Moin Jana
Das waren jetzt ein paar interessante Aspekte, auf die ich mal versuche einzugehen.
Jana66 hat geschrieben: 31.01.2018 09:09:44
Bridged heißt, dass die VM wie ein beliebiger Host im LAN angeschlossen ist, also Zugriff per LAN auf alle Systeme im LAN ohne Ingress-Firewall.
Ja, das ist so richtig beschrieben. Aber mit 4 einfachen Regeln in der VM war das testweise vom Tisch.... das heisst, es gab danach keinen Weg mehr ins LAN, nur noch den einen offenen zum Gateway.
Jetzt gehe ich davon aus, man hat sich durch unseriöses Surfen Malware eingefangen, die Verschlüsseln und über dein Postfach spammen will.
Da müssen wir uns jetzt aber an den Fakten orientieren, wie ich sie zuvor schon beschrieben habe. Es gibt auf der VM keinen Zugriff auf Postfächer, auch nicht auf persönliche Daten im Netz. Dafür ist keine Software installiert. Das ist eine VM mit einem Debian-Basic-Linux plus xserver plus Openbox plus Browser. Mehr gibts da nicht. Die startet ohne Password-Abfrage mit einem im LAN unbekannten User durch.
Eine funktionierende Desktop-Firewall (entsprechende iptables) auf der "Unseriös-Surf-VM" könnte das verhindern.
Ja, wie ich sagte, vier einfache Regeln haben das bei einem Test schon erreicht.
Aber die Malware könnte auch die VM-Desktop-Firewall aushebeln, VM ist ja kompromittiert, keiner weiß inwieweit.
Ist diese Aussage wirklich korrekt? Oder müsste es nicht eher heissen, Malware könnte nur das User-Profil kompromittieren, weil eine VM-Infektion ohne Root-Rechte wohl nicht möglich ist?
Deshalb sehe ich es als besser an, eine gebridgte "Unseriös-Surf-VM" in ein Gastnetz zu hängen.
Ich denke, man muss hierbei aber auch die eigenen Absichten beachten und zwischen gesunder Sorgfalt und Verfolgungswahn unterscheiden. Vor dem Hintergrund, dass vermutlich 98% der Surfer sich über gar nix Gedanken machen, will ich jedenfalls nicht völlig bekloppt erscheinen. Was ist überhaupt das Ziel? Zunächst mal als allererstes, ich bin Rentner und habe schlichtweg Spass daran, meine IT-Kenntnisse im Rahmen eines sportlichen Ehrgeizes anzuwenden, mich "denen" soweit es geht zu entziehen. Wirklich zu verbergen gibts dabei nix, es gilt allenfalls die Devise, so wie ich mich nicht bei offenen Fenster auf Strassenhöhe entkleide, will ich auch beim PC den Vorhang zuziehen.
Rein disziplinarisch handhabe ich es so, dass auf meinem Desktop und mit meinem Profil kein Zugang ins Internet erfolgt. Der Browser in meinem Profil wird ausschließlich nur für lokale Zugriffe (CUPS,radicale, meine html-Entwürfe für die HP) verwendet. Der Browser, mit dem ich jetzt hier schreibe, verwendet das Profil eines völlig unberechtigen virtuellen Users. Via Policykit und Wrapper für den Browser ist dieser Userwechsel so eingerichtet. Bedientechnisch merke ich keinen Unterschied. Nur Downloads lokal speichern oder lokale Dateien öffnen geht eben damit nicht, das ist nur auf das Profil beschränkt. Die Routerfirewall verhindert sowieso eingehenden Traffic mit Conntrack-State NEW, mein lokaler Paketfilter verbietet zusätzlich jeglichen ausgehenden Traffic mit Conntrack-State NEW, der nicht (einige wenige Ports) ausdrücklich erlaubt ist. Dabei gehts mir primär um die Möglichkdeiten, die IPv6 mitbringt, weil damit der PC selber Borderdevice wird. Fremd-PPAs gibts natürlich nicht, nur für Libre-Office hole ich mir einmal im Jahr das letzte (höchste finale) Paket der letzten abgeschlossenen Version.
Ich denke, das alles reduziert gravierend die Chancen, dass mein PC selber kompromittiert wird. Bislang habe ich meine VMs alle als Quarantäne-Räume betrachtet. Bei NAT kam nur rein, was vorher meinen Paketfilter passiert hat... aber jetzt mit Bridge geht das daran vorbei.... *hmmm*
.... Dennoch denke ist, dass aus der VM immer noch nix raus kommt. Wie auch... ?... ich kann mir kein Szenario vorstellen, wie durch die VM andere Hosts im LAN infiziert werden können. Es gibt bei den Hosts keine SSH-Zugänge auf Port 22. Der SSH-Port ist >50K und überall nur Keyfile-autorisiert möglich. Es gibt auf den Hosts keine lauschenden Services, die attackiert werden können. Wenn ich auf einer Maschine mal temporär VNC brauche, starte ich den Dienst eben fliegend über SSH, aber beim nächsten Start ist dann der Port wieder nicht mehr möglich. Die VMs selber haben keine Software installiert, die von Malware instrumentalisiert werden könnte.
Irgendwie habe ich aber den Eindruck, du fühlst dich sicher wegen Filterung ankommenden Traffics?
Es wird in beiden Richtungen gefiltert, vom Router "reinkommend", von meinem PC "rausgehend". Und natürlich filtert Ublock-Origin im Browser auch noch mal ziemlich restriktiv und imho sehr effektiv.
Also auch outbound nur das, was gewollt, ansonsten loggende Default-Deny-Regel.
Bei mir sind die Policies "drop", dass heist, es funktioniert eh nur das, was ausdrücklich erlaubt ist.
Am sichersten für unseriöses Surfen erscheint mir ein dedizierter Host im Gastnetz....
Das ist richtig, aber total unbequem... und ich weiss nicht, ob das dann nicht den Sachverhalt "Verfolgungswahn" erfüllt.... bitte hierbei den Hintergrund des sportlichen Ehrgeizes bei eigentlich unwichtigen Daten nicht zu vergessen.
Und wenn es ein billiges, datenloses Tablet ist - was sich leicht/öfter auf Werkseinstellungen rücksetzen lässt.
::::
Noch besser eine Live-Iso und ...
Oder einfach eine frische VM aufzusetzen, sie einmal für die künftige Surf-Aufgabe fertig einzurichten, eine Kopie anzulegen und dann nur mit der Kopie surfen. Schließĺich wird diese Kopie kurzerhand einmal wöchentlich mit dem Original überschrieben. Dann wäre das Thema kompromittierte VM auch erledigt. Der Aufwand ist vernachlässigbar gering. Aber ob das alles nicht übertrieben ist.... meiner Meinung nach ja.
Wäre schön, wenn auch du und andere ihre Gedanken dazu schreiben. In (künftige) Malware kann man sich schlecht "reinversetzen".
Das ist tatsächlich das, was mich eher weniger beunruhigt. Ich empfinde diese Konzern-Schnüffelei in meinem digitalen Leben als bedenklicher. Da möchte ich gerne den Vorhang doch so gut es geht zuziehen, auch wenn ich weiss, dass das blickdicht nicht möglich ist.