Hallo,

da ich gezwungen bin mit windos zu arbeiten, dieses aber meiner Meinung nach gerade im Punkto Sicherheit Mängel aufweist, würde ich gerne eure Meinung zu folgender Idee hören:

mittels VirtualPC 2004 eine geeignete Linux Distribution installieren, welche ich hauptsächlich zum Surfen, mailen etc verwenden will;

Die Frage ist jedoch, ist das ganze genauso sicher wie beispielsweise ein Live-System, oder verdecke ich dadurch nur die Mängel die das "Basis-OS" hat??

Danke.

Jein. Solange eine Sicherheitslücke in VirtualPC 2004 es nicht erlaubt aus dem Gast OS in das Host OS zu kommen, sehe ich das alles recht entspannt. Im Prinzip ist auch nichts verwerfliches daran eine "Sandbox" für sowas zu nutzen. Ich nutze es oft im umgekehrten Weg, also VMware Server mit Windows XP unter Linux.

Wichtig ist das es keinen Exploit gibt der einen Ausbruch aus dem Gast erlaubt. Aber da ist mir bei VirtualPC nichts bekannt.

vielen Dank :D

was mir dabei gerade noch eingefallen ist:
Wie muss ich mir das mit den Schutzmaßnahmen vorstellen?
Sitzt mein Linux nun hinter der Desktop-Firewall die win nutzt, oder befindet es sich im direkten Kontakt mit dem Internet?

Beschreibe die genaue Netzwerkkonfiguration von Provider über Zugangsart bis Art des virtuellen Netzes.

hm, ich weis leider nicht genau was alles nützlich sein könnte, drum fang ich einfach mal mit ein paar grundlegeneden Dingen an:

win xp nutzt eine Standard lan-Verbindung mit dsl-Router...
Provider ist im betrachteten Fall die deutsche Telekom;

was genau verstehst Du unter virtuellem Netzwerk?
es handelt sich nur um diesen einen Rechner auf dem das ganze laufen soll, und deshalb meines Wissens nach das lokale Netzwerk nutzt...

Bei VMWARE gibt es z. B. Bridged, NAT oder Hostonly Netzwerk im Gast, das ist eine VMWARE Einstellung.

Ob du eine Firewall brauchst, hängt vom Zugang ab. Bei Bridged wird die Karte vom Host und Gast genutzt, beide sind dann eigenständige PCs und dementsprechend (un)geschützt.

Aber wenn ich richtig lese, hast du einen Router. Also solltest du die Firewall des Routers nutzen, dann braucht weder Host noch Gast so was.

Allein NAT bietet einen gewissen Grundschutz, da ein Angreifer von Außen nur über ein Forwarding reinkommt. Nutzt er allerdings Trojaner o.ä., kommt er natürlich auch in dein Netz rein.

Danke für eure Hilfe ;)

Hallo Hans und alle anderen,

ich bin fast verzeweifelt beim Versuch Linux virtuell zu installieren. Am Ende gings mit folgenden Einstellungen:
Fedora 8 heruntergeladen also ISO, dieses gebrannt und ins IDE-DVD - Laufwerk eingelegt (externer DVD Brenner mit Firewire hat nicht funktioniert).
Virtuelle Festplatte mit fester Größe (die Umwandlung dauert 2h bei 16 GByte).
Unbedingt Service Pack 1 von Virtual PC installieren.
Beim Speicher nicht mehr als 600 MB angeben.
So jetzt läuft die Installation erst mal.

Grüße
MIke

Geil! Fedora 8 ist da. Gib mal den Link zu den iso Dateien ;) :D

Da wäre allerdings noch etwas (ich hoffe ich habe es nicht übersehen und es wurde doch schon erwähnt).

Das Gastsystem kann zwar "sicher" sein, aber wenn das Hostsystem schon kompromittiert wäre, dann nutzt das u.U. wenig, Stichwort "Man in the Middle".

Correct me, if I'm wrong (ich nutze VM bisher nicht, aber es ist ein für mich interessantes Thema), aber der böse Keylogger/Trojaner auf dem Host kann ja die Eingaben abfangen und weiterleiten ohne daß das Gastsystem da was verhindern könnte?

Wozu aber das Gastsystem sicherlich geeignet ist, es kann verhindern, daß man sich z.B. einen Browser-Exploit einfängt, der nur das Hostsystem betrifft, weil man ja mit dem Browser des Gastsystems surft.

Kommentare/Berichtigungen unbedingt erwünscht.

Greetz,

RM

No Correction, ju ahr reit.

Es gab sogar schon mal eine neue VMWARE Version wegen einer Sicherheitsproblematik im VMWARE Netzadapter. Rein theroretisch könnte ein Virus den Adapter entern und ganz gezielt Schadcode in den Gast einschleusen.

Die Wahrscheinlichkeit, das so was passiert, ist vermutlich sehr gering.

FC5 = Fedora Core 5 - stimmt schon
Dennoch erschein am Desktop eine 8 (ist wohl das Logo) und die hat sich zu sehr eingeprägt. Sry ist naturlich FC5

No Correction, ju ahr reit.

Es gab sogar schon mal eine neue VMWARE Version wegen einer Sicherheitsproblematik im VMWARE Netzadapter. Rein theroretisch könnte ein Virus den Adapter entern und ganz gezielt Schadcode in den Gast einschleusen.

Die Wahrscheinlichkeit, das so was passiert, ist vermutlich sehr gering.

Also ist in Hinsicht auf die geringe Wahrscheinlichkeit, daß ein solcher Exploit "zuschlägt" eher die Frage zu klären:

"Wie versichere ich mich, daß mein Hostsystem nicht schon kompromittiert ist, wenn ich VMware o.ä. darauf installiere?"

Wenn man sich der Vertrauenswürdigkeit des Hosts sicher sein kann, dann kann man -sofern man konsequent VM als einzigen "Weg nach draussen" nutzt- einen Sicherheitsgewinn erzielen, sofern man wie ausser den obligatorischen Maßnahmen, den Host zu sichern ("Patchdays nicht verpassen"), auch seine VM auf dem neusten Patchlevel hält.

Ansonsten würde das Ganze Konzept doch wenig Sinn machen, aber der Punkt "Halte Dein System auf dem neusten Stand" gilt ja eh immer, egal welches OS und egal ob "virtuelles" oder "reales" System.

Greetz,

RM

Henne Ei Problem: Der Virenscanner erkennt logischerweise nur bekannte Viren. Wird mit root-Kits nicht anders sein.

Ansonsten ist der virtuelle PC ein normaler PC im Netzwerk und hat damit die gleichen Probleme. Relativ sicher ist man mit Firewall am Router. In VMWARE kann man die virtuelle Festplatte so einstellen, dass sie beim Neustart des Gastes alle Änderungen seit vorherigem Neustart vergisst.

Alles andere ist Overkill. Die Wahrscheinlichkeit, beim Geldabheben am Bankautomat ne Axt auf den Kopf zu kriegen ist wesentlich höher.

Das ein kompromittiertes Hostsystem _alle_ VMs betrifft, sollte allen klar sein. Gerade deshalb wird bei den Hostsystem immer sehr auf Sicherheit geachtet. Sowohl bei VMware (siehe ESX), aber auch z.B. bei z/OS von IBM.

Das Windows da "leichte" Probleme mit hat, sollte auch allen klar sein. Am einfachsten sind natürlich Angriffe auf die Netzwerkinterfaces. Wenn ich erstmal auf dem Netzwerkinterface eines Hostsystems horche, bekomme ich den gesamten Verkehr mit. Schwieriger wird es vom Hostsystem selber in ein Gastsystem vorzudringen. Einfacher ist es wieder das Gastsystem vom Hostsystem aus zu manipulieren, Code über die Netzwerkinterfaces einzuschleusen usw. Sicherheit in solchen Bereichen ist ein interessantes Thema.