VirtualBox: Ist Bridge weniger sicher als NAT?

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von TomL » 29.01.2018 15:20:04

Moin

Gestern abend hatte ich nach Arbeiten am Paketfilter meines PC's ein Problem mit meiner VirtualBox-VM... und zwar dergestalt, dass mit dem Browser in der VM ein bestimmtes WEB-Portal nicht mehr umfassend funktioniert hat. Ich habe den Verursacher schnell ermittelt... es war mein ziemlich strenger Paketfilter auf meinem PC, der der Host für die VM ist. Internet, Browser, Surfen, alles funktionierte in der VM, nur ein bestimmter Teilbereich dieser Web-Seite nicht. Als ich den Filter geflusht habe, funktionierte die Seite sofort, mit aktiven Filter dann wieder nicht mehr. Ich konnte das beliebig reproduzieren. Spannend daran ist, dass auf meinem PC natürlich die Ports 80 und 443 freigegeben sind, aber es werden anscheinend weitere "related" Ports geöffnet, die bei HTTP hier offensichtlich nicht über das Application Layer Gateway gehandhabt werden.

Ich bin dann auf die Idee gekommen, in der VM statt dem per default eingestellten NAT auf Bridge zu wechseln, um dann auf meinem PC diesen NEW-Traffic der VM explizit an die VM-IP via Regel freizugeben, z.B. so:

Code: Alles auswählen

iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -s 10.100.10.98 -d 10.100.10.98 -j ACCEPT
Das war die Idee... aber merkwürdigerweise völlig unnötig. Ich habe nämlich nicht schlecht gestaunt, dass es mit Bridge sofort auch ohne weitere Regel funktioniert hat. Und auch das habe ich mehrfach gegengeprüft. Bei unveränderten Regeln auf dem Host funktioniert diese Seite nicht mit NAT, aber problemlos gebridged. Wie kann das sein? Mit Bridge ist die VM in meinem LAN, aber mit NAT doch in gewisser Weise auch, spätestens wenn das Paket an meinem Paketfilter ankommt hats doch nach NAT eine passende LAN-IP... oder ist das da anders?

Und um auf die Eingangsfrage zurückzukommen: Ist Bridging zwischen Host und VM möglicherweise als unsicherer einzustufen als NAT? Das ist mal wieder so eine Frage, die sich völlig meinem Verständnis entzieht.... und ich hoffe, dass einer 'unserer' Netzwerk-Fachleute hier ne Idee hat. Wenn nix dagegen spricht, lass ich's natürlich einfach gebridged.
vg, Thomas

Benutzeravatar
DynaBlaster
Beiträge: 947
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von DynaBlaster » 29.01.2018 20:49:22

Wenn du ein gebridgtes Netzwerk für die VM nutzt, dann entfällt halt das NAT und die VM hat direkten Zugang zum Netzwerk, spricht also direkt mit deinem (DSL-)-Router/Internet-Gateway. Dieses Gateway sieht dann auch die MAC-Adresse der virtuellen Netzwerkkarte der VM, usw. Daraus folgt dann eben auch, das die Kommunikation zwischen VM und Internet an dem Paketfilter deines Rechners vorbei geht.

Unsicherer: naja. Du hast zumindest weniger Kontrolle auf dem Hostsystem, was die VM darf und was nicht. Letzteres könntest du natürlich durch einen Paketfilter in der VM selber wieder regeln oder halt auf dem Hostsystem mit ebtables und/oder arptables "rum-machen", um die VM wieder "einzufangen".

Ich würde es deshalb bei NAT belassen und mich über den Nebeneffekt freuen, mitzubekommen, welche Anwendungen und Webseiten ggf. von Standardports abweichen. Und genau das scheint ja dein Ausgangspunkt gewesen zu sein. Interessant wäre in dem Zusammenhang dann zu schauen, welchen Port zusätzlich zu TCP 443 und 80 die Webseite ausliefern wollte.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von TomL » 30.01.2018 10:17:14

DynaBlaster hat geschrieben: ↑ zum Beitrag ↑
29.01.2018 20:49:22
Wenn du ein gebridgtes Netzwerk für die VM nutzt, dann entfällt halt das NAT und die VM hat direkten Zugang zum Netzwerk, spricht also direkt mit deinem (DSL-)-Router/Internet-Gateway. Dieses Gateway sieht dann auch die MAC-Adresse der virtuellen Netzwerkkarte der VM, usw. Daraus folgt dann eben auch, das die Kommunikation zwischen VM und Internet an dem Paketfilter deines Rechners vorbei geht.
Wegen dieser Aussage war ich gerade einigermaßen verblüfft und konnte mir das auch gar nicht vorstellen. Letztendlich gibts ja nur ein einziges physisches Interface auf meinem Rechner, wo alles durch muss, auch die VM.... das gehört dem Kernel und infolgedessen wacht darüber eben auch der Paketfilter meines PCs mit Argusaugen. Ich habe mir also gerade mal mit tcpdump den Traffic auf Port 80 und 443 anzeigen lassen, mit der VM als einzigen aktiven Nutzer dieser Ports.... und siehe da, tcpdump sieht jedes Paket, sowohl beim Browser also auch anschließend beim via HHTP durchgeführten "apt update". Also vermute ich, dass der Paketfilter das alles ebenfalls sieht.
Unsicherer: naja. Du hast zumindest weniger Kontrolle auf dem Hostsystem, was die VM darf und was nicht.
::::
Und genau das scheint ja dein Ausgangspunkt gewesen zu sein. Interessant wäre in dem Zusammenhang dann zu schauen, welchen Port zusätzlich zu TCP 443 und 80 die Webseite ausliefern wollte.
Ja, darum gehts... um eine "freie" VM, relativ unkontrolliert, um frei zu surfen... was ich auch gerne mal als unseriöses Surfen bezeichne. Ich nutze jetzt gerade (hier im Forum) meinen aktuellen Browser über einen Desktopstarter quasi nur für meine speziellen Linux-Seiten, und selbst das nur via policykit mit einem unberechtigten Benutzer - sonst für eigentlich nix anderes.
Alle andere Surferei (außer Einkaufen und Banking, die haben jeweils eine eigene VM) findet konsequent in der betroffenen relativ offenen VM statt, die außer einem Browser auch nix anderes enthält, auch keinen Zugang ins LAN... also quasi unter Quarantänebedingungen. Aber da sollte eben auch alles funktionieren. Ich verstehe halt nicht, warum mein Filter via NAT blockt und via Bridge nicht... es sei denn, die related Ports sind nicht genated... dann ist es klar, dass es nicht funktioniert, weils dann ein anderes subnet ist und mein Filter da erbarmungslos zuschlägt. Aber da weiss ich nicht, wie man das feststellen kann... ich krieg ja nicht mal raus, welche (wechselnd je Session)unpriviligierten Ports geöffnet werden.
vg, Thomas

Jana66
Beiträge: 3725
Registriert: 03.02.2016 12:41:11

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von Jana66 » 30.01.2018 10:40:48

TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 10:17:14
Ich verstehe halt nicht, warum mein Filter via NAT blockt und via Bridge nicht...
Eine physische Bridge (Switch) zumindest forwardet nur zu bekannten (erlernten) MAC-Adressen. Wahrscheinlich sieht dadurch dein Filter fremde Pakete nicht. Broadcasts wiederum flutet eine Bridge/Switch zu allen Ports. Eine Virtualisierungsloesung sollte oder muss entsprechend arbeiten.

Der Haken "promiskuitiv" (= erweiterte VBox-Bridge-Adapter-Einstellung) würde das aushebeln, z. B. für Monitoring mittels einer VM sinnvoll. Entsprechende Einstellung "zielführend" vorgenommenen?

Im Falle von NAT wirkt der Host wie ein entsprechender Router mit DHCP-Server für die VM. Sozusagen "Reihenschaltung" von Host und Gast - im Gegensatz zu "Parallelschaltung" per Bridge, wo die VM genau wie ein x-beliebiger Host im LAN "hängt". Bei Bedarf Paketfilter für gebridgte VM erforderlich, bei NAT kann das der vom Host erledigen.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von TomL » 30.01.2018 12:42:10

Jana66 hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 10:40:48
Bei Bedarf Paketfilter für gebridgte VM erforderlich, bei NAT kann das der vom Host erledigen.
Das Dilemma ist, dass ich diese vermaledeite Netzwerkskiste nicht wirklich durchschaue.... das ist einfach zu viel und zu kompliziert. Aber ich glaube, dass es eine Fehleinschätzung mit einem eigenen Paketfilter für die gebridgte VM ist. Was soll der den filtern? Wo doch gerade die eigentliche Absicht ist, eine ungefilterte VM zu haben, in der ungehemmt alles Surfen funktioniert.

Das verursachende Problem ist offensichtlich der Paketfilters meines PC, auf dem die VM läuft.... der Paketfilter reguliert sehr restriktiv ein- und ausgehenden Verkehr.... trotz "hinter Router-Firewall". Er tut genau das, was er nach meinen Anforderungen tun soll. Das merkwürdige ist eben, dass er eine in der VM aufgerufene Web-Seite bei NAT teilweise blockert, im Bridgemode jedoch nicht. Die VM weiss dabei gar nix von einem Paketfilter, da läuft auch keiner.... das mach alles mein PC.

Und es scheint ein Unterschied bei den Paketen zu bestehen, wenn die aus der VM entweder genated oder gebridged sind. Ich hatte jetzt gedacht, dass spätestens nach dem NAT das TCP-Paket eine saddr des 'virtuellen Routers' hat und sich somit im normalen LAN befindet. Also sollte es damit eigentlich keine Einschränkungen geben... und die gibts ja für die Grundfunktionen der Web-Site auch nicht. Aber jetzt kommen related Ports hinzu.... anscheinend vom Browser in der VM initialisiert. Und genau die lässt mein Filter nicht durch. Ich vermute, dass die Ports "related" sind, weiss nur der VM-Kernel, für den Kernel meines Host-PCs sind diese zusätzlichen Port vielleicht tatsächlich "new"... und wenn das so wäre, ist es klar, dass die gedropt werden. Aber dann müsste das gebridged ja anders ablaufen... und das verstehe ich wiederum nicht, weil die Pakete immer noch durch den Filter meines PCs hindurch müssen.... und die related-Ports werden ja immer noch in der VM initialisiert.

:facepalm: Kerkerker, mir ist das alles zu hoch..... wenn das für die Sicherheit meines PC mit der Bridge-Quarantäne-VM keine Nachteil bedeutet, würde ich das einfach so lassen. Die VM hat hier im LAN eh keine Rechte, der sich anmeldende User ebenfalls nicht, da laufen keine Anwendungen, keine Netzwerk-Mounts, eigentlich nix, ausser ein Basis-Debian-9, Openbox und dem Browser. :?
vg, Thomas

Jana66
Beiträge: 3725
Registriert: 03.02.2016 12:41:11

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von Jana66 » 30.01.2018 13:48:43

TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 12:42:10
Aber ich glaube, dass es eine Fehleinschätzung mit einem eigenen Paketfilter für die gebridgte VM ist. Was soll der den filtern? Wo doch gerade die eigentliche Absicht ist, eine ungefilterte VM zu haben, in der ungehemmt alles Surfen funktioniert.
Ungehemmt? Zugriff auf Hosts im LAN, NAS, Backups? Zugriff auf Mail-Postfach? Nur Surfen möglich, keine Freiheiten für Malware, Erkennung derer in Logs? Wenn du schon unseriös surfen willst - dann das und nur das. Alles andere verboten! Wäre jedenfalls mein Ziel. :wink:

Würde für eine Differenzierung von Hosts eher eine Firewall einsetzen. Das Problem eines unkontrollierten Zugriffs von "Unseriös-Surf-VM" auf Hosts im LAN erschlägt man damit nicht ohne weiteres. Dazu wäre Gastnetz und Umstecken in anderes VLAN/SSID nötig. Damit ist man unabhängig von der "undurchsichtigen" Implementierung einer Virtualisierung. Mit letzterer erreicht man m. E. keine vollstaendige netzwerktechnische Trennung beim Surfen: Entweder Internetzugang per Hostsystem (NAT) oder per Bridging in's LAN (wie alle Hosts). Eventuell VLANs und dadurch Trennung - bis Firewall regelt.

Es gibt noch eine aufwändige Möglichkeit: 2 (oder mehrere) VMs, die "vordere" ist eine Firewall (womit auch immer realisiert), die "hinteren" sind durch deren Zonen reglementiert. Dazwischen "Internal Networking": https://www.thomas-krenn.com/de/wiki/Ne ... networking
M. E. werden so komplette Serverlandschaften mit unterschiedlichen Sicherheitszonen virtualisiert. Ist wohl dein Anliegen entsprechend unterschiedlicher Surf-Ansprüche.

Edit: Am einfachsten wäre wohl, die Unseriös-Surf-VM quellnah (iptables darin als Desktop-Firewall/egress/outbound) zu reglementieren. Nur http, https, DNS, ntp auf Nicht-LAN-IPs erlaubt. Wenn doch mal Malware wegen Unseriositaet tobt ...
Zuletzt geändert von Jana66 am 30.01.2018 14:26:28, insgesamt 4-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

inne
Beiträge: 2022
Registriert: 25.06.2013 15:45:12
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von inne » 30.01.2018 13:52:47

Hallo,

ich glaube VirtualBox Bridged networking geht deshalb an iptables vorbei, weil in diesem Modus direkt auf die Hardware zugegriffen wird (physical network adapter) und scheinbar mit eigenem Treiber. Tcpdump tut das auch – und imo kann man nicht daran festmachen, ob iptables greift.

S. https://www.virtualbox.org/manual/ch06. ... rk_bridged (Netzwerk <-> NIC <-> tcpdump/vboxnetflt <-> netfilter/iptables <-> Userspace/Anwendungen)
(=_=)

Vorsicht vor Leuten!

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von TomL » 30.01.2018 15:02:38

Jana66 hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 13:48:43
TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 15:02:38
Alle andere Surferei (außer Einkaufen und Banking, die haben jeweils eine eigene VM) findet konsequent in der betroffenen relativ offenen VM statt, die außer einem Browser auch nix anderes enthält, auch keinen Zugang ins LAN... also quasi unter Quarantänebedingungen.
:::
Wo doch gerade die eigentliche Absicht ist, eine ungefilterte VM zu haben, in der ungehemmt alles Surfen funktioniert.

Ungehemmt? Zugriff auf Hosts im LAN, NAS, Backups? Zugriff auf Mail-Postfach? Nur Surfen möglich, keine Freiheiten für Malware, Erkennung derer in Logs? Wenn du schon unseriös surfen willst - dann das und nur das. Alles andere verboten! Wäre jedenfalls mein Ziel.
Allerliebste Jana... Du liest oberflächlich... denn genau das ist ja das Ziel. Auf meinem PC selber ist quasi alles verboten, alles reglementiert und alles gesichert. Zu Surfen ist quasi nicht schmerzfrei möglich... nur eben meine Linux- und Camperforen, soweit sie auf Scripte verzichten. Und deswegen muss diese spezielle VM eben offen sein, damit eben auch das unseröse und alters-unangemessene :mrgreen: Surfen funktioniert. Und natürlich, so stehts oben, hat diese VM Zugriff auf nix...nix heisst, nix-postfach, nix-mounts, nix-daten... absolut nix-nix... :-)))... nur eben aufs Web, da solls aber dann kein nix geben.
Würde für eine Differenzierung von Hosts eher eine Firewall einsetzen. Das Problem eines unkontrollierten Zugriffs von "Unseriös-Surf-VM" auf Hosts im LAN erschlägt man damit nicht ohne weiteres.
Mönsch Jana... such mal nach "nix" in diesem Artikel... :twisted:
Wenn doch mal Malware wegen Unseriositaet tobt ...
Nee, so isses ja nun auch nicht. Da läuft schon ublock origin. Nur ist der auch scharf eingestellt und erst mal funktionieren neue Seiten auch in der VM nicht. Das heisst, ich muss mir immer ziemlich aufwendig rausklamüsern, welche "angebundenen" Seiten/Domains (was auch immer) ich explizit im Script-Blocker freigeben muss, damit die Seite rennt. Dann entscheide ich, ob ich diese Einstellung speichere oder verwerfe. Bei Seiten, die ich häufiger besuche, ist das natürlich gespeichert. Und für kritische Fälle, wenn ich mir unsicher bin, starte ich zusätzlich den Browser in einer Sandbox.
Google, Facebook, Whatsapp, NSA, TK-Überwachungsgesetz, die allgemein und allgegenwärtige Netzkriminalität... all das hat mich da schon einigermaßen vorsichtig werden lassen. Ich glaube schon, dass die VM nicht kompromittiert ist... da bin ich schon vorsichtig. Aber ich will beim Surfen auch meinen Fingerprint, Surface des Rechner-OS, usw. verwässern.

@Inne
Das war die Erklärung. Ich konnte das reproduzieren. Wenn ich generell alles drop'e, geht auf meinem PC gar nix mehr, weder lokale IP, noch ins LAN, noch ins WEB... das System ist komplett zu. Dann starte ich die gebridg'te VM und da geht alles. Das heisst, das Bridgeinterface geht völlig am Kernelhandling des physischen Interfaces vorbei. Was macht das möglich? Ein virtuelles Interface in VBox, was anscheinend das früher übliche TAP-Interface ersetzt hat. Man sieht nämlich jetzt kein weiteres Interface mehr auf dem Host-PC. Das war auch der Grund, warum mir das so unverständlich war. Und das 'neue' in Vbox funktioniert jetzt anscheinend über einen eigenen VBox-Treiber, der direkt das physische Interface abgreift, quasi als Filter vor allem anderen.

Code: Alles auswählen

lsmod | grep netflt
vboxnetflt             28672  0
vboxdrv               454656  3 vboxnetadp,vboxnetflt,vboxpci
Ich würde ja jetzt resümieren, die VM ist im Bridgemode quasi ein eigener PC mit eigenem Interface und eigenem Zugang ins LAN und tangiert nicht den Host-PC, auf dem diese VM läuft. Eigentlich finde ich das ja gut... weil das ja das ZIel war... sicherer Abstand zu meinem PC... und sofern niemand Einwände hat, würde ich das dann lassen. :?

Aber wieder nen Paketfilter in der VM will ich nicht... wofür auch... in der ist ja nix zu holen... die kann wirklich nix anderes als NUR browsen. Was man überlegen könnte, wäre ein Filter, der alle Pakete ins LAN drop't, und nur Pakete ans Gateway erlaubt.... *hmmm*... könnte man machen. Aber ich weiss nicht,ob ich das will. :roll:
vg, Thomas

Jana66
Beiträge: 3725
Registriert: 03.02.2016 12:41:11

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von Jana66 » 30.01.2018 15:35:41

TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 15:02:38
Allerliebste Jana... Du liest oberflächlich... denn genau das ist ja das Ziel.
Ist immer schwierig, zu verstehen, was der andere will, was er schon gebaut hat und noch haben will. :wink:
TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 15:02:38
Ich würde ja jetzt resümieren, die VM ist im Bridgemode quasi ein eigener PC mit eigenem Interface und eigenem Zugang ins LAN
Ja. Verbunden mit Hostsystem und anderen Hosts im LAN durch virtuelle Bridge.
TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 15:02:38
... und tangiert nicht den Host-PC, auf dem diese VM läuft.
Über das Netzwerk verbunden/bridged. Traffic-Einschränkungen ankommend oder/und abgehend durch Paketfilter an Quellen oder/und Zielen.

Resümee wäre verallgemeinert wohl eher, dass die virtuelle Bridge wie eine physische wirkt: 1 Port Netzwerkadapter, 1 Port Hostsystem (*), 1 Port Gastsystem.
(*) "Abgriff" nach Netzwerkadapter Hostsystem ... aber wo vor genau? Zumindest vor Paketfilter.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von TomL » 30.01.2018 16:50:52

Jana66 hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 15:35:41
TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 15:02:38
Ich würde ja jetzt resümieren, die VM ist im Bridgemode quasi ein eigener PC mit eigenem Interface und eigenem Zugang ins LAN
Ja. Verbunden mit Hostsystem und anderen Hosts im LAN durch virtuelle Bridge.
Das hat jetzt keine 2 Minuten gedauert, auch der VM einen Paketfilter zu verpassen. Richtung Gateway ist's geöffnet, Internet geht also... Richtung LAN ist alles zu, lokal im LAN geht nix. Und ja, kann man machen, ich weiss nur nicht genau, ob das überhaupt sinnvoll ist und das es was bringt. Oder sind das nur neben dem Hosenträger nur noch'n Gürtel und 2 weitere angetackerte Hände, die die Hose auch noch hochhalten? Wie gesagt, die VM ist eh nur ein Browser in einer VM... und sowieso unprivilegiert.
vg, Thomas

Jana66
Beiträge: 3725
Registriert: 03.02.2016 12:41:11

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von Jana66 » 31.01.2018 09:09:44

TomL hat geschrieben: ↑ zum Beitrag ↑
30.01.2018 16:50:52
auch der VM einen Paketfilter zu verpassen. Richtung Gateway ist's geöffnet, Internet geht also... Richtung LAN ist alles zu, lokal im LAN geht nix. Und ja, kann man machen, ich weiss nur nicht genau, ob das überhaupt sinnvoll ist und das es was bringt.
Hi Thomas, ich habe mal etwas nachgedacht über den netzwerktechnischen Schutz des LANs (einschließlich Hostsystem bei gebridgten "Unseriös-Surf-VMs"). Bridged heißt, dass die VM wie ein beliebiger Host im LAN angeschlossen ist, also Zugriff per LAN auf alle Systeme im LAN ohne Ingress-Firewall.

Jetzt gehe ich davon aus, man hat sich durch unseriöses Surfen Malware eingefangen, die Verschlüsseln und über dein Postfach spammen will. Eine funktionierende Desktop-Firewall (entsprechende iptables) auf der "Unseriös-Surf-VM" könnte das verhindern. Aber die Malware könnte auch die VM-Desktop-Firewall aushebeln, VM ist ja kompromittiert, keiner weiß inwieweit. Deshalb sehe ich es als besser an, eine gebridgte "Unseriös-Surf-VM" in ein Gastnetz zu hängen. Dazu sind unterschiedlliche VLANs für Hostsystem und Gastsystem notwendig, also mit Virtualisierung recht kompliziert. Oder eine 2. VM mit Firewall (evtl. VM mit Firewall-Distribution) "davorzuhängen" - also "Reihenschaltung" dazwischen per "Internal Networking" (VBox-Jargon).

Für sicherer mit weniger Aufwand halte ich die Virtualisierung einer "Unseriös-Surf-VM" mit NAT. Warum?
- Das Hostsystem ("NAT-Reihenschaltung") müsste zusätzlich kompromittiert werden, sehr unwahrscheinlich.
- Eine (fehlkonfigurierte) Egress-Desktop-Firewall (mit iptables) des Hostsystems (völlig anderes System) müsste durchbrochen werden.

Irgendwie habe ich aber den Eindruck, du fühlst dich sicher wegen Filterung ankommenden Traffics? Damit jeden einzelnen Host im LAN zu sichern ist aufwändig (dezentral, Änderungen, Dokumentation, Log-Durchsichten ...). Bei eventueller Malware kann deren Toben (mit Spoofing vertrauenswürdiger Hosts, IPs, MACs) durch Egress-Filterung zumindest eingeschränkt und durch entsprechendes Logging hoffentlich erkannt werden. Also auch outbound nur das, was gewollt, ansonsten loggende Default-Deny-Regel.

Am sichersten für unseriöses Surfen erscheint mir ein dedizierter Host im Gastnetz. Und wenn es ein billiges, datenloses Tablet ist - was sich leicht/öfter auf Werkseinstellungen rücksetzen lässt. Noch besser eine Live-Iso und Umstecken auf per zentraler Firewall geregeltes Gastnetz oder Gast-WLAN. Die Live-Iso ist bei jedem Start "resettet".

Wäre schön, wenn auch du und andere ihre Gedanken dazu schreiben. In (künftige) Malware kann man sich schlecht "reinversetzen". :wink:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von TomL » 31.01.2018 11:12:51

Moin Jana

Das waren jetzt ein paar interessante Aspekte, auf die ich mal versuche einzugehen.
Jana66 hat geschrieben: ↑ zum Beitrag ↑
31.01.2018 09:09:44
Bridged heißt, dass die VM wie ein beliebiger Host im LAN angeschlossen ist, also Zugriff per LAN auf alle Systeme im LAN ohne Ingress-Firewall.
Ja, das ist so richtig beschrieben. Aber mit 4 einfachen Regeln in der VM war das testweise vom Tisch.... das heisst, es gab danach keinen Weg mehr ins LAN, nur noch den einen offenen zum Gateway.
Jetzt gehe ich davon aus, man hat sich durch unseriöses Surfen Malware eingefangen, die Verschlüsseln und über dein Postfach spammen will.
Da müssen wir uns jetzt aber an den Fakten orientieren, wie ich sie zuvor schon beschrieben habe. Es gibt auf der VM keinen Zugriff auf Postfächer, auch nicht auf persönliche Daten im Netz. Dafür ist keine Software installiert. Das ist eine VM mit einem Debian-Basic-Linux plus xserver plus Openbox plus Browser. Mehr gibts da nicht. Die startet ohne Password-Abfrage mit einem im LAN unbekannten User durch.
Eine funktionierende Desktop-Firewall (entsprechende iptables) auf der "Unseriös-Surf-VM" könnte das verhindern.
Ja, wie ich sagte, vier einfache Regeln haben das bei einem Test schon erreicht.
Aber die Malware könnte auch die VM-Desktop-Firewall aushebeln, VM ist ja kompromittiert, keiner weiß inwieweit.
Ist diese Aussage wirklich korrekt? Oder müsste es nicht eher heissen, Malware könnte nur das User-Profil kompromittieren, weil eine VM-Infektion ohne Root-Rechte wohl nicht möglich ist?
Deshalb sehe ich es als besser an, eine gebridgte "Unseriös-Surf-VM" in ein Gastnetz zu hängen.
Ich denke, man muss hierbei aber auch die eigenen Absichten beachten und zwischen gesunder Sorgfalt und Verfolgungswahn unterscheiden. Vor dem Hintergrund, dass vermutlich 98% der Surfer sich über gar nix Gedanken machen, will ich jedenfalls nicht völlig bekloppt erscheinen. Was ist überhaupt das Ziel? Zunächst mal als allererstes, ich bin Rentner und habe schlichtweg Spass daran, meine IT-Kenntnisse im Rahmen eines sportlichen Ehrgeizes anzuwenden, mich "denen" soweit es geht zu entziehen. Wirklich zu verbergen gibts dabei nix, es gilt allenfalls die Devise, so wie ich mich nicht bei offenen Fenster auf Strassenhöhe entkleide, will ich auch beim PC den Vorhang zuziehen.

Rein disziplinarisch handhabe ich es so, dass auf meinem Desktop und mit meinem Profil kein Zugang ins Internet erfolgt. Der Browser in meinem Profil wird ausschließlich nur für lokale Zugriffe (CUPS,radicale, meine html-Entwürfe für die HP) verwendet. Der Browser, mit dem ich jetzt hier schreibe, verwendet das Profil eines völlig unberechtigen virtuellen Users. Via Policykit und Wrapper für den Browser ist dieser Userwechsel so eingerichtet. Bedientechnisch merke ich keinen Unterschied. Nur Downloads lokal speichern oder lokale Dateien öffnen geht eben damit nicht, das ist nur auf das Profil beschränkt. Die Routerfirewall verhindert sowieso eingehenden Traffic mit Conntrack-State NEW, mein lokaler Paketfilter verbietet zusätzlich jeglichen ausgehenden Traffic mit Conntrack-State NEW, der nicht (einige wenige Ports) ausdrücklich erlaubt ist. Dabei gehts mir primär um die Möglichkdeiten, die IPv6 mitbringt, weil damit der PC selber Borderdevice wird. Fremd-PPAs gibts natürlich nicht, nur für Libre-Office hole ich mir einmal im Jahr das letzte (höchste finale) Paket der letzten abgeschlossenen Version.

Ich denke, das alles reduziert gravierend die Chancen, dass mein PC selber kompromittiert wird. Bislang habe ich meine VMs alle als Quarantäne-Räume betrachtet. Bei NAT kam nur rein, was vorher meinen Paketfilter passiert hat... aber jetzt mit Bridge geht das daran vorbei.... *hmmm* :roll: .... Dennoch denke ist, dass aus der VM immer noch nix raus kommt. Wie auch... ?... ich kann mir kein Szenario vorstellen, wie durch die VM andere Hosts im LAN infiziert werden können. Es gibt bei den Hosts keine SSH-Zugänge auf Port 22. Der SSH-Port ist >50K und überall nur Keyfile-autorisiert möglich. Es gibt auf den Hosts keine lauschenden Services, die attackiert werden können. Wenn ich auf einer Maschine mal temporär VNC brauche, starte ich den Dienst eben fliegend über SSH, aber beim nächsten Start ist dann der Port wieder nicht mehr möglich. Die VMs selber haben keine Software installiert, die von Malware instrumentalisiert werden könnte.
Irgendwie habe ich aber den Eindruck, du fühlst dich sicher wegen Filterung ankommenden Traffics?
Es wird in beiden Richtungen gefiltert, vom Router "reinkommend", von meinem PC "rausgehend". Und natürlich filtert Ublock-Origin im Browser auch noch mal ziemlich restriktiv und imho sehr effektiv.
Also auch outbound nur das, was gewollt, ansonsten loggende Default-Deny-Regel.
Bei mir sind die Policies "drop", dass heist, es funktioniert eh nur das, was ausdrücklich erlaubt ist.
Am sichersten für unseriöses Surfen erscheint mir ein dedizierter Host im Gastnetz....
Das ist richtig, aber total unbequem... und ich weiss nicht, ob das dann nicht den Sachverhalt "Verfolgungswahn" erfüllt.... bitte hierbei den Hintergrund des sportlichen Ehrgeizes bei eigentlich unwichtigen Daten nicht zu vergessen.
Und wenn es ein billiges, datenloses Tablet ist - was sich leicht/öfter auf Werkseinstellungen rücksetzen lässt.
::::
Noch besser eine Live-Iso und ...
Oder einfach eine frische VM aufzusetzen, sie einmal für die künftige Surf-Aufgabe fertig einzurichten, eine Kopie anzulegen und dann nur mit der Kopie surfen. Schließĺich wird diese Kopie kurzerhand einmal wöchentlich mit dem Original überschrieben. Dann wäre das Thema kompromittierte VM auch erledigt. Der Aufwand ist vernachlässigbar gering. Aber ob das alles nicht übertrieben ist.... meiner Meinung nach ja.
Wäre schön, wenn auch du und andere ihre Gedanken dazu schreiben. In (künftige) Malware kann man sich schlecht "reinversetzen".
Das ist tatsächlich das, was mich eher weniger beunruhigt. Ich empfinde diese Konzern-Schnüffelei in meinem digitalen Leben als bedenklicher. Da möchte ich gerne den Vorhang doch so gut es geht zuziehen, auch wenn ich weiss, dass das blickdicht nicht möglich ist.
vg, Thomas

Jana66
Beiträge: 3725
Registriert: 03.02.2016 12:41:11

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von Jana66 » 31.01.2018 13:01:10

TomL hat geschrieben: ↑ zum Beitrag ↑
31.01.2018 11:12:51
Es gibt auf der VM keinen Zugriff auf Postfächer, auch nicht auf persönliche Daten im Netz. Dafür ist keine Software installiert.
TomL hat geschrieben: ↑ zum Beitrag ↑
31.01.2018 11:12:51
Oder müsste es nicht eher heissen, Malware könnte nur das User-Profil kompromittieren, weil eine VM-Infektion ohne Root-Rechte wohl nicht möglich ist?
Wohl keiner kann wissen, was (künftige Linux-) Malware tut. Okay derzeit etwas unwahrscheinlich.

Ich bin gerade (und noch) begeistert von der recht bequemen Idee, weil an der Quelle der höchsten Wahrscheinlichkeit des Einfangens von Malware:
Jana66 hat geschrieben: ↑ zum Beitrag ↑
31.01.2018 09:09:44
Oder eine 2. VM mit Firewall (evtl. VM mit Firewall-Distribution) "davorzuhängen" - also "Reihenschaltung" dazwischen per "Internal Networking" (VBox-Jargon).
Virtuelle Firewall (2. VM) vor "Unseriös-Surf-VM"! Mit PFsense zumindest funktionieren sogar Aliases wie "Nicht-LAN-IPs". *noch-selber-schulterklopf-jana* :mrgreen:

Aber lassen wir bisschen Raum für Ideen Dritter. :wink:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: VirtualBox: Ist Bridge weniger sicher als NAT?

Beitrag von TomL » 31.01.2018 14:16:31

Jana66 hat geschrieben: ↑ zum Beitrag ↑
31.01.2018 13:01:10
Virtuelle Firewall (2. VM) vor "Unseriös-Surf-VM"!
Also sowas wie eine 2. fire'ge'wall'te VM als Gateway für die Surf-VM? Ja, kann man wohl machen. Aber man muss dann auch die Frage zulassen, ob alles, was man machen kann, auch wirklich sinnvoll ist. Man sollte bei allen Anstrengungen nämlich nicht vergessen, dass es sich hier nicht um eine IT handelt, die bei Kompromittierung Schaden für Millionen von Nutzern bedeutet.... sondern nur um den privaten PC eines Rentners, der außer Politik-Gemecker im Web sowieso nix brisantes auf seinen Kisten vorhält. *lol*

Und schließlich bin ich auch der Meinung, dass ständig erweiterte Sicherungen nicht zwangsläufig auch eine linear dazu steigende Sicherheit bedeuten. Ich bin absolut davon überzeugt, dass es Quatsch ist, eine Firewall einzusetzen, wenn man nicht weiss, wie man deren Funktionalität bestätigen oder prüfen kann. Wenn ich nicht weiss, was die Firewall tut und in welchem Umfang sie was tut, ist das Teil nur ein Placebo, was vielleicht wirkt, vielleicht aber auch nicht. Es fängt schon damit an, dass eine Firewall imho Schrott ist, wenn sie wie früher üblich für FTP die Ports 1024: freigibt, was man auch zigfach im Web als beschriebene Lösung findet. Wenn sie das tut, kann man sich den ganzen Scheiss auch sparen. Das ist ein Freibrief für jede Anwendung unprivilegierte Ports nach Belieben zu verwenden.

Man darf darüberhinaus auch nie vergessen, dass unberührt davon, was man zur Sicherung treibt, der berechtigte User immer das schwächste Glied der Kette ist. Ich glaube, ein unberechtigter User (was ich auf all unseren Systemen bin), mit der gleichzeitigen Bereitschaft zu verzichten (auf Komfort oder Bequemes oder gewisse Dinge zu tun) bedeutet imho eine größere Sicherheit, als ein User, der fahrlässig oder mit Vorsatz die besten Sicherungssysteme umgeht und im Web jeden Button anklickt, den er erwischen kann... als wenns dafür Bonus-Punkte gibt. *fg*... oder noch schlimmer, wie bei den Ubuntu-Derivaten üblich, von völlig unbekannten und anonymen PPA's seinen Rechner updaten lässt.

Was ich also eigentlich sagen will, ein Mindestmaß an Sachkenntnis ersetzt m.M.n. übertriebene Maßnahmen, die dann vor dem Hintergrund der Sachkenntnis sowieso kein tatsächliches Plus an Sicherheit bedeuten, imho allenfalls ein theoretisches Plus. Und andersrum hebelt Dummheit oder Fahrlässigkeit oder Gleichgültigkeit sowieso jede Sicherheit aus.
vg, Thomas

Antworten