Virtuaalikoneen toiminta "karanteenin" kaltaisena mahdollisuutena ?

[Pah0lain3]

Tämä kysymys on pyöriny pitkään mielessä, mutta voiko virtuaalikone toimia ns. eristettynä omasta fyysisestä koneesta tai verkosta niin että haittaohjelmat ym mitä kerään virtuaalikoneeseen pääseekö ne silloin myös fyysiseen koneeseen jossa virtuaalikone pyörii ?

Jotenkin voisin kuvitella että koska se on virtuaalikone, haittaohjelmat pysähtyisivät siihen mutta en nyt oikeasti osaa järkeillä tätä mitenkään. Entä jos tulee jonkunlainen verkkolaitehaitake, tuleeko se omiin fyysisiin laitteisiin saakka ?

Vähän typerä kysymys, mutta kunhan mietin.

Jos kaikki tulee läpi mitä ikinä virtuaalikoneelle kerkeää imaista, onko tuolle asialle tehtävissä mitään muuta kuin älä kerää niitä haittaohjelmia ?

 

[Monty68]

Minulla ainakin virtuaalisella tietokoneella on eri ip-numero, vaikka on sama tietokone ja verkkokortti. Tuo on ensimmäinen asia mikä pitää tajuta, kun pystyttää virtuaalitietokoneen, eli sillä ei ole sama ip-numero, kuin fyysisellä tietokoneella. Loppu on kiinni siitä mihin sillä virtuaalikoneella on oikeuksia siinä verkossa, jossa se on ja virtuaalikoneeseen asetetut levyasemat tai muistitikut on haavoittuvia, jos ne on kiinni virtuaalikoneessa virtuaalikoneessa ja sillä on oikeus käyttää niitä. Toki virtuaalitietokoneessa voi käyttää toista verkkokorttia, jos fyysisessä tietokoneessa on niitä kaksi kappaletta. Virtuaalitietokone on minulla tietyn kokoinen tiedosto kovalevyllä riippuen siitä, kuinka paljon sille on halunnut antaa kovalevytilaa, jos sen tuhoaa ei koko virtuaalitietokonetta ole enää olemassa. Oracle VM VirtualBox on ainakin yksi virtuaalitietokone ohjelma, jolla ajetaan virtuaalitietokoneita ja on paljon muitakin vaihtoehtoja olemassa.

 

[Pah0lain3]

Minä luon aina vmdk vaihtoehdolla tietyn suuruisen osion virtuaalikoneelle. Ei ole tullut vielä käytettyä mitään usb tikkuja kun en ole varma ollenkaan miten koko virtuaalikone systeemeinen toimii. Lähinnä tarkoitan tätä haittaohjelma mahdollisuutta. Varmasti jos käytän usb tikkua virtuaalikoneessa jossa on haittaohjelma, ja sen jälkeen laitan sen fyysiseen koneeseen niin ymmärrettävästi voi haittaohjelma siirtyä tikun mukana. Mutta jos tämmöistä ei koskaan käytä niin mietin vain noiden haittaohjelmien siirtymistä fyysiselle koneelle. Mulla on tämmöinen käsitys ollut tosiaan että ne ei siirtyisi fyysiselle koneelle ellei niitä siirrä just vaikka tikulla. Muutenhan se on vain virtuaalikone ? Entäs verkkopöpöt ? Kun jotenkin se virtuaalikone käyttää kuitenkin omaa verkkoyhteyttä ?

Tuosta ip osoitteesta, kyllä kai se ulospäin näkyvä ip osoite on sama kun fyysisellä koneellakin, kerran samasta verkosta koneet on yhteydessä ulkomaailmaan ? Ymmärrän että sisäverkossa sillä virtuaalikoneella on oma ip osoittensa ? Täytyypäs kokeilla joskus tuota.

 

[=JP=]

Ei ole turvallista, lisää tietoa asiasta kyllä löytää Googlettamalla, mutta on monta tapaa, jonka kautta nuo pystyy karkaamaan...

Virtual machine escape - Wikipedia

en.wikipedia.org

Monissa malwareissa on nykyään ihan koodit, joilla ne tarkistaa, josko ovat asentuneet virtuaalikoneeseen ja toimivat sen mukaan.

 

[Pah0lain3]

Ei ole turvallista, lisää tietoa asiasta kyllä löytää Googlettamalla, mutta on monta tapaa, jonka kautta nuo pystyy karkaamaan...

Virtual machine escape - Wikipedia

en.wikipedia.org

Monissa malwareissa on nykyään ihan koodit, joilla ne tarkistaa, josko ovat asentuneet virtuaalikoneeseen ja toimivat sen mukaan.

Kiitos, onkos tuolle tehtävissä mitään ettei karkaisi ?

 

[=JP=]

Kiitos, onkos tuolle tehtävissä mitään ettei karkaisi ?

Lyhykäisyydessään, ei ole, koska reikiä on ja tulee aina löytymään uusia, mikään softa pohjainen ratkaisu ei koskaan ole 100% varma. Siihen lisättynä käyttäjä, jonka toiminta saattaa myöskin aiheuttaa karkaamisen, esim. virheellisen konfiguraation takia jne...

 

[Pah0lain3]

Lyhykäisyydessään, ei ole, koska reikiä on ja tulee aina löytymään uusia, mikään softa pohjainen ratkaisu ei koskaan ole 100% varma. Siihen lisättynä käyttäjä, jonka toiminta saattaa myöskin aiheuttaa karkaamisen, esim. virheellisen konfiguraation takia jne...

Onko se sitten niin että paras tapa kun ei lataile mitään virtuaalikoneellekkaan, käyttää selaimessa lisäosana nomatrix noscript ja ublock origin ja estetään kaikki muut paitsi videon toistamiseen tarvittavat elementit jos nyt haluaa virtuaalikoneella esimerkiksi pornoa katoa ? Eli käyttäytyy samoin kuin fyysisellä koneella ? Tuommoisella nyt ainakin voisi minimoida ja karsia osan edes ?

 

[root]

Voisiko tässä kohtaa miettiä millaisilta vaaroilta haluaa suojautua, mitkä ovat ne uhat? Minä kun olen ajatellut, että yleisimmät haittaohjelmat, ransomware kiristysohjelmat, pankkitroijalaiset ja muut eivät ole koodattu niin hyviksi, että ne siirtyisivät sujuvasti VM:stä isäntäkäyttikseen. Ne saattavat jopa poistaa itsensä tai olla tekemättä mitään virtuaalikoneen tapauksessa. Vai onko käsitykseni auttamatta vanhentunut?

 

[dome]

Virtualisoinnin yksi olennaisimpia ominaisuuksia on nimenomaan se, että mikään ei ui saastuneelta koneelta toiselle virtuaalikoneelle, tai hostille. Haavoittuvuuksia toki tässäkin suhteessa on, mutta riski on suhteellisen pieni kun pitää softat ajan tasalla, eikä näiden hyödyntäminen usein ole kovin helppoa vaikka haavoittuvuus olisikin olemassa. Virtuaalikone saa usein verkkonsa isäntäkoneella olevan sillan kautta ja on näin suoraan yhteydessä haluttuun verkkoon, olkoon se sitten julkinen, tai privaattiverkko. Verkon segmentointi ja palomuuraukset ei sinänsä liity virtualisointiin, mutta tässä suhteessa olennainen asia jos virtuaalikoneen ja hostin haluaa pitää erossa toisistaan myös sillä tasolla.

Toisin sanoen vastaus ensimmäiseen kysymykseesi, kyllä on mahdollista pitää virtuaalikone erillään hostikoneesta ja pitää mahdolliset haittaohjelmat virtuaalikoneen omana ongelmana.

 

[Monty68]

Itse ainakin katson välillä fyysisen virtuaalipalvelin tietokoneen läpi. Ainakin minun käyttämä Oracle VM VirtualBox ohjelma ilmoittaa aika usein uusista päivityksistä ohjelmaan jolla virtuaalitietokoneita ajetaan ja samalla pitää katsoa, että onko tullut itse virtuaalipalvelinta pyörittävän tietokoneen omaan käyttöjärjestelmään päivityksiä ja samoin tarkastaa itse virtuaalisesti ajettavan käyttöjärjestelmän päivitykset. Virtuaalipalvelin ohjelma voi olla pois päältä, jos fyysisentietokoneen käyttöjärjestelmään on tullut päivitys, koska en ole asettanut virtuaalipalvelin ohjelmaa käynnistymään automaattisesti, eli se ei käynnisty automaattisesti, jos fyysisen tietokoneen käyttöjärjestelmä päivittyy automaattisesti, eikä siinä taida olla edes asetusta siihen, mutta oletan, että pystyn tekemään itse sellaisen virityksen Windows rekisteriin, jos haluan.

 

[Pah0lain3]

Toisin sanoen vastaus ensimmäiseen kysymykseesi, kyllä on mahdollista pitää virtuaalikone erillään hostikoneesta ja pitää mahdolliset haittaohjelmat virtuaalikoneen omana ongelmana.

Mitä kaikkea tämmöisen tilanteen toteuttaminen vaatii ?

 

[Kautium]

Mitä kaikkea tämmöisen tilanteen toteuttaminen vaatii ?

Mikään nykyaikainen ja ajan tasalla oleva virtuaalikone ei vuoda bittiäkään isännälle. Ongelma tulee korkeintaan siitä, jos koneet ovat samassa verkossa, jolloin mahdollinen tunkeituminen tapahtuu verkkokerroksessa, eikä liity enää siihen virtuaalikoneeseen.

Vaihtoehdot Windows-maailmassa:

Workstation Player : Run a Second, Isolated Operating System on a Single PC with VMware Workstation Player

VMware Workstation Player allows you to run a second, isolated operating system on a single PC.

www.vmware.com

Oracle VM VirtualBox

www.virtualbox.org

 

[dome]

Mitä kaikkea tämmöisen tilanteen toteuttaminen vaatii ?

Lähtökohta on tämä, joten oikeastaan ei juuri mitään erityistä. Suurin osa virtualisointisoftista tarjoaa tämän oletuksena. Lähinnä tuon voi kämmätä tekemällä itse konfiguraatiovirheitä, tai jotain muuta tyhmää kuten jakamalla hostikoneen tiedostojärjestelmässä olevia hakemistoja virtuaalikoneelle (virtualbox muistaakseni tarjoaa tällaista vaihtoehtoa). Virtuaalikoneen levy (jos käytetään isäntäkoneen kapasiteettia) näkyy levykuvana isäntäkoneelle eikä sen sisällöllä ole oikeastaan merkitystä, ellei sitä liitä isäntäkoneeseen luettavassa muodossa. Silloinkaan sieltä ei itsekseen mikään liiku eteenpäin kuin kopioituna, kun mikään haittaohjelma ei isäntäkoneen puolella ajaudu vaikka sisältö olisikin näkyvissä ellei sitä erikseen käynnistä.

Helpommin voi mennä vikaan tuossa verkkopuolessa eli virtuaalikone on sillan yli samassa verkossa kuin isäntäkone/muu kotiverkko eikä liikennöintiä näiden välillä ole palomuurattu. Toki tämäkään ei automaattisesti ole ongelma ellei sisäverkossa ole esimerkiksi pääsyjä verkkolevyihin tms ilman autentikointia, tai muuten pääsyä mahdollisesti haavoittuviin laitteisiin. Mutta kuten sanottu, tämä ei enää ole virtualisoinnin ongelma.

 

[Monty68]

Virtuaalitietokone vaatii paljon muistia ja prosessoreja, eli se on ainakin varma asia olipa sitten systeemi mikä tahansa, koska niille varataan Oracle VM VirtualBox ohjelmistossa oma prosessori ja muistin määrä. Näytönohjaimellakin olisi hyvä olla tarpeeksi muistia, että saa varattua sitä, myös virtuaaliselle tietokoneelle. Minulla ainakin ubuntu 20.04 LTS pyörii virtuaalisesti tuolla Oracle VM VirtualBox ohjelmalla, joka voi pyörittää useampaa virtuaalista tietokonetta samaan aikaan, jos vaan on tarpeeksi muistia ja prosessoreja. Yhden prosessorin tietokoneella ei voi ajaa moniajoa, ellei se ole moniydinprosessori, joita lähes kaikki uudet PC tietokoneiden prosessorit ovat. Lataamalla tuon Oracle VM VirtualBox ohjelmiston saat jo varmaan tietää tykkääkö sun tietokoneesta vai ei, jos ei, niin sitten se ei kelpaa.

 

[dome]

Virtuaalitietokone vaatii paljon muistia ja prosessoreja, eli se on ainakin varma asia olipa sitten systeemi mikä tahansa, koska niille varataan Oracle VM VirtualBox ohjelmistossa oma prosessori ja muistin määrä. Näytön ohjaimellakin olisi hyvä olla tarpeeksi muistia, että saa varattua sitä, myös virtuaaliselle tietokoneelle. Minulla ainakin ubuntu 20.04 LTS pyörii virtuaalisesti tuolla Oracle VM VirtualBox ohjelmalla, joka voi pyörittää useampaa tietokonetta samaan aikaan, jos vaan on tarpeeksi muistia ja prosessoreja.

Virtuaalikone käyttää resursseja maksimissaan niin paljon kun sille on määrätty. Olkoon se sitten paljon tai vähän. Ei liity ketjun aiheeseen kuitenkaan mitenkään.

 

[Monty68]

Virtuaalikone käyttää resursseja maksimissaan niin paljon kun sille on määrätty. Olkoon se sitten paljon tai vähän. Ei liity ketjun aiheeseen kuitenkaan mitenkään.

Joo, mutta kysyit mitä se vaatii. Oracle VM VirtualBox lataus sivulla voi olla listaa minimivaatimuksista ja suosituksista.

 

[dome]

Joo, mutta kysyit mitä se vaatii.

En esittänyt kysymystä ja kysymys oli, että mitä virtuaalikoneen mahdollisine haittaohjelmineen erillään pitäminen isäntäkoneesta vaatii. Virtuaalikoneelle allokoitujen CPU/RAM resurssien määrä ei nähdäkseni liity tähän mitenkään.

 

[haskapakkeri]

Tuo haittaohjelmien keräily virtuaalikoneeseen kuulostaa vähän riskialttiilta siinä mielessä että jos ne tekee haittaa verkossa, niin samanlailla ne sieltä virtuaalikoneesta tosiaan pääsee oletuksena verkkoon kuten jo sanottiinkin.

Eihän se mitenkään eroa tilanteesta että keräilisi niitä ihan tavalliselle koneelle. Siinä vaiheessa kun sen koneen kytkee verkkoon niin sittehän se lysti alkaa. Mitä ne sitten tekeekään, etsii lähiverkosta sopivia hyökkäyskohteita tai ulkomaailmaanpäin spammia,ddossia, mitä näitä onkaan.

Ainakin eristäisin sen omasta kotiverkosta ettei saastuttaisi kotona mahdollisesti olevia laitteita ja miettisin pitääkö sen koneen päästä sinne internettiin ollenkaan ylipäätään, toivottavasti ei. Mutta kai ne nykyisein suurinosa jossain määrin verkkoa tarvitsee? Jos ei tarvitse päästä ollankaan mihinkään verkkoon, niin virtuaalikonesta on helppo ottaa virtuaalinen verkkojohto irti tai vaikka olla lisäämättä ollenkaan sinne verkkokorttia jos aivan varmanpäälle haluaa pelata. Aivan kuten sen fyysisenkin koneen kanssa.

Tulee itsekkin joskus jotain epämääräisen oloisia ohjelmia ajeltua virtuaalikoneessa. Tosiaan snapshot ennen ajoa, virtuaalikone pois netistä (jos softa ei tarvitse verkkoa) ja kun homma on ohi, niin palautus lähtötilanteeseen.

 

[Monty68]

Jos tietokoneessa on kaksi verkkokorttia voi poistaa sen toisen ehkä itse käyttöjärjestelmän puolelta käytöstä ja yrittää tarjota sitä virtuaalitietokoneelle ihan eri verkkoon. Minulla on ainakin yhdessä yhteysmodeemissa kaksi eri verkkoa, vaikka on sama laajakaista ja toisella on julkinen IP-numero käytössä. Silloin ne ehkä juttele keskenään tai sotkeudu isäntä koneen tapahtumiin, mutta jossain luki, että operaattori voi estää sitä läpi reititettyä ip-numeroa toimimasta. Tietysti pitää olla kaapelointi, joka ei yhdistä kahta verkkoa keskenään mitenkään. Tuo asetus pitää tietenkin huomioida laajakaistamodeemissa, eli siinä pitäisi olla mahdollisuus asettaa yksi liitin tilaan, jossa se on suoraan internetissä kiinni ilman mitään palomuureja. Minulta tuo onnistuu ainakin helposti, koska on sen verran järeät reitittimet, että voi luoda useita verkkoja ja eristää niitä toisistaan, mutta silti on palomuurit, koska reitittimiä on useampia ja samoin yhteys modeemeita. Nyt tuntuu siltä, että tässä yritetään tehdä jotain virtuaalista tietokonetta, mihin voi lataa mitä tahansa viruksia tai haittaohjelmia. Operaattori saattaa sulkea nettiyhteydet, jos se huomaa, että levitetään viruksia tai haittaohjelmia, eli se ei olisi järkevää toimintaa.

 

[Pah0lain3]

Fyysisessä koneessa on Manjaro, siinä Virtualbox jossa virtuaalikoneena jälleen, manjaro. Manjaro manjaron päällä. Onnistuu myös ajaa useampaa konetta yhtäaikaa mutta aika tuskaista.

Tarkoitus ei ole keräämällä kerätä haittaohjelmia viruksia yms virtuaalikoneeseen. Vaan päinvastoin, kun poistaisin virtuaalikonetta niin voisin olla varma että mikään ei ole päässyt pesiytymään isäntäkoneeseen. Olen etsinyt rootkittejä, ajellu clamav ohjelmaa tuloksetta. Täytyy siis olla tyytyväinen tietenkin kun mitään ei löydy, mutta jotenkin puuttuu se varmuus siitä puhtaudesta. Pari kertaa joskus fyysisen koneen dns osoite on vaihtunut itsestään ihan oudoksi enkä osaa selvittää että mistä se johtuu. Jos vielä joskus käy näin niin täytyy jollain tcpdumpilla kokeilla katsoa mitä tapahtuu. Mietin joskus olisiko viisasta tehdä muutama erilainen virtuaalikone, yhdellä katsoisi pornoa. Toisella hoitaa pankkiasiat, kolmannella lukee uutiset jne. Fyysisen voisi jättää pelaamiseen. Tai missä järjestyksessä ikinä haluaakaan asioita tehdä. Sen yhden virtuaalikoneen tarkoitus olisi kuitenkin olla semmoinen jolla ei tarvitsisi miettiä mitä linkkiä googlesta avaa tai mitä pornovideota katsoa kun siltä tuntuu tai availla niitä paskaisia sähköposteja. Tai kokeilla jotain ohjelmaa josta ei ole varmuutta entuudestaan. Tulipa vain mieleen vielä, että onko virtuaalikone automaattisesti eristetty toisesta virtuaalikoneesta jotka sijaitsee samalla fyysisellä isäntäkoneella ?

Tuo monen virtuaalikoneen käyttöidea tuli jostain whonixin vai mikähän se käyttöjärjestelmä oli missä oman ymmärryksen mukaan kaikki toiminnot on eristetty toisistaan oli se sitten web selain tai joku avoin ohjelma niin kaikkia jotenkin ajettiin eristetyissä ikkunoissa toisistaan. Ei se whonix ollut vaan joku QubicOs tms. Tämähän se,

DistroWatch.com: Qubes OS

News and feature lists of Linux and BSD distributions.

distrowatch.com

Voi olla että en aivan ymmärtäny tuon käyttöjärjestelmän toimintaa oikein, mutta mielenkiintoinen systeemi siinä on kyllä. Tarkoitus ei ole kuitenkaan kytkeä sitä vkonetta irti verkosta vaan kuitenkin sallia sen normaali käyttö tarvittaessa. Sitten tietysti voisi eri vkoneisiin laittaa aina erilaisia lisäosia selaimiin ja user agentteja niin voisi yksityisyyskin ottaa askeleen parempaan suuntaan. Jos oikeasti keräisin erilaisia haittaohjelmia olisi tietenkin selvä että koneen täytyisi olla irti verkosta ettei ne ainakaan pääsisi oman verkon ulkopuolelle jatkamaan matkaa. Tämmöisellä käytöllä voisi kuitenkin riittää että kaikki käyttikset ja ohjelmat on ajantasalla niin isäntäkoneen ei pitäisi vaarantua ? Virtuaalikone on kuitenkin aina helppo tuhota ja asentaa uusiksi. Sekä niillä on hyvä kokeilla kaikkea uutta. Mutta niinkuin sanoin aina jää mietityttämään oman tietokoneen ja verkon tila vaikka kuinka etsis rootkittejä tai ajais clamav ohjelmaa tai mitä tahansa.

Virtualisointi on ihan kivaa, ja kun aikaa on, silloin on kiva keksiä kaikenlaista erilaista räpellettävää. Tuo virtuaalikoneen eristys on vain pitkään pyöriny mielessä että miten tuo asia mahtaa olla.

Olen saanut linuxit niin sekaisin kun on pitäny kokeilla erilaisia jotain snorttia tai fail2bania ym niin onhan tuo virtuaalikone aina helpompi ja nopeampi. Pitäis malttaa vähän miettiä aina ennenkuin kerkeää jo tekemään Se on toisaalta niin helppo vain copy pastettaa netistä kaikenlaista...Mutta erehtymällä oppii. Pitkä viesti tuli mutta tuossa on aikalailla kaikki mitä haen takaa. Turhaa ? No ehkä vähä, mutta toistaiseksi tämä on vielä kivaa pikkupuuhaa.

 

[tjkoo]

En jaksanut lukea kaikkia vastauksia, mutta käytännön tasolla eihän siinä tarvita muuta kuin
saada virtuaali-isäntä suorittamaan vahingollista koodia.

 

[Kautium]

En jaksanut lukea kaikkia vastauksia, mutta käytännön tasolla eihän siinä tarvita muuta kuin
saada virtuaali-isäntä suorittamaan vahingollista koodia.

Joka on käytännössä täysin mahdotonta ilman perustavaa laatua olevaa tietoturvareikää käytetyssä virtualisointialustassa.

 

[Pah0lain3]

Mikäs on paras tapa yhdistää virtuaalikone nettiin ? Tarkoitan tätä kun vkoneen luonti vaiheessa verkko valitaan NAT, Bridget adapter, Sisäinen verkko, Host-only adapter, Generic Driver, NAT network, Ei liitetty on myös vaihtoehtona. Jos tätä minun ketjua ajattelee niin mikä noista on paras tapa yhdistää tuo virtuaalikone verkkoon ?

Se ei varmaan saa olla bridget adapter eikä sisäinen verkko ? Entäs NAT vaihtoehdot tai Host-only ? Mitä tuo host-only käytännössä tarkoittaa ? Olen tähän saakka mennyt vain pelkällä NAT vaihtoehdolla.

 

[dome]

Mikäs on paras tapa yhdistää virtuaalikone nettiin ? Tarkoitan tätä kun vkoneen luonti vaiheessa verkko valitaan NAT, Bridget adapter, Sisäinen verkko, Host-only adapter, Generic Driver, NAT network, Ei liitetty on myös vaihtoehtona. Jos tätä minun ketjua ajattelee niin mikä noista on paras tapa yhdistää tuo virtuaalikone verkkoon ?

Se ei varmaan saa olla bridget adapter eikä sisäinen verkko ? Entäs NAT vaihtoehdot tai Host-only ? Mitä tuo host-only käytännössä tarkoittaa ? Olen tähän saakka mennyt vain pelkällä NAT vaihtoehdolla.

Riippuu vähän käyttötarkoituksesta. Bridge tarkoittaa sitä, että jonkun hostikoneessa olevan fyysisen verkko interfacen yli luodaan silta virtuaalikoneelle. Virtuaalikoneen näkökulmasta tilanne on siis, kuten siihen olisi kytketty kytketty verkkokaapeli samoin kuin se fyysisesti hostillakin on kyseisen interfacen osalta. Tällöin virtuaalikoneelle voi manuaalisesti määrittää ko. verkkoon sopivan ip-osoitteen, tai se voi noutaa sen DHCP palvelimelta ja toimia omana erillisenä laitteenaan verkossa. Tässä vaihtoehdossa virtuaalikoneella ei ole suoraan yhteyttä hostikoneeseen verkkotasolla ja ne voivat keskustella ainoastaan mikäli muu verkkoinfra sen sallii. NAT on itsestäänselvä, eli hostikone toimii reitittimenä virtuaalikoneelle ja NATtaa kaiken liikenteen siten, että muu verkko näkee liikenteen tulevan hostikoneelta. Host-only on käytännössä virtuaalinen interface minkä välityksellä virtuaalikone ja hostikone voivat liikennöidä keskenään.

 

[Pah0lain3]

Riippuu vähän käyttötarkoituksesta. Bridge tarkoittaa sitä, että jonkun hostikoneessa olevan fyysisen verkko interfacen yli luodaan silta virtuaalikoneelle. Virtuaalikoneen näkökulmasta tilanne on siis, kuten siihen olisi kytketty kytketty verkkokaapeli samoin kuin se fyysisesti hostillakin on kyseisen interfacen osalta. Tällöin virtuaalikoneelle voi manuaalisesti määrittää ko. verkkoon sopivan ip-osoitteen, tai se voi noutaa sen DHCP palvelimelta ja toimia omana erillisenä laitteenaan verkossa. Tässä vaihtoehdossa virtuaalikoneella ei ole suoraan yhteyttä hostikoneeseen verkkotasolla ja ne voivat keskustella ainoastaan mikäli muu verkkoinfra sen sallii. NAT on itsestäänselvä, eli hostikone toimii reitittimenä virtuaalikoneelle ja NATtaa kaiken liikenteen siten, että muu verkko näkee liikenteen tulevan hostikoneelta. Host-only on käytännössä virtuaalinen interface minkä välityksellä virtuaalikone ja hostikone voivat liikennöidä keskenään.

Mikähän olis paras tätä ketjua silmällä pitäen ? NAT ?

 

[dome]

Mikähän olis paras tätä ketjua silmällä pitäen ? NAT ?

Se lienee noista helpoimmasta päästä. Itse haluaisin nähdä virtuaalikoneen kuten muutkin laitteet verkossa eli laittaisin bridgenä. NATin kanssa kun ei heti tiedä tuleeko liikenne virtuaalikoneelta vai hostilta ja rajoitusten tekeminen käytännössä mahdotonta.

 

[jessenic]

Windows 10 Pro:ssa on sisäänrakennettu hiekkalaatikkotila (Windows Sandbox / Windows Eristys), joka on käytännössä aina tyhjästä lähtevä virtuaalikone. Nollautuu automaattisesti, kun painaa ruksista. Windows Sandbox - Windows security

Mutta Linux on varmasti myös hyvä vaihtoehto, sinne hankalampi pöpöjä saada.

 

[karniemi]

Joka on käytännössä täysin mahdotonta ilman perustavaa laatua olevaa tietoturvareikää käytetyssä virtualisointialustassa.

Ja näitähän tässä viime aikoina on löytynyt ihan prosessoreista lähtien(ns. sivukanavahyökkäykset). Ja annetaan nyt tosta pari juuri paljastunutta esimerkkihaavoittuvuutta vmwarelta, jotka vmware on pisteyttänyt hyvin korkealle (ehkä all time highest): VMSA-2020-0026.1 ... ja nimenomaan semmonen, jossa virtuaalikoneesta pääsee hostin puolelle.

Eli ei virtualisointialusta mitään takaa, sekin on ihmisten suunnittelemaa. Mutta on se nyt toki yksi melko varma sipulikerros kuitenkin, muiden mukana.

 

[Kautium]

Ja näitähän tässä viime aikoina on löytynyt ihan prosessoreista lähtien(ns. sivukanavahyökkäykset). Ja annetaan nyt tosta pari juuri paljastunutta esimerkkihaavoittuvuutta vmwarelta, jotka vmware on pisteyttänyt hyvin korkealle (ehkä all time highest): VMSA-2020-0026.1 ... ja nimenomaan semmonen, jossa virtuaalikoneesta pääsee hostin puolelle.

Eli ei virtualisointialusta mitään takaa, sekin on ihmisten suunnittelemaa. Mutta on se nyt toki yksi melko varma sipulikerros kuitenkin, muiden mukana.

Ei kukaan ole väittänyt että se olisi mahdotonta kokonaisuudessaan, vaan että se edellyttää juuri jotain merkittävää, päivittämätöntä tietoturva-aukkoa hypervisorin tasolla ja yleensä lisäksi myös jotain muutakin, kuten tuossa linkkaamassasi tapauksessa mm. sen, että käyttäjällä on administratorin oikeudet virtuaalikoneeseen ja että siellä sattuu olemaan tuo reiän omaava XHCI USB -kontrolleri käytössä.

Maailmalla ajetaan käytännössä kaikki palvelinkuorma nykyään virtualisoituna, joten ei se mikään uusi ja epävarma tekniikka ole alustojen erottamiselle saman fyysisen raudan sisällä.

 

[karniemi]

Eli jos alkuperäinen postittaja tekisi ns. hunajaboksin vmwarea käyttäen, laittaen sille nyt vaikka tuon mainitun usb-controllerin( joka voi olla defaulttinakin päällä, en muista), ja ajaisi itse haittaohjelmia admin-oikeuksin tai päästäen vierailijoita sisään "vahingossa" admin-oikeuksille, niin reitti isäntäkoneelle olisi auki. Skenariona tämä on ihan mahdollinen.

Jos käsitin oikein niin tuo esimerkiksi poimimani haavoittuvuus oli ollut olemassa vmware 6.5:stä, eli neljä vuotta. Kyse ei ole pelkästään päivittämättömyydestä, näitä reikiä ja vikoja on aina.

Ihan samalla tavalla palvelinsaleissa - tällaisten haavoittuvuuksien vuoksi virtuaalikoneista voi olla pääsy väärään dataan. Kriittisen tiedon käsittelyä ei voida tehdä yhteisraudalla luottaen virtualisointikerroksen eristykseen. Vähänkin tärkeämpi tiedon käsittely tehdään edelleen dedikoidulla raudalla - toki virtualisointia käytetään tällöinkin.

Silmien kiinni laittaminen ei auta - nämä ovat ihan oikeita tapauksia. Jos tietovuodon mahdollisuus ei haittaa, niin se on sitten ihan eri asia.

 

[karniemi]

Tuolla toisessa ketjussa oli vielä tällainen mielenkiintoinen haavoittuvuus postattuna: Tietoturvauutiset ja blogipostaukset

Lyhyesti: ohjelmallisesti tehty sivukanavahyökkäys, joka käyttää prosessorin virrankulutus-toimintoja tekniikkana.

Jos vähänkin viitsii lueskella ja selailla noita erityyppisiä haavoittuvuuksia ja niissä käytettäviä tekniikoita - niin aika nopeasti voi tehdä pätevän yleistyksen myös virtualisointikerroksen tarjoamasta suojasta.

 

[dome]

Tuolla toisessa ketjussa oli vielä tällainen mielenkiintoinen haavoittuvuus postattuna: Tietoturvauutiset ja blogipostaukset

Lyhyesti: ohjelmallisesti tehty sivukanavahyökkäys, joka käyttää prosessorin virrankulutus-toimintoja tekniikkana.

Jos vähänkin viitsii lueskella ja selailla noita erityyppisiä haavoittuvuuksia ja niissä käytettäviä tekniikoita - niin aika nopeasti voi tehdä pätevän yleistyksen myös virtualisointikerroksen tarjoamasta suojasta.

Vastaavia raudan puolella olevia haavoittuvuuksia on lähivuosina ollut paljon. Näissä käytännössä aina on hyökkääjän ollut mahdollista onkia pienen pieniä tiedonmurusia sieltä täältä. Toki kohdistettuna oikeaan paikkaan tällaisenaankin vaarallisia. Kuitenkin todennäköisyys sille, että vaikkapa yksittäisen kotikäyttäjän virtualisointiränkylästä kukaan tulisi mitään onkimaan näillä haavoittuvuuksilla on käytännössä olematon. Nämähän ei myöskään ole millään tavalla ainoastaan virtualisoinnin ongelmia, ne on vain kiinnostavia kohteita.

 

[mikajh]

Tässä esimerkki, miksi VM ei ole mitenkään autuaaksi tekevä turvasandbox ei-turvalliselle koodille:

December 2020 Security Updates

Security updates for XCP-ng 8.1 and 8.2 LTS and some information about XCP-ng 8.1 end of support schedule.

xcp-ng.org

"Several security issues have been identified in Xen, the Linux kernel's Xen support and other components, that may allow:
privileged code running in a guest VM to compromise the host,"