Sicherheit VMware

[Tom22]

Hi!

Aus Sicherheitsgründen habe ich mir einen alten Rechner mit dem ich nur Homebanking mache konfiguriert.
(ist nur System+Firewall+Virenscanner drauf)
Der Rechner aber sau-lahm.

Ist es eine gute preiswerte Alternative wenn ich auf meinem Hauptsystem VMware installiere und über ein 2tes System von dort aus meine Bankgeschäfte erledige?
Wie sieht es aus wenn ich auf dem Hauptsystem einen Virus/Wurm oder Trojaner habe? Kann es auf mein Vmware übertragen werden?

Gruss

Tom

[chexma]

Hi Tom22,
bis dato gibt es soweit ich weiss keine Möglichkeit aus dem Speicherbereich einer VM auf den einer anderen zuzugreifen. Die einzige Angriffsmöglichkeit bietet sich dementsprechend wie in der physikalischen Welt über die Netzwerkinterfaces. Hierdurch können natürlich Würmer, die sich wie gehabt über RPC oder ähnliche Dienste verbreiten, in deine Virtuelle Maschine gelangen, wobei da jedoch kein Unterschied zur physikalischen Welt besteht.
Eine Idee wäre z.B. eine virtuelle Firewall vor deine virtuelle Home Banking Maschine zu hängen. Nur die Ports öffnen die fürs HB benötigt werden und eventuell den Traffic scannen. Einfache Lösung dafür wäre ein IPCOP. Der ist einfach zu installieren, frei Verfügbar und basiert auf Linux. ( http://www.ipcop.org )
Und dann das Homebanking bitte NIE mit dem Internet Explorer (Sicherheitsloch Nr.1)
Aber es sprechen ja noch viele andere Dinge für VMware :

Weniger Hardware
Weniger Platz benötigt
Weniger Strom benötigt
Schnelles Desaster Recovery
Zentralisierte Administration



mfg
Chexma

[Taucher]

Hallo

diesser thread ist ja schon recht alt und es hat sich ja vielleicht was in der Zwischenzeit getan.

Meine mom interessiert nämlich dasselbe und mich auch, da ich weiß, dass sie nicht mal zwischen IE oder FF oder Opera unterscheidet und alles andere erst recht nicht kennt.

Um halt nun ein wenig Sicherheit fürs online Banking mit Webinterface oder Starmoney zb. zu haben, habe ich an ein 2. OS gedacht auf der Festplatte.

Da habe ich nun zb. das Linux Puppy entdeckt, welches ich mit grub4dos oder anderem Bootmanager laden könnte bzw sie, wenn sie den Rechner anmacht.

WindowS Bankingsoftware soll ja mit WINE funktionieren.


Da das alles nun aber auch ein wenig ins System eingreift bzw. ich nicht weiß, ob meine mom das alles dann so verstehen würde, dachte ich an eine virtuelle Lösung.

Deshalb frage ich hier.


Wie macht ihr sowas? Muss keine anti-Schäuble Lösung sein, sondern nur ein wenig vor den üblichen Dreck aus dem Netz schützen. Wäre eine Virtuelle Maschine mit Puppy oder Knopix dann ok?

Hab hier gelesen, dass auch Windows NT viel besser sei als ein virtuelles XP. Warum?

Vielen Dank

[continuum]

Viele meiner Bekannten werfen einfach eine deutsche Knoppix LiveCD in einer VM an um homebanking zu erledigen.
Das ist eine sehr saubere und sehr einfache Loesung

[continuum]

Hab hier gelesen, dass auch Windows NT viel besser sei als ein virtuelles XP. Warum?

Habe ich selber noch nicht gehoert - macht aber Sinn.

Die meisten Viren und Trojaner werden fuer XP geschrieben - mit NT4 kommen viele wahrscheinlich gar nicht mehr klar ....

[stefan.becker]

Am besten gleich eine saubere Lösung aufsetzen.

Linux als Host, moneyplex für das Homebanking.

WINE Lösungen führen nur zu WINE Krämpfen.

[continuum]

Sauberer als ne frisch gebootete Knoppix ???

Das musst du aber mal erklaeren

[stefan.becker]

Kommt darf an, in welchem Dreckhaufen du die CD gelegt hast

Ne, war als Festinstallation gemeint. Und vor allem ein anständiges Programm statt diesem Browserkrempel.

[Taucher]

Danke sehr für die guten Antworten und Tipps!

Das beruhigt schon sehr, dass es für einen Normalanwender auch nachvollziehbar ist. Hatte schon Angst, dass man irre Unternehmungen machen müsste.

Ich würde gern drei Fragen dazu noch loswerden.

a) Ist es generell sicherer als host ein Linux zu fahren als XP? Reicht es nicht 'bridged' und ohne Netzwerkfreigaben/Freigaben ein Linux guest zu nutzen?

b) Warum ist Knopix empfehlenswerter für sowas als ein virtuelles Ubuntu zb. oder Puppy (scheint sehr interessant, da es sehr schnell bootet und wohl auch sehr schnell in einer VM zu starten sein dürfte) ? Oder gilt die Empfehlung für alle LiveCDs, die man in einer VM bootet?

c) Ist Wine ein Sicherheitsproblem ?

Vielen Dank!

[mister-man]

Hallo!

a) Ist es generell sicherer als host ein Linux zu fahren als XP? Reicht es nicht 'bridged' und ohne Netzwerkfreigaben/Freigaben ein Linux guest zu nutzen?

b) Warum ist Knopix empfehlenswerter für sowas als ein virtuelles Ubuntu zb. oder Puppy (scheint sehr interessant, da es sehr schnell bootet und wohl auch sehr schnell in einer VM zu starten sein dürfte) ? Oder gilt die Empfehlung für alle LiveCDs, die man in einer VM bootet?

c) Ist Wine ein Sicherheitsproblem ?

a) Nein, Linux ist nicht generell sicherer als Windows, doch 90% aller Viren haben es nunmal auf Windows abgesehen, da die Breite Masse, speziell im Home bereich Windows nutzt.
Wenn du die VM im bridged Modus betreibst, zählen die gleichen Sicherheitsprobleme, wie bei einer Hardware. Das heißt das System sollte durch eine Firewall und einen Virenscanner geschützt werden.

b) Knoppix iist einfach eine sehr schnell startende live cd. Natürlich kannst du dir die Mühe Machen und ein Ubuntu installieren, allerdings lohnt sich die Arbeit nicht, da man das Knopix sehr schnell von CD Booten kann und alle benötigten Funktionen mitliefert.
Falls du eine Feste installation machen möchtest, weil die CD immer im Weg liegt, kann man auch mit "Indipend" Festplaten arbeiten, so wird sie jedes mal nach Systemstart auf 0 gesetzt und bleibt Virensauber.

c) Wine ist nicht unbedingt ein Sicherheitsproblem, kann aber durch Fehler im Pogramm zu ein Sicherheitsproblem werden.
Doch zum aktuellen Standpunkt sehe ich keine gr0ßen Risiken in der Nutzung von Wine.


MfG

[minimike]

Wine kann auch Viren ausführen. Die wirken sich aber nur auf dem jeweiligen Benutzer aus es sei denn Wine wird unter dem Benutzer Root ausgeführt. Der Admin gehört dann aber auf jeden Fall der Spezies DAU an.
Linux ist sicherer wie Windows. Angefangen damit das es nur 18 Viren hierfür gibt. Alle müssen mit Rootprivilegien ausgeführt werden um sinnvoll zu Laufen. Fragt der Virus den Admin, ich bin ein Virus bitte nicht löschen aber möchtest du mich ausführen
Das amerikanische Militär benutzt Redhat Linux mit SELINUX. Nicht nur auf Servern auch auf Mission critical Desktops.
SELINUX wurde vom amerikanischen Geheimdienst NSA initiiert und ist ist die führende Sicherheitslösung für Linux.

Code: Alles auswählen

darko@bitch:~$ apt-cache show selinux-policy-default
Package: selinux-policy-default
Priority: optional
Section: admin
Installed-Size: 24160
Maintainer: Russell Coker <russell@coker.com.au>
Architecture: all
Source: refpolicy
Version: 2:0.0.20080702-6
Depends: policycoreutils (>= 2.0.49-2.1), libpam-modules (>= 0.77-0.se5), python, libselinux1 (>= 2.0.35), libsepol1 (>= 2.0.30-2)
Recommends: checkpolicy, setools
Suggests: logcheck, syslog-summary
Conflicts: cron (<< 3.0pl1-87.2sel), fcron (<< 2.9.3-3), logrotate (<< 3.7.1-1), procps (<< 1:3.1.15-1), selinux, selinux-policy-refpolicy-strict, selinux-policy-refpolicy-targeted, sysvinit (<< 2.86.ds1-1.se1)
Filename: pool/main/r/refpolicy/selinux-policy-default_0.0.20080702-6_all.deb
Size: 1998226
MD5sum: f97109320b4edf9cb590fae71b3ca50e
SHA1: 9aec17984ae701c412d88c414d892f13d97db24d
SHA256: 9d09da3fce84f79b32f98a0f6ef437fa61eed32d08970d1ae8d93790b66da40f
Description-de: Strikte und zielorientierte Varianten der SELinux-Policy
 Dies ist die Referenzpolicy für SE Linux. In der Standardkonfiguration
 erfüllt es die Funktionen der vormals als »targeted« bekannten Policy.
 Falls das Modul »unconfined« entfernt ist, stellt es die Funktionalität
 bereit, die früher als »strict«-Policy bekannt war.
 .
 Dies benutzt für Kategorien das MMCS-System.
Homepage: http://serefpolicy.sourceforge.net/

darko@bitch:~$ apt-cache show selinux-policy-mls
Package: selinux-policy-mls
Priority: extra
Section: admin
Installed-Size: 25616
Maintainer: Russell Coker <russell@coker.com.au>
Architecture: all
Source: refpolicy
Version: 2:0.0.20080702-6
Depends: policycoreutils (>= 2.0.49-2.1), libpam-modules (>= 0.77-0.se5), python, libselinux1 (>= 2.0.35), libsepol1 (>= 2.0.30-2)
Recommends: checkpolicy, setools
Suggests: logcheck, syslog-summary
Conflicts: cron (<< 3.0pl1-87.2sel), fcron (<< 2.9.3-3), logrotate (<< 3.7.1-1), procps (<< 1:3.1.15-1), selinux, selinux-policy-refpolicy-strict, selinux-policy-refpolicy-targeted, sysvinit (<< 2.86.ds1-1.se1)
Filename: pool/main/r/refpolicy/selinux-policy-mls_0.0.20080702-6_all.deb
Size: 2034048
MD5sum: 0e3724435b47889ef00340e9a17fdfcf
SHA1: 8e289a9a8927ede68c530bf2ebf9ee2c4609d026
SHA256: e14944fc74740b98016ec9f20afaf9970fe265d2e613c53de70c239b48056cf6
Description-de: Variante der SElinux-Richtlinien: Multi Level Security (MLS)
 Dieses ist die mit Unterstützung für MLS erstellte Referenz-Richtlinie
 von SE Linux. Sie ermöglicht die Etikettierung von Daten beispielsweise
 als »Streng geheim« und verhindert die Weitergabe solcher Daten an niedriger
 eingestufte Prozesse oder Dateien.
 .
 Diese Richtlinie wurde für die »Common Criteria LSPP«-Zertifizierung von
 RHEL entwickelt. Sie wird vielleicht nie gut von Debian unterstützt und
 wird nur denjenigen empfohlen, die etwas über die vom Militär
 angewendeten Sicherheitsregeln erfahren wollen.
Homepage: http://serefpolicy.sourceforge.net/

darko@bitch:~$

Links zu Selinux:
http://de.wikipedia.org/wiki/SELinux

Zur Sicherheit in virtuellen Maschinen. Es gab und gibt immer Wege diese auszuhebeln. Stichworte Bluepill http://en.wikipedia.org/wiki/Joanna_Rutkowska