VMware-Forum

Inoffizielles, unabhängiges deutsches VMware-Forum
https://vmware-forum.de/

Host im LAN, Guest in der DMZ - Security?

https://vmware-forum.de/viewtopic.php?f=4&t=3370

Seite 1 von 1

Host im LAN, Guest in der DMZ - Security?

Verfasst: 16.03.2005, 13:42
von hardsoft
Hi zusammen,

ich habe mir mal folgendes szenario ausgedacht:

1) Man installiert einen gsx 3.1 auf einem rechner der im internen LAN hängt (als OS soll Linux zum einsatz kommen), dieses System soll über die 1. eingebaute Netzwerkkarte auf das LAN zugreifen

2) auf diesem Linux Host im LAN wird nun ein Linux guest installiert. Dieser guest soll keinerlei verbindung zu dem host system haben. weiterhin soll der linux guest die 2. eingebaute Netzwerkkarte nutzen, über die er auch physikalisch am DMZ switch hängen soll.

Wenn meine überlegungen stimmen sollten das guest und das host OS keinerlei möglichkeit haben miteinander zu kommunizieren.

Meine beiden fragen sind nun:
1) ist diese art der installation mit dem gsx 3.1 überhaupt möglich

2) stellt diese art der installation ein sicherheitsrisiko dar? zur erläuterung: das guest system soll ein von aussen erreichbarer webserver sein. wenn nun eine möglichkeit besteht über eine schwachstelle des gsx sich irgendwie vom guest aufs host system zu hacken wäre dies fatal, da dieser ja im "ungeschützen" internen LAN steht.


danke im vorraus für eure antworten


Gruß
Hardsoft

Verfasst: 17.03.2005, 18:45
von minimike
Du kannst mit einem Iptableskript jeglichen Verkehr von bestimmten Adressen unterbinden, natürlich kannst du auch Macadressen mit einbeziehen. Kurz du verbietest vom Host aus dem Gast mit dem Host und kommunizieren und schiebst den Verkehr auf eine bstimmte Adresse von da wird ( z.B. am Router ) weiter entschieden. Zwecks Verbindung mit dem Rest der Welt must du dann mit DNAT-Regeln Arbeiten. Mit Iptables kann man fiese Dinge anrichten allerdings ist der Umfang betreff Doku, Bücher und Regeln gewaltig und erdrückend. Ich selber habe aufgegeben und benutze mittlerweile Shorewall. Das ist im übertragenen Sinn eine Skriptsammlung zum Verwalten von Iptables. Das schöne daran ist, das alles aufgabenorientiert unterteilt ist, das hält das ganze extrem übersichtlich. Vorher habe ich Stunden daran gesessen und Schreibfehler und wiedersprüchliche Befehle im Skript gesucht.

Alternativ wäre eine USB Netzwerkarte. Die Karte bei T-Online im Shop läuft mit dem Pegasus Treiber und schaufelt im schnitt aber leider nur 9-10 MB die sec. In meinen Augen sind 11 von 12 MB akzeptabel

P.S. absolute Sicherheit gibt es nie
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/