Computer Sicherheit (VMs etc.)

[grueni]

Lt. Commander
Registriert
Okt. 2008
Beiträge
1.293
Hallo zusammen,

da ich gerade ein wenig die IT Landschaft im privaten Büro umbaue würde ich gerne ein paar Meinungen bzgl. eines Sicherheitskonzepts einholen.

Vorhanden sind:
-n Rechner
-1 Server (Fileserver)
-n mediale Elemente (SmartTV, Tablet etc.)

Auf dem Server liegen alle Daten, lokal werden nur noch Spiele,Programme installiert.

Momentan verwende ich mein Host-System (Windows 7) nur für die Spiele, gesurft wird in einer VM (Linux Mint - VMWarePlayer) und gearbeitet (sowohl privat/beruflich) in einer weiteren VM (Windows 7 - VMWarePlayer).

Was noch in Planung ist, den Server in eine DMZ zu integrieren und entweder eine VLAN basierende oder Subnetz basierende Lösung zu integrieren.

Habt ihr noch Tipps, Anregungen inwieweit man das System erweitern/verbessern könnte ?
Ich weiß, dass es Schadsoftware gibt, die zB. bei Intel CPUs Berechnungen im Ring0 Bereich der CPU durchführen und somit die den "Schutz" einer VM ausheben können.
Es geht hier nicht um Panik meinerseits, sondern einfach die Realisierung eines einfachen, komfortablen und sicheren Systems.

Wie schätzt ihr die Sicherheit einer VM ein, gibt es hier unterschiede zwischen VirtualBox, VMWare, Xen, etc ?
 
Was mir hier total fehlt ist ein Back-Up-Konzept.

Deine ganze Absicherung bringt dir nichts, wenn du versehentlich oder durch Programmfehler Daten verlierst.
Das mit der DMZ klingt schon gut, ist aber sicher nicht unbedingt nötig.

Wie gesagt, vor einem Virus der deine ganze Festplatte löscht, brauchst du keine Angst zu haben, wenn du irgendwo ein Back-up von letzter Nacht hast ;)

Ansonsten klingt deine Aufstellung recht gut, besonders, da du auf ner Linux VM surfst ;)
 
das ganze konstrukt ist doch käse...

dmz mit only einem server sinn ?

virtualisierungstechniken haben rein garnix mit sicherheit zu tun.
ne vm zum sufen ? paranoia ?
auch vlan und subnetz basierte "lösung" ... also bitte hier mangelt es doch massiv am grundwissen...

hier empfielt sich eher : schalte das ganze ding ab....
 
...mal abgesehen von einem HDD-Crash was ja hier und da mal (selbst bei neuwertigen HDDs) vorkommt... :freak:
 
Wieso geht ihr denn alle davon aus, dass dort kein Backup existiert?
@Multivitamin: Es wäre deutlich hilfreicher, wenn du konstruktive Vorschläge geben würdest. Für Leute wie mich, die sich gerne detailliertere Kenntnisse aneignen würden wäre das sehr hilfreich.
 
@Multivitamin
Entweder teilst du uns deine tollen Lösungen mit, oder einfach weiter trollen, danke ;)


Achja ganz vergessen, Backup wird jede Nacht angefertigt, und wird wöchentlich auf eine Externe Festplatte kopiert.
 
Multivitamin schrieb:
das ganze konstrukt ist doch käse...

dmz mit only einem server sinn ?

virtualisierungstechniken haben rein garnix mit sicherheit zu tun.
ne vm zum sufen ? paranoia ?
auch vlan und subnetz basierte "lösung" ... also bitte hier mangelt es doch massiv am grundwissen...

hier empfielt sich eher : schalte das ganze ding ab....

Dem kann ich mich nur 1:1 anschließen.
VMs bringen keine Sicherheit, DMZ auch nicht, VLANs auch nicht,....
 
Asghan schrieb:
Dem kann ich mich nur 1:1 anschließen.
VMs bringen keine Sicherheit, DMZ auch nicht, VLANs auch nicht,....

Dass VMs *keine* Sicherheit bringen, halte ich für ein sehr dünnes Brett. Es bringt schon ein *mehr* an Sicherheit mit einem Linux-OS durchs Web zu surfen, da für unixoide Betriebssysteme *weniger* Malware im Umlauf ist.

Der Ansatz der DMZ (vor allem mit Bezug auf VLAN) erschließt sich mir allerdings überhaupt nicht. Wovor möchtest du dich denn Schützen? Das DMZ Konzept geht ja eher in die Richtung: WAN--Firewall--DMZ--Firewall--LAN

Nutze lieber *ein* Host-OS, halte auf diesem die Software aktuell und mache regelmäßige Backups, damit fährst auf jeden Fall praktischer als mit deinem geplanten Konstrukt.
 
Sicherheit direkt nicht, aber eine gewisse Abgrenzung schon, worum es mit geht.

Wir nehmen mal ein Beispiel:

zB. ist die Domain computerbase.de verseucht, sprich trotz NoScript/AdBlocker würde man sich den Schädling einfangen (da mit Sicherheit eine Ausnahme für die Seite geschaltet ist).

Wenn ich nun allerdings diese Szenario in einer VM unter Linux habe, sollte doch rel. wenig passieren dürfen ?
 
Im Prinzip klingt das Ganze relativ vernünftig.

Die größeren Probleme werden meistens von den Usern erzeugt. Zu einfache Passwörter, verseuchter USB Stick, Services auf dem Server aktiviert und vom Inet aus erreichbar, veraltete Software, Flash, Java und Co. (gerne auch mal im Unterordner einer Anwendung mitgeliefert) usw.

Wichtige wäre es für mich, dass die Kundendaten wirklich sicher sind und evtl. Zugriffe geloggt werden.
 
Okay um noch ein wenig präziser zu werden:

Wie gesagt Backup wird automatisiert erstellt (inkrementell, teils Voll).
-Zugangsdaten sind allesamt rand() erstellt und in KeyPass hinterlegt.
-Keine externen Plugins in Chrome/FireFox, bzw. alle deaktiviert was nicht nativ ist.
-NoScript + AdBlock

Und bezüglich Subnetze/VLANs:
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

Mir geht es eigentlich nur um den nicht all zu unwahrscheinlichen Angriffsvektor, dass eine Seite die man täglich an-surft infiziert wird (wie zB. letztes Jahr wetter.com).

Mir ist in all den Jahren auch noch nichts großartiges Untergekommen, obwohl ich Kreditkarten Käufe, Online-Banking etc. machen - selbst SPAM hält sich in Grenzen, der aber auf privaten E-Mails nie ankommt, da diese nur für ein paar Dienste genutzt werden.
 
Zuletzt bearbeitet:
Wenn du schon eine super Anleitung von Heise hast, brauchst du uns doch nicht mehr :)

Dein Back-Up klingt auch gut. Die externe Festplatte sollte dann aber nicht die ganze Zeit angesteckt sein, da sonst sich natürlich auch Schadsoftware zu tun machen könnte.
Ich weiß nicht ob dass für dich schon zuviel des guten ist, aber eigentlich sollte ein Backup auch an einem anderen Ort liegen zum Schutz vor Brand/Wasserschaden/Diebstahl. Eine Möglichkeit wäre, die Daten du sichern musst, zu verschlüsseln und irgendwo hochzuladen. Wenn du natürlich 2TB schützenswerte Daten hast, kann man das natürlich fast knicken.

Ansonsten kann man dich für deine Sicherheitsvorkehrung nur Loben. Ich kenne Firmen die sind bei weitem nicht so gut geschützt. Da gibts halt Clients mit sensiblen Kundendaten und die hängen wie jeder normale Heim-PC im Netz, zwar mit Virenscanner aber ohne Plan von Software-Updates & Co.
 
Find dein System übertrieben... ein einfaches LAN in dem alle Geräte miteinander verbunden sind reicht doch vollkommen aus. Wer interessiert sich schon für deine Daten großartig und wenn du überall die Win-Firewall aktiviert hast, breitet sich Malware auch nicht im ganzen LAN aus.
PS.: VMWare Player ist nur für den privaten gebrauch, somit müsstest du dir Virtualbox installieren.
 
Mir geht es nicht "nur" um die Trennung der Netze, sonder um ein Gesamt Konzept.
Auch wenn dies vllt. für den ein oder anderen alles Übertrieben klingt, sehe ich es nicht ein Daten/Geld etc. zu gefährden (klar ein Risiko besteht immer, aber man kann es minimieren). Deshalb wollte ich hier eigentlich vor allem Infos bzgl. VMs und deren Sicherheit etc.

Hochladen tue ich nur einen kleinen Truecrypt Container, mit ein paar selektierten aber wichtigen Daten. Der Rest ist ist wie gesagt auf dem Server auf 2. HDDs und auf einer externen die in einer Docking Station ist.

@Hassenfranz:
Ich bin nicht Selbständig ;) Man nennt sowas Heimarbeit (vllt. vergessen zu erwähnen).
 
Wenn du nicht selbstständig bist, muss es einen Sicherheitsbeauftragten geben, der sich darum kümmert. Tut er das nicht, kannst du später alles auf ihn schieben.
 
Es geht doch hier um das Große & Ganze! Ob ich nun daheim arbeite oder nicht, ich betrachte auch meine privaten Dateien als sensibel, und für mich persönlich wäre jener Verlust/Dienstahl genau so schlimm...
 
Was juckts dich wenn dir jemand Urlaubsbilder klaut oder private E-Mails mitliest?
Damit fängt niemand was an, im schlimmsten Fall bekommst etwas Spam.
 
Ich weiß nicht ob ich diese Antwort wirklich ernst nehmen soll ?!
CC,PayPal,Privater E-Mail Verkehr,soziale Dienste (falls vorhanden),E-Banking...

Kein Wunder das man in diversen Untergrund Foren genug CC Daten kaufen kann, wenn die meisten so denken...
 
ich habe mich da eigentlich wirklich nur auf Anwendungsdaten bezogen, nicht auf Passwörter/Zugänge aller Art. und da hat man als privat Person nunmal kaum was relevantes im vergleich zu gewerblichen Anwenderdaten, wenn beispielsweise die Arbeit von Monaten weg ist oder sämtliche Kundendaten.
Dass es nicht toll ist wenn Daten geklaut werden ist klar, es ging nur darum, dass es bei privaten Daten wesentlich leichter zu verkraften ist.
 
Zuletzt bearbeitet:
Zurück
Oben