht den physikalischen Rechner infizieren.
Zusätzlich könntest du mal ein Image machen, zb. mit Drivesnapshot oder Acronis True Image vom Gesamtsystem. Probleme machen nämlich nicht nur Schädlinge, sondern oft auch einfach dass man was verkonfiguriert und z. B. das Windows Grundsystem garnicht mehr booten will usw. Dann kannst das Image ruckzucki wiederherstellen, wenn mal "was ist".

Ich mach sehr viel mit VMs, und die Snapshotfunktion ist einfach Gold wert.
Allerdings haben VMs auch Grenzen, was Performance u. Kompatibilität angeht.
Für die "gängigen" Anwendungen jedoch eine sehr feine Sache - vor allem bei den aktuellen PCs mit viel RAM und schneller CPU vergisst man oft, dass man überhaupt auf ner VM arbeitet.

Übrigens - wenn du mit VMware Workstation VMs anlegst, kannst du diese mit VMware Player abspielen - das soll noch performanter sein als wenn man nur Workstation nutzt zum VM abspielen.
Ich arbeite meist per Remote Desktop Verbindung von meinem "normalen" Desktop auf einem virtuellen XP, das auf VMware Server läuft.


Andererseits denke ich, dass man wenn man mit einem "normalen" pc mit eingeschränkten Benutzerrechten arbeitet, sein System up-to-date hält und zb. Firefox nutzt und nicht auf "gefährlichen" Seiten rumsurft oder beliebige Email-Anhänge anklickt die Wahrscheinlichkeit einer Infektion so gross auch nicht ist.
Mit der VM bist dennoch noch sicherer im Internet unterwegs.
Bitte warten ..
Mitglied: cykes
10.04.2007 um 08:11 Uhr
@einfach... Hast Du eigentlich gelesen, was vivian geschrieben hat? Es geht ihr nicht darum, ein möglichst sicheres System in einer VM laufen zu lassen, sondern um einen sog. Honeypot, sprich einen Rechner im Netz, der absichtlich Viren, Würmer, Trojaner ... "fängt", um sie später z.B. analysieren zu können.

@vivian Ich würde eventuell auf dem Hostsystem noch eine Firewall und einen gute AV-Lösung
laufen lassen und in jedem Fall den Tipp von oben befolgen, ein Image vom fertig konfigurierten
Gesamtsystem (oder zumindest vom Hostsystem) zu erstellen. Man kann nie genau wissen, was
sich die Malwareprogrammierer noch einfallen lassen. In jedem Fall sollte das ganze besser in
keinem Produktivnetz laufen, am sichersten wäre es, die ganze Konstellation per VLan vom
restlichen Netz abzutrennen oder eine richtige physikalische Trennung des ganzen Systems zu
erreichen. Das dürfte aber zum ausprobieren etwas teuer werden
Alternativ könntest Du auf einem extra Rechner auch den VMWare Server laufen lassen, da ist
das Hostsystem unter Linux und somit erheblich weniger anfällig für (Windows) Malware.

Gruß

cykes
Bitte warten ..
Mitglied: vivian88
11.04.2007 um 08:33 Uhr
vielen dank für die antworten!

@einfach.. : okay, dann hat das ja super geklappt ; dachte bloß, ich müsste noch irgendwo etwas einstellen, um das gastsystem vollständig vom wirtsystem zu isolieren.

@cykes: einfach.. hat das schon richtig verstanden. dieses ungeziefer interessiert mich nicht die bohne, es geht lediglich um ein möglichst sicheres System durch eine VM.


Gruß,
vivian88
Bitte warten ..
Mitglied: cykes
11.04.2007 um 08:41 Uhr
Ok, sorry, dann hatte ich das falsch verstanden Das nächste mal trinke ich vor der Antwort noch nen Kaffee, das hilft *g*
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...