---

Jeg har en pc stående der kun er lejlighedsvis tændt, da det stort set kun
er mig der bruger den. Nu er jeg kommet til at tænke på om det rent
sikkerhedsmæssigt kan gå an at lægge Linux ind via WMWare på den primære
maskine som kører w2k. Planen er så at lukke op i routeren til Linux
partitionens (den får sin egen fysiske disk) IP adresse (som er forskellig
fra W2K partitionens)....Vil det gå an, eller vil det være for nemt for
ubudne gæster (jeg forventer ikke proffessionelt "besøg") at få adgang til
resten af maskinen som er formateret med FAT32 ??

Mvh
/Søren
--
Kig billeder og "Mini-Marked" på www.sitecenter.dk/tinaogsoeren

---

"Soren Pedersen" <smp@privat.dk> writes:

....
> lægge Linux ind via WMWare på den primære maskine som kører w2k.
....

> Planen er så at lukke op i routeren til Linux partitionens (den får
> sin egen fysiske disk) IP adresse (som er forskellig fra W2K
> partitionens)....

Altså du vil tillade indgående forbindelser.

> Vil det gå an, eller vil det være for nemt for ubudne gæster (jeg
> forventer ikke proffessionelt "besøg") at få adgang til resten af
> maskinen som er formateret med FAT32 ??

Formatteringen og partitioneringen er ligegyldige. Spørgsmålet er om
et angreb på din Linux-maskine kan bruges til at kompromittere resten
af maskinen.

Først og fremmest skal din Linux-maskine sættes sikkert op, lige som
hvis den havde været en separat maskine. Hvis det gøres, så skulle
der ikke være den store fare for at nogen kom ind på den overhovedet,
og så er det ligegyldigt at den deler hardware med en anden maskine.
Det kan ikke forsvares at sætte maskinen dårligere op, blot fordi den
kører på virtuelt hardware.

Skulle nogen komme ind og få root-rettigheder på Linux-maskinen, så
står du mindst lige så dårligt som hvis det var to maskiner på samme
netværk.

Begge sidder bag din router, så den beskytter ikke, og Linux-maskinen
har frit angreb på din Windows-maskine. Altså skal Windows-maskinen
sættes sikkert op (det er den måske alligevel)

Oven i det kan VMWare også have svagheder der kan udnyttes til at
påvirke Windows-maskinen. Hvis du kan se Windows-drevet fra
Linux-maskinen, så er der frit løb til at finde passwords.

Altså: Du skal behandle situationen helt almindeligt som om du havde
to maskiner på samme net. Der ud over kan VMWare give ekstra angrebsveje
fra Linux til Windows (og den anden vej, men det lyder som om det mest
er Windows-maskinen du vil beskytte, så hvis den er taget, så er alt
alligevel tabt).

Læs hvordan du sætter servere (som din Linux-maskine) på nettet i
OSS'en <URL:http://a.area51.dk/sikkerhed/servere>. Læs resten også,
der er flere afsnit der er relevante.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

Takker for det hurtige svar

Mvh
/Søren

"Lasse Reichstein Nielsen" <lrn@hotpop.com> wrote in message
news:n0ly906e.fsf@hotpop.com...
> "Soren Pedersen" <smp@privat.dk> writes:
>
> ...
> > lægge Linux ind via WMWare på den primære maskine som kører w2k.
> ...
>
> > Planen er så at lukke op i routeren til Linux partitionens (den får
> > sin egen fysiske disk) IP adresse (som er forskellig fra W2K
> > partitionens)....
>
> Altså du vil tillade indgående forbindelser.
>
> > Vil det gå an, eller vil det være for nemt for ubudne gæster (jeg
> > forventer ikke proffessionelt "besøg") at få adgang til resten af
> > maskinen som er formateret med FAT32 ??
>
> Formatteringen og partitioneringen er ligegyldige. Spørgsmålet er om
> et angreb på din Linux-maskine kan bruges til at kompromittere resten
> af maskinen.
>
> Først og fremmest skal din Linux-maskine sættes sikkert op, lige som
> hvis den havde været en separat maskine. Hvis det gøres, så skulle
> der ikke være den store fare for at nogen kom ind på den overhovedet,
> og så er det ligegyldigt at den deler hardware med en anden maskine.
> Det kan ikke forsvares at sætte maskinen dårligere op, blot fordi den
> kører på virtuelt hardware.
>
> Skulle nogen komme ind og få root-rettigheder på Linux-maskinen, så
> står du mindst lige så dårligt som hvis det var to maskiner på samme
> netværk.
>
> Begge sidder bag din router, så den beskytter ikke, og Linux-maskinen
> har frit angreb på din Windows-maskine. Altså skal Windows-maskinen
> sættes sikkert op (det er den måske alligevel)
>
> Oven i det kan VMWare også have svagheder der kan udnyttes til at
> påvirke Windows-maskinen. Hvis du kan se Windows-drevet fra
> Linux-maskinen, så er der frit løb til at finde passwords.
>
> Altså: Du skal behandle situationen helt almindeligt som om du havde
> to maskiner på samme net. Der ud over kan VMWare give ekstra angrebsveje
> fra Linux til Windows (og den anden vej, men det lyder som om det mest
> er Windows-maskinen du vil beskytte, så hvis den er taget, så er alt
> alligevel tabt).
>
> Læs hvordan du sætter servere (som din Linux-maskine) på nettet i
> OSS'en <URL:http://a.area51.dk/sikkerhed/servere>. Læs resten også,
> der er flere afsnit der er relevante.
>
> /L
> --
> Lasse Reichstein Nielsen - lrn@hotpop.com
> 'Faith without judgement merely degrades the spirit divine.'

---

Lasse Reichstein Nielsen wrote:
>
> Der ud over kan VMWare give ekstra angrebsveje
> fra Linux til Windows (og den anden vej, men det lyder som om det mest
> er Windows-maskinen du vil beskytte, så hvis den er taget, så er alt
> alligevel tabt).

Hvis jeg har forstået det rigtigt, er det i dette tilfælde Windows,
der er host systemet, og Linux, der er guest systemet.

Når der bruges en emulator vil det altid være muligt at foretage et
angreb fra host systemet til guest systemet, i hvert fald hvis man
har 100% kontrol over host systemet. Om der kan foretages angreb
den anden vej kommer an på emulatoren. Men du burde aldrig få
flere rettigheder end den bruger emulatoren kører som uanset, hvor
meget kontrol du har over guest systemet. Om det overhovedet kan
kaldes angreb kommer jo an på om emulatoren er designet til at
forhindre det. En emulator kan godt være designet efter, at
programmer under emulatoren skal have kontrol over host systemet,
hvis de ønsker det. Jeg tror dog ikke dette er tilfældet med
VMware, for programer under VMware skal det vist nok være helt
umuligt, at afgøre om de kører under VMware eller rigtig hardware.
Og i så fald skal det heller ikke være muligt for programmerne at
få kontrol over host systemet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Soren Pedersen <smp@privat.dk> wrote:
> maskine som kører w2k. Planen er så at lukke op i routeren til Linux
> partitionens (den får sin egen fysiske disk) IP adresse (som er forskellig
> fra W2K partitionens)....Vil det gå an, eller vil det være for nemt for
> ubudne gæster (jeg forventer ikke proffessionelt "besøg") at få adgang til
> resten af maskinen som er formateret med FAT32 ??

Det vil kraeve en del energi og evner at bryde ud gennem VMWare. Du
spoerger fordi du ikke vil risikere indholdet af din Windows
partitioner?

Den nuvaerende trend inden for script kiddies er at udnytte servere til
opbevaring af deres musik og film samling, og til det vil en Linux i
VMWare sikkert vaere fremragende. Saa soerg for at holde den opdateret.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org