VMware-Forum

Hallo zusammen,

bin neu bei euch im Forum und winke hiermit mal in die Runde! Seit kurzem nutze ich nun den VMware-Player und bin aufgrund seiner Performance begeistert! Dennoch habe ich ein kleines Problem, mit dem ich mich schon seit Stunden herumschlage.

Ausgangssituation:

Host: Windows 8 (64bit)
Guest: Linuxmint (64bit)
VMware-Player: 5.0.2
VMware-Tools sind installiert
Netzwerk-Adapter: NAT

Ich versuche innerhalb des Guests via Filezilla eine Verbindung zu meiner Website (bei einem externen Hoster) herzustellen. Das klappt aber leider nicht. Fehlermeldung innerhalb von Filezilla:

Befehl: AUTH TLS
Antwort: 234 AUTH TLS successful
Status: Initialisiere TLS...
Fehler: GnuTLS error -15: An unexpected TLS packet was received.
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Nach ein wenig Recherche, habe ich einmal probiert, den Netzwerk-Adapter von "NAT" auf "bridged" zu wechseln. Und siehe da: Kein Problem - die entsprechende FTP-Verbindung wird hergestellt.

An dieser Stelle könnte ich mich ja eigentlich zufrieden zurücklehnen, aber: Ich bin kein Experte, aber irgendetwas sagt mir, dass bridged doch ein gewisses Sicherheitsrisiko gegenüber NAT darstellt, oder? Ich meine, meine virtuelle Maschine hat jetzt eine eigene IP und ist von außen erreichbar. Das ist nicht so unbedingt in meinem Sinne, da ich die VM vor allem nutzen möchte, um Online-Banking, etc... zu betreiben.

Ihr ahnt, was kommt: Ich suche nach einem Weg, FTP via NAT zu betreiben. Auch hier wurde ein wenig recherchiert, weshalb ich herausgefunden habe, dass NAT und FTP wohl nur geht, wenn ich für NAT ein Portforwarding einstelle. Gut, dass ist offenbar im VMware-Player eigentlich gar nicht vorgesehen und nur über Umwege möglich. Sagen wir aber mal, dass ich einen dieser Umwege gegangen bin und nun die Portforwarding-Funktion nutzen kann. Ich verstehe nur leider nicht, was ich einstellen soll... hab 2 neue Einträge (TCP + UDP) für Port 21 angelegt und als IP-Adresse die angezeigte IP meiner VM verwendet. Dennoch passiert nach einem Neustart derselbe Fehler - ich bekomme via NAT bei FTP einfach keine Verbindung. Die Windows-Firewall habe ich zum Test einmal deaktiviert - auch hier verändert sich das Ergebnis nicht. Muss ich ggf. noch woanders eine Portfreigabe (Router?) machen?

Ich wäre euch sehr verbunden, wenn ihr mir ein wenig unter die Arme greifen könntet. Wie bekomme ich Filezilla (FTP) mit Portforwarding unter NAT zum Laufen?

Vielleicht kann mich ja aber auch einfach nur jemand beruhigen und versichern, dass der bridged Modus doch gar nicht so unsicher ist. Ich möchte halt nur nicht, dass die VM unnötigen Risiken ausgesetzt ist.

Danke für eure Hilfe!

VG,

Salzkrabbe

FTP ist was NAT betrifft einziemlich 'bescheuertes' Protokoll. Genaugenommen auch ohne NAT...

Probiere mal zwischen aktivem und passivem FTP zu wechseln.

bridged sollte OK sein sofern die VM entsprechend gesichert ist.

Hi,

danke für deine schnelle Antwort! Der Wechsel von passiv zu aktiv führte leider nicht zum Erfolg...

Ich wage es kaum zu fragen, aber: Was bedeutet in diesem Fall, die VM extra zu sichern? Das heißt z.B. dort eine eigene Firewall, AV-Software, etc... zu installieren?

Danke für erneute Antwort!

Worüber gehst du ins Inet, Router ala FritzBox?

Ja, Internetzugang erfolgt via Router (Fritzbox Cable). Zudem nutze ich keine Shared Folders zwischen Host und Guest.

Hallo,

ich empfehle allen meinen Kunden, für Onlinebanking IMMER eine separate VM zu verwenden, die keinem anderen Zweck dient und auch nicht zum "normalen" surfen verwendet wird. Diese kann dann per NAT angebunden werden und alle anderen per bridged.

Hi, um mein Vorhaben etwas besser zu erläutern: Ich habe mir eine VM (Linuxmint) erstellt, unter der ich ausschließlich:

a) das CMS-Backend meiner Website via Browser aufrufen und bearbeiten möchte

b) per FTP (Filezilla) Dateien auf meine Webspace hochladen möchte

Da ich ja nun gelernt habe, dass zumindest b) nur im bridged Modus geht, frage ich mich, ob dieser dann in puncto Sicherheit die richtige Wahl ist. Könnte nicht versucht werden, sich auf diesen Rechner, der ja nun im Netz ist, zu verbinden, um dann beispielsweise den FTP-Account zu knacken?

Andererseits: Wenn ich mit der VM wirklich nur a) und b) mache, dann führe ich ja auch keine Dateien aus und könnte mir daher nichts einfangen, korrekt?

@Dayworker; Bin gespannt auf deine weiteren Ausführungen Richtung Router (Fritzbox). Ich möchte ja einfach nur sicherstellen, dass meine VM nicht angreifbar ist - so gut es eben geht, ich weiß, 100% Sicherheit gibt es nie.

Hallo,

du sitzt doch schon hinter einem NAT-Router (FritzBox), der bei richtiger Konfiguration nur Verbindungen von innen nach außen zulässt und diese auch vernünftig managed. Wenn jemand deine FTP-Verbindung kapert, dann kann er das mit und ohne noch einen zusätzlichen NAT-Router (dein Hostsystem) in der Verbindungskette, dagegen musst du andere Maßnahmen ergreifen.

Also wenn du hinter einer FritzBox sitzt, diese kein Portforwarding/-weiterleitung für FTP (gewöhnlich auf Port 21, ist aber je nach FTP-Server auch andersweitig konfigurierbar) oder dergleichen macht, bist du nur von innerhalb deines Heimnetzwerkes angreifbar. Sobald du im beliebigen Router Ports öffnest, bist du über diese auch von aussen angreifbar und es hängt von der einzelnen, dahinter laufenden Anwendung ab, in welchem Ausmaß du darüber angreifbar bist.

Ob du für die Umsetzung, damit das CMS nachher überhaupt im WWW erreichbar ist, Bridge oder NAT verwendest, spielt in meinen Augen sicherheitstechnisch keine Rolle. Mit VMware-NAT hinter einem NAT-Gerät wie die FritzBox hast du aber einen höheren Konfigurationsaufwand (begünstigt Eingabefehler), da du dann ggf sowohl in der FB als auch in der VMware-NAT-Config die gewünschten Ports freigeben und/oder umlegen mußt.
Neuere FritzBoxen unterstützen anscheinend auch die Reglementierung aller Verbindungen über die MAC-Adresse. Meine FB7170 kann das jedoch nur für das WLan. Trotzdem stellt das für mich kein Sicherheitsrisiko dar, da der Zugriff auf grundlegende Teile des Webservers nur von bestimmten, internen IPs, per Authorization mit Passwort, unter Berücksichtigung verschiedenen Throttling-/Drosselungsmechanismen etc zugänglich ist. Selbst der allgemeine Zugriff aus dem WWW ist dauerhaft diesem Throttling unterworfen.

Bist du unbedingt auf FTP angewiesen? Sichere Übertragungsmöglichkeiten bieten auch OpenVPN, SSH oder RDP. Teamviewer und Hamachi gehen dafür zwar auch, setzen aber viel Vertrauen in die Seriösität des Anbieters voraus, da deren Server das Verbindungsglied fungiert.
Nur für FTP würde ich keinen gesonderten Server aufstellen, sowas muß der Webserver vollumfänglich mit erschlagen können. Mit separaten Servern für HTTP und FTP hast du natürlich theoretisch eine höhere Sicherheit, die doppelte Benutzerführung führt im Endeffekt aber meistens zu weniger sicheren Benutzer/Passwortkombinationen.

Hallo e-e-e, hallo Dayworker,

danke für eure Antworten! Mir war nicht bewusst, dass meine Fritzbox auch die VM im bridged Modus schützt. Portforwarding im Router findet in Bezug auf die VM nicht statt, daher bin ich denke ich glaube ich einigermaßen sicher.

@Dayworker: Deinen Ausführungen zu FTP und Co. konnte ich leider nicht ganz folgen. Meine Website liegt bei einem externen Provider. Möchte ich auf meinen Webspace zugreifen, erfolgt dies bislang per FTP - allerdings im verschlüsselten Verfahren. SSH und RDP bietet der Hoster m.E. für mein Webpaket gar nicht an... - wie dem auch sei: Ihr habt mich einigermaßen beruhigt - besten Dank!

Schönes WE noch!

Neben Filezilla gibt es noch weitere FTP-Clienten, die keine Probleme mit TLS haben.