VMware-Forum

Hallo Com ,

ist es möglich eine VM getrennt vom Host zu betreiben ?
Das Problem ist folgendes:
Wenn ich auf einer VM bin und dort einen Datenstream erhalte der Schadware ( Beispiel Eicar Testvirus) enthält,springt zuerst die FW auf meinem Host System an und dann die FW auf der VM. Gestern hatte ich einen DL über die VM und dort war es umgekehrt. Erst kam die Info auf der VM dann auf dem Host.
Derzeit wird die IP über die NAT Funktion über den Host verteilt. Daher sind sie im gleichen Netzwerk und es führt zu dem beschriebenen Problem. Wie kann ich meine VM vom Host trennen das Datenstreams nicht mehr über das Host System laufen bzw. weitergeleitet werden. Sollte ein Virus auf der VM vorhanden sein bzw, aus Testzwecken dort geladen werden, soll jedoch mein Host System davon verschont bleiben.
Kann man das irgendwie realisieren ?

Erstmal muß man festhalten, daß keine Firewall auf den Eicar-Testvirus reagiert. Wenn doch, hast du eine andere Security-Lösung am Start, die auch einen Virenscanner beinhaltet.
Es ist in jedem Fall ratsam, sämtliche Gäste in eine Ausnahmeliste deiner Security-Lösung aufzunehmen. Wenn der Host-Scanner aktiv wird, sperrt er dazu eine Datei für den kompletten Zugriff und die VM steht dann plötzlich ohne Datenträger da. Hier der übliche Rat: Wenn dein AV/Sec-Lösung keine Ausnahmeliste verwalten kann, deinstallier die vorhandene und nimm eine andere. Falls du dafür Geld bezahlt hast, kannst du dich entweder auf ein unendliches Pingpong-Spiel zwischen allen Firmen einlassen, bei dem jeder die Schuld auf den anderen schiebt, oder du verbuchst die Kosten als Lehrgeld.

Ich verwende statt der Windows Firewall die der Kaspersky Internet Security. Das hatte ich vergessen zu erwähnen. Dort kann ich die VM's statt im lokalen Netzwerk in ein öffentliches Netzwerk stecken.DAs meintest du doch sicher mit " Ausnahmeliste" ? Ich kann dann zwar vom Host aus nicht mehr die VM anpingen aber von der VM den Host.
Bei einem Eicar Test kam immer noch zuerst die Warnung auf dem Host und dann auf der VM
Da auf der VM die gleiche KIS Version wie auf dem Host läuft ,wundere ich mich warum ich vom Host zwar nicht mehr auf die VM aber von der VM auf den Host pingen kann.
Wenn beide sich nicht mehr " sehen " würden , wäre das Problem auch schon mal gelöst. Aber ich denke dann kann die VM auch keinen Internet Zugang mehr bekommen da sie ja den Host für den Routerzugang benötigt.
Oder hab ich da jetzt einen Denkfehler ?!?!

...und was soll das bringen, daß du die VMs als öffentliches Netzwerk einstufst?
Ich meine ausser, daß die VMs jetzt als unsicher gelten und diese somit keinerlei Zugriff mehr auf den Host bekommen und dazu zählt auch das Pingen. Die gleiche Funktionalität hättest du auch mit den Windows-Bordmittels erreichen können...

Schau dich mal in KIS um und dann füge die VMDKs der Ausnahmeliste hinzu und bei der Gelegenheit kannst du dann gleich die Zuständigkeit von KIS für alle Netzwerkverbindungen einschränken. Dieses Doppelgemoppel macht ja kein Sinn.

Ich meine ausser, daß die VMs jetzt als unsicher gelten und diese somit keinerlei Zugriff mehr auf den Host bekommen

....nicht so eilig mit den Pferden *G* ..sie bekommen trotz "öffentlichen Netzwerk" immer noch Zugriff auf den Host !!
Das pingen geht aber komischerweise bei gleicher Einstellung nur noch von der VM zum Host...Host zur VM geht nicht mehr
Umgekehrt wäre es mir schon lieber.

Welche Ausnahme Liste meinst du denn da genau ?? Ich kann lediglich unter "Gefahren und Ausnahmen" Dateien, Programme oder Ordner eintragen und die dann je nach Regel von der Untersuchung ausschließen bzw Dateien die Netzwerkuntersuchung entziehen.
Ich kann dort keine Netzwerke trennen oder dergleichen.
Wenn ich dich missverstanden habe , erkläre es doch mal bitte.

Anpingen geht nicht immer, kommt auch drauf an, wie deine Einstellungen für ICMP und dort "eingehende Echoanforderungen zulassen" vorgenommen sind.

KIS genau kenn ich nicht aus dem Effeff. Jeder Hersteller bastelt da ein bisken was anderes für die Ausnahmen, aber "Gefahren und Ausnahmen" klingt schon mal gut. Da würde ich zumindest die VMDKs und den VMware-Programmeordner eintragen. Zumindest die Windows-FW kannst du auch hinsichtlich ihrer Zuständigkeit auf den Netzwerkinterfaces einschränken, keine Ahnung ob KIS das auch bietet oder das nur irgendwo versteckt hat.
Ich persönlich halte ja prinzipiell von solchen Komplettpaketen, die auch noch die ach so bösen MS-Beigaben ersetzen, überhaupt nichts. Denn sie ersetzen weder den Grips noch sind sie dadurch wirklich sicherer und falls doch mal was durchgerutscht ist, wurde gleich der gesamte Schutz unterwandert und wie bei jedem solchen Vorfall ist dann eh das Neuaufsetzen angesagt.

Ich kann die VMDKs definitiv nicht separat über KIS konfigurieren Nur das Hauptprogramm.
So wie es aus sieht muss ich wohl mit einem VHost und zwei Netzwerkkarten arbeiten.
Dem Programm kann ich den Netzwerkzugriff nicht komplett verweigern das sonst kein Internet zugriff mehr über die VM möglich ist.

Ich kann nur als Information dazu beisteuern, dass KIS (auf dem Host) in "bridged Adpater" eingreift. Soll heißen: Da VMWare auf funktionierendes Bridging zwischen dem eigenen Adapter (VMNet0) und dem physischen angewiesen ist, kann und wird KIS da eingreifen - was du ja daran siehst, dass sich KIS auf dem Host zuerst meldet.

Ob man Windows 7 anpingen kann, entscheidet die Firewall (also KIS).

Firewalls und Virenscanner sind katastrophal überbewertet. Entweder du lässt KIS sein (die Windows Firewall macht nicht solche Mätzchen) oder du arbeitest mit einer zweiten Netzwerkkarte, falls man KIS beibringen kann, diese auf dem Host komplett zu ignorieren.

Mein K.o.-Kriterium für KIS und den Kaspersky-AV bzw sämtlichen gleichartigen Security-Lösung und Antivirus-Programmen ist, daß man viele testweise nicht mal vollständig deaktivieren kann. Selbst wenn du es deaktivierst, werden anscheinend zwar GUI-Meldungen unterdrückt und das System reagiert auf keine Bedrohung, belegt aber weiterhin alle im Programmumfang vorgesehenen Dienste.

Einzige mir geläufige Ausnahme war Avira selbst in der Free-AV-Version. Da hatte man die Möglichkeit sowohl Prozesse als auch Dateien bzw Ordner in eine Ausnahmeliste aufzunehmen. Leider gab es zwischenzeitlich mal gewaltige Probleme sowohl beim Update-Prozess an sich als auch mit der gesamten Systemstabilität durch einige Programmsicherheitsmechanismen, die neben dem Verdrängen von bisher im Vordergrund befindlichen Programmfenstern und dafür aufploppender, den gesamten Bildschirm füllender Avira-Werbung nicht gerade zu Jubelstürmen hinriß. Ein gutes hatte rückblickend die ganze Geschichte jedoch, die programmeigene Updatefrequenz wurde inzwischen deutlich erhöht. Die muß man aber nicht nutzen, da sich Avira über den normalen Win-Taskplaner scripten läßt.