[fli4l] Bestimmten?==?utf-8?Q? client in einem Netz isolie?==?utf-8?Q?ren?

K. Dreier usenetforum at gmx.net
Mo Feb 2 22:12:14 CET 2015


Hallo Christoph,

Christoph Schulz schrieb am Mo, 02 Februar 2015 19:37
> Ich habe deinen Artikel zweimal gelesen und weiß immer noch nicht,
> _was_ du 
> eigentlich erreichen willst.

Keine Sorge, liegt nicht an Dir.  :)  Danke jedenfalls, daß du dir
überhaupt die Mühe machst!

Zitat:
> Was soll die VM deiner Meinung nach dürfen und 
> was soll sie nicht dürfen? Der Begriff "isolieren" ist mir hier bei
> weitem 
> nicht aussagekräftig genug.

Also. Die VM darf sich in Teilen wie ein "normaler" client verhalten,
d.h. Zugang auf den fli4l, um Port 80 & Co (443, 53 etc.] zu erreichen
zwecks weiterem Zugang ins WAN. Also Input und Forward sind
diesbezüglich accepted. "Standard" sozusagen. Das ist vom Setup kein
Problem.

Jetzt habe ich ja zwei physisch getrennte Netze. Dummerweise aber ist
halt mein Setup so, daß die VM auf einem der NET_3-clients läuft
(bewusst, um es nicht auf meinem "trusted" NET_1 laufen zu lassen!].
Dieser NET_3-client ist aber eben auch jener, welcher quasi
unbeschränkten Zugriff auf NET_1 erhält. Muss so sein im Moment.
Blöde Idee? Ja, schon. Sollte ich die VM für echte "Sicherheit" auf
einem anderen Rechner, der in einem weiteren physisch getrennten Netz
läuft, laufen lassen? Natürlich. Aber es ist wie es ist und nehmen wir
halt diese Situation und machen das Beste draus.
Und jetzt die Frage: wie? Ich möchte es erreichen, daß diese VM
_keinen_ (unbeschränkten) Zugang zum Netz des Rechners hat, auf dem sie
läuft. In diesem Fall also NET_3.

Wie E.E. ja schrieb, was meine Idee mit dem NET_4 nicht ganz so blöd,
weil ich dann z.B. mit einem "Forward NET_4 NET_3 REJECT" wenigstens das
NET_4 - und damit die VM - den Zugang zum NET_3 verbieten würde
(aktuell ist sie im NET_3 und dort ist ja wohl ein "verbieten" nicht
möglich?]. Nicht bombensicher, aber doch - und das ist meine
eigentliche Frage - wohl besser, als wenn ich die VM einfach so, ohne
diese Veränderungen, auf dem NET_3-client laufen liesse, oder?

All das, ganz ehrlich, dient auch einem Lerneffekt. Je nach Ergebnis
kann auch bei rauskommen, daß das alles nichts bringt! IT-seecurity ist
ein Thema heutzutage, und es sollte noch viel mehr ein solches werden.
Dafür aber braucht es Wissen dazu, wie in verschiedenen Situation
sinnvoll vorgengangen werden kann. Auch in vielleicht etwas
ungewöhnlichen...

Gruß
Klaus


Mehr Informationen über die Mailingliste Fli4L