Die Foren-SW läuft schon geraume Zeit ohne erkennbare Probleme. Sollte etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Host-PC ohne NIC - aber wie?

Hilfe bei Problemen mit der Installation und Benutzung der VMware Workstation und VMware Workstation Pro.

Moderatoren: continuum, irix, Dayworker

Member
Beiträge: 5
Registriert: 23.06.2019, 16:58

Host-PC ohne NIC - aber wie?

Beitragvon Valentin367 » 06.07.2019, 16:11

Hallo zusammen,

ich habe einen Windows 7 PC auf dem VMware 12.5.6 läuft.

Ich möchte unter Windows, also dem Host, das Netzwerk ganz deaktivieren (nicht nur die Ports sperren). Nur die virtuellen Maschinen unter VMWare sollen Netzwerkzugriff haben. Das gelingt mir leider nicht. Ist das überhaupt möglich? Müsste ich vielleicht eine zweite Netzwerkkarte einbauen?

Danke im Voraus!
Tino

Experte
Beiträge: 1565
Registriert: 04.10.2011, 14:06

Re: Host-PC ohne NIC - aber wie?

Beitragvon JustMe » 06.07.2019, 16:22

Irgendwie muessen die Daten der VMs halt doch in's Netzwerk, oder ;) ?
Ohne geladenen Treiber im Host-OS (bzw. wie im Titel geschrieben "ohne NIC") geht's dann nur, wenn z.B. jede VM eine eigene USB-Netzwerkkarte bekaeme...
Alles andere, was doch irgendwie die Host-LAN-Karte verwendet, ist dann, je nach Bedarf & Anwendung, mehr oder weniger "unsicher", wie z.B. IP-Adresse des Hosts ausserhalb des lokalen Netzes legen, usw. usf.

Profi
Beiträge: 786
Registriert: 18.03.2005, 14:05
Wohnort: Ludwigshafen

Re: Host-PC ohne NIC - aber wie?

Beitragvon Martin » 06.07.2019, 18:38

Du kannst probieren, in den Einstellungen der Netzwerkkarte am Host das TCP/IP zu deaktivieren und nur das VMware Bridge Protocol aktiv zu lassen.
Damit hat der Host zwar noch die Karte, aber kein Netzwerkprotokoll um "mitspielen" zu können. ;)

Member
Beiträge: 5
Registriert: 23.06.2019, 16:58

Re: Host-PC ohne NIC - aber wie?

Beitragvon Valentin367 » 06.07.2019, 20:28

2 interessante Ansätze, die ich testen werde.

Danke!

Tino

Guru
Beiträge: 2650
Registriert: 27.12.2004, 22:17

Re: Host-PC ohne NIC - aber wie?

Beitragvon rprengel » 08.07.2019, 06:22

Valentin367 hat geschrieben:Hallo zusammen,

ich habe einen Windows 7 PC auf dem VMware 12.5.6 läuft.

Ich möchte unter Windows, also dem Host, das Netzwerk ganz deaktivieren (nicht nur die Ports sperren). Nur die virtuellen Maschinen unter VMWare sollen Netzwerkzugriff haben. Das gelingt mir leider nicht. Ist das überhaupt möglich? Müsste ich vielleicht eine zweite Netzwerkkarte einbauen?

Danke im Voraus!
Tino


Hallo,
welches Problem willst du lösen.
Wenn es um die Sicherheit des Hosts geht installier entweder Linux oder sofern es stabil läuft sogar den ESXi.

Gruss

Member
Beiträge: 5
Registriert: 23.06.2019, 16:58

Re: Host-PC ohne NIC - aber wie?

Beitragvon Valentin367 » 08.07.2019, 15:59

Hallo,

ja, es geht um die Sicherheit des Hosts. Ich bin der Meinung, dass ich die höchste Sicherheit ohne Netzwerkanbindung habe.

Gruß
Tino

Guru
Beiträge: 2650
Registriert: 27.12.2004, 22:17

Re: Host-PC ohne NIC - aber wie?

Beitragvon rprengel » 08.07.2019, 16:05

Valentin367 hat geschrieben:Hallo,

ja, es geht um die Sicherheit des Hosts. Ich bin der Meinung, dass ich die höchste Sicherheit ohne Netzwerkanbindung habe.

Gruß
Tino


Eine zentrale Firewall die sauber konfiguriert ist und ein lokales System ebenfalls gehärtet ist sollte ausreichen.
Die Kunst ist wie so häufig genau das richtige Augenmass zu haben.
Gruss

Member
Beiträge: 5
Registriert: 23.06.2019, 16:58

Re: Host-PC ohne NIC - aber wie?

Beitragvon Valentin367 » 08.07.2019, 16:20

Ja ... aber Firewall, abhärten, Augenmaß ... kann ich mir alles sparen wenn der Host kein Netzwerk hat und ich bin auch noch sicherer. Stimmts?

Experte
Beiträge: 1565
Registriert: 04.10.2011, 14:06

Re: Host-PC ohne NIC - aber wie?

Beitragvon JustMe » 08.07.2019, 16:20

Trotzdem ist die ultimativ sicherste Variante tatsaechlich das Kappen des Kabels (auch desjenigen vom WLAN). Und dann gleich noch USB/Parallel/Seriell-Ports deaktivieren, und optische Laufwerke ausbauen. In letzter Konsequenz auch noch Tastatur und Maus entfernen. Und aus Umweltschutzgesichtspunkten den Rechner ausgeschaltet lassen.

Das ist dann voellig unabhaengig davon, ob man lieber Linux oder Windows (oder sonstwas) mag.

:lol: :lol: :lol:

Guru
Beiträge: 2650
Registriert: 27.12.2004, 22:17

Re: Host-PC ohne NIC - aber wie?

Beitragvon rprengel » 08.07.2019, 16:51

Valentin367 hat geschrieben:Ja ... aber Firewall, abhärten, Augenmaß ... kann ich mir alles sparen wenn der Host kein Netzwerk hat und ich bin auch noch sicherer. Stimmts?

Ich drück es mal so aus,
deine Überlegungen in allen Ehren aber mit Windows als Betriebssystem kannst du lokale Sicherheit in die Tonne treten.
Wer garantiert dir das durch Fehlfunktionen oder Konfigurationsfehler nicht doch mal die Netzwerkverbindung aktiviert wird.
Abgesehen davon brauchst du einen aktiven Datenausgang mit dem Vmware was anfangen kann und das muss nun mal ein Kabel oder Wlan sein.
Ausnahme wäre nur wenn du einen reinen dateibasierten Datenaustausch benötigts. Den könnte man mit Iso oder flp images umsetzen.
Ich bin ansonsten auch aus dem Thema raus.
Gruss

Member
Beiträge: 5
Registriert: 23.06.2019, 16:58

Re: Host-PC ohne NIC - aber wie?

Beitragvon Valentin367 » 08.07.2019, 18:57

Was spricht dagegen, Windows mit allem Pi Pa Po und VMWare zu installieren mit Netzwerkverbindung. Bevor private Daten auf dem genutzt/verarbeitet werden, wird der Netzwerkchip im BIOS und unter Windows deaktiviert (Treiber gelöscht). Physisch kommt niemand unbemerkt an den PC. Dann eine von den Möglichkeiten oben um mit VMWare ins Internet zu kommen.

Mir gefällt diese Lösung.

Die Frage bei meinem Ansatz ist eher ob ein Angreifer/eine Schadsoftware, die übers Internet in die VM gelangt auf den Host? Als VM habe ich eine abgehärtetes Linux.

Gruß
Tino

Experte
Beiträge: 1565
Registriert: 04.10.2011, 14:06

Re: Host-PC ohne NIC - aber wie?

Beitragvon JustMe » 09.07.2019, 08:13

Das ist ja gerade das Problem:
Wenn Du unter Deinem Host-Windows den Treiber der NIC deinstallierst, dann kommen Deine VMs nicht mehr "nach draussen". Die haben ja keinen physischen Zugriff auf die Hardware.
Also braeuchtest Du, wie bereits oben erwaehnt, USB-NICs, die exklusiv einer/jeder einzelnen VM zugewiesen werden koennen/muessen.

Sobald Du "irgendwas" mit der NIC im Host-OS anstellst, gibt es immer eine Ausbruchsmoeglichkeit. Die Wahrscheinlichkeiten der Nutzung der Schwachstellen variieren dann selbstverstaendlich.
Und grundsaetzlich ist ebenfalls auch immer eine theoretische Moeglichkeit des Ausbrauchs aus der VM auf das Host-OS moeglich, unter Ausnutzung einer Schwachstelle des Hypervisors.

Ich habe selber einige Zeit mit der "verstellten" IP-Adresse im Host gewurschtelt. Irgendwann hat dann ein Windows-Update IPv6 im Host aktiviert, und ein verbundener Router/Provider hat das auch noch unterstuetzt. Schon war die ganze Geschichte wieder "Tag der offenen Tuer", wenn auch nicht per IPv4...

Profi
Beiträge: 786
Registriert: 18.03.2005, 14:05
Wohnort: Ludwigshafen

Re: Host-PC ohne NIC - aber wie?

Beitragvon Martin » 09.07.2019, 08:51

Ohne installiertes Netzwerkprotokoll im Host hat ein Schädling es seeeehr schwer, irgendetwas im Netz anzustellen.
Ich habe noch nirgends mitbekommen, daß unbemerkt/bösartig plötzlich Netzwerkprotokolle hinzugefügt/installiert wurden.
D.h. die Protokolle komplett vom Netzwerkadapter entfernen, nicht nur einfach deaktivieren.

Guru
Beiträge: 2112
Registriert: 23.02.2012, 12:26

Re: Host-PC ohne NIC - aber wie?

Beitragvon ~thc » 09.07.2019, 09:16

Es gibt ja auch PoC-Schadsoftware (Proof of Concept), die bei nicht per Kabel angeschlossenen PCs die Lücke (Air Gap) überspringt...

Zurück zum Thema: Wenn mich meine Erinnerung nicht trügt, dann geht bei Windows-Hosts genau dies nicht: VMWare Bridging mit ausgeschalteten Netzwerkbindungen.

Profi
Beiträge: 786
Registriert: 18.03.2005, 14:05
Wohnort: Ludwigshafen

Re: Host-PC ohne NIC - aber wie?

Beitragvon Martin » 09.07.2019, 09:58

Deshalb ja nicht ein Deaktivieren der Netzwerkkarte, sondern nur die Clients, Dienste und Protokolle außer dem VMware Bridging Protokoll aus den Eigenschaften der Netzwerkkarte entfernen.

Guru
Beiträge: 2112
Registriert: 23.02.2012, 12:26

Re: Host-PC ohne NIC - aber wie?

Beitragvon ~thc » 09.07.2019, 10:11

Über das echte Entfernen kann ich nichts aussagen.

Benutzeravatar
Member
Beiträge: 360
Registriert: 20.10.2011, 17:55

Re: Host-PC ohne NIC - aber wie?

Beitragvon MarroniJohny » 09.07.2019, 18:49

Naja, ich würde mal sagen, mit deaktivierter NIC im BIOS und USB Adapter zum Gast ist man schon mal sehr viel sicherer unterwegs, als mit aktivierter. Da das Gateway weg lassen würd auch schon viel bringen, obwohl man da laut @JustMe wohl auch in die Falle tappen kann. Ist man wohl noch von aussen erreichbar, aber nicht gerade jeder Crap kann nach aussen telefonieren. Weiss ja nicht, ob da ein normal verbundenes Linux viel sicherer ist, als die genannten Massnahmen wie gleich mal alle Protokolle zu deaktivieren. Sollte ja reichen für 99.99% der Bedrohungen. Zum Thema Firewall Konfiguration: meint Ihr damit den ausgehenden Datenverkehr? Hätte ich auch gerne beregelt, aber da bin ich irgendwie zu faul für. :grin:

Ich denke, da sollte man die Kirche auch mal im Dorf lassen. Glaube ja nicht, dass der @TE Atomwaffenpläne am Host entwickelt. Eher dass nicht jeder Crap nach Hause telefoniert. Kann das recht gut nachvollziehen, denn am Blech der Workstation ist das grösste und nach mir einzige relevante Sicherheitsproblem. Bei mir jetzt. Mit all dem Zeugs dass da installiert ist. Zum Glück ist das nur Lab Betrieb beim Feld- und Wiesenbastler. Mit deaktivierter NIC würd ich mich sicherer fühlen, geht aber leider nicht.

Aber interessante Disskusion, wieder was dazu gelernt.


Zurück zu „VMware Workstation und VMware Workstation Pro“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste