VM abschotten

[Helveticus]

Hallo

Ich habe VMware Workstation auf einem Windows 7 64bit Host am laufen. In der VM ist Ubuntu 32bit installiert. Wie kann ich nun die VM so einstellen, dass sie völlig getrennt ist vom Host, also eine Virusinfektion der VM nicht auf den Host übergreifen kann? Und gibt es eine Funktion mit der man die VM schnell wieder in einen vorherigen Zustand zurückversetzen kann, wenn man fertig ist mit surfen?

[e-e-e]

Hallo,

also nach fertiger Konfiguration der VM einen Snapshot machen und beim shutdown der VM "revert to snapshot" anklicken. Aber mal ehrlich Viren unter Linux? Gegen die 4 von denen ich gehört habe, ist ein halbwegs modernes Linux immun. Linuxe kompromittiert man auf andere Art und Weise, außerdem ist ein Windows-Virus unter Linux praktisch in einer sterilen Umgebung und kann keinen Schaden anrichten. Ich würde aber auf gar keinen Fall shared Folders einrichten und auf copy & paste sollte man auch verzichten (abschalten). Dann gibt es noch den Parameter guest.isolation, den Du dir am besten auf der Seite von continuum ansiehst.

[PeterDA]

Hi,
das mit dem Snapshots ist ein Teil deiner Frage ja schon gelöst.

Was mir nicht kalr ist was du willst. Du sagst "Wie kann ich nun die VM so einstellen, dass sie völlig getrennt ist vom Host" und dann "wenn man fertig ist mit surfen".

Das erste kannst du erreichen in dem du den vNic nicht in das Auto-bridging, NAT oder Host-only Netz packst. Dann hast du aber das Problem, dass du auch nicht mehr surfen kannst.

Gruß Peter

[Helveticus]

Ich danke euch.

Linuxe kompromittiert man auf andere Art und Weise

Wie? Ich habe hier v.a. Viren und so Zeugs, die man sich von Webseiten und so einfängt, gemeint.

Dann gibt es noch den Parameter guest.isolation, den Du dir am besten auf der Seite von continuum ansiehst.

Wo denn?

Was mir nicht kalr ist was du willst. Du sagst "Wie kann ich nun die VM so einstellen, dass sie völlig getrennt ist vom Host" und dann "wenn man fertig ist mit surfen".

Das erste kannst du erreichen in dem du den vNic nicht in das Auto-bridging, NAT oder Host-only Netz packst. Dann hast du aber das Problem, dass du auch nicht mehr surfen kannst.

Also ich möchte in der VM mit firefox surfen können. Allerdings sollte die VM so eingestellt sein, dass eine Infektion in der VM nicht an den Host durchgereicht wird. Also wenn ich mir einen Virus oder so einfange, dass dann der Host nicht infiziert wird.

[continuum]

1. im Gast keine vmware-tools installieren
2. falls noetig dem Gast eine separate Netzwerkkarte zuweisen und dem Host alle Protokolle fuer diese Karte ausser dem vmware-bridge protocol entziehen

3. nach der Installation und Konfiguration der VM die vmdks auf nonpersistent stellen

4. kein Samab oder sonstigen Zugriff auf den Host erlauben

Danach kann nichts mehr anbrennen


fuer ganz paranoide ...

Dem Gast gar keine Netzwerkkarte geben sondern ein USB-device.
Kann WLAN oder normales Netzwerk sein

[Helveticus]

zu 1. Warum denn keine vmware-tools benutzen? Die sind doch cool und nützlich.

zu 2. Ich habe nur eine Netzwerkkarte in meinem Notebook.

Dem Gast gar keine Netzwerkkarte geben sondern ein USB-device.
Kann WLAN oder normales Netzwerk sein

Wie meinst du das? Ich kann ein normales Netzwerk über USB-device geben oder wie?

[PeterDA]

@Ulli
Mal wieder eine super Checkliste von dir. Wobei für mich hier nur eine wirkliche Abschottung vorhanden wäre, wenn man wirklich per USB Device oder zweiter Netzwerkkarte in ein anderes LAN verbindet. Mir wäre sonst die Gefahr zugoss, dass sonst die Vieren und das ganz ...Zeug doch ins Produktivnetz schlägt.

Gruß Peter

[troutmaskreplica]

Für eine Vm würde ich immer ein Linux oder BSD,als Host nehmen!Windows ist aus Sicherheitsgründen einfach lol.

[stefan.becker]

Unsinn.

Ein schlecht konfiguriertes Windows ist unsicher.

Das ist ein schlecht konfiguriertes *Nix aber auch.

Sprich: PEBKAC

Bei der Anzahl der Webserver mit Linux, die geentert wurden, sollte man so Vergleiche besser nicht ziehen.

[PeterDA]

Das sehe ich auch so ob ein OS sicher ist hängt wohl vorallem von der Pflege ab die das System bekommt.

Grus Peter

[Dayworker]

Auch ich kann Stefan und Peter da nur zustimmen.
Inzwischen ist Windows meist weitaus sicherer, als die darauf laufenden Anwendungen. Das Stichwort dazu lautet DLL-Injektion von Firefox, Opera und einiger andere Programme, bei dem eine im jeweiligen Prog-Verzeichnis liegende DLL-Datei ungeprüft genutzt und dadurch x-beliebiger Code ausführbar wurde.
Während M$ das Problem ZZ (ziemlich zügig) ausserplanmässig behob, haben sich zumindest beide Browserproduzenten dabei nicht mit Ruhm bekleckert.

[Helveticus]

1. im Gast keine vmware-tools installieren

Warum sollte man denn keine vmware-tools installieren?

2. falls noetig dem Gast eine separate Netzwerkkarte zuweisen und dem Host alle Protokolle fuer diese Karte ausser dem vmware-bridge protocol entziehen

Ich habe nur eine Netzwerkkarte verbaut. Welchen Modus für den Guest sollte man denn für die Netzwerkkarte wählen? Also Bridge etc. meine ich.

4. kein Samab oder sonstigen Zugriff auf den Host erlauben

Wie kann ich das verhindern?

Dem Gast gar keine Netzwerkkarte geben sondern ein USB-device.
Kann WLAN oder normales Netzwerk sein

Wie hast du das gemeint? Ich verstehe es nicht.

[continuum]

zu 1 ... warum keine vmware-tools

die vmware-tools öffnen eine sogenannte backdoor zwischen Host und Gast.

Über diesen Weg werden features wie drag n drop, vmrun-Fernsteurung, time-sync usw abgewickelt.
Also alles potentielle Einfalls-tore für Schadsoftware.
Da man keine dieser Funktionen in einer VM zwingend braucht liegt es nah diese bei einer "sicheren VM" erst gar nicht zu installieren.

Das einzige Paket in den vmware-tools was man vielleicht haben wil sind die Treiber fuer SVGA und Maus.
Die kann man sich aber auch anders installieren falls nötig.

zu 2 ...

Hostonly und NAT-traffic wird über Dienste die im Host laufen abgewickelt - das ist unsicherer als Bridged


zu 4 ... Benutzung von Samba und anderen Filesharing-features

Das kannst du nur aktiv als user sein lassen - ganz deaktivieren kann man sowas nicht.




Netzwerk über USB

die sicherste Abschottung zwischen Host und Gast erreicht man wenn der Gast-traffic überhaupt nicht durch den Netzwerk-stack des Hosts läuft.
Erreichen kann man das wenn man dem gast gar kein ethernet-device gibt.
Eine Möglichkeit das zu machen sind zum Beispiel USB-WLAN sticks.
Gibt man dem Gast so ein Teil läuft der Netzwerkverkehr des Gastes gar nicht erst durch den Host

[Helveticus]

Vielen Dank continuum für die super Erklärungen.

Der Unity Modus könnte auch noch eine Lücke für ein Schadprogramm sein?

Das einzige Paket in den vmware-tools was man vielleicht haben wil sind die Treiber fuer SVGA und Maus.
Die kann man sich aber auch anders installieren falls nötig.

Wie kann man denn en SVGA und Maus Treiber seperat installieren?

[continuum]

ohne vmware-tools funktioniert Unity sowieso nicht.

Wie du bei Linux die Treiber für SVGA und Maus kann ich dir für die neuen Linuxe nicht beantworten - wahrscheinlich benötigt man sie aber auch gar nicht.

Guck mal in der Paketverwaltung deiner Distribution - vielleicht gibt es da Pakete ...

[Helveticus]

Ok vielen Dank. Noch eine letzte Frage habe ich. Wie aktiviert man die 3D Beschleunigung?

[Dayworker]

Ok vielen Dank. Noch eine letzte Frage habe ich. Wie aktiviert man die 3D Beschleunigung?

Wenn sich in der Zwischenzeit nichts geändert hat, unter Linux gar nicht.
3D gibt es ausschließlich unter Windows in Form von DirectX9.0c und wenn deine App aus Performancegründen probiert, die Shader direkt anzusprechen, fällt sie auf die Nase.

[Helveticus]

Dann gibt es noch den Parameter guest.isolation, den Du dir am besten auf der Seite von continuum ansiehst.

Da habe ich auf der Seite direkt nichts gefunden. Ich nehme an, dass du sanbarrow.com gemeint hast. Wie geht denn das?

[e-e-e]

der Abschnitt heisst isolation.tools: http://sanbarrow.com/vmx/vmx-advanced.html#isolationtools

[Helveticus]

Und was mache ich mit diesen isolation.tools bzw. wo muss ich die Zeilen eintragen?

isolation.tools.osNotFound.disable = "false"

isolation.tools.copy.disable
isolation.tools.copy.enable
isolation.tools.paste.disable
isolation.tools.paste.enable

isolation.tools.dnd.disable

isolation.tools.hgfs.disable = "false"

isolation.tools.apmFunction.disable

monitor_control.virtual_rdtsc = "false"
monitor_control.restrict_backdoor = "true"
isolation.tools.getPtrLocation.disable = "true"
isolation.tools.setPtrLocation.disable = "true"
isolation.tools.setVersion.disable = "true"
isolation.tools.getVersion.disable = "true"
monitor_control.disable_directexec = "true"

isolation.device.edit.disable
isolation.monitor.control.disable
isolation.tools.ACPI.disable

isolation.tools.autoConnect.disable
isolation.tools.diskShrink.disable
isolation.tools.diskWiper.disable
isolation.tools.getDiskGeo.disable
isolation.tools.getGuiOptions.disable
isolation.tools.getInfo.disable
isolation.tools.getMachineId.disable
isolation.tools.getMemSize.disable
isolation.tools.getMhz.disable
isolation.tools.getOS2IntCursor.disable
isolation.tools.getPtrLocation.disable
isolation.tools.getScreenSize.disable
isolation.tools.getTime.disable
isolation.tools.getUUId.disable
isolation.tools.getVersion.disable
isolation.tools.haltReboot.disable
isolation.tools.haltRebootStatus.disable

isolation.tools.hostCopy.disable
isolation.tools.initScsiIoprom.disable
isolation.tools.Int13.disable
isolation.tools.log.disable
isolation.tools.message.disable

isolation.tools.osStateChange.disable
isolation.tools.osStateChangeStatus.disable
isolation.tools.removeImage.disable
isolation.tools.rsvd0.disable
isolation.tools.rsvd1.disable
isolation.tools.rsvd2.disable
isolation.tools.setGUIOptions.disable
isolation.tools.setGUIOptions.enable
isolation.tools.setInfo.disable
isolation.tools.setOption.disable
isolation.tools.setPtrLocation.disable
isolation.tools.setVersion.disable
isolation.tools.stopCatchup.disable
isolation.tools.unifiedLoop.disable
isolation.tools.updateTools.disable
isolation.tools.vmdbpipeSend.disable

[continuum]

die traegst du in der vmx-datei ein und probierst aus

[Helveticus]

Was haben die zur Folge bzw. sind die für eine Abschottung notwendig? Internet bzw. bridge Modus soll aber noch laufen. Bzw. sind die notwendig, wenn man sein Guest safe für surfen und so machen will, also dass keine Schadsoftware auf den Host durchschlagen?

[Helveticus]

Hat niemand Rat?

[continuum]

das sind meistens voellig undokumentierte Parameter - mit machen davon kann man eine VM voellig lahmlegen.

Normalerweise gibt es keinen Grund irgendetwas davon zu verwenden.

Ansonsten : Versuch macht kluch

[Tschoergez]

Hi!
schau Dir mal das hier an:
http://communities.vmware.com/servlet/J ... 202011.pdf

Ist zwar für ESX, aber ein paar der VM-spezifischen parameter lassen sich vielleicht auch auf die Workstation übertragen.

die ganzen isolation.tools parameter ändern die Möglichkeiten, wie Gast und Host via VMware-tools miteinander kommunizieren können. Wenn Du die VMware Tools ganz weglässt, bist Du auf der sicher(er)en Seite

dann noch den Bridge-Modus, und sinnvollerweise eine geeignete Firewall (und eine auf dem Host). Denn schließlich sind Gast und Host ja im gleichen Netz, und die ganze Abschotterei bringt nix, wenn schadsoftware übers netz vom gast auf den Host kommt
(und davon gibt's viel mehr als schadsoftware, die versucht, aus VMs auszubrechen und auf den Host zu gelangen).

Wenn Du sowas genau wissen willst, google mal nach...:
http://x86vmm.blogspot.com/2007/07/blue ... steps.html
http://theinvisiblethings.blogspot.com/
Bluepill
redpill
Tal Garfinkel
Keith Adams
Mendel Rosenblum
Ed Skoudis
Joanna Rutkowska


viele grüße,
jörg