mikrocontroller.net

Forum: PC Hard- und Software VM mit Webzugang, Host offline - Risikobewertung


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Win7Fan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Aus Betriebssicherheitsgründen würde ich gerne meinem Win7 
Arbeitsrechner den Internetzugang, sowie den Zugang zu Updates 
entziehen. Der Internetzugang sollte idealerweise über einen dedizierten 
Surfrechner geschehen. Auf diesem würden dann auch die Anwendungen 
laufen, die unbedingt Netzzugang benötigen, z.B. Email.

Das Betriebssystem dieses Rechners sollte aufgrund der verwendeten 
Programme zunächst auch Windows sein. Mittelfristig steht eine Migration 
zu einem Linux-Derivat an.

Um Bürofläche zu sparen, außerdem weil es aus vielen Gründen effizienter 
wäre, spiele ich mit dem Gedanken den Surfrechner als virtuelle Maschine 
auszuführen und dem Hostsystem mittels Routerkonfiguration den 
Internetzugang zu sperren - Hostsystem IP bekommt eine Internetsperre in 
der FritzBox.
Gegenüber dem umgekehrten Ansatz (offline Maschine in der VM, Host 
online) spricht hierfür die bessere Haptik der Produktivsoftware, 
insbesondere bei Multihead (CAD, Bildbearbeitung) und eben kein direkter 
Zugriff des Surfrechners auf das Arbeitssystem.

Das Hostsystem soll auf dem aktuellen, funktionsfähigen Softwarestand 
eingefroren werden.
Das Gastssystem bekommt ganz regulär seine Sicherheitsupdates.
Datenaustausch geschieht über ein Verzeichnis mit gemeinsamem Zugriff.

Hardware: i7-4770, 16GB, 1TB SSD für HostOS und VM, xTB HD 
Datenspeicher, 2x Ethernet.

Offene Fragen:
- macht so ein Szenario sicherheitstechnisch Sinn?
- wie angreifbar ist das Hostsystem?
- hat jemand sowas am Laufen?
- Empfehlungen für VM Software?

Autor: Walter K. (Gast)
Datum:

Bewertung
-6 lesenswert
nicht lesenswert
Windows als Hostsystem ist schonmal ein ganz schlechter Ansatz!

Schau dir mal FreeBSD und die Jails an - da bekommst Du eine saubere 
Trennung, wenn Guest OS virtuell in einer Jail läuft.
Du kannst aus den Ports VirtualBox oder auch bhyve bauen - oder zur Not 
auch Binaries ziehen

Autor: c-hater (Gast)
Datum:

Bewertung
-5 lesenswert
nicht lesenswert
Win7Fan schrieb:

> Offene Fragen:
> - macht so ein Szenario sicherheitstechnisch Sinn?

Nicht wirklich.

> - wie angreifbar ist das Hostsystem?

Ganz normal über alle bekannten und unbekannten Sicherheitslücken 
mindestens bis hoch auf den MAC-Layer des Netzwerk-Stacks.

Dazu noch über alle Sicherheitslücken, die Malware auf dem Guest Zugriff 
auf den Host erlauben. Sprich: Meltdown, Spectre, SpectreV2 und was 
sonst noch kommen mag...

Kurzfassung: Mit deinen Kenntnissen (erkennbar an deinen Fragen) kannst 
du die Sache von vornherein komplett knicken. Lass' einfach dein Wixdos7 
laufen und bete, dass alles gut geht. Noch viel besser: ziehe regelmäßig 
Images, um für den Fall, dass es halt doch nicht gut ging, den Zustand 
wiederherstellen zu können, wo es noch gut ging... Und, sowieso 
unverzichtbar: mache Backups deiner Daten. Echte Backups, also mit 
Generationen und Trennung der Medien von der Quelle...

Dieses Konzept funktioniert übrigens unter absolut jedem OS ganz 
hervorragend und ist ist für jeden Nicht-Vollidioten sowieso Grundlage 
jeder ernsthaften Arbeit...

Autor: Win7Fan (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
c-hater schrieb:
> Win7Fan schrieb:
>
>> Offene Fragen:
>> - macht so ein Szenario sicherheitstechnisch Sinn?
>
> Nicht wirklich.
Ganz so schnell bin ich mit der Aussage nicht zufrieden.
Bitte hilf mir nochmal, Deine Argumente zu verstehen.

>
>> - wie angreifbar ist das Hostsystem?
>
> Ganz normal über alle bekannten und unbekannten Sicherheitslücken
> mindestens bis hoch auf den MAC-Layer des Netzwerk-Stacks.
Wir haben ja noch den Router. Der lässt nur Pakete von und zum 
Gastsystem durch.
Gibt es tatsächlich Angriffsszenarien, in denen IP-Pakete, die dediziert 
vom Router an Rechner A umgesetzt werden (vom WAN ins LAN), über Ihren 
Inhalt Rechner B im LAN attackieren können? Bitte Beispiele.
Rechner A, in dem Fall die VM, wird genauso abgesichert, wie ein 
Rechner, der einzelne Hardware ist. D.h. Firewall, Virenscanner, 
Surfdisziplin.

>
> Dazu noch über alle Sicherheitslücken, die Malware auf dem Guest Zugriff
> auf den Host erlauben. Sprich: Meltdown, Spectre, SpectreV2 und was
> sonst noch kommen mag...
Auf diese Stichworte habe ich bewusst verzichtet. Damit diese 
Horrorteile zum Zug kommen, müssen sie ja erstmal an den anderen 
Sicherheitsmechanismen vorbeikommen und auf dem Gastsystem ausgeführt 
werden.


> Kurzfassung: Mit deinen Kenntnissen (erkennbar an deinen Fragen) kannst
> du die Sache von vornherein komplett knicken. Lass' einfach dein Wixdos7
> laufen und bete, dass alles gut geht. Noch viel besser: ziehe regelmäßig
> Images, um für den Fall, dass es halt doch nicht gut ging, den Zustand
> wiederherstellen zu können, wo es noch gut ging... Und, sowieso
> unverzichtbar: mache Backups deiner Daten. Echte Backups, also mit
> Generationen und Trennung der Medien von der Quelle...
>
> Dieses Konzept funktioniert übrigens unter absolut jedem OS ganz
> hervorragend und ist ist für jeden Nicht-Vollidioten sowieso Grundlage
> jeder ernsthaften Arbeit...
Die Grundlage jeder ernsthaften Arbeit würde ich auch gar nicht hier 
diskutieren wollen, sondern lieber das VM-Thema. Danke.

Autor: Gregor (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Win7Fan schrieb:
> Das Hostsystem soll auf dem aktuellen, funktionsfähigen Softwarestand
> eingefroren werden.
> Das Gastssystem bekommt ganz regulär seine Sicherheitsupdates.
> Datenaustausch geschieht über ein Verzeichnis mit gemeinsamem Zugriff.

Ah ja, Produktivrechner ohne Sicherheitsupdates kann auf Daten 
zugreifen, die sehr wohl aus dem Internet kommen können. Was soll denn 
an dem sinnfreien Konstrukt sicher sein? Lieber Gott, wirf Hirn vom 
Himmel!

Autor: Win7Fan (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Gregor schrieb:
...
> , Produktivrechner ohne Sicherheitsupdates kann auf Daten
> zugreifen, die sehr wohl aus dem Internet kommen können. Was soll denn
> an dem sinnfreien Konstrukt sicher sein?
...

Genau das möchte ich hier im Dialog rausfinden:

Was soll an der Verwendung eines Austauschverzeichnisses unsicherer 
sein, als wenn die Daten per USB-Stick physisch von LAN zum WAN 
transportiert werden?

Durch das Weglassen der Updates sollte der Hostrechner doch nicht 
automatisch bösartig-aggressiv werden, oder?

Und die Maschinen mit Internetkontakt sind, wie bereits geschrieben, ein 
weit verbreiteter Router und ein normal gepflegtes OS.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Hypervisor haben Bugs wie alles andere auch. Manchmal auch Bugs, die 
einer VM den Ausbruch aus der VM ins Hostsystem ermöglichen. Weshalb 
Hypervisor aktuell gehalten werden sollten. Das Hostsystem mitsamt 
Hypervisor einzufrieren ist also sicherheitstechnisch nicht sinnvoll.

Autor: Da D. (dieter)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nur weil ein Rechner keine Internetverbindung hat, muss man nicht auf 
Sicherheitsupdates verzichten.

Vorschlag: Den Offline-Host-Rechner trotzdem mit Sicherheitsupdates 
versorgen. z. B. per http://www.wsusoffline.net/

Das Tool nutze ich gerne um einen frische installierten Rechner zu 
patchen, bevor er das erste mal ans Internet gehängt wird.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hardware hat Bugs wie alles andere auch... Siehe Spectre/Meltdown. Auch 
hier ist es grundsätzlich möglich, dass eine VM eine andere VM oder den 
Host ausforscht.

Autor: TK (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dann wäre wohl ein Konzept mit zwei getrennten Systemen am sinnvollsten?
Einen Rechner für die Entwicklung, Bildbearbeitung usw. und ein System, 
das "nur" ins Internet darf, wobei beide Systeme keine direkte 
Verbindung untereinander aufweisen?

Gut, auch hierbei liegt die Schwachstelle beim Datenaustausch (wie auch 
immer ausgeführt) zwischen den Systemen - also z.B. mit einem Stick für 
die PDF-Dateien u.a.

TK

Autor: Dirk D. (dicky_d)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Win7Fan schrieb:
> Gibt es tatsächlich Angriffsszenarien, in denen IP-Pakete, die dediziert
> vom Router an Rechner A umgesetzt werden (vom WAN ins LAN), über Ihren
> Inhalt Rechner B im LAN attackieren können? Bitte Beispiele.

Rechner B stellt ja einen teil seines Netzwerk-stacks für Rechner A zur 
Verfügung.
Wenn Rechner B jetzt dauerhaft ungepatcht ist wird die 
Wahrscheinlichkeit für bekannte, aber ungepatchte Lücken dort immer 
größer.

Autor: Win7Fan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dirk,
deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners 
erwähnt. Eine davon könnte der VM exklusiv zugeordent werden.
Wobei ich nicht weiß, ob Win7 für zwei physische Schnittstellen einen 
gemeinsamen Prozess fährt.


Bis jetzt läuft das ganze in Richtung der Lösung, die TK propagiert.
Allerdings versuche ich mit diesem Thread abzuschätzen, ob der Aufwand 
und Komfortverlust wirklich gerechtfertigt ist.

So wie es aussieht, behandelt mein nächster Thread die Frage, wie man 
Graphikfenster von einem im Internet hängenden Raspi auf den 
Bildschirmen eines LAN-Win7-Rechners darstellen kann.

Autor: georg (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Win7Fan schrieb:
> deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners
> erwähnt. Eine davon könnte der VM exklusiv zugeordent werden

Trotzdem wird sie natürlich vom Hostsystem verwaltet - was denn sonst? 
Deine (laienhaften) Vorstellungen gehen von 2 getrennten Rechnern aus, 
die du aber nicht hast. Der gesamte Netzwerkverkehr der VM geht über das 
BS des Host.

Georg

Autor: Andreas M. (amesser)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
georg schrieb:
> Win7Fan schrieb:
>> deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners
>> erwähnt. Eine davon könnte der VM exklusiv zugeordent werden
>
> Trotzdem wird sie natürlich vom Hostsystem verwaltet - was denn sonst?
> Deine (laienhaften) Vorstellungen gehen von 2 getrennten Rechnern aus,
> die du aber nicht hast. Der gesamte Netzwerkverkehr der VM geht über das
> BS des Host.

Diese pauschale Aussage ist Unsinn. Bei vernünftigen 
Virtualisierungslösungen kann man natürlich eine physische Hardware 
einer Virtuellen Maschine so zuweisen, dass ausschließlich und vor allem 
direkt der Gast mit der Hardware spricht, der Host jedoch nicht. Bei so 
einer Konfiguration muss man sogar im Host BS sicherstellen, dass dieses 
die Hardware nicht nutzt.
Bei QEMU/KVM kann man so z.B. die Grafikkarte direkt an den Gast 
durchreichen, im Gast wird dann der ganz normale Grafiktreiber 
installiert, der Host kann die Karte nicht nutzen.

Ich denke, das man für einfach Anforderungen durch so ein Setup durchaus 
eine gewisse Erhöhung der Sicherheit beim Internetsurfen erreichen kann. 
Zumindest zerschießt man sich nicht gleich sein Produktivsystem wenn man 
mal ausversehen auf irgendeiner Seite landet. Wie oft das wirklich 
passiert sei mal dahingestellt. Gegen Angriffe die darauf abzielen aus 
der VM auszubrechen, hilft das natürlich nicht, aber sowas kommt 
normalerweise nicht einfach aus der Hüfte geschossen sondern muss vom 
Angreifer vorbereitet werden, möglichst mit Wissen über die 
anzugreifende IT. Ob es sich hier um ein so lohnendes Ziel handelt...

Kritischer Punkt ist natürlich der Datenaustausch, auch PDFs können 
Viren enthalten.

Autor: Dirk D. (dicky_d)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Win7Fan schrieb:
> Dirk,
> deswegen hatte ich die zweite Ethernetschnittstelle des Hostrechners
> erwähnt. Eine davon könnte der VM exklusiv zugeordent werden.
> Wobei ich nicht weiß, ob Win7 für zwei physische Schnittstellen einen
> gemeinsamen Prozess fährt.

Dafür müsstest du direkt die Hardware durch reichen, das ist zumindest 
sehr unüblich, ob und wenn ja wie das mit einem Windows-host und 
Virtualbox, Vmware Player oder so etwas (Virtualisierung "mit GUI") 
überhaupt geht ist fraglich.
Evtl. geht das mit ner USB-nNtzwerkkarte, USB kann man 1 zu 1 durch 
reichen.

Trotzdem sind dann Bugs in der Hardware, und in allen beteiligten 
Software-Stückchen angreifbar, das ist zumindest der Windows-Kernel und 
deine Virtualisierung-Host-Software, gerade bei der Letzteren gibt es 
ja, egal welches Produkt man nutzt, Regelmässig größere Lücken, aber 
genau die willst du ja nicht mehr patchen.

Beitrag #5416431 wurde vom Autor gelöscht.
Autor: Win7Fan (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
OK, ich kapere mal meinen eigenen Thread mit einem neuen Ansatz:

Mein Hauptgrund für die VM-Lösung ist der Unity-Mode, der es erlaubt 
einzelne App-Fenster eines Host-Rechners auf dem Client-Bildschirm 
anzuzeigen. Also Anzeige von Webbrowser oder Email-Client, ohne den 
Bedarf an einem zusätzlichen Bildschirm.

Ich habe in den letzten 10 Jahren so wenig mit Linux gemacht, dass mir 
"X11 forwarding" entfallen war. Obwohl ich das jahrelang für die 
Crossplattform-Entwicklung verwendet habe.
https://www.tutonaut.de/x11-forwarding/

Wie sähe denn Eure Bewertung der Bedrohungslage aus, wenn ein 
Win7-LAN-Rechner (also einer, der vom Router nicht ins Internet gelassen 
wird) mit einem WAN-Linux-Rechner (e.g. Raspi) über "X11 forwarding" 
gekoppelt würde?

Was wäre, wenn der WAN-Linux-Rechner gleichzeitig noch ein 
Datenaustauschverzeichnis für den LAN-Rechner zur Verfügung stellte?

Autor: Andreas M. (amesser)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Win7Fan schrieb:
> OK, ich kapere mal meinen eigenen Thread mit einem neuen Ansatz:
>
> Mein Hauptgrund für die VM-Lösung ist der Unity-Mode, der es erlaubt
> einzelne App-Fenster eines Host-Rechners auf dem Client-Bildschirm
> anzuzeigen. Also Anzeige von Webbrowser oder Email-Client, ohne den
> Bedarf an einem zusätzlichen Bildschirm.
>
> Ich habe in den letzten 10 Jahren so wenig mit Linux gemacht, dass mir
> "X11 forwarding" entfallen war. Obwohl ich das jahrelang für die
> Crossplattform-Entwicklung verwendet habe.
> https://www.tutonaut.de/x11-forwarding/

Müsste man testen ob das mit Video Funktioniert. Die meisten Webbrowser 
nutzen heute zudem OpenGL/OpenCL zum Beschleunigen. OpenGL wird zwar 
auch weitergeleitet, aber wie performant das ist... Könnte sein das der 
Webbrowser sich nicht so anfühlt wie gewohnt.

Wenn man den X-Ming X-Server benutzt kann es auch passieren das der 
Desktophintergrund(inkl aller Symbole) verschwindet und durch den auf 
der Linux Maschine ersetzt wird. Hängt mit dem Root Window zusammen. 
Passier z.B. wenn man den Gnome Dateimanager startet. Kann man sicher 
auch irgendwie abschalten.

Schon mal über Docker nachgedacht? Kenn mich damit nicht aus, aber in 
dem Browser Thread nebenan sagt jemand, das er seinen Chrome in einen 
Docker Container eingesperrt hat. Da kommt dann wohl zumindest der 
Browser nicht mehr so einfach aufs System.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.