Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Host im LAN, Guest in der DMZ - Security?

Hilfe bei Problemen mit der Installation oder Benutzung des VMware GSX Server und VMware Server 1.

Moderatoren: Dayworker, irix

Antworten
Member
Beiträge: 6
Registriert: 25.06.2004, 11:13

Host im LAN, Guest in der DMZ - Security?

Beitragvon hardsoft » 16.03.2005, 13:42

Hi zusammen,

ich habe mir mal folgendes szenario ausgedacht:

1) Man installiert einen gsx 3.1 auf einem rechner der im internen LAN hängt (als OS soll Linux zum einsatz kommen), dieses System soll über die 1. eingebaute Netzwerkkarte auf das LAN zugreifen

2) auf diesem Linux Host im LAN wird nun ein Linux guest installiert. Dieser guest soll keinerlei verbindung zu dem host system haben. weiterhin soll der linux guest die 2. eingebaute Netzwerkkarte nutzen, über die er auch physikalisch am DMZ switch hängen soll.

Wenn meine überlegungen stimmen sollten das guest und das host OS keinerlei möglichkeit haben miteinander zu kommunizieren.

Meine beiden fragen sind nun:
1) ist diese art der installation mit dem gsx 3.1 überhaupt möglich

2) stellt diese art der installation ein sicherheitsrisiko dar? zur erläuterung: das guest system soll ein von aussen erreichbarer webserver sein. wenn nun eine möglichkeit besteht über eine schwachstelle des gsx sich irgendwie vom guest aufs host system zu hacken wäre dies fatal, da dieser ja im "ungeschützen" internen LAN steht.


danke im vorraus für eure antworten


Gruß
Hardsoft
Nach oben
Benutzeravatar
Moderator
Beiträge: 1599
Registriert: 16.10.2002, 20:13
Wohnort: Köln

Beitragvon minimike » 17.03.2005, 18:45

Du kannst mit einem Iptableskript jeglichen Verkehr von bestimmten Adressen unterbinden, natürlich kannst du auch Macadressen mit einbeziehen. Kurz du verbietest vom Host aus dem Gast mit dem Host und kommunizieren und schiebst den Verkehr auf eine bstimmte Adresse von da wird ( z.B. am Router ) weiter entschieden. Zwecks Verbindung mit dem Rest der Welt must du dann mit DNAT-Regeln Arbeiten. Mit Iptables kann man fiese Dinge anrichten allerdings ist der Umfang betreff Doku, Bücher und Regeln gewaltig und erdrückend. Ich selber habe aufgegeben und benutze mittlerweile Shorewall. Das ist im übertragenen Sinn eine Skriptsammlung zum Verwalten von Iptables. Das schöne daran ist, das alles aufgabenorientiert unterteilt ist, das hält das ganze extrem übersichtlich. Vorher habe ich Stunden daran gesessen und Schreibfehler und wiedersprüchliche Befehle im Skript gesucht.

Alternativ wäre eine USB Netzwerkarte. Die Karte bei T-Online im Shop läuft mit dem Pegasus Treiber und schaufelt im schnitt aber leider nur 9-10 MB die sec. In meinen Augen sind 11 von 12 MB akzeptabel

P.S. absolute Sicherheit gibt es nie
Nach oben
Antworten

Zurück zu „VMserver 1 und GSX“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 18 Gäste