NAT- oder Bridge-Modus?

[vm-Dennis]

Hey zusammen!

In der c't 2012 - Seite 110 wird eine Linux-Disti zum sicheren Surfen vorgestellt. Unter der Überschrift "c't Surfix virtuell" schreibt der Autor:

"Eine zweite Möglichkeit bestünde darin, den virtuellen Gast als Brückenkopf für Angriffe auf das lokale Netz oder auf den Wir über eine virtuelle Netzwerkverbindung zu nutzen.Daher sollten Sie in jedem Fall den virtuellen Netzwerkadapter des Gastestems mit NAT konfigurieren und nicht im Bridging-Mode arbeiten lassen."

Kann mir bitte jemand erklären, warum "Bridging" gefährlicher als NAT ist?

Bei mir ist es so, dass der Win7-Host keine Netzwerkverbindung über den Router aufbauen kann. Die Netzwerkkarte ist bewusst falsch konfiguriert. Nur die VM-Gäste können über Bridge das Netzwerk nutzen. Setzte ich mich einem Risiko aus?

Danke Euch!

Dennis

[continuum]

Kannst du das Zitat noch mal im Zusammenhang posten ?

So allein stehend macht es keinen Sinn

[vm-Dennis]

Hmm, da ist nicht viel mehr:

Das ISO-Image ctsurfix-2013.iso im Verzeich-
nis software auf der Heft-DVD eignet sich
auch, um c’t Surfix im kostenlosen VMware
Player oder in VirtualBox als Gastsystem zu
betreiben. Im Gegensatz zu früheren Versio-
nen von c’t Surfix ist es nunmehr auch mög-
lich, aus virtuellen Maschinen heraus Einstel-
lungen und Updates dauerhaft zu speichern.
Der Nachteil eines virtualisierten c’t Surfix
ist, dass ein Angreifer zumindest theoretisch
über die Kombination aus einer Sicherheits-
lücke in c’t Surfix und einer weiteren Sicher-
heitslücke in der Virtualisierungslösung das
Wirtssystem angreifen kann. Eine zweite Mög-
lichkeit bestünde darin, den virtuellen Gast als
Brückenkopf für Angriffe auf das lokale Netz
oder auf den Wirt über die virtuelle Netzwerk-
verbindung zu nutzen. Daher sollten Sie in
jedem Fall den virtuellen Netzwerkadapter
des Gastsystems mit NAT konfigurieren und
nicht im Bridging-Modus arbeiten lassen.
Um c’t Surfix im VMware Player unter
Windows zu installieren, legen Sie wie üblich
eine neue virtuelle Maschine an und wählen
das zuvor auf die Festplatte kopierte ISO-
Image als virtuelles CD-ROM-Laufwerk aus.

Es folgen im Prinzip nur noch Handreichungen, um c't Surfix im VMware-Player oder VirtualBox zu installieren.

Mir geht es nicht so sehr um dieses c't Surfix, sondern allgemein um alle meine Guests.


[/quote]

[continuum]

Die Netzwerkkarte ist bewusst falsch konfiguriert. Nur die VM-Gäste können über Bridge das Netzwerk nutzen. Setzte ich mich einem Risiko aus?

Statt einer bewussten Falsch-konfiguration kannst du auch einfach der Netzwerkkarte des Hosts das TCP/IP protokol wegnehmen - selber Effekt.

Wenn du dann VMs zum Surfen nimmst die nur aus einer LiveCD bestehen und ihre Config nirgends speichern kann nichts mehr schief gehen.

[vm-Dennis]

Oh, dass mit dem Protokoll ist logisch! Nie drüber nachgedacht!

Es geht mir bei mir um alle Gäste. Die laufen alle als Bridge.

Weißt Du, warum der Autor zu NAT rät? Macht das hinter einem Router überhaupt einen Unterschied?

[continuum]

Weißt Du, warum der Autor zu NAT rät?

Nein - macht auch keinen Sinn denn dann muessen alle Viren und Malware die man in der VM runterlaedt einmal durch den TCP/stack des Hosts.

Wenn man schon eine VM zum surfen nimmt will man sich ja mit der nicht HINTER dem Host verstecken sondern eher umgekehrt

[vm-Dennis]

Danke Ulli! Ich bleibe bei der Brücke!