Aus Betriebssicherheitsgründen würde ich gerne meinem Win7 Arbeitsrechner den Internetzugang, sowie den Zugang zu Updates entziehen. Der Internetzugang sollte idealerweise über einen dedizierten Surfrechner geschehen. Auf diesem würden dann auch die Anwendungen laufen, die unbedingt Netzzugang benötigen, z.B. Email. Das Betriebssystem dieses Rechners sollte aufgrund der verwendeten Programme zunächst auch Windows sein. Mittelfristig steht eine Migration zu einem Linux-Derivat an. Um Bürofläche zu sparen, außerdem weil es aus vielen Gründen effizienter wäre, spiele ich mit dem Gedanken den Surfrechner als virtuelle Maschine auszuführen und dem Hostsystem mittels Routerkonfiguration den Internetzugang zu sperren - Hostsystem IP bekommt eine Internetsperre in der FritzBox. Gegenüber dem umgekehrten Ansatz (offline Maschine in der VM, Host online) spricht hierfür die bessere Haptik der Produktivsoftware, insbesondere bei Multihead (CAD, Bildbearbeitung) und eben kein direkter Zugriff des Surfrechners auf das Arbeitssystem. Das Hostsystem soll auf dem aktuellen, funktionsfähigen Softwarestand eingefroren werden. Das Gastssystem bekommt ganz regulär seine Sicherheitsupdates. Datenaustausch geschieht über ein Verzeichnis mit gemeinsamem Zugriff. Hardware: i7-4770, 16GB, 1TB SSD für HostOS und VM, xTB HD Datenspeicher, 2x Ethernet. Offene Fragen: - macht so ein Szenario sicherheitstechnisch Sinn? - wie angreifbar ist das Hostsystem? - hat jemand sowas am Laufen? - Empfehlungen für VM Software?
Windows als Hostsystem ist schonmal ein ganz schlechter Ansatz! Schau dir mal FreeBSD und die Jails an - da bekommst Du eine saubere Trennung, wenn Guest OS virtuell in einer Jail läuft. Du kannst aus den Ports VirtualBox oder auch bhyve bauen - oder zur Not auch Binaries ziehen
Win7Fan schrieb: > Offene Fragen: > - macht so ein Szenario sicherheitstechnisch Sinn? Nicht wirklich. > - wie angreifbar ist das Hostsystem? Ganz normal über alle bekannten und unbekannten Sicherheitslücken mindestens bis hoch auf den MAC-Layer des Netzwerk-Stacks. Dazu noch über alle Sicherheitslücken, die Malware auf dem Guest Zugriff auf den Host erlauben. Sprich: Meltdown, Spectre, SpectreV2 und was sonst noch kommen mag... Kurzfassung: Mit deinen Kenntnissen (erkennbar an deinen Fragen) kannst du die Sache von vornherein komplett knicken. Lass' einfach dein Wixdos7 laufen und bete, dass alles gut geht. Noch viel besser: ziehe regelmäßig Images, um für den Fall, dass es halt doch nicht gut ging, den Zustand wiederherstellen zu können, wo es noch gut ging... Und, sowieso unverzichtbar: mache Backups deiner Daten. Echte Backups, also mit Generationen und Trennung der Medien von der Quelle... Dieses Konzept funktioniert übrigens unter absolut jedem OS ganz hervorragend und ist ist für jeden Nicht-Vollidioten sowieso Grundlage jeder ernsthaften Arbeit...
c-hater schrieb: > Win7Fan schrieb: > >> Offene Fragen: >> - macht so ein Szenario sicherheitstechnisch Sinn? > > Nicht wirklich. Ganz so schnell bin ich mit der Aussage nicht zufrieden. Bitte hilf mir nochmal, Deine Argumente zu verstehen. > >> - wie angreifbar ist das Hostsystem? > > Ganz normal über alle bekannten und unbekannten Sicherheitslücken > mindestens bis hoch auf den MAC-Layer des Netzwerk-Stacks. Wir haben ja noch den Router. Der lässt nur Pakete von und zum Gastsystem durch. Gibt es tatsächlich Angriffsszenarien, in denen IP-Pakete, die dediziert vom Router an Rechner A umgesetzt werden (vom WAN ins LAN), über Ihren Inhalt Rechner B im LAN attackieren können? Bitte Beispiele. Rechner A, in dem Fall die VM, wird genauso abgesichert, wie ein Rechner, der einzelne Hardware ist. D.h. Firewall, Virenscanner, Surfdisziplin. > > Dazu noch über alle Sicherheitslücken, die Malware auf dem Guest Zugriff > auf den Host erlauben. Sprich: Meltdown, Spectre, SpectreV2 und was > sonst noch kommen mag... Auf diese Stichworte habe ich bewusst verzichtet. Damit diese Horrorteile zum Zug kommen, müssen sie ja erstmal an den anderen Sicherheitsmechanismen vorbeikommen und auf dem Gastsystem ausgeführt werden. > Kurzfassung: Mit deinen Kenntnissen (erkennbar an deinen Fragen) kannst > du die Sache von vornherein komplett knicken. Lass' einfach dein Wixdos7 > laufen und bete, dass alles gut geht. Noch viel besser: ziehe regelmäßig > Images, um für den Fall, dass es halt doch nicht gut ging, den Zustand > wiederherstellen zu können, wo es noch gut ging... Und, sowieso > unverzichtbar: mache Backups deiner Daten. Echte Backups, also mit > Generationen und Trennung der Medien von der Quelle... > > Dieses Konzept funktioniert übrigens unter absolut jedem OS ganz > hervorragend und ist ist für jeden Nicht-Vollidioten sowieso Grundlage > jeder ernsthaften Arbeit... Die Grundlage jeder ernsthaften Arbeit würde ich auch gar nicht hier diskutieren wollen, sondern lieber das VM-Thema. Danke.
Win7Fan schrieb: > Das Hostsystem soll auf dem aktuellen, funktionsfähigen Softwarestand > eingefroren werden. > Das Gastssystem bekommt ganz regulär seine Sicherheitsupdates. > Datenaustausch geschieht über ein Verzeichnis mit gemeinsamem Zugriff. Ah ja, Produktivrechner ohne Sicherheitsupdates kann auf Daten zugreifen, die sehr wohl aus dem Internet kommen können. Was soll denn an dem sinnfreien Konstrukt sicher sein? Lieber Gott, wirf Hirn vom Himmel!
Gregor schrieb: ... > , Produktivrechner ohne Sicherheitsupdates kann auf Daten > zugreifen, die sehr wohl aus dem Internet kommen können. Was soll denn > an dem sinnfreien Konstrukt sicher sein? ... Genau das möchte ich hier im Dialog rausfinden: Was soll an der Verwendung eines Austauschverzeichnisses unsicherer sein, als wenn die Daten per USB-Stick physisch von LAN zum WAN transportiert werden? Durch das Weglassen der Updates sollte der Hostrechner doch nicht automatisch bösartig-aggressiv werden, oder? Und die Maschinen mit Internetkontakt sind, wie bereits geschrieben, ein weit verbreiteter Router und ein normal gepflegtes OS.
Hypervisor haben Bugs wie alles andere auch. Manchmal auch Bugs, die einer VM den Ausbruch aus der VM ins Hostsystem ermöglichen. Weshalb Hypervisor aktuell gehalten werden sollten. Das Hostsystem mitsamt Hypervisor einzufrieren ist also sicherheitstechnisch nicht sinnvoll.
Nur weil ein Rechner keine Internetverbindung hat, muss man nicht auf Sicherheitsupdates verzichten. Vorschlag: Den Offline-Host-Rechner trotzdem mit Sicherheitsupdates versorgen. z. B. per http://www.wsusoffline.net/ Das Tool nutze ich gerne um einen frische installierten Rechner zu patchen, bevor er das erste mal ans Internet gehängt wird.
Hardware hat Bugs wie alles andere auch... Siehe Spectre/Meltdown. Auch hier ist es grundsätzlich möglich, dass eine VM eine andere VM oder den Host ausforscht.
Dann wäre wohl ein Konzept mit zwei getrennten Systemen am sinnvollsten? Einen Rechner für die Entwicklung, Bildbearbeitung usw. und ein System, das "nur" ins Internet darf, wobei beide Systeme keine direkte Verbindung untereinander aufweisen? Gut, auch hierbei liegt die Schwachstelle beim Datenaustausch (wie auch immer ausgeführt) zwischen den Systemen - also z.B. mit einem Stick für die PDF-Dateien u.a. TK
Win7Fan schrieb: > Gibt es tatsächlich Angriffsszenarien, in denen IP-Pakete, die dediziert > vom Router an Rechner A umgesetzt werden (vom WAN ins LAN), über Ihren > Inhalt Rechner B im LAN attackieren können? Bitte Beispiele. Rechner B stellt ja einen teil seines Netzwerk-stacks für Rechner A zur Verfügung. Wenn Rechner B jetzt dauerhaft ungepatcht ist wird die Wahrscheinlichkeit für bekannte, aber ungepatchte Lücken dort immer größer.
Dirk, deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners erwähnt. Eine davon könnte der VM exklusiv zugeordent werden. Wobei ich nicht weiß, ob Win7 für zwei physische Schnittstellen einen gemeinsamen Prozess fährt. Bis jetzt läuft das ganze in Richtung der Lösung, die TK propagiert. Allerdings versuche ich mit diesem Thread abzuschätzen, ob der Aufwand und Komfortverlust wirklich gerechtfertigt ist. So wie es aussieht, behandelt mein nächster Thread die Frage, wie man Graphikfenster von einem im Internet hängenden Raspi auf den Bildschirmen eines LAN-Win7-Rechners darstellen kann.
Win7Fan schrieb: > deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners > erwähnt. Eine davon könnte der VM exklusiv zugeordent werden Trotzdem wird sie natürlich vom Hostsystem verwaltet - was denn sonst? Deine (laienhaften) Vorstellungen gehen von 2 getrennten Rechnern aus, die du aber nicht hast. Der gesamte Netzwerkverkehr der VM geht über das BS des Host. Georg
georg schrieb: > Win7Fan schrieb: >> deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners >> erwähnt. Eine davon könnte der VM exklusiv zugeordent werden > > Trotzdem wird sie natürlich vom Hostsystem verwaltet - was denn sonst? > Deine (laienhaften) Vorstellungen gehen von 2 getrennten Rechnern aus, > die du aber nicht hast. Der gesamte Netzwerkverkehr der VM geht über das > BS des Host. Diese pauschale Aussage ist Unsinn. Bei vernünftigen Virtualisierungslösungen kann man natürlich eine physische Hardware einer Virtuellen Maschine so zuweisen, dass ausschließlich und vor allem direkt der Gast mit der Hardware spricht, der Host jedoch nicht. Bei so einer Konfiguration muss man sogar im Host BS sicherstellen, dass dieses die Hardware nicht nutzt. Bei QEMU/KVM kann man so z.B. die Grafikkarte direkt an den Gast durchreichen, im Gast wird dann der ganz normale Grafiktreiber installiert, der Host kann die Karte nicht nutzen. Ich denke, das man für einfach Anforderungen durch so ein Setup durchaus eine gewisse Erhöhung der Sicherheit beim Internetsurfen erreichen kann. Zumindest zerschießt man sich nicht gleich sein Produktivsystem wenn man mal ausversehen auf irgendeiner Seite landet. Wie oft das wirklich passiert sei mal dahingestellt. Gegen Angriffe die darauf abzielen aus der VM auszubrechen, hilft das natürlich nicht, aber sowas kommt normalerweise nicht einfach aus der Hüfte geschossen sondern muss vom Angreifer vorbereitet werden, möglichst mit Wissen über die anzugreifende IT. Ob es sich hier um ein so lohnendes Ziel handelt... Kritischer Punkt ist natürlich der Datenaustausch, auch PDFs können Viren enthalten.
Win7Fan schrieb: > Dirk, > deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners > erwähnt. Eine davon könnte der VM exklusiv zugeordent werden. > Wobei ich nicht weiß, ob Win7 für zwei physische Schnittstellen einen > gemeinsamen Prozess fährt. Dafür müsstest du direkt die Hardware durch reichen, das ist zumindest sehr unüblich, ob und wenn ja wie das mit einem Windows-host und Virtualbox, Vmware Player oder so etwas (Virtualisierung "mit GUI") überhaupt geht ist fraglich. Evtl. geht das mit ner USB-nNtzwerkkarte, USB kann man 1 zu 1 durch reichen. Trotzdem sind dann Bugs in der Hardware, und in allen beteiligten Software-Stückchen angreifbar, das ist zumindest der Windows-Kernel und deine Virtualisierung-Host-Software, gerade bei der Letzteren gibt es ja, egal welches Produkt man nutzt, Regelmässig größere Lücken, aber genau die willst du ja nicht mehr patchen.
Beitrag #5416431 wurde vom Autor gelöscht.
OK, ich kapere mal meinen eigenen Thread mit einem neuen Ansatz: Mein Hauptgrund für die VM-Lösung ist der Unity-Mode, der es erlaubt einzelne App-Fenster eines Host-Rechners auf dem Client-Bildschirm anzuzeigen. Also Anzeige von Webbrowser oder Email-Client, ohne den Bedarf an einem zusätzlichen Bildschirm. Ich habe in den letzten 10 Jahren so wenig mit Linux gemacht, dass mir "X11 forwarding" entfallen war. Obwohl ich das jahrelang für die Crossplattform-Entwicklung verwendet habe. https://www.tutonaut.de/x11-forwarding/ Wie sähe denn Eure Bewertung der Bedrohungslage aus, wenn ein Win7-LAN-Rechner (also einer, der vom Router nicht ins Internet gelassen wird) mit einem WAN-Linux-Rechner (e.g. Raspi) über "X11 forwarding" gekoppelt würde? Was wäre, wenn der WAN-Linux-Rechner gleichzeitig noch ein Datenaustauschverzeichnis für den LAN-Rechner zur Verfügung stellte?
Win7Fan schrieb: > OK, ich kapere mal meinen eigenen Thread mit einem neuen Ansatz: > > Mein Hauptgrund für die VM-Lösung ist der Unity-Mode, der es erlaubt > einzelne App-Fenster eines Host-Rechners auf dem Client-Bildschirm > anzuzeigen. Also Anzeige von Webbrowser oder Email-Client, ohne den > Bedarf an einem zusätzlichen Bildschirm. > > Ich habe in den letzten 10 Jahren so wenig mit Linux gemacht, dass mir > "X11 forwarding" entfallen war. Obwohl ich das jahrelang für die > Crossplattform-Entwicklung verwendet habe. > https://www.tutonaut.de/x11-forwarding/ Müsste man testen ob das mit Video Funktioniert. Die meisten Webbrowser nutzen heute zudem OpenGL/OpenCL zum Beschleunigen. OpenGL wird zwar auch weitergeleitet, aber wie performant das ist... Könnte sein das der Webbrowser sich nicht so anfühlt wie gewohnt. Wenn man den X-Ming X-Server benutzt kann es auch passieren das der Desktophintergrund(inkl aller Symbole) verschwindet und durch den auf der Linux Maschine ersetzt wird. Hängt mit dem Root Window zusammen. Passier z.B. wenn man den Gnome Dateimanager startet. Kann man sicher auch irgendwie abschalten. Schon mal über Docker nachgedacht? Kenn mich damit nicht aus, aber in dem Browser Thread nebenan sagt jemand, das er seinen Chrome in einen Docker Container eingesperrt hat. Da kommt dann wohl zumindest der Browser nicht mehr so einfach aufs System.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.