VMWare fuer Sicherheit ?

[RouvenE]

Hi,

Vom WHS bin ich ja taeglich mehr und mehr begeistert.
Irgendwie mache ich mir aber in Sachen Sicherheit hier und da Sorgen, da vor allem ja die Dateifreigabe etc. sicherheitsanfaellig sein soll.

Daher habe ich in einem anderen Forum von einer (guten?) Idee gelesen:
Man koennte doch auf einem PC WHS installieren. Daraufhin installiert man VMWare (ist doch unter WHS ausfuehrbar und kein eigenstaendiges Betriebssystem?). Unter VMWare dann erstellt man eine Virtualisierung, in der man zB IPCop installiert (Linux-basiert), welches als Stand-Alone-Firewall auf Low-End-PCs unschlagbar viel Sicherheit bieten soll.

Nun waere meine Frage:
1) Wieviel Systempower benoetige ich dafuer ?
2) Macht das Ganze das Thema Internet sicherer ? Irgendwo meine ich gelesen zu haben, dass eine virtualisierte Firewall keinen Sinn mache.
3) WIe ist das ganze technisch umsetzbar, dass die Linux-Virtualisierung WHS schuetzt ? Der WHS liefe dann doch ausserhalb einer Virtualisierung ??? Denn, USB 2.0 ist dringend notwendig, was VMWare scheinbar nicht beherrscht.

Der Gedanke, dass meine Dokumente und Photos von jedem Hans&Franz eingesehen werden kann, ist recht anspornend fuer eine Firewall.
Der Router-Firewall und der des WHS allein traue ich den Schutz nicht ganz zu.

[AliG]

Hi!
Nun, es ist generell so, dass auf Windows Freigaben nicht per Internet zugegriffen werden kann. Also Hans&Franz können deine Dokumente sicher nicht so einfach lesen (selbst wenn sie irgendwie durch die Router-Firewall kämen, müssten sie immer noch Benutzername und Passwort deines Accounts wissen, um auf die Daten zugreifen zu können). Weit fehleranfälliger ist hier der Zugriff über das Webinterface, wobei sich MS da sicher einiges einfallen hat lassen

Zu deinen Fragen:
1) Nicht so viel, Linux ist ja generell nicht so ressourcenhungrig, also mit einem 2GHz P4 oder äquivalent wird das sicher kein Problem sein.
2) Nun, das kommt drauf an. Der gesamte Netzwerktraffic müsste zuerst durch diese Linux-Firewall gehen, bevor er mit dem WHS in Berührung kommt.
3) Hmm, das weiß ich nicht, aber VMWare unterstützt USB.

lg Alex

[khc]

Zu 3.) VMWare 6 unterstützt USB 2.0

[whs_cb]

Hallo,

Hi,

Vom WHS bin ich ja taeglich mehr und mehr begeistert.
Irgendwie mache ich mir aber in Sachen Sicherheit hier und da Sorgen, da vor allem ja die Dateifreigabe etc. sicherheitsanfaellig sein soll.

Es ist wie immer eine Frage der Konfiguration. Generell gilt, ein Server ist dann potentiell anfaellig, wenn er einen Dienst anbietet. Ein Angreifer muss zuerst deinen Router knacken. Das ist so einfach nicht, zuerst muss er dich ja finden, wenn du keinen Dienst anbietet, bist du immer eine wechselnde IP-Adresse aus einem grossen Pool deines Providers (es sei denn, du leistest dir eine Standleitung). Dann muss er herausfinden, was du fuer einen Router hast und dazu die passenden Exploits haben oder zumindest brute force versuchen, dein Kennwort tzu brechen, wenn du moeglicherweise die Remotefernwartung aktiviert hast (sollte man tunlichst sein lassen). So bleibt ihjm nur eine Schwachstelle in der Firmware deines Routers herauszufinden. Wenn er auf dem Router ist, muss er den WHS auch erstmal finden (NAT!) und dann noch die Benutzer plus deren Kennwoerter erraten , die auf den Shares aufliegen. Also so ohne weiteres zu machen ist das nicht.

Daher habe ich in einem anderen Forum von einer (guten?) Idee gelesen:
Man koennte doch auf einem PC WHS installieren. Daraufhin installiert man VMWare (ist doch unter WHS ausfuehrbar und kein eigenstaendiges Betriebssystem?). Unter VMWare dann erstellt man eine Virtualisierung, in der man zB IPCop installiert (Linux-basiert), welches als Stand-Alone-Firewall auf Low-End-PCs unschlagbar viel Sicherheit bieten soll.

Diese Loesung bietet genausoviel Sicherheit, wie der Mensch, der davor sitzt, es zu konfigurieren vermag. Nur soviel dazu (man koennte Baende drueber schreiben). Es ist wirklich viel Wissen ueber Sicherheit und Netzwerke noetig, um eine saubere Loesung zu implementieren. Ausserdem brauchst du, um es gut zu machen, mind. 2 Netzwerkkarten im PC, dann am besten noch eine kleine Switch und dann hast du nachwievor das Problem, das das zu schuetzende System (WHS) sich auf derselben Physik wie das schuetzende System befindet. Alles in allen in meinen Augen keine gute Idee.

Der Gedanke, dass meine Dokumente und Photos von jedem Hans&Franz eingesehen werden kann, ist recht anspornend fuer eine Firewall.
Der Router-Firewall und der des WHS allein traue ich den Schutz nicht ganz zu.

Solange du deinen WHS immer sauber patcht, den Remotezugang nicht aktivierst und dir keinen Trojaner einfaengst, brauchst du dir keine grossen Sorgen um deine Daten machen. Im Uebrigen hat der WHS eine Firewall eingebaut, die entgegen der einschlaegigen "Fachliteratur" garnicht so schlecht ist, sie tut das, was sie soll, alle nicht erlaubten Pakete abzuweisen. Da solltest du mal pruefen, das alle Ausnahmen der Firewall ausschiesslich fuer dein Subnetz gelten.

Viele Gruesse, whs_cb