Moin!

Die Antwort mag etwas unbedarft erscheinen und die genannte Begründung mag nicht stichhaltig sein, aber "sicherheitstechnischer Selbstmord" ist das keineswegs.

Das ist deine Meinung, kein Fakt.

Allerdings ist es auch eine alles andre als triviale Lösung. Mir ist bei Gelegenheit genau diese Lösung, nämlich VMware als Router einzusetzen, an anderer Stelle vorgeschlagen worden  -  ich habs mit Erfolg probiert.

Ich bestreite nicht, dass es nicht funktioniert

Wer dein Server-Windows knackt, hat direkt auch Kontrolle über die VMWare-Maschine darin.

Das hat er _nur_ dann, wenn er über die online-Verbindung tatsächlich auf die Windows-Kiste kommt.

Sofern du mit "Online-Verbindung" den Link ins Internet meinst: Falsch, da ist ein NAT-Router davor, welcher nicht so einfach zu überwinden wäre, mir geht es in der Beschreibung der Sicherheitsrisiken ausschließlich um das lokale Netzwerk, denn das war die Anforderung - vgl. das Ausgangsposting.

Wenn er aber sofort in VMware landet (was sich mit VMware 5 konfigurieren läßt) und dort auf eine Firewall trifft, stimmt das nicht mehr. Vmware kann mit "hostonly" die NIC des "Hostrechners" für sich beanspruchen, und zwar so, daß der "Hostrechner" selber gar keinen Zugriff mehr ins Internet bekommt, es sei denn, er bekommt von der virtuellen Maschine die Erlaubnis dazu.

Punkt 1: Woher wissen wir, dass VMWare 5 zum Einsatz kommt?
Punkt 2: Das Hostsystem wird als Server eingesetzt, es MUSS daher Netzwerkkonnektivität besitzen, und genau diese stellt den Angriffspunkt dar. Dass intern noch ein virtueller Router Datenpakete umkopiert und von Netzwerkkarte A nach Netzwerkkarte A weiterleitet, ist in diesem Zusammenhang irrelevant.
Punkt 3: Wie toll Drittsoftware es schafft, die Netzwerkschnittstellen vor Zugriffen der Hostsoftware abzuschirmen, beweisen die diversen Desaster von Personal Firewalls ja recht eindrucksvoll.

Nochmal zur Klarstellung: Mir geht es nicht um irgendein theoretisch aufbaubares Szenario, sondern um die konkrete Anwendung, wie sie hier beschrieben ist.

Und selbst wenn es darum ginge, völlig frei ein Netzwerk zu designen, wäre das allerletzte, was mir einfiele, einen Windows-Server (welcher nur für ein abgeschottetes Segment zugänglich sein soll) mit VMWare zu versehen, Fli4L draufzuspielen und die Maschine gleichzeitig noch als zentralen Router für alle Netzwerke zu verwenden, auch für die, die auf den Windows-Server KEINEN ZUGRIFF haben sollen. Das ist einfach mal grundsätzlicher Schwachsinn - d.h. man kann es natürlich machen, aber was auch immer da entsteht, sollte nicht mit "sicher" bezeichnet werden dürfen.

Es ist sicher so, daß du von Netzwerktechnologie sehr viel weißt. Aber was sich bei VMware inzwischen so alles getan hat, müßtest du dir nochmal anschauen.

Ich muß mir VMWare nicht angucken, um zu wissen: Wann immer eine direkte Verbindung zwischen einem evtl. angreifenden Host A und einem zu schützenden System B besteht, ist das für das Sicherheitsniveau der schlechteste anzunehmende Fall, und man sollte nach Möglichkeit so viele Systeme dazwischenpacken, wie notwendig sind, um das Sicherheitsniveau auf den gewünschten Level zu packen.

Dabei hilft es absolut gar nichts, wenn man mit irgendeiner virtualisierenden Software die Sicherheit in einer Submaschine innerhalb der angreifbaren Maschine realisiert. Genau das Gegenteil muß gemacht werden, die angreifbare Maschine muß eingezäunt werden, damit sämtliche Zugriffe durch kontrollierende Instanzen passieren müssen. Und genau dieses ist im beschriebenen Szenario schlicht nicht möglich.

Um es als vergleichbares Bild auszudrücken: Würdest du zum Schutz gegen Diebe eine Schatzkammer innen mit einem Käfig versehen wollen, dessen Eingang unkontrolliert mit der Außenwelt verbunden ist, und an dessen innerer Tür hin zum Schatz Kontrollen stattfinden? Warum werden potentiell böse Elemente bis zur Schatzkammer vorgelassen, anstatt sie direkt außen am Burggraben abblitzen zu lassen? Was ist, wenn die Stabilität des Käfigs nicht den Anforderungen entspricht, oder gar die in die Burg gelassenen Bösewichte statt des vorgesehenen Weges lieber durch die Wand brechen und die Schatzkammer auf einem ganz anderen Weg betreten, als geplant?

Umgekehrt wäre es vielleicht denkbar: Fli4l läuft als Hauptsystem, und mit VMWare läuft innen drin ein Windows.

Das ist _auch_ denkbar, und dann wären deine Sicherheitshinweise zutreffend.

...und _auch_ dann...

• Sven Rautenberg