hallo Sven,

[...] VMware als Router einzusetzen
Ich bestreite nicht, dass es nicht funktioniert

Doppelte Verneinung? Du meintest sicher "ich betreite nicht, daß es funktioniert"

Wer dein Server-Windows knackt, hat direkt auch Kontrolle über die VMWare-Maschine darin.
Das hat er _nur_ dann, wenn er über die online-Verbindung tatsächlich auf die Windows-Kiste kommt.
Sofern du mit "Online-Verbindung" den Link ins Internet meinst: Falsch, da ist ein NAT-Router davor

Ähm, ja, in der Kombination, die der OP vorgegeben hat. Ich korrigiere meine Aussage dahingehend: Zugriff auf das "Hostsystem" hat ein eventueller Angreifer nur dann, wenn der "Host" seine NIC eben nicht an VMware "abgegeben" hat  -  was sich aber konfigurieren läßt.

Woher wissen wir, dass VMWare 5 zum Einsatz kommt?

Das wissen wir (bisher) nicht.

Das Hostsystem wird als Server eingesetzt, es MUSS daher Netzwerkkonnektivität besitzen, und genau diese stellt den Angriffspunkt dar. Dass intern noch ein virtueller Router Datenpakete umkopiert und von Netzwerkkarte A nach Netzwerkkarte A weiterleitet, ist in diesem Zusammenhang irrelevant.

Nein, das ist nicht irrelevant. Das Hostsystem (einschließlich der MAC-Adresse für die physikalische NIC) stellt tatsächlich die Netzwerkkonnektivität zur Verfügung. Aber VMware 5 ist in der Lage, ihm die "Kontrolle" darüber vollständig abzunehmen.

Wie toll Drittsoftware es schafft, die Netzwerkschnittstellen vor Zugriffen der Hostsoftware abzuschirmen, beweisen die diversen Desaster von Personal Firewalls ja recht eindrucksvoll.

Schwierig. VMware ist _zuerst_ einmal gar nichts, weder Personal- noch sonst eine Firewall. Es ist lediglich eine Software, die auch Firewall und Routing übernehmen kann, aber keineswegs muß. Es _kann_ zwar alles übernehmen, aber man kann mit einer Personal-Firewall in VMware genausoviel Unsinn anrichten wie mit einer auf dem Host installierten Personal-Firewall. Wie jede normale physische Maschine muß selbstverständlich auch eine virtuelle Maschine korrekt konfiguriert werden. Von alleine tut sie gar nichts.

Nochmal zur Klarstellung: Mir geht es nicht um irgendein theoretisch aufbaubares Szenario, sondern um die konkrete Anwendung, wie sie hier beschrieben ist.

Das verstehe ich schon. Mir gehts ausdrücklich als Ergänzung dazu um das höchst interessante Konzept, die Gesamtverantwortung einer physikalischen Mschine abzunehmen und einer virtuellen Maschine zuzusprechen. Und das kann eben tatsächlich funktionieren, ist aber, wie bereits ausgesagt, alles andre als trivial.

Und selbst wenn es darum ginge, völlig frei ein Netzwerk zu designen, wäre das allerletzte, was mir einfiele, einen Windows-Server (welcher nur für ein abgeschottetes Segment zugänglich sein soll) mit VMWare zu versehen, Fli4L draufzuspielen und die Maschine gleichzeitig noch als zentralen Router für alle Netzwerke zu verwenden, auch für die, die auf den Windows-Server KEINEN ZUGRIFF haben sollen. Das ist einfach mal grundsätzlicher Schwachsinn - d.h. man kann es natürlich machen, aber was auch immer da entsteht, sollte nicht mit "sicher" bezeichnet werden dürfen.

Die Idee, auf einer Windows2003Server-Kiste, die zwei physikalische Netzwerk-Schnittstellen hat und demzufolge routen könnte, zusätzlich in VMwre einen fli4L-Router einzurichten, halte ich ebenfalls für  -  naja, für eine geringfügig originelle Unsinnigkeit.

Aber ich habs gerade in den letzten vier Wochen sehr extensiv durchgespielt; es geht auf einer WinXP-Kiste tatsächlich so weit, daß mir zwar der Gerätemanager des "Host" immer noch die Schnittstellen anzeigt - das sind BIOS-Informationen, die er schlecht unterdrücken kann. Aber die gesamte Host-Software bekommt keinerlei Informationen darüber, daß es physikalische Medien gibt, diese Informationen lassen sich tatsächlich nach meiner bisherigen Kenntnis vollständig an VMware übergeben. Die registry-Einstellungen dazu sind zwar etwas kryptisch, aber auffindbar und auch mit etwas Mühe verständlich. Auf dem "Host" funktioniert dann zwar noch die 127.0.0.1, aber sonst ist nichts da, wofür man eine IP vergeben könnte. Die real vorhandenen physikalischen Medien können bei entsprechender Konfiguration _ausschließlich_ in VMware dargestellt und konfiguriert werden

Dabei hilft es absolut gar nichts, wenn man mit irgendeiner virtualisierenden Software die Sicherheit in einer Submaschine innerhalb der angreifbaren Maschine realisiert. Genau das Gegenteil muß gemacht werden, die angreifbare Maschine muß eingezäunt werden, damit sämtliche Zugriffe durch kontrollierende Instanzen passieren müssen. Und genau dieses ist im beschriebenen Szenario schlicht nicht möglich.

Im "beschriebenen Szenario" nicht, das ist richtig. Mit dem korrekten Einsatz von VMware könnte es aber gelingen.

Aber das führt von der eigentliche Frage im OP zu weit weg. Wahrscheinlich ist es für den Zweck, den  Andreas verfolgt, völlig überflüssig, eine solche Konstruktion mit einem virtuellen Router vorzunehmen. Wir wissen ja noch nicht einmal, ob seine Maschinen alle über einen HUB verbunden sind, oder ob die Kabel nicht vielleicht von einer Maschine zur anderen laufen. Nach allem, was er bisher geschrieben hat, ist nicht einzusehen, daß er unbedingt VMware instaliert haben und nutzen muß. Es gibt aufgrund seiner Hardware-Ausstattung sicher noch etliche andere Konzepte, um ein stabiles Netzwerk aufzubauen.

Grüße aus Berlin

Christoph S.