Security Professionals - ipfw add deny all from eindgebruikers to any

Linux VM help

23-04-2014, 21:04 door ab2604, 27 reacties
Laatst bijgewerkt: 23-04-2014, 21:05
Ik maak gebruik van Linux live-DVD's wanneer ik thuis zelf ga bankieren. Echter, op mijn werk moet ik gemiddeld 7x per week inloggen bij de bank en het booten van een live-DVD duurt elke keer 5 minuten en het daarna opstarten van Windows ook. Dus 7x 10 minuten, gemiddeld ben ik dan 70 minuten per week kwijt op mijn werk bij gebruik van een live-DVD.

Dus heb ik vandaag Virtual Box geïnstalleerd op mijn werk. Ik heb mijn favo distro, Linux Mint, nu nog even als ISO bestand op de harde schijf staan. Opstarten vanuit de VM gaat in 1 minuut; voor mij dus een betere optie (ondanks de mindere veiligheid maar 70 minuten per week duurt gewoon te lang).

Ik ben nu van plan Linux Mint in de VM te installeren zodat ik Mint en de browser e.d. ook up to date kan houden zodat we ook voldoen aan de nieuwste eisen van de banken (zucht...) Een virusscanner zal ik dan ook om die reden maar installeren...

Mijn vraag is nu: ik heb geen ervaring met VM's. Zijn er in dit geval nog specifieke dingen waar ik op moet letten of kan ik Linux Mint gewoon in de VM installeren zoals je dat ook op een gewone (niet virtuele) schijf zou doen?

Alvast bedankt voor de tips!
Reacties (27)
23-04-2014, 21:33 door Anoniem
Precies.
23-04-2014, 21:34 door Anoniem
Op de duitse website: www.com-magazin.de kun je wel van alles vinden ovet vm.
Ik heb vorig jaar in Duitsland het bijbehorende blad gekocht en daar zat een dvd bij met o.a. Virtual box 4.2.12 en ook kant en klare voorgeconfigureerde virtuele pc,s o.a. android 4.1.1. Mageia,pc linux os etc.
Het was de juli uitgave,7/2013.
Wellicht heb je hier wat aan.
Mvg
Jan
23-04-2014, 21:48 door [Account Verwijderd] - Bijgewerkt: 23-04-2014, 22:00
[Verwijderd]
23-04-2014, 21:59 door Anoniem
Of... gebruik een memorystickje, zoals met Fedora 20 Gnome editie 64 bits erop. Die boot op mijn netbook in onder 1 minuut. De meer lichte edities (Xfce of LXDE) zijn nog sneller, maar hebben standaard geen Firefox geinstalleerd. Shutdown in ongeveer 5 seconden. Daarna kun je geduldig Windows weer opstarten ;)
23-04-2014, 22:54 door Anoniem
Stel je firewall van je linux machine zo in dat je alleen toegang hebt tot je bank websites.
Maakt het weer een stukje lastiger om kwaad te doen.
24-04-2014, 10:03 door Anoniem
Het is een goed plan om een Linux Live boot-cd te gebruiken in een VM voor je bankzaken, zo doe ik het ook.
Persoonlijk zou ik juist geen installatie doen in de VM, omdat de kans dat een malware infectie de VM besmet (dat kan ook gebeuren onder Linux) dan groter wordt. Als je geen installatie gebruikt en alleen een iso, dan zijn alle eventuele aangebrachte wijzigingen door een malware infectie weer verdwenen bij een volgende boot.
Is het niet voldoende om geregeld de nieuwste Mint iso te downloaden en die te gebruiken? Ik gebruik Knoppix en vindt dat een fijne manier van werken.
Uiteraard de vm puur en alleen gebruiken voor het bezoek aan de website van je bank en geen enkele andere websites. En mocht je toch een installatie willen gebruiken, dan zou ik sowieso Noscript en ABP installeren. En verder geen sharing tussen de host en guest toestaan.

Mocht je het helemaal veilig willen doen, dan kan je je (hardware) firewall nog instellen dat voor deze vm alleen uitgaand verkeer richting je bank wordt toegestaan. Stel je toch nog een infectie krijgt (vaak in de vorm van een dropper) dan kan die tenminste geen contact leggen met andere servers om malware te downloaden.

Succes!
24-04-2014, 12:02 door Anoniem
Door Anoniem: Het is een goed plan om een Linux Live boot-cd te gebruiken in een VM voor je bankzaken, zo doe ik het ook. !

Moet je wel je Live CD/DVD up to date houden om aan de 'eisen' van de bank te voldoen en dat is weer lastig. Daarnaast moet je per gestarte CD/DVD sessie wel alleen maar naar je bank gaan, indien je voor je bankbezoek al op een andere site geweest bent kunt je immers al een besmetting opgelopen hebben.
24-04-2014, 18:19 door ab2604
Dank voor de tips allemaal! Nog een paar vragen (ook namens mijn baas..):

- is het bankieren in in vm/linux echt zo veel veiliger dan gewoon onder Windows? Loont het de moeite?

- heeft VirtualBox ook invloed op de snelheid van een systeem op het moment dat de VM niet wordt gebruikt/geopend?

- als er een virus van de host in de VM komt kan dit virus dan iets uitrichten in de VM? Het virus is dan toch een windows virus dat niets kan doen in Linux?
24-04-2014, 21:55 door Ramon.C - Bijgewerkt: 24-04-2014, 21:57
Door ab2604:
- is het bankieren in in vm/linux echt zo veel veiliger dan gewoon onder Windows? Loont het de moeite?

Het is zeker de moeite waard. Er worden minder virussen (code) geschreven voor Linux/Unix systemen dan voor Windows. De reden hiervoor is dat Windows in het algemeen meer wordt gebruikt, ook bedrijven en andere commerciële instellingen maken voor het grote deel gebruik van Windows systemen. De kans is dus stukken kleiner dat je Linux systeem geïnfecteerd raakt.

Voor je VM adviseer ik je om de firewall aan te zetten en te configureren, een virtuele toetsenbord (onboard) te gebruiken, zodat ook je toetsenbord aanslagen niet kunnen worden onderschept als de Host is geïnfecteerd met Malware/keyloggers. Als je bestanden opslaat in je VM die je op USB wilt zetten, dan zal je ook een virusscanner moeten installeren van b.v ClamAntivirus.

Pas ook je instellingen aan voor de Virtualbox cliënt! Gebruik GEEN guest additions, gedeeld klembord alleen van host naar gast, drag 'n drop uitgeschakeld, runtime wijzigen niet bijhouden, mappen niet delen, en gebruik liever geen NAT.

Door ab2604:
- heeft VirtualBox ook invloed op de snelheid van een systeem op het moment dat de VM niet wordt gebruikt/geopend?

Nee.


Als je echt alleen specifiek gebruik maakt van een VM voor internetbankieren, waarom Linux Mint? Je kan beter iets lichter gebruiken met minder bloat.

Als het voor persoonlijk gebruik is, waarom geen Portable Virtualbox voor je USB met daarop een Linux distro in persistent modus. Deze kan je zowel in Windows opstarten en kan worden gebruikt als volledig systeem (booten via USB).

http://www.pendrivelinux.com/tag/portable-virtualbox/
http://www.linuxliveusb.com/download (aangeraden)

Als je een 64-bit systeem gebruikt en je hebt genoeg RAM, voor veilig internetbankieren is Qubes OS uitstekend (http://qubes-os.org/trac)
25-04-2014, 00:28 door Anoniem
Een keylogger onder windows zal ook de keys loggen die je in vm typt, dus of dat veiliger is ? Ik denk eerlijk gezet dat letterlijk booten van een linux live cd veiliger is dan een vm onder windows !
25-04-2014, 05:36 door Euro10000 - Bijgewerkt: 25-04-2014, 05:37
Laat je baas eens met een echte it bedrijf praten, dit is een halve oplossing.
Koop een 300 euro intel pc en zet daar linux op, en je bent veilig, als je baas dit nog niet kan betalen? Weet je wel voor de veiligheid.

Topic starter je weet niet hoe virtualbox werkt en je adviseert dit voor een bedrijf, en je wilt zo een bedrijf beveiligen.
En iso file kun je wijzigen.
Je linux is niet up to date met een iso werken,(bank vergoed nu niks meer)
etc
etc
etc
Je verhaal gaat dus niet op om het zo te doen.
Dus nogmaals, laat je adviseren door een it bedrijf.
25-04-2014, 06:47 door [Account Verwijderd]
[Verwijderd]
25-04-2014, 10:10 door ab2604


Voor je VM adviseer ik je om de firewall aan te zetten en te configureren, een virtuele toetsenbord (onboard) te gebruiken, zodat ook je toetsenbord aanslagen niet kunnen worden onderschept als de Host is geïnfecteerd met Malware/keyloggers. Als je bestanden opslaat in je VM die je op USB wilt zetten, dan zal je ook een virusscanner moeten installeren van b.v ClamAntivirus.

Pas ook je instellingen aan voor de Virtualbox cliënt! Gebruik GEEN guest additions, gedeeld klembord alleen van host naar gast, drag 'n drop uitgeschakeld, runtime wijzigen niet bijhouden, mappen niet delen, en gebruik liever geen NAT.


Bedankt voor de tips Ramon.C; een paar vragen hierover:

- waar vind ik een virtueel toetsenbord in Linux?
- gedeeld klembord en slepen zijn volledig uitgeschakeld; is dat ook goed?
- runtime wijzigingen niet bijhouden > hoe stel ik dat in?
- bij instellingen/gedeelde mappen staan nu "Machine mappen" en "Tijdelijke mappen" Volgens mij is dat standaard en ik heb geen gedeelde mappen toegevoegd. Ik heb dus geen gedeelde mappen nu toch?
- geen NAT? Welke instellingen kan ik dan beter wel gebruiken daarvoor (en waarom)?

Tenslotte, kan ik nog iets met de functie "snapshot"?
-
25-04-2014, 10:27 door Anoniem
Snapshot maak je van een systeem die in goede staat is dus draaiend enzovoort welke je kan terugzetten als je in een later stadium iets sloopt.
25-04-2014, 20:48 door Ramon.C - Bijgewerkt: 25-04-2014, 20:54
Door ab2604:
- waar vind ik een virtueel toetsenbord in Linux?
-

$ sudo apt-get update && sudo apt-get install onboard

Na het installeren zal de snelkoppeling verschijnen in het sub-menu Universal Acces. Toch raad ik je aan om via de software manager of beter nog, synaptic, het programma virtual keyboard te zoeken..

Door ab2604:
- gedeeld klembord en slepen zijn volledig uitgeschakeld; is dat ook goed?

Beter zelfs. Dit is een extra maatregel.

Door ab2604:
- runtime wijzigingen niet bijhouden > hoe stel ik dat in?

Open Virtualbox. In je Vbox manager, open de instellingen van de desbetreffende VM. Algemeen > Geavanceerd > Onthoud runtime wijzigingen.

Door ab2604:
- bij instellingen/gedeelde mappen staan nu "Machine mappen" en "Tijdelijke mappen" Volgens mij is dat standaard en ik heb geen gedeelde mappen toegevoegd. Ik heb dus geen gedeelde mappen nu toch?

Correct.

Door ab2604:
- geen NAT? Welke instellingen kan ik dan beter wel gebruiken daarvoor (en waarom)?

Ik raad je aan om in 'bridged mode' te werken. Direct opgenomen worden in het netwerk is beter dan dat de verbindingen via je de firewall gaan van het Host systeem. Je kan het zelfs nog beter beveiligen om een interne netwerk aan te maken met Vbox. Gebruik een Firewall tussen je VM en Host. Gebruik b.v pfSense, Smoothwall, Endian of IPcop. Het is in mijn opinie de beste manier. Als je nog vragen hebt, laat maar weten. Succes
26-04-2014, 00:03 door Eric-Jan H te D
Denk ook eens aan LPS in plaats van zelf een veilige Linux op te tuigen.

Daarnaast is draaien van een USB-stick waarbij het USB-systeem geen toegang
tot de harde schijf heeft aan te raden in plaats van een Vbox. Zowel wat de
veiligheid van het systeem van je baas als wat je eigen veiligheid.

http://spi.dod.mil/lipose.htm

... "For example, boot LPS immediately before performing any online banking transactions"....
26-04-2014, 19:03 door ab2604
Ramon.C bedankt! Nog een laatste vraagje:

als ik in de VM instellingen de videokaart op bijvoorbeeld 64 MB instel ben ik die 64 MB dan ook kwijt als ik de VM niet gebruik? Of geldt hiervoor hetzelfde als voor het ingestelde RAM geheugen, namelijk dat het alleen wordt gebruikt als de VM daadwerkelijk wordt gebruikt?
27-04-2014, 14:25 door ab2604
Oke, alles draait soepel hier nu. Ik zit alleen nog steeds met de vraag of ik NAT of Bridge moet instellen. Hier wordt geadviseerd Bridge te gebruiken maar ik heb me er nu (een beetje...) in verdiept en vraag mij af of voor onze specifieke toepassing (bankieren in de VM) het niet logischer is NAT te gebruiken? Als ik het goed heb begrepen is de quest dan niet te zien van buitenaf en in Bridge is dat wel het geval? In NAT is de VM dus eigenlijk beter afgeschermd dan in Bridge?

Hoop kan iemand hier nog een duidelijk antwoord op geven; alvast bedankt!!!
28-04-2014, 10:54 door Ramon.C
Door ab2604:

als ik in de VM instellingen de videokaart op bijvoorbeeld 64 MB instel ben ik die 64 MB dan ook kwijt als ik de VM niet gebruik? Of geldt hiervoor hetzelfde als voor het ingestelde RAM geheugen, namelijk dat het alleen wordt gebruikt als de VM daadwerkelijk wordt gebruikt?

Juist. Zolang de VM niet in gebruik is, dan kan er ook niks worden verbruikt van het Host systeem (reserved).

Door ab2604: Hier wordt geadviseerd Bridge te gebruiken maar ik heb me er nu (een beetje...) in verdiept en vraag mij af of voor onze specifieke toepassing (bankieren in de VM) het niet logischer is NAT te gebruiken? Als ik het goed heb begrepen is de quest dan niet te zien van buitenaf en in Bridge is dat wel het geval? In NAT is de VM dus eigenlijk beter afgeschermd dan in Bridge?

Hoop kan iemand hier nog een duidelijk antwoord op geven; alvast bedankt!!!

Dit is inderdaad correct. Als je direct word opgenomen in het netwerk via Bridged mode, dan kan, zeker met Linux Mint, anderen je systeem herkennen i.v.m gedeelte mappen e/o printer server, samba etc. Daarom raadde ik je hiervoor al aan om geen Linux Mint te gebruiken met al die bloat. Een OS puur voor bankieren, daar heb je alleen een firewall en browser voor nodig. Als je beetje bekend bent met het maken van een aangepaste distro, dan kan je je ''eigen'' OS compilen gebaseerd op Ubuntu zonder extra bloat. Dus alleen de desktop omgeving en een browser en natuurlijk alle recente updates. Met NAT is je VM niet zozeer afgeschermd. Vergeet niet dat alle verbindingen ook via het Host systeem gaat.

Gebruik nog een Firewall OS tussen het Host systeem en VM/VM (intern network) voor de beste resultaat. Dan kan je via de Firewall instellingen aanpassen zodat alleen bepaalde poorten, ip, en protocollen worden toegelaten. En IPS/IDS is natuurlijk ideaal om te gebruiken.

https://www.sans.org/reading-room/whitepapers/detection/understanding-ips-ids-ips-ids-defense-in-depth-1381
28-04-2014, 13:56 door ab2604
Ramon.C heel erg bedankt voor alle hulp; super!!

Nog een laatste vraag hierover: ik heb VirtualBox nu geinstaleerd in mijn standaard gebruikersaccount (met beperkte rechten) waarin ook alle andere dingen doe.

Is het wellicht nog beter voor de veiligheid om de VM in een apart gebruikersaccount (met beperkte rechten) te installeren en dit account alleen voor de VM te gebruiken?
28-04-2014, 15:27 door Anoniem
Schijnveiligheid dit, een keylogger onder Windows en je bent alsnog de pineut !
28-04-2014, 17:50 door Ramon.C
[Verwijderd]
28-04-2014, 18:04 door Ramon.C
Door ab2604:
Nog een laatste vraag hierover: ik heb VirtualBox nu geinstaleerd in mijn standaard gebruikersaccount (met beperkte rechten) waarin ook alle andere dingen doe.

Is het wellicht nog beter voor de veiligheid om de VM in een apart gebruikersaccount (met beperkte rechten) te installeren en dit account alleen voor de VM te gebruiken?

Dat is een extra maatregel. Echter, de kans dat er problemen ontstaan i.v.m rechten (VirtualBox) wordt uiteraard wel vergroot. Zeker weet ik dit niet dus durf er niks concreet erover te zeggen. Je zou het kunnen doen...

Door Anoniem: Schijnveiligheid dit, een keylogger onder Windows en je bent alsnog de pineut !

Vertel mij, als ik een virtual keyboard gebruik in een VM, hoe wilt een (software & hardware gebaseerde) keylogger van het Host systeem mijn keystroke's onderscheppen? Ik heb het niet over muis monitor en het maken van screenshots, in combi vaak gebruikt om passwords en dergelijke te onderscheppen.
28-04-2014, 19:59 door ab2604
Nogmaals bedankt allemaal voor de nuttige tips!

Ik zat net in te loggen op de bank op mijn laptop in een openbare ruimte (kon even niet anders..)

Als ik mijn laptop gebruik buitenshuis dan gebruik ik altijd een VPN verbinding (Mullvad).

Nu vraag ik me opeens af of een VPN verbinding ook helpt tegen keyloggers?

En kan het ook zinvol zijn om op de computers op mijn werk, die niet draadloos zijn, ook een VPN te starten voordat ik VirtualBox met Linux opstart? Zou dat nog een goede extra beveiligingslaag zijn of is dat zinloos in dit geval?
30-04-2014, 18:42 door ab2604
Iemand die antwoord kan geven op de vraag of een VPN verbinding de veiligheid van online bankieren verhoogt? Ben er namelijk wel heel erg benieuwd naar...
01-05-2014, 08:23 door Anoniem
Door ab2604: Nogmaals bedankt allemaal voor de nuttige tips!

Ik zat net in te loggen op de bank op mijn laptop in een openbare ruimte (kon even niet anders..)

Als ik mijn laptop gebruik buitenshuis dan gebruik ik altijd een VPN verbinding (Mullvad).

Nu vraag ik me opeens af of een VPN verbinding ook helpt tegen keyloggers?

En kan het ook zinvol zijn om op de computers op mijn werk, die niet draadloos zijn, ook een VPN te starten voordat ik VirtualBox met Linux opstart? Zou dat nog een goede extra beveiligingslaag zijn of is dat zinloos in dit geval?

Een VPN helpt niet tegen keyloggers. Een keylogger draait lokaal op je PC en vangt daar de toetsaanslagen af.

Een VPN zorgt er wel voor dat, indien je verbinding wordt afgetapt, de content eerst gedecrypt moet worden voordat het leesbaar is voor de mens.. Dit kan handig zijn als je gebruik maakt van een onveilig netwerk - al moet je je dan afvragen of je überhaupt wel vertrouwelijke acties wilt uitvoeren via het internet -. Een VPN is echter alleen zinvol als security-laag als je volledige vertrouwen hebt in de VPN-server. Daarnaast kan het bij een externe provider zo zijn dat ze een VPN als proxy aanbieden, waardoor het verkeer van de aanbieder naar het eindpunt nog steeds 'onveilig' is. In dat geval is het zeker niet veiliger.

Het verkeer van en naar een website die gebruik maakt van TLS/SLL (https -> dus ook tijdens internetbankieren) is al versleuteld.. Voor dit doeleinde is een VPN in principe niet nodig.
03-05-2014, 13:52 door ab2604
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.