Gast-Rechner feste unveränerbare IP geben

[odenwaldquelle]

Hallo zusammen,

ich würde gerne für einen Virtuelle-Maschine eine Netzwerkkarte/einstellungen einrichten welche es der Maschine nicht mehr erlaubt diese zu ändern. Falls die Einstellungen auf der Maschine geändert werden, soll keine Verbindung ins Netz aufgebaut werden.
Der Hintergrund ist dass diese Maschine alle Verbindungen über eine Firewall/Gateway abhandeln soll (muss). Für den Fall dass die Maschine gehackt werden sollte, soll es nicht möglich sein die IP oder das Gateway zu ändern, und somit keine Möglichkeit bestehen mit den anderen Rechnern im Netzwerk zu kommunizeren und die Firewall zu hintergehen.

Ist es möglich Netzwerkadapter mit solchen Regelungen in VMware-Server 2 einzurichten?

Ich hoffe mein Vorhaben klingt einigermaßen verständlich.

Sollte keine Rolle spielen, bei dem Client handelt es sich aber um einen Windows Server 2003 r2.

Grüße aus dem Odenwald

[e-e-e]

Hallo,

schau Dir mal Ullis aka continuums Seite an, da findest Du alle Parameter: http://sanbarrow.com/

[Dayworker]

Dabei kann ihm Ulli's Seite nicht helfen, zumindest habe ich nichts gefunden.
Allerdings bietet M$ einen Kiosk-Modus an, bei dem vorher die Konfiguration festgelegt und dann verriegelt wird. Das ist nur eine Möglichkeit, weitere wären Domänen-Richtlinien oder ein Account ohne sämtliche Admin-Rechte. Leider läuft ohne Admin-Rechte bei M$ nicht sehr viel, da sich M$ selbst nicht komplett daran hält. Man kann natürlich für die installierte SW über Sysinternals Reg-Mon die betreffenden Reg-Keys finden und den Schreib-Zugriff darauf freischalten, allerdings artet das sehr schnell in zuviel Arbeit aus.

Was soll den auf der Maschine später mal beheimatet sein? Dann könnte man vielleicht den Aufwand abschätzen.
Oder du fährst die VM nur bis zur Anmeldung hoch, alle Dienste werden ja trotzdem im Hintergrund gestartet und die VM ist von außen erreichbar. Du müßtest dann nur Vorsorge treffen, daß nur die unbedingt benötigten Benutzeraccounts überhaupt eingerichtet und diese auch mit nichttrivialen Paßwörtern versehen sind.

[continuum]

mir ist auf der VMware-seite nichts bekannt um eine IP festzulegen - man kann verhindern dass die MAC geaendert wird - aber das ist ja etwas anderes

[irix]

mir ist auf der VMware-seite nichts bekannt um eine IP festzulegen -

Mit VMware Zone wuerde sich das gewuenschte schon realisieren lassen, allerdings brauchts dazu halt vSphere und nicht VMware Server.

Aber die ersten Gedanken welche mir kamen waren eher.... WTF.. keine Firewall im Netzwerk/DMZ oder was?

Wenn in einer VM die primaere IP sich aendert dann saegt man i.d.R an dem Ast auf dem man sitzt. Fuegt man weitere hinzu, sorgt die Firewall, welche das entsprechende Netzsegment verwaltet, dafuer das keine Kommunikation moeglich ist fuer die selbstvergebene IP. Setzt man noch VLANs dazu legt man eine weitere Huerde oben drauf.

Da hier aber ein Type 2 Hypervisor zum Einsatz kommt fallen mir ganz andere Angriffsvektoren ein.

Gruss
Joerg