Вопрос: Как защитить взломанную виртуальную машину


Я хотел бы запустить Windows на виртуальной машине в моем linux-окне. Тем не менее, существует некоторая озабоченность других пользователей той же физической сетью, что, если ящик Windows взломан, тогда они будут эффективно иметь доступ к сети, как если бы они имели root на хосте linux.

Причина, по которой они считают, что это может быть скомпрометировано, заключается в том, что она не всегда будет работать и, следовательно, не будет иметь последних обновлений безопасности в течение некоторого периода после ее запуска.

Есть ли способ гарантировать, что даже если виртуальная машина Windows будет скомпрометирована, у них больше нет доступа к сети, чем обычный пользователь без полномочий root на локальном хост-компьютере?


2
2017-10-10 18:34


Источник


Таким образом, простое решение не ставит под угрозу работу компьютера, не подключая его к сети. Просто не давайте Windows-машине каких-либо разрешений на сетевых дисках. - Ramhound
@Ramhound. Если вы это сделаете, и он становится скомпрометированным, правда ли, что он все равно не сможет получить доступ к сети? - Lembik
Если виртуальная машина никогда не подключена к сети, тогда при ее сбое она не подключена к сети. - Ramhound
@Ramhound Мне нужно получить доступ к Интернету для обновления программного обеспечения и ОС на vm. - Lembik


Ответы:


Защитите свою виртуальную машину Windows как обычный сетевой компьютер, даже если это «только» виртуальная машина
Вы должны защитить свою виртуальную машину Windows так же, как вы должны защитить компьютер Windows, который непосредственно подключен к вашей сети:

  • Установите обновления безопасности.
  • Установите антивирус.
  • Запуск резервных копий для всех нетривиальных данных.
  • Отключите доступ root / admin или используйте сильную аутентификацию.
  • Установите только те службы, которые вам действительно нужны, и отключите остальные.
  • Храните системные журналы и регулярно отслеживайте их для важных сообщений.

Не забудьте указать лимиты / квоты на вашей виртуальной машине, чтобы ваша виртуальная машина не потребляла всю вашу емкость hdd / RAM / CPU / network / ...

Доступ к вашей сети
Тип доступа из виртуальной машины Windows в сеть зависит от вашей сетевой визуализации и требований к подключению к виртуальной машине. VM будет песочницей, если вы настроили ее как песочницу (например, используя сеть только для хоста). Если вы настроили его как просто другое устройство в своей сети, то это не будет песочница, но это будет просто еще одно устройство в вашей сети. Если внешний пользователь получает повышенные привилегии на виртуальной машине, это может так же в сети как будто устройство было напрямую подключено к сети.

Если, например, ваша Windows VM настроена как интернет-прокси-сервер, а внутренний или внешний пользователь получает повышенные привилегии на этом сервере, это определенно угроза безопасности, так как интернет-трафик всей вашей компании можно увидеть и манипулировать этим пользователем.

В общем, если есть конкретные и обоснованные рискует, что виртуальная машина Windows уязвима для атак, помещает виртуальную машину Windows в отдельный сегмент сети и использует брандмауэры и другие средства сетевой безопасности, такие как обратный прокси для предотвращения дальнейшего проникновения.

Доступ с вашей виртуальной машины к хосту VM
Есть (насколько я знаю) случаи реального мира, когда гость может обращаться к файлам на хосте, кроме файлов, которые «обычно» доступны через сеть или через общие каталоги. Поскольку это одна из ваших (или «их») проблем, эта ссылка к документу VMware может оказаться полезным. Я цитирую:

Виртуальные машины - это контейнеры, в которых приложения и гостевые   операционные системы. По дизайну все виртуальные машины VMware   изолированы друг от друга. Эта изоляция позволяет использовать несколько виртуальных   машины для безопасного использования при совместном использовании оборудования и   возможность доступа к оборудованию и их бесперебойная работа. Даже   пользователь с правами системного администратора на гостевой машине виртуальной машины   операционная система не может нарушить этот уровень изоляции для доступа   другая виртуальная машина без привилегий, явно предоставленных   Системный администратор ESXi.

Хотя в этой статье явно не указано так, это (насколько мне известно) также верно для доступа от гостя к самому хосту.

Что делать с «ними»? «Человеческий фактор»
Не забывайте о человеческом факторе в таких случаях, как ваш. Независимо от того, знают ли они «они», о чем они говорят, важно серьезно относиться к выражению их опасений (или вы рискуете, что их проблемы пойдут в неофициальную сеть вашей организации). Получите своего эксперта по VM в одной комнате с «ними» и расскажите о проблемах и оцените риски и серьезность этих рисков.


4
2017-10-10 19:22



Спасибо за это. Эта цитата является ключевой: «Если внешний пользователь получает повышенные привилегии на виртуальной машине, он может так же работать в сети, как если бы устройство было напрямую подключено к сети». Именно об этом они и беспокоятся. Поэтому ключевым моментом является настройка его как песочницы, которую мне нужно научиться делать. Единственная цель для Windows VM - написать и протестировать код для Windows. - Lembik
Убедитесь, что виртуальная машина может подключаться к сети / интернету (только при необходимости), но сеть / Интернет не может попасть в виртуальную машину. Вышеупомянутая «сеть только для хоста» (VM ware / Virtualbox имеет этот modus) делает именно это. Это может быть хорошей отправной точкой. - agtoever
Какой доступ имеет vm для локальной хост-машины? Может ли он прочитать мой закрытый ключ ssh? - Lembik
Есть (насколько я знаю) случаи реального мира, когда гость может обращаться к файлам на хосте, кроме файлов, которые «обычно» доступны через сеть или через общие каталоги. Видеть это Вопрос IS-SE. - agtoever
Это хорошие новости! - Lembik


«Они» не знают, о чем они говорят.

Локальный администратор на машине не имеет более или менее доступа к другим компьютерам в сети, чем пользователь, не являющийся администратором. Пользователям и / или учетным записям компьютеров должен быть предоставлен доступ к этим другим машинам; если это не было сделано, тогда они безопасны.

Если вы действительно беспокоитесь об этом, установите межсетевой экран между вашей виртуальной машиной и локальной сетью.


2
2017-10-10 18:41



Спасибо. Я должен был задать более общий вопрос. Каковы риски скомпрометированной гостевой виртуальной машины и как вы их смягчаете? Я действительно не хочу, чтобы он плохо себя чувствовал, как я. - Lembik
«Каковы риски скомпрометированной гостевой виртуальной машины и как вы их смягчаете?», То есть ПУТЬ слишком широкий вопрос для этого сайта. Если гостевая виртуальная машина работает с DOS без сетевого стека, то (в основном) нет, но если она работает с XP без обновлений и автоматического входа без пароля и открывается в Интернет, то это (потенциально) ДЕЙСТВИТЕЛЬНО ПЛОХО. Брандмауэры, сегрегация сети, решения для защиты от вредоносных программ и т. Д. Все могут помочь снизить риски, но это зависит от машины, сети и типа атаки, о которой вы беспокоитесь, поэтому нет никакого ответа. - Ƭᴇcʜιᴇ007
Я должен был сказать, что это будет Windows 7. Кажется, мне нужно разобраться, как установить межсетевой экран между локальной сетью и виртуальной машиной, как вы говорите, что это не было бы прорывом. - Lembik
Да, действительно, риски с добавлением виртуальной машины в сеть такие же, как если бы вы добавляли другую машину в свою сеть. Если эта машина становится скомпрометированной, она может получить доступ к ресурсам в вашей сети. У виртуальных машин действительно есть возможность быстро вернуться к снимку. Если вы вернетесь после каждого использования, вы должны быть в безопасности. - heavyd
Интересно, почему они думают, что это менее безопасно, чем любая другая машина, подключенная к сети. Это потому, что это виртуальная машина? Или потому, что это Windows? Поскольку «они», похоже, работают в сети, «они» должны знать, какие меры безопасности следует внедрять, как это, по-видимому, для «реальных» машин. - Ƭᴇcʜιᴇ007