VMWare fuer Sicherheit ?

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
Antworten
RouvenE
Foren-Mitglied
Beiträge: 119
Registriert: 22. Sep 2007, 21:19

VMWare fuer Sicherheit ?

Beitrag von RouvenE » 4. Okt 2007, 16:14

Hi,

Vom WHS bin ich ja taeglich mehr und mehr begeistert.
Irgendwie mache ich mir aber in Sachen Sicherheit hier und da Sorgen, da vor allem ja die Dateifreigabe etc. sicherheitsanfaellig sein soll.

Daher habe ich in einem anderen Forum von einer (guten?) Idee gelesen:
Man koennte doch auf einem PC WHS installieren. Daraufhin installiert man VMWare (ist doch unter WHS ausfuehrbar und kein eigenstaendiges Betriebssystem?). Unter VMWare dann erstellt man eine Virtualisierung, in der man zB IPCop installiert (Linux-basiert), welches als Stand-Alone-Firewall auf Low-End-PCs unschlagbar viel Sicherheit bieten soll.

Nun waere meine Frage:
1) Wieviel Systempower benoetige ich dafuer ?
2) Macht das Ganze das Thema Internet sicherer ? Irgendwo meine ich gelesen zu haben, dass eine virtualisierte Firewall keinen Sinn mache.
3) WIe ist das ganze technisch umsetzbar, dass die Linux-Virtualisierung WHS schuetzt ? Der WHS liefe dann doch ausserhalb einer Virtualisierung ??? Denn, USB 2.0 ist dringend notwendig, was VMWare scheinbar nicht beherrscht.

Der Gedanke, dass meine Dokumente und Photos von jedem Hans&Franz eingesehen werden kann, ist recht anspornend fuer eine Firewall.
Der Router-Firewall und der des WHS allein traue ich den Schutz nicht ganz zu.
CPU: AMD Athlon 2,400+ XP-mobile, 2x512MB RAM DDR1-266
HDD: 2x320GB IDE-133 Hitachi 24/7, NIC: VIA Rhine II Fast Ethernet on-board
DVD: HL-DT-ST DVDRAM GSA-4163B, NT: be-quiet straight power 350W
Misc: Asrock K7VM2R2, S3 VGA Pro-Savage DDR, MediaMVP

Benutzeravatar
AliG
Moderator
Beiträge: 3723
Registriert: 6. Jun 2007, 17:33
Wohnort: Salzburg, Österreich

Re: VMWare fuer Sicherheit ?

Beitrag von AliG » 4. Okt 2007, 18:43

Hi!
Nun, es ist generell so, dass auf Windows Freigaben nicht per Internet zugegriffen werden kann. Also Hans&Franz können deine Dokumente sicher nicht so einfach lesen (selbst wenn sie irgendwie durch die Router-Firewall kämen, müssten sie immer noch Benutzername und Passwort deines Accounts wissen, um auf die Daten zugreifen zu können). Weit fehleranfälliger ist hier der Zugriff über das Webinterface, wobei sich MS da sicher einiges einfallen hat lassen ;)

Zu deinen Fragen:
1) Nicht so viel, Linux ist ja generell nicht so ressourcenhungrig, also mit einem 2GHz P4 oder äquivalent wird das sicher kein Problem sein.
2) Nun, das kommt drauf an. Der gesamte Netzwerktraffic müsste zuerst durch diese Linux-Firewall gehen, bevor er mit dem WHS in Berührung kommt.
3) Hmm, das weiß ich nicht, aber VMWare unterstützt USB.

lg Alex
Mache ich etwas richtig, merkt es keiner. Mache ich etwas falsch, vergisst es keiner. :D

Mein WHS

khc
Foren-Einsteiger
Beiträge: 17
Registriert: 28. Sep 2007, 07:51

Re: VMWare fuer Sicherheit ?

Beitrag von khc » 4. Okt 2007, 18:54

Zu 3.) VMWare 6 unterstützt USB 2.0
Grüße KHC

WHS:
  • Motherboard: ASUS A8V-MX
  • Prozessor: AMD 3200+ Sempron
  • Speicher: 2x1GB RAM
  • HDisk System: 1x250GB SATA Samsung
  • zus. HDisk: 1x750GB IDE Hitachi, 2x500GB IDE
  • Netzwerk: 1xGB-Ethernet Intel

whs_cb
Foren-Mitglied
Beiträge: 102
Registriert: 3. Okt 2007, 19:53

Re: VMWare fuer Sicherheit ?

Beitrag von whs_cb » 4. Okt 2007, 20:22

Hallo,
RouvenE hat geschrieben:Hi,

Vom WHS bin ich ja taeglich mehr und mehr begeistert.
Irgendwie mache ich mir aber in Sachen Sicherheit hier und da Sorgen, da vor allem ja die Dateifreigabe etc. sicherheitsanfaellig sein soll.
Es ist wie immer eine Frage der Konfiguration. Generell gilt, ein Server ist dann potentiell anfaellig, wenn er einen Dienst anbietet. Ein Angreifer muss zuerst deinen Router knacken. Das ist so einfach nicht, zuerst muss er dich ja finden, wenn du keinen Dienst anbietet, bist du immer eine wechselnde IP-Adresse aus einem grossen Pool deines Providers (es sei denn, du leistest dir eine Standleitung). Dann muss er herausfinden, was du fuer einen Router hast und dazu die passenden Exploits haben oder zumindest brute force versuchen, dein Kennwort tzu brechen, wenn du moeglicherweise die Remotefernwartung aktiviert hast (sollte man tunlichst sein lassen). So bleibt ihjm nur eine Schwachstelle in der Firmware deines Routers herauszufinden. Wenn er auf dem Router ist, muss er den WHS auch erstmal finden (NAT!) und dann noch die Benutzer plus deren Kennwoerter erraten , die auf den Shares aufliegen. Also so ohne weiteres zu machen ist das nicht.
RouvenE hat geschrieben:Daher habe ich in einem anderen Forum von einer (guten?) Idee gelesen:
Man koennte doch auf einem PC WHS installieren. Daraufhin installiert man VMWare (ist doch unter WHS ausfuehrbar und kein eigenstaendiges Betriebssystem?). Unter VMWare dann erstellt man eine Virtualisierung, in der man zB IPCop installiert (Linux-basiert), welches als Stand-Alone-Firewall auf Low-End-PCs unschlagbar viel Sicherheit bieten soll.
Diese Loesung bietet genausoviel Sicherheit, wie der Mensch, der davor sitzt, es zu konfigurieren vermag. Nur soviel dazu (man koennte Baende drueber schreiben). Es ist wirklich viel Wissen ueber Sicherheit und Netzwerke noetig, um eine saubere Loesung zu implementieren. Ausserdem brauchst du, um es gut zu machen, mind. 2 Netzwerkkarten im PC, dann am besten noch eine kleine Switch und dann hast du nachwievor das Problem, das das zu schuetzende System (WHS) sich auf derselben Physik wie das schuetzende System befindet. Alles in allen in meinen Augen keine gute Idee.
RouvenE hat geschrieben:Der Gedanke, dass meine Dokumente und Photos von jedem Hans&Franz eingesehen werden kann, ist recht anspornend fuer eine Firewall.
Der Router-Firewall und der des WHS allein traue ich den Schutz nicht ganz zu.
Solange du deinen WHS immer sauber patcht, den Remotezugang nicht aktivierst und dir keinen Trojaner einfaengst, brauchst du dir keine grossen Sorgen um deine Daten machen. Im Uebrigen hat der WHS eine Firewall eingebaut, die entgegen der einschlaegigen "Fachliteratur" garnicht so schlecht ist, sie tut das, was sie soll, alle nicht erlaubten Pakete abzuweisen. Da solltest du mal pruefen, das alle Ausnahmen der Firewall ausschiesslich fuer dein Subnetz gelten.

Viele Gruesse, whs_cb
Acer Aspire easyStore H340 (3,5TB) WHS 6.0.2433.0

Antworten