Перейти к содержанию
Celsus

Насколько хороши модели защиты с использованием виртуальных машин?

Recommended Posts

Rustock.C
Не пройдет, но это неоптимальное решение.

Он пройдёт через хост-систему и не будет засечён файрволом на хосте. Яркий пример этому TDL4, который использует https.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Он пройдёт через хост-систему и не будет засечён файрволом на хосте. Яркий пример этому TDL4, который использует https.

У меня на хосте стоит NIS 11 и когда TDL4 пытается что-то отослать(или принять) по протоколу https, то появляется предупреждение о TidServ Activity 2, а когда через http то о TidServ Activity.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

На самом деле не все так просто... Важно, что за антивирус и на каком уровне перехватывает. В простейшей ситуации все верно - режим nat виртуалки не более чем подмена ip виртуалки на ip хоста (и наоборот) - как следствие далее прехватчик firewall или антивируса все поймает. Не поймает он только одно - SSL шифрованный контент он не сможет проверить (но в большинстве случаев это и не нужно). Но такой случай выходит за условия топикстартера - получается ПК с антивирусом плюс еще и виртуалка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
нет. В любом случае для подключения к сети используется некоторое реальное устройство, иначе сеть просто не будет работать.

Идея была - можно ли сделать доступ Guest к реальному устройству (сетевой карте или модему). В самом Guest при этом устройство, вроде, все равно будет виртуальное. И сделать подключение к сети и Интернет только в Guest, а в Host выход в сеть/Интернет (даже при установленном и включенном сетевом устройстве) не делать. Попытался изобразить на рисунке. По причине отсутствия сети/Internet в Host, можно было бы в Host не опасаться нападения worm или чего-нибудь еще.

adfd84f9d0f6ddfce6ff2bf7e43bc208.png

На мысль, что так можно сделать, привел абзац из статьи. Но до конца не понял, о чем именно написано в следующей цитате (представление схемы подключения с USB-ADSL не появилось):

Наибольшую проблему представляют виртуальные сетевые карты, через которые гостевая операционная система легко доберется до основной. Все виртуальные карты в обязательном порядке должны быть отключены! Но… если у нас нет сети, как же тогда общаться с внешним миром и ловить трафик? Вариантов много. Вот только один из них: ADSL-модем с USB-интерфейсом, подключенный к виртуальной машине с выдернутой сетевой картой и заблокированными шарами.

==

Если вывод, сделанный из ответов, правильный, то при любом способе подключения Guest к Интернет и сети понадобится подключение Host к Интернет и сети. Со всемы вытекающими последствиями: угрозами атаки/заражения Host и Guest.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Идея была - можно ли сделать доступ Guest к реальному устройству (сетевой карте или модему). В самом Guest при этом устройство, вроде, все равно будет виртуальное. И сделать подключение к сети и Интернет только в Guest, а в Host выход в сеть/Интернет (даже при установленном и включенном сетевом устройстве) не делать.

А почему бы не применить роутер ? Получим примерно указанное - сетевой интерфейс wan роутера выставлен в внешний мир, lan - в сторону ПК. Атака пк изне невозможна, весь обмен пк с внешним миром регламентируется правилами на роутере. От многих сетевых атак такая схема защищает на 100% - при этом на пк ничего не надо ставить, и технология хорошо отработана

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
А почему бы не применить роутер ? Получим примерно указанное - сетевой интерфейс wan роутера выставлен в внешний мир, lan - в сторону ПК. Атака пк изне невозможна, весь обмен пк с внешним миром регламентируется правилами на роутере. От многих сетевых атак такая схема защищает на 100% - при этом на пк ничего не надо ставить, и технология хорошо отработана

На локальном форуме провайдера тоже посоветовали поставить роутер. Буду смотреть в сторону варианта с роутером.

Вариант с виртуальной машиной был просто не до конца ясной идеей, вызвавшей сильное любопытство)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
singularity

ничего нового не скажу, но виртуальная машина - средство от многих угроз, но не от всех, против всяких кейлогеров она бессильна, а вот от дерьма пойманного на порносайте - самое то, главное пароли в ней не вводить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Скрин с моего домашнего компа:

Untitled.png

post-3736-1319901011_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
singularity

Umnik

это уже маппет-шоу какое-то :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Скрин с моего домашнего компа:

Untitled.png

Сказав А, нужно после этого сказать Ы :) Ну то есть - где скрин после нажатой кнопки "Подробно" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
ничего нового не скажу, но виртуальная машина - средство от многих угроз, но не от всех, против всяких кейлогеров она бессильна, а вот от дерьма пойманного на порносайте - самое то, главное пароли в ней не вводить :)

Linux, c любой системой контроля доступа (mac), и кейлогеры пойдут лесом :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

У человека, про которого я рассказывал, на самом деле выход в сеть только на виртуальной машине VMWARE через USB-модем Yota, а на основной системе сети нет. Вирусов, кроме пары троянов в временных папках, KVRT не нашел. Но с обычным подключением (оптоволокно, ADSL) - так наверное сделать будет нельзя?

Linux, c любой системой контроля доступа (mac), и кейлогеры пойдут лесом

В наборах эксплойтов бывают эксплойты или трояны для Linux? Хотя уже читал, что, вроде, для Linux вирусы не пишут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
В наборах эксплойтов бывают эксплойты или трояны для Linux? Хотя уже читал, что, вроде, для Linux вирусы не пишут.

Дело не в этом, а в том что с помощью mac, можно жестко задать поведение системы один раз. Прописать доступ обозревателя к определенным компонентам операционки, разрешить делать только определенные действия (открыть порт, закрыть и тд). А все остальное запретить.

При хорошей настройке, эксплоит не сможет даже выполнить шелл код.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Кстати говоря никто не мешает использовать несколько виртуальных машин. Особенно если не хочется возится с мандатным допуском.

1. Для онлайн-банкинга, ПО для этого + ip фильтры до сайтов банка. Остальное ПО и адреса жестко запретить.

2. Для важной почтовой переписки. IP фильтр до mail.ru, остальное запретить.

3. Для повседневного серфинга. Там можно любой срач устраивать :D

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amcenter
Кстати говоря никто не мешает использовать несколько виртуальных машин. Особенно если не хочется возится с мандатным допуском.

1. Для онлайн-банкинга, ПО для этого + ip фильтры до сайтов банка. Остальное ПО и адреса жестко запретить.

2. Для важной почтовой переписки. IP фильтр до mail.ru, остальное запретить.

3. Для повседневного серфинга. Там можно любой срач устраивать :D

+1. Поддерживаю! Уже достаточно долго использую виртуальные ОС для обеспечения безопасности и просто для работы со специальным софтом (дабы не нагружать хостовую машину). Под каждую задачу своя ОС , причем если виртуальная ОС на виндовс, то на нее вполне можно поставить и антивирус с фаерволом. А линукс вообще красота!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
+1. Поддерживаю! Уже достаточно долго использую виртуальные ОС для обеспечения безопасности и просто для работы со специальным софтом (дабы не нагружать хостовую машину). Под каждую задачу своя ОС , причем если виртуальная ОС на виндовс, то на нее вполне можно поставить и антивирус с фаерволом. А линукс вообще красота!

Вы путаете распределение задач с обеспечением безопасности. Как я это вижу, использовать виртуальные машины для обеспечения безопасности не имеет ни малейшего смысла.

- Если основная машина защищена, то делать беззащитные виртуалки зачем?

- Если основная машина беззащитна, то смысл прикладывать усилия к защите виртуалки? Лучше их потратить на основную машину.

- Некоторые вообще полагают, что виртуальную машину проще отыспользовать и восстановить из образа, если она заразилась. Это вообще в корне неправильный подход, ведь заражённая машина не будет тихо вариться в себе, она будет "фонить" при работе. Хуже того, потоки данных так или иначе будут иметь место между реальными и виртуальными системами, изолированные они почти никому не нужны. А раз есть канал передачи данных, то есть и вероятность передачи заражения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Это вообще в корне неправильный подход, ведь заражённая машина не будет тихо вариться в себе, она будет "фонить" при работе. Хуже того, потоки данных так или иначе будут иметь место между реальными и виртуальными системами, изолированные они почти никому не нужны. А раз есть канал передачи данных, то есть и вероятность передачи заражения.

Вы можете назвать каналы передачи данных, при грамотной настройке изоляции от хоста (например доступ к расшареной папке с виртуальной ОС, только для чтения)?

VMware VMsafe вам о чем нибудь говорит? Даю подсказку http://www.vmware.com/technical-resources/...0&width=820

Кстати, восстановить виртуальную ОС из snapshots, дело 3-х минут, можно хоть через каждые полчаса серфинга делать откаты.

Ну о примерах виртуальная ОС на линуксе, той же убунте можно не говорить.

Пример VirtualBox (как одной из самых массовых, бесплатных виртуалок) - каждый раз при её выключении, в диалоговом окошке, появившемся после щелчка по кнопке-крестику закрытия окна машины, выбирается вариант "Выключить машину" и ставиться галка "Вернуться к текущему снимку".

39.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Вы можете назвать каналы передачи данных, при грамотной настройке изоляции от хоста (например доступ к расшареной папке с виртуальной ОС, только для чтения)?

VMware VMsafe вам о чем нибудь говорит? Даю подсказку http://www.vmware.com/technical-resources/...0&width=820

Кстати, восстановить виртуальную ОС из snapshots, дело 3-х минут, можно хоть через каждые полчаса серфинга делать откаты.

Ну о примерах виртуальная ОС на линуксе, той же убунте можно не говорить.

Пример VirtualBox (как одной из самых массовых, бесплатных виртуалок) - каждый раз при её выключении, в диалоговом окошке, появившемся после щелчка по кнопке-крестику закрытия окна машины, выбирается вариант "Выключить машину" и ставиться галка "Вернуться к текущему снимку".

39.png

Так я понимаю, что снапшоты можно возвращать. Вы покажите, где это работает? Кто реально так делает?

Ведь основной компьютер тоже можно настроить безопасно. МОЖНО. Для этого есть все руководства и практики. Покажите, сколько людей так делает?

Проблема не в наличии/отсутствии инструментария. Проблема всё равно остаётся в том, что люди не считают должным учиться. А если учиться и сделать основной компьютер безопасным, то виртуальные линуксы не имеют смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Так я понимаю, что снапшоты можно возвращать. Вы покажите, где это работает? Кто реально так делает?

Ведь основной компьютер тоже можно настроить безопасно. МОЖНО. Для этого есть все руководства и практики. Покажите, сколько людей так делает?

Проблема не в наличии/отсутствии инструментария. Проблема всё равно остаётся в том, что люди не считают должным учиться. А если учиться и сделать основной компьютер безопасным, то виртуальные линуксы не имеют смысла.

Снапшоты работает в VirtualBox, VMWare Workstation, погуглите по названиям :rolleyes: Если вы специалист МУР то должны знать как это реализовано в XP МODE. А реально это делают все пользователи виртуалок.

Никакой безопасно настроенный ПК, не заменит виртуалку, если надо тестить неизвестное ПО, посмотреть действия вирусов, пройтись по неизвестным сайтам или потестить антивирусы. Про профессиональных тестировщиков софта, я не говорю, это их "хлеб".

Альтернатива, это только бэкап, но какой нормальный пользователь будет делать бэкап каждый день :facepalm:

Кстати, насчет учебы, виртуалка отличная вещь для этого, можно убивать систему в экспериментах по изучению, пока не надоест, без всякого риска для реальной :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Sorry, пусть виртуальные машины идеально подходят для решения вопросов тестирования, но такой метод работы не отвечает на вопрос, поставленный в топике.

Польза виртуальных машин в тестировании очевидна. Но суть заданного вопроса совсем иная. Поэтому мой ответ — нет, виртуальные машины не являются решением безопасности. А как обеспечить безопасность виртуальных машин? Делать виртуальную машину в виртуальной машине? А как обеспечить её безопасность? Так или иначе, для рядовых пользователей, для рядовых задач виртуальные машины не являются ответом на вопрос, поставленный изначально: безопасность выхода в Сеть следует обеспечивать на реальной машине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Sorry, пусть виртуальные машины идеально подходят для решения вопросов тестирования, но такой метод работы не отвечает на вопрос, поставленный в топике.

Польза виртуальных машин в тестировании очевидна. Но суть заданного вопроса совсем иная. Поэтому мой ответ — нет, виртуальные машины не являются решением безопасности. А как обеспечить безопасность виртуальных машин? Делать виртуальную машину в виртуальной машине? А как обеспечить её безопасность? Так или иначе, для рядовых пользователей, для рядовых задач виртуальные машины не являются ответом на вопрос, поставленный изначально: безопасность выхода в Сеть следует обеспечивать на реальной машине.

Если почитаете по теме, то я уже писал про безопасный выход в сеть с виртуалки, повторятся неохота. И виртуалка, это лишь одна моделей безопасности, настроенная на изолированность, своего рода "песочницы" или безопасной прослойки для реальной машины. В прочем достаточно, все "загадочное и сомнительное" открывать в виртуальной машине, которую можно держать загруженной. Но с чем я спорить не буду и никогда не спорил, реальная машина должна быть защищенная, иначе на дырявой и незащищенной реальной - виртуальная это :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

Спасибо за интересное обсуждение)

Когда возник вопрос, была обывательская идея: как уберечь документы или ценные mp3 файлы на хостовой машине от кражи и повреждения вирусами (троянами) (второе можно организовать с помощью прав доступа). Вопрос про защиту хостовой системы от атак из сети я оставил, так как, как мне кажется, должно хватить белого списка в firewall для исходящих (кстати, могут ли белые списки для исходящих уберечь от передачи данных с компьютера вирусами, для которых не требуется привелегия администратора?) и запрета всех входящих + роутер. Плюс, может, хипс, контролирующий запуск программ по белому списку типа "А вы точно хотите запустить эту программу, которую раньше не запускали?" и их сомнительную деятельность.

Настройка системы опять утыкается в права администратора. Так как ни разу не настраивал выход в сеть через виртуальную машину, даже не знаю, какие правила требуются для исходящих соединений на хостовой системе.

Было желание, что вирус на виртуальной машине не сможет проникнуть в реальную систему, ничего не прочитает и не зашифрует. Предназначение виртуальной машины - просто серфинг, почта, форумы... В идеале можно без страха щелкать на разные "кулинарные" сайты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amcenter
Вы путаете распределение задач с обеспечением безопасности. Как я это вижу, использовать виртуальные машины для обеспечения безопасности не имеет ни малейшего смысла.

- Если основная машина защищена, то делать беззащитные виртуалки зачем?

- Если основная машина беззащитна, то смысл прикладывать усилия к защите виртуалки? Лучше их потратить на основную машину.

- Некоторые вообще полагают, что виртуальную машину проще отыспользовать и восстановить из образа, если она заразилась. Это вообще в корне неправильный подход, ведь заражённая машина не будет тихо вариться в себе, она будет "фонить" при работе. Хуже того, потоки данных так или иначе будут иметь место между реальными и виртуальными системами, изолированные они почти никому не нужны. А раз есть канал передачи данных, то есть и вероятность передачи заражения.

Отвечаю. В моем случае хостовая и виртуальные ОС защищены антивирусами, фаерволами и настройками. Как обеспечивают виртуальные ОС безопасность для меня? Очень просто, если мне необходима новая программа под определенную задачу, то проверяю ее на отсутствие вирусов и шпионов на виртуальной машине, при этом даже если программа чистая, но как то напрягает, просто она будет существовать только в виртуальной среде и никогда на настоящем железе. Для скачивания в интернете существует отдельная виртуальная машина, оснащенная антивирусом отличным от хостовой машины, т.е. это буферная зона и конечно же на данной машине никакой личной информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Спасибо за интересное обсуждение)

Когда возник вопрос, была обывательская идея: как уберечь документы или ценные mp3 файлы на хостовой машине от кражи и повреждения вирусами (троянами) (второе можно организовать с помощью прав доступа). Вопрос про защиту хостовой системы от атак из сети я оставил, так как, как мне кажется, должно хватить белого списка в firewall для исходящих (кстати, могут ли белые списки для исходящих уберечь от передачи данных с компьютера вирусами, для которых не требуется привелегия администратора?) и запрета всех входящих + роутер. Плюс, может, хипс, контролирующий запуск программ по белому списку типа "А вы точно хотите запустить эту программу, которую раньше не запускали?" и их сомнительную деятельность.

Настройка системы опять утыкается в права администратора. Так как ни разу не настраивал выход в сеть через виртуальную машину, даже не знаю, какие правила требуются для исходящих соединений на хостовой системе.

Было желание, что вирус на виртуальной машине не сможет проникнуть в реальную систему, ничего не прочитает и не зашифрует. Предназначение виртуальной машины - просто серфинг, почта, форумы... В идеале можно без страха щелкать на разные "кулинарные" сайты.

1. Сохранить данные от повреждения при условии, что пользователь таки запустил malware, может только резервная копия. Система не может отличить malware от не-malware, поэтому никакие права доступа не помогут. Если бы отличить можно было, вопроса не возникло бы.

2. Host-based firewall исходящего трафика на поражённой машине не может удержать вообще ничего. Если malware запустилось с привилегиями администратора, оно изменит настройки firewall-а, если с правами пользователя — считает содержимое правил и воспользуется доступными. У вас же не может быть полного запрета на весь трафик, сеть перестанет работать.

3. Контроль запуска программ с вопросом не имеет смысла. Рядовой пользователь, хоть и считает себя умным человеком, недостаточно обучен для того, чтобы быть безопасником и принимать соответствующие решения. Иными словами, он тупо будет жать "да, я хочу, уберите от меня эту табличку, чё за дурацкие вопросы". Настоящий whitelist даст запустить только то, на что предварительно согласился администратор, это несравнимо безопаснее.

4. Если вы полагаете, что поразивший виртуальную машину вирус достаточно безобиден, чтобы продолжать сёрфинг-почту-форумы, что вам мешает не заморачиваться виртуальностью и просто работать с этим же вирусом в реальной машине? Он же неопасен, чё. Можно точно так же без страха вбивать свои пароли в форумы и почту, да?

То есть, если считаете, что в виртуальной машине вирус может жить, это нестрашно, то почему бы не дать ему жить в реальной машине? Это же ТОЧНО ТАК ЖЕ нестрашно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×