hallo zusammen,
vorweg: bin ein ganz neuer nutzer von vmware.
nun habe ich direkt eine frage:
der grund, warum ich mir vmware installiert habe, ist hauptsächlich, weil ich gestern mein system platt machen musste... dabei hatte ich 'ne firewall und virenscanner aktiv und alles up2date,
naja, egal...
meine frage bezieht sich jetzt darauf: ich möchte mit dem virtuellen pc NUR ins internet, damit mir bei einem erneuten virenbefall auch nur dieser 'abschmiert'.
habe jetzt alles eingerichtet, mit dem 'normalen' system bin ich nicht im netz, mit der virtuellen maschine schon.
wie ist das jetzt:
- kann einer von der virtuellen maschine aus auf meinen normalen rechner zugreifen??
- geht die virt. masch. über den normalen rechner ins netz??
- was passiert, wenn ich gehackt werde (trotz FW). ist/kann mein normaler rechner auch in mitleidenschaft gezogen werden??
- was muss ich tun, um einzelne verzeichnisse auf dem normalen rechner/und in vmware freizugeben?? über den 'share' in den options klappt das nicht ganz...
danke schonmal im voraus für die antwort(en).
webdeveloper
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
[FRAGE] internetzugriff => normaler rechner | vmware
-
webdeveloper
- Member
- Beiträge: 22
- Registriert: 14.07.2004, 15:20
-
continuum
- UNSTERBLICH(R.I.P.)
- Beiträge: 14759
- Registriert: 09.08.2003, 05:41
- Wohnort: sauerland
- Kontaktdaten:
Hi
Grundsaetzlich ist es eine sehr gute Idee nur mit einer virtuellen Maschine ins Netz zu gehen.
Bei der Konfiguration im Detail muss man zwischen Komfort und Sicherheit einen Weg finden.
Hier mal eine Variante fuer sportliche Paranoiker:
Firewall: OpenBSD als VM - Festplatte nonpersistent
Surfmaschine: Knoppix oder Bart PE
Downloads werden auf einer Festplatte mit einem von Windows nicht lesbarem Dateisystem gespeichert. Von diesen Platten hat man 3 Stueck die man taeglich rotiert. Die Downloadplatte vom Vortag wird taeglich von einem Linux-Livesystem auf Viren gescannt. Dann kommt sie fuer einen weiteren |Tag in Quarantaene und wird am naechsten Tag noch einmal mit einer frischen Virensignatur durchgescannt. Erst am 4 Tag wird die Platte ueber Samba an den Host weitergereicht.
Dieses System ist recht aufwaendig aber auch ziemlich sicher.
Jetzt mal eine Variante fuer faule Paranoiker
Gesurft wird nur mit einer 2k Maschine - nicht XP!
Diese hat 3 Festplatten:
1. Platte : System - wird nach der Installation auf nonpersistent gestellt
2. Platte : Homeverzeichnis des Surfers - steht auf undoable - wenn man sich was eingefangen hat wird die Platte zurueckgesetzt
3. Platte : Downloads - persistent - diese muss natuerlich vor Weitergabe an den Host von einem Linuxlivesystem auf Viren gescantt werden.
Am besten laesst man nur Wasser und CD an den Host - ehhm nur Treiberupdates. Alles andere koennte im Prinzip immer in einer VM bleiben.
Zu deinen 3 Fragen:
kann einer von der virtuellen maschine aus auf meinen normalen rechner zugreifen??
Direkt zugreifen nicht - abhaengig von deiner Konstellation. Denkbar ist aber ein abschmireren lassen durch Buffer Overflows. Da ist aber noch kein exploit bekannt.
geht die virt. masch. über den normalen rechner ins netz??
Nein - die Maschine kann direkt ohne Hostbeteiligung ins Netz.
was passiert, wenn ich gehackt werde (trotz FW). ist/kann mein normaler rechner auch in mitleidenschaft gezogen werden??
Das ist sehr von deiner Konstellation abhaengig.
Wenndu Verzeichnisse freigeben willst - wie du etwas spaeter fragst, dann riskierst du auch deinen Host im Falle eines Cracker oder Scriptkiddies.
Du siehst also - man muss hier einfach einen Weg aussuchen zwischen Komfort und Sicherheit.
Ulli
Grundsaetzlich ist es eine sehr gute Idee nur mit einer virtuellen Maschine ins Netz zu gehen.
Bei der Konfiguration im Detail muss man zwischen Komfort und Sicherheit einen Weg finden.
Hier mal eine Variante fuer sportliche Paranoiker:
Firewall: OpenBSD als VM - Festplatte nonpersistent
Surfmaschine: Knoppix oder Bart PE
Downloads werden auf einer Festplatte mit einem von Windows nicht lesbarem Dateisystem gespeichert. Von diesen Platten hat man 3 Stueck die man taeglich rotiert. Die Downloadplatte vom Vortag wird taeglich von einem Linux-Livesystem auf Viren gescannt. Dann kommt sie fuer einen weiteren |Tag in Quarantaene und wird am naechsten Tag noch einmal mit einer frischen Virensignatur durchgescannt. Erst am 4 Tag wird die Platte ueber Samba an den Host weitergereicht.
Dieses System ist recht aufwaendig aber auch ziemlich sicher.
Jetzt mal eine Variante fuer faule Paranoiker
Gesurft wird nur mit einer 2k Maschine - nicht XP!
Diese hat 3 Festplatten:
1. Platte : System - wird nach der Installation auf nonpersistent gestellt
2. Platte : Homeverzeichnis des Surfers - steht auf undoable - wenn man sich was eingefangen hat wird die Platte zurueckgesetzt
3. Platte : Downloads - persistent - diese muss natuerlich vor Weitergabe an den Host von einem Linuxlivesystem auf Viren gescantt werden.
Am besten laesst man nur Wasser und CD an den Host - ehhm nur Treiberupdates. Alles andere koennte im Prinzip immer in einer VM bleiben.
Zu deinen 3 Fragen:
kann einer von der virtuellen maschine aus auf meinen normalen rechner zugreifen??
Direkt zugreifen nicht - abhaengig von deiner Konstellation. Denkbar ist aber ein abschmireren lassen durch Buffer Overflows. Da ist aber noch kein exploit bekannt.
geht die virt. masch. über den normalen rechner ins netz??
Nein - die Maschine kann direkt ohne Hostbeteiligung ins Netz.
was passiert, wenn ich gehackt werde (trotz FW). ist/kann mein normaler rechner auch in mitleidenschaft gezogen werden??
Das ist sehr von deiner Konstellation abhaengig.
Wenndu Verzeichnisse freigeben willst - wie du etwas spaeter fragst, dann riskierst du auch deinen Host im Falle eines Cracker oder Scriptkiddies.
Du siehst also - man muss hier einfach einen Weg aussuchen zwischen Komfort und Sicherheit.
Ulli
-
webdeveloper
- Member
- Beiträge: 22
- Registriert: 14.07.2004, 15:20
super, klasse, danke!
nun, den 1. teil verstehe ich nicht ganz bis gar nicht. kenne mich mit linux nicht aus.
im unteren teil wird es für mich interessant.
hier mal mein momentaner stand:
> normaler rechner, mit bitdefender FW+Virenscanner.
diese werden geupdated, sobald es neue virendefinitions gibt.
mit diesem system arbeite ich, mache also alles, bis auf das internet-surfen.
habe dort admin-rechte.
> vmware system.
das netz läuft über die option bridged
auf der virtuellen maschine habe ich ebenso admin rechte.
auch hier habe ich bitdefender installiert. scheint auch zu funzen, zumindest hat er mir meine mails gescannt und cleaned
(habe vorher zonealarm gehabt, und bin jetzt auf bitdefender umgestiegen).
zu der shared sache...:
ich habe eine weitere partition meines 'normalen' rechners dort soz. freigegeben, also nicht das system.
du hast ganz unten geschrieben, dass dies ein sicherheitsrisiko sein kann...
interpretiere ich das richtig, dass du damit die system-partition meinst??
wenn dem so ist, mein windows läuft wie gesagt auf einer anderen partition.
vllt. schreibst du mir ja noch ein paar antworten.
DANKE
nun, den 1. teil verstehe ich nicht ganz bis gar nicht. kenne mich mit linux nicht aus.
im unteren teil wird es für mich interessant.
hier mal mein momentaner stand:
> normaler rechner, mit bitdefender FW+Virenscanner.
diese werden geupdated, sobald es neue virendefinitions gibt.
mit diesem system arbeite ich, mache also alles, bis auf das internet-surfen.
habe dort admin-rechte.
> vmware system.
das netz läuft über die option bridged
auf der virtuellen maschine habe ich ebenso admin rechte.
auch hier habe ich bitdefender installiert. scheint auch zu funzen, zumindest hat er mir meine mails gescannt und cleaned
(habe vorher zonealarm gehabt, und bin jetzt auf bitdefender umgestiegen).
zu der shared sache...:
ich habe eine weitere partition meines 'normalen' rechners dort soz. freigegeben, also nicht das system.
du hast ganz unten geschrieben, dass dies ein sicherheitsrisiko sein kann...
interpretiere ich das richtig, dass du damit die system-partition meinst??
wenn dem so ist, mein windows läuft wie gesagt auf einer anderen partition.
vllt. schreibst du mir ja noch ein paar antworten.
DANKE
-
continuum
- UNSTERBLICH(R.I.P.)
- Beiträge: 14759
- Registriert: 09.08.2003, 05:41
- Wohnort: sauerland
- Kontaktdaten:
Vielleicht kommt eine brauchbare Anleitung fuer alle dabei .
Hi
du sagst von dem ersten Teil haettest du nichts verstanden - in diesem Fall moechte ich dir mal waermstens Knoppix empfehlen. Knoppix ist ein Linux was von CD laeuft - keine Installation - keine Vorbereitungen sind hier fuer noetig. Einfach von CD starten und 5 Minuten spaeter kannst du schon damit surfen.
Ein System das von CD startet kann nicht nachhaltig veraendert werden - was natuerlich ein riesiger Vorteil ist wenn es um Virenabwehr geht.
Zu deiner Partition: angenommen du hast dir einen Virus eingefangen, der bei Doppelklick deine Wohnung blau anstreicht. Dieser Virus landet erstmal auf dem Gastsystem. Solange er hier bleibt ist fuer deinen Host keine Gefahr im Verzug. Sobald er aber auf dem Dateisystem des Hosts landet, kann er blau streichen wenn er aufgerufen wird. Das Risiko ist am groessten wenn auf deine Systempartition gespeichert wird. Aber auch auf jeder anderen Partition kann er versehentlich aktiviert werden.
Aus diesem Grunde solltest du keine Dateien von der Surfmaschine auf den Host kopieren bevor diese nicht auf Viren geprueft wurden.
Malen wir mal den Teufel an die Wand:
Wir fangen uns einen Virus ein, der schlauer ist als alles was wir aufzuweisen haben. Dieser Virus schafft es deinen Bitdefender davon zu ueberzeugen das er nur ein ganz harmloses Foto ist. Dann fragt er womoeglich noch das System nach der Firewall und schafft es hier die Regeln zu aendern. Als naechstes spricht er mit dem Modem und leitet uns auf einen Dialer um. Zur Kroenung versucht der Virus noch ins Pentagon ein zu hacken. Weil das nicht funktioniert formatiert er aus reiner Wut unsere Festplatte.
Ende vom Lied: 10000 Euro Telekomrechnung, die Leute vom BKA vor der Tuer und alle Daten platt.
Wenn das in einer VM passiert hat man nur die Rechnung und die Leute vom BKA.
Wenn man die Firewall auf einer 2ten VM hat und das surfende System nichts darueber weiss, koennen die Regeln nicht geaendert werden und die Leute vom BKA bleiben zuhause.
Ein weiterer Grund, die Firewall separat zu halten ist der Dialer-Schutz. Wenn die surfende Maschine nichts davon weiss, wie die Internet-verbindung im Detail funktioniert kann auch kein boeses Programm die Verbindung umleiten was zu einer ganz normalen Rechnung fuehrt.
Aehnlich verhaelt es sich mit der Virenscannerei - als sportlich Paranoider muss man davon ausgehen dass jeder Virus so schlau ist den Scanner abzuschalten.
Also muessen wir die Daten auf Viren scanne wenn das surfende System nicht aktiv ist. Fuer diesen Zweck gibt es zum Beispiel auch wieder fertige Linux-LiveCDs die automatisch die Virensignatur updaten und danach deine Windowsplatte mit den Downloads auf Viren scannen.
Man kann hier jede Menge Aufwand treiben - ganz nach Belieben.
Mit VMware kann man das Internet um einiges relaxter durchforsten.
Bedenken bei Online-Banking Sicherheit? Leg dir eine Maschine zurecht die du nur hierfuer nimmst. Wenn man mit dieser nur alle 3-4 Tage fuer 5 Minuten nur diese einzige IP anwaehlt wird man sich kaum etwas einfangen oder jemand zum Schnueffeln rein lassen.
Wer einen Esel hat kann sich eine VM basteln wo man das System schon von vorne herein fuer entbehrlich erklaert. Dann speichert man die Daten auf einer separaten Platte und setzt das System einmal am Tag auf den Ursprungszustand zurueck.
Und so weiter ....
Wenn du Lust hast mal eine separate Firewall auszuprobieren - guck dir mal die m0n0wall an - http://www.m0n0.ch/wall/download.php?file=cdrom-1.1b15.iso
Das ist ein Iso - 5MB gross. Das laeuft dann als VM mit 64MB Ram und verbraucht auf dem Host nur ein paar MB Platz.
Ich helfe dir bei den Einstellungen und schick dir im Notfall eine fertige Maschine.
Vielleicht kommt eine brauchbare Anleitung fuer alle dabei heraus ...
Ulli
du sagst von dem ersten Teil haettest du nichts verstanden - in diesem Fall moechte ich dir mal waermstens Knoppix empfehlen. Knoppix ist ein Linux was von CD laeuft - keine Installation - keine Vorbereitungen sind hier fuer noetig. Einfach von CD starten und 5 Minuten spaeter kannst du schon damit surfen.
Ein System das von CD startet kann nicht nachhaltig veraendert werden - was natuerlich ein riesiger Vorteil ist wenn es um Virenabwehr geht.
Zu deiner Partition: angenommen du hast dir einen Virus eingefangen, der bei Doppelklick deine Wohnung blau anstreicht. Dieser Virus landet erstmal auf dem Gastsystem. Solange er hier bleibt ist fuer deinen Host keine Gefahr im Verzug. Sobald er aber auf dem Dateisystem des Hosts landet, kann er blau streichen wenn er aufgerufen wird. Das Risiko ist am groessten wenn auf deine Systempartition gespeichert wird. Aber auch auf jeder anderen Partition kann er versehentlich aktiviert werden.
Aus diesem Grunde solltest du keine Dateien von der Surfmaschine auf den Host kopieren bevor diese nicht auf Viren geprueft wurden.
Malen wir mal den Teufel an die Wand:
Wir fangen uns einen Virus ein, der schlauer ist als alles was wir aufzuweisen haben. Dieser Virus schafft es deinen Bitdefender davon zu ueberzeugen das er nur ein ganz harmloses Foto ist. Dann fragt er womoeglich noch das System nach der Firewall und schafft es hier die Regeln zu aendern. Als naechstes spricht er mit dem Modem und leitet uns auf einen Dialer um. Zur Kroenung versucht der Virus noch ins Pentagon ein zu hacken. Weil das nicht funktioniert formatiert er aus reiner Wut unsere Festplatte.
Ende vom Lied: 10000 Euro Telekomrechnung, die Leute vom BKA vor der Tuer und alle Daten platt.
Wenn das in einer VM passiert hat man nur die Rechnung und die Leute vom BKA.
Wenn man die Firewall auf einer 2ten VM hat und das surfende System nichts darueber weiss, koennen die Regeln nicht geaendert werden und die Leute vom BKA bleiben zuhause.
Ein weiterer Grund, die Firewall separat zu halten ist der Dialer-Schutz. Wenn die surfende Maschine nichts davon weiss, wie die Internet-verbindung im Detail funktioniert kann auch kein boeses Programm die Verbindung umleiten was zu einer ganz normalen Rechnung fuehrt.
Aehnlich verhaelt es sich mit der Virenscannerei - als sportlich Paranoider muss man davon ausgehen dass jeder Virus so schlau ist den Scanner abzuschalten.
Also muessen wir die Daten auf Viren scanne wenn das surfende System nicht aktiv ist. Fuer diesen Zweck gibt es zum Beispiel auch wieder fertige Linux-LiveCDs die automatisch die Virensignatur updaten und danach deine Windowsplatte mit den Downloads auf Viren scannen.
Man kann hier jede Menge Aufwand treiben - ganz nach Belieben.
Mit VMware kann man das Internet um einiges relaxter durchforsten.
Bedenken bei Online-Banking Sicherheit? Leg dir eine Maschine zurecht die du nur hierfuer nimmst. Wenn man mit dieser nur alle 3-4 Tage fuer 5 Minuten nur diese einzige IP anwaehlt wird man sich kaum etwas einfangen oder jemand zum Schnueffeln rein lassen.
Wer einen Esel hat kann sich eine VM basteln wo man das System schon von vorne herein fuer entbehrlich erklaert. Dann speichert man die Daten auf einer separaten Platte und setzt das System einmal am Tag auf den Ursprungszustand zurueck.
Und so weiter ....
Wenn du Lust hast mal eine separate Firewall auszuprobieren - guck dir mal die m0n0wall an - http://www.m0n0.ch/wall/download.php?file=cdrom-1.1b15.iso
Das ist ein Iso - 5MB gross. Das laeuft dann als VM mit 64MB Ram und verbraucht auf dem Host nur ein paar MB Platz.
Ich helfe dir bei den Einstellungen und schick dir im Notfall eine fertige Maschine.
Vielleicht kommt eine brauchbare Anleitung fuer alle dabei heraus ...
Ulli
-
webdeveloper
- Member
- Beiträge: 22
- Registriert: 14.07.2004, 15:20
Re: Vielleicht kommt eine brauchbare Anleitung fuer alle dab
continuum hat geschrieben:Hi
du sagst von dem ersten Teil haettest du nichts verstanden - in diesem Fall moechte ich dir mal waermstens Knoppix empfehlen. Knoppix ist ein Linux was von CD laeuft - keine Installation - keine Vorbereitungen sind hier fuer noetig. Einfach von CD starten und 5 Minuten spaeter kannst du schon damit surfen.
Ein System das von CD startet kann nicht nachhaltig veraendert werden - was natuerlich ein riesiger Vorteil ist wenn es um Virenabwehr geht.
Die Knoppix CD müsste ich hier noch irgendwo rumfliegen haben, mal schauen...
Ich werde mir in naher zukunft sowieso Linux auf der VM installieren, alleine deswegen, um das system in wenig kennenzulernen...
Zu deiner Partition: angenommen du hast dir einen Virus eingefangen, der bei Doppelklick deine Wohnung blau anstreicht. Dieser Virus landet erstmal auf dem Gastsystem. Solange er hier bleibt ist fuer deinen Host keine Gefahr im Verzug. Sobald er aber auf dem Dateisystem des Hosts landet, kann er blau streichen wenn er aufgerufen wird. Das Risiko ist am groessten wenn auf deine Systempartition gespeichert wird. Aber auch auf jeder anderen Partition kann er versehentlich aktiviert werden.
Aus diesem Grunde solltest du keine Dateien von der Surfmaschine auf den Host kopieren bevor diese nicht auf Viren geprueft wurden.
soweit ich weiss macht das bitdefender automatisch, von daher muss ich mir da weniger gedanken machen.
desweiteren habe ich auf dem normalen system ja auch noch den bitdefender laufen. was aber wohl nicht nützt, da beide signaturen auf demselben stand sind... evtl. sollte ich mir da noch einen 2. scanner zulegen, der nur dann ausgeführt wird, wenn ich es sage.
ansonsten dürften die beiden scanner evtl. probleme (untereinander) bekommen.
Malen wir mal den Teufel an die Wand:
Wir fangen uns einen Virus ein, der schlauer ist als alles was wir aufzuweisen haben. Dieser Virus schafft es deinen Bitdefender davon zu ueberzeugen das er nur ein ganz harmloses Foto ist. Dann fragt er womoeglich noch das System nach der Firewall und schafft es hier die Regeln zu aendern. Als naechstes spricht er mit dem Modem und leitet uns auf einen Dialer um. Zur Kroenung versucht der Virus noch ins Pentagon ein zu hacken. Weil das nicht funktioniert formatiert er aus reiner Wut unsere Festplatte.
Ende vom Lied: 10000 Euro Telekomrechnung, die Leute vom BKA vor der Tuer und alle Daten platt.
Wenn das in einer VM passiert hat man nur die Rechnung und die Leute vom BKA.
klar, aber mit dsl ist das mit dem dialer etwas schwieriger
Wenn man die Firewall auf einer 2ten VM hat und das surfende System nichts darueber weiss, koennen die Regeln nicht geaendert werden und die Leute vom BKA bleiben zuhause.
Ein weiterer Grund, die Firewall separat zu halten ist der Dialer-Schutz. Wenn die surfende Maschine nichts davon weiss, wie die Internet-verbindung im Detail funktioniert kann auch kein boeses Programm die Verbindung umleiten was zu einer ganz normalen Rechnung fuehrt.
[b]das verstehe ich (wieder) nicht ganz... ich weiss nicht, worauf du hinaus willst. (es ist schon spät
)Wenn du Lust hast mal eine separate Firewall auszuprobieren - guck dir mal die m0n0wall an - http://www.m0n0.ch/wall/download.php?file=cdrom-1.1b15.iso
Das ist ein Iso - 5MB gross. Das laeuft dann als VM mit 64MB Ram und verbraucht auf dem Host nur ein paar MB Platz.
Ich helfe dir bei den Einstellungen und schick dir im Notfall eine fertige Maschine.
Vielleicht kommt eine brauchbare Anleitung fuer alle dabei heraus ...
das wäre echt klasse. vllt. komme ich ja nächstes wochenende mal dazu, mich damit zu beschäftigen...
danke dir vielmals!!!!!
-
webdeveloper
- Member
- Beiträge: 22
- Registriert: 14.07.2004, 15:20
Zurück zu „VMware Workstation und VMware Workstation Pro“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste