ComputerBase Menü
Aktuelles

Netzwerkeinrichtung in VM

N

Neon10

Newbie
Registriert
Sep. 2017
Beiträge
1
Das Netzwerk Adapter meiner VM war auf NAT eingestellt. Jetzt habe ich erfahren, dass Schädlinge so, über das Netzwerk ausbrechen und über meinen PC auf meinen Router zugreifen und von dort aus andere Teilnehmer ausspionieren können.
Wie richte ich das Netzwerk in VMWare so ein, dass die VM nicht das Internet meines PCs benutzt, also nicht durch den Host geht?
 
Entweder du willst kein Internet in der VM, dann entferne den Netzwerkadapter.
Oder du willst Internet, und dann ist es eben so.

Eine VM ist "für die Sicherheit" totaler Quatsch und völlig nutzlos. In beide Richtungen.
 
Natürlich geht das.

Aber es erfordert einen dedizierten LAN-Port (RJ45) und eine dedizierte Leitung zum Switch (oder zur fritzbox).

Den bindet man dann an die VM.
 
über meinen PC auf meinen Router zugreifen
Zum Vergrößern anklicken....
Dagegen hilft keine exklusive Leitung zum Router...
Auch das NAT hat da keine Auswirkungen. Eine dedizierte Leitung mag den Durchsatz verbessern, aber sonst sehe ich keine wirklichen Vorteile irgendwelcher Art.
 
Genau, über meinen PC auf den Router. So hatte ich das verstanden - möglicherweise aber miß, gut möglich.

Wenn man die VM dediziert an einen LAN-Port hängt (kein Sharing wie normal!) sodaß also dieser Port für den Host NICHT mehr verfügbar ist, dann KANN die VM nicht über den PC zugreifen, weil sie -zumindest über den Netzwerkstapel- nicht mehr an den Host rankommt.


Andersherum, ie. daß also die VM irgendwas über den Router an den PC "schickt", läßt sich so natürlich nicht umgehen, das stimmt. Da kann man aber mit einer gescheiten Firewallkonfiguration, soweit möglich am Router, ansonsten an den anderen Clients, nachhelfen.

Note: Dies unter der Annahme, daß der VM selbst nicht zu vertrauen ist. Sonst kann man natürlich einfach an der VM-Firewall zumachen.
 
Wenn die VM nicht vertrauenswürdig ist, dann hilft gar nix. Weil die dann aus der VM auf den Host ausbricht, egal wie. Da ist die Netzwerkanbdinung egal.
Wenn sie via dem Router ausbrechen will, muss sie eine Schwachstelle des Routers ausnutzen: wieder egal wie sie da angebunden ist.
Einzig wenn der Fehler rein in der NAT Umsetzung der VM liegt und die "direkte" Verbindung keine Schwachstelle hat, ist da ein Gewinn an Sicherheit. Der ist aber so klein, den sieht man kaum.

VMs zur "Sicherheit" ist Schlangenöl.
 
Der Anteil an Schadsoftware, die darauf spezialisiert ist aus einer VM auszubrechen, ist verschwindend gering.
 
Neon10 schrieb:
Wie richte ich das Netzwerk in VMWare so ein, dass die VM nicht das Internet meines PCs benutzt, also nicht durch den Host geht?
Zum Vergrößern anklicken....

In dem Fall einfach den Netzwerkadapter in den VM Einstellungen entfernen.
Falls Du Daten sharen möchtest kannst du das dann immer noch via USB Stick oder "Shared Folders" im Read Only Mode.
 
Die Frage ist natürlich auch immer.... Wo fängt Security auf und fängt Paranoia an ? ^^
 
HominiLupus schrieb:
Wenn die VM nicht vertrauenswürdig ist, dann hilft gar nix. Weil die dann aus der VM auf den Host ausbricht, egal wie. Da ist die Netzwerkanbdinung egal.
Wenn sie via dem Router ausbrechen will, muss sie eine Schwachstelle des Routers ausnutzen: wieder egal wie sie da angebunden ist.
Einzig wenn der Fehler rein in der NAT Umsetzung der VM liegt und die "direkte" Verbindung keine Schwachstelle hat, ist da ein Gewinn an Sicherheit. Der ist aber so klein, den sieht man kaum.

VMs zur "Sicherheit" ist Schlangenöl.
Zum Vergrößern anklicken....
Und wie soll man das ganze stattdessen absichern?

Unter Linux nimmt man zur Isolierung von potentiell nicht vertrauenswürdigen Prozessen gerne Secomp. Nur hast Du ja auch wie bei der VM ähnliche Probleme. Bei der VM bist Du darauf angewiesen, dass die VM-Software (Hypervisor etc.) sicher implementiert ist. Bei Secomp eben darauf, dass Secomp sicher implementiert ist und die Secomp-Filter korrekt konfiguriert sind.

Daher ist die Argumentation a-la nimm XYZ nicht, denn XYZ könnte unsicher sein irgendwie zu kurz gegriffen.
Außerdem kaum hilfreich, wenn man nicht alternative Vorgehensweisen nennt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
IP-Vergabe durch Router für Gast in Qemu
Antworten
8
Aufrufe
507
riversource
R
T
Frage: Wie Win11-VM über Internet sicher aufrufbar machen? Betrieb über Proxmox
Antworten
11
Aufrufe
757
mae1cum77
mae1cum77
h00bi
Dual/Multi OS (Virtual) Workstation (nicht Dual Boot!)
Antworten
7
Aufrufe
719
h00bi
h00bi
Y
Alternativer Weg zu Proxmox
Antworten
9
Aufrufe
1.083
yamaharacer
Y
Avenger84
Docker <-> VM
2
Antworten
25
Aufrufe
1.749
andy_m4
andy_m4
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz