Anonymisierung, Firewall oder Schwachstellen-Scanner fürs Netzwerk: Virtuelle Appliances können viele Rollen übernehmen. ZDNet erläutert das Konzept und stellt vier Komplettpakete samt Verknüpfung zum Download vor.
Virtuelle Maschinen haben die IT-Industrie in den letzten 18 Monaten im Sturm erobert[2]. Immer mehr Firmen nutzen die Möglichkeit, ihre Server optimal auszulasten, indem sie mehrere virtuelle Server auf einem physikalischen Computer laufen lassen. Auch im Privatbereich haben virtuelle Maschinen viele Freunde gefunden: Sie eignen sich perfekt, um Erfahrungen mit anderen Betriebssystemen zu sammeln oder Programme auszuprobieren, ohne das eigene System zu verunreinigen. Somit sind sie ideal zum Lernen. Schließlich kann ein ausreichend dimensionierter PC mehrere VMs parallel hosten - so entsteht ein virtuelles Netzwerk, perfekt für Tests und Training.
Und aus noch einem Grund sind virtuelle Maschinen eine gute Idee für Privatanwender. Eine VM kann natürlich auch eine sehr sichere Umgebung für den Internetzugang darstellen oder gleich eine ausgewachsene Firewall hosten. Der Netzwerkzugang geschieht durch virtuelle Bridges[3] oder Network Address Translation[4] (NAT). Wer Angriffe durch Trojaner oder feindliche Webseiten fürchtet, schiebt mit einer VM ein zusätzliches Sicherheitspolster zwischen seinen PC und das Internet.
Bildergalerie
Virtuelle Appliances: Robuster Schutz vor realen Bedrohungen[5]
» zur Bildergalerie ...[5]Damit solche Konfigurationen keine Ewigkeitsarbeit werden, bieten die meisten Hersteller von Virtualisierungssoftware wie Microsoft[6], Vmware[7] oder Parallels[8] fertig installierte und konfigurierte VMs an, die man nur noch herunterladen und mit der Virtualisierungssoftware starten muss. Die Pakete werden entweder vom Hersteller selbst oder aber - und das ist der häufigere Fall - von der Community bereitgestellt und reichen von Firewalls jeder Größe über komplette Betriebssysteme bis hin zu Anwendungen wie Messaging- und Kollaborationslösungen.Der Grund, warum sich komplette Rechner samt Netzwerkschnittstelle und Festplatte virtuell abbilden lassen, liegt in der Virtualisierungstechnik[9].
Vmware, Microsoft und Parallels verwenden einen Ansatz, der auch als Full-Virtualization[10] bezeichnet wird. Dabei bildet die Virtualisierungssoftware innerhalb der VM einen PC komplett nach - das Betriebssystem glaubt, auf einem ganz gewöhnlichen, physikalisch vorhandenen Computer installiert zu sein. Die tatsächlichen Eigenschaften des Hosts werden versteckt, der virtuelle PC ist mit generischer Hardware ausgestattet. Das hat den Vorteil hoher Flexibilität. Im Prinzip kann jedes Betriebssystem auf einem Host virtualisiert werden, solange Treiber für die generische Hardware vorliegen. Nachteil sind jedoch Leistungseinbußen, die die Geschwindigkeit des Hosts und der VMs beeinträchtigen.
Im Gegensatz dazu nutzt Para-Virtualisierung[11] einen Hypervisor - eine Software, die als dünne Abstraktionsschicht unterhalb des Host-Betriebssystems liegt und Speicher- sowie CPU-Ressourcen verteilt. Das Gastbetriebssystem nutzt große Teile des Host-Betriebssystems, wobei der Hypervisor für die Trennung in separate Prozesse sorgt. Offensichtlicher Nachteil ist die Limitierung der Gastsysteme auf das Betriebsystem des Hosts. So war es früher mit Xen, dem bekanntesten Vertreter der Para-Virtualisierung, nur möglich, weitere Linux-Gäste zu hosten. Allerdings haben die mittlerweile standardmäßig in aktuelle Prozessoren von AMD und Intel eingebauten Virtualisierungserweiterungen (VT) diesen Nachteil wieder aufgehoben. Xen und dessen kommerzieller Ableger Xensource erlauben im Verbund mit einem VT-fähigen Prozessor alle Arten von Gastsystemen, auch Windows.
Spannend kann es auch werden, wenn Windows Server 2008[12] (Codename Longhorn) auf den Markt kommt, der über recht weitreichende Virtualisierungsfunktionen (Viridian) verfügt. Allerdings hat Microsoft erst vor kurzem bekannt gegeben, dass im ersten Release noch nicht alle Features integriert sein werden. Die Virtualisierungsanbieter bekommen also noch etwas Aufschub.Virtuelle Appliances funktionieren nicht aus sich selbst heraus, sondern nur in Zusammenarbeit mit der Virtualisierungssoftware des Herstellers. Das ist aber kein Problem, denn mit Ausnahme von Parallels geben alle Anbieter bestimmte Versionen ihrer Software kostenlos heraus:
- Microsoft: Virtual PC 2007[6], Virtual Server 2005 R2[13]
- Vmware: Vmware Server[14]
- Parallels: 30-Tage-Demo[15]
- Innotek: Virtualbox[16]
- Xensource: Xensource Xen Express[17]
Will man die Software nicht installieren, gibt es eine Alternative: Die Hersteller haben, wieder mit Ausnahme von Parallels, einen so genannten Player im Angebot, der nicht anderes tut, als eine VM zu starten und abzuspielen. Eigentlich ist es egal, ob man mit der Vollversion, einer eingeschränkten Variante oder einem reinen Player arbeitet. Allerdings erleichtert es den Einsatz als Sicherheitslösung, wenn man Snapshots anfertigen kann. Auf diese Weise wird einfach der Systemzustand innerhalb der VM auf einen vorherigen Stand zurückgesetzt. So spielt es keine große Rolle, was während des Surfens in einer VM passiert - die nächste Session beginnt wieder an Punkt Eins. Bookmarks und andere speichernswerte Infos muss man natürlich außerhalb der VM ablegen.
Oft sind die Formate der virtuellen Appliances untereinander kompatibel. So kann man von Microsofts Website fertige Appliances mit Vista, Windows Server 2003 R2, SQL Server, Exchange und einigen weiteren Anwendungen herunterladen. Sie laufen sowohl mit Microsofts Virtual PC und Virtual Server, lassen sich aber auch problemlos mit Vmwares Player starten. Die Anwendung einer virtuellen Maschine ist denkbar einfach: Gewünschte Virtualisierungssoftware installieren, Speicherort der Appliance suchen und auf "Öffnen" klicken, fertig.
Manchmal fragt die Software in einem Auswahldialog nach der UUID[18] - das ist immer dann der Fall, wenn sich die Appliance die Speicherorte der Erstellung gemerkt hat. Mit einem Klick auf "Create" ist die Abfrage in der Regel am besten beantwortet: In Zukunft startet die Appliance, ohne nachzuhaken. Was die Netzwerkverbindung angeht, kommt es auf die Appliance an. Generell blendet die Virtualisierungssoftware alle logischen Netzwerkanschlüsse der Appliance ein. Sie sind dann zwar mit dem Host logisch, aber noch nicht physisch verbunden. Das passiert erst, wenn man im dazu gehörenden Auswahlfenster eine der Verbindungsoptionen - NAT, Bridged oder Host-only - wählt.
Bridged führt zu einer direkten Verbindung mit dem eigenen Netzwerk - der virtuelle Adapter kann eine Adresse aus dem eigenen IP-Bereich bekommen. NAT führt, wie bei einem Internetzugang, zu einer Übersetzung der internen IP-Adresse. Die Adresse des Adapters ist dann eine völlig andere, als die des eigenen Netzwerks. Die Virtualisierungssoftware übernimmt die Übersetzungsarbeit. Host-only führt zu einer Netzwerkverbindung, die nur andere virtuelle Maschinen auf diesem Host sehen können, ist also vor allem für Testumgebungen geeignet.Virtuelle Appliances findet man auf den Webservern der Hersteller. Vmware und Parallels haben sogar eigene Subseiten mit Downloadbereich, Diskussionsforen und Knowledgebase. Vmwares Technology Network[19] (VMTN) ist eine Fundgrube für Virtualisierungsinteressierte. Wer selbst aktiv werden möchte, findet dort auch Anleitungen zum Erstellen von Appliances.
Bei Microsoft sucht man am besten im zentralen Downloadbereich[20] nach "VHD" - damit werden alle Downloads im VM-Format angezeigt. Zum Teil verlinkt auch VMTN auf Microsoft, die Links sind allerdings zum Zeitpunkt des Tests allesamt nicht funktionsfähig.
Bei Parallels heißt das Ganze Parallels Technology Network[21] (PTN) und ist etwas weniger gut ausgestattet als Vmware. Nachdem das PTN erst vor kurzem gestartet wurde, kann sich der Informationsinhalt aber noch ändern. Schon jetzt stehen kostenlose, vorkonfigurierte Blog-, Mail-, Wiki-, Oracle-Express- oder My-SQL-Server- sowie Openoffice-Appliances zum freien Download bereit.
Trotzdem ein Wort der Vorsicht: Nicht alle Appliances sind wirklich komplett frei und kostenlos. Manche Angebote haben die Hersteller zeitlimitiert, andere hingegen sind nur für den privaten Einsatz kostenlos. Bei Vmware sollte man auch einen Bittorrent-Client[22] installiert haben. Viele der VMs gibt es nicht als HTTP-Download, sondern nur als Torrent.Janus VM[23] (Vmware)
Mit Janus bleibt man anonym, so anonym wie nur irgend möglich. Die Appliance nutzt das TOR-Netzwerk zur Anonymisierung, schützt vor Man-in-the-Middle-Angriffen, blockt diverse Java- sowie Flash-Attacken und filtert praktisch jede auch nur annähernd persönliche Information aus dem Datenstrom des Browsers.
Monowall[24] (Vmware)
Die "M0n0wall"-Firewall ist klein, schnell und relativ einfach zu konfigurieren - genau das richtige, um den eigenen PC vor Angriffen von Außen zu schützen.
Hacking and Networking Security Usage & Training Tool[25] (Vmware)
Diese Appliance ist eine linuxbasierte Sammlung von Hacking- und Cracking-Tools, mit denen man sein Netzwerk auf Schwachstellen testen kann. Zu den installierten Anwendungen gehören neben der Suse-Base-Install die Packet-Sniffer Dsniff und Ethereal, der Passwort-Knacker John Ripper, das Exploit-Tool Metasploit, der Schwachstellenscanner Nessus und eine ganze Reihe mehr.
Gateway[26] (Parallels)
Dieses Sicherheitsgateway ist ein kompakter aber leistungsfähiger Filter. Es zielt darauf ab, ein kleines, privates Netzwerk zu schützen. Enthalten ist eine webkonfigurierbare Firewall mit NAT, ein Proxy-Server und ein Statistikmodul für den Netzwerktraffic. Zugriff von Außen gewährt es für HTTP, ICQ, FTP, SSH und DNS.
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/
[23] = http:/
[24] = http:/
[25] = http:/
[26] = http:/