Virtualbox: Mehr Sicherheit durch kostenlose Virtualisierung

Virtuelle Maschinen bieten Anwendern eine sichere Umgebung für den Internetzugang, die erforderliche Software ist jedoch meist teuer. ZDNet stellt eine kostenlose Alternative vor, die zudem mit interessanten Funktionen aufwartet.

Virtualisierung ist zurzeit vor allem im Firmeneinsatz ein großes Thema. Unternehmen nutzen die Möglichkeit, durch mehrere virtuelle Maschinen auf einer physikalischen Hardware Auslastung und Management von Servern zu verbessern. Doch mit virtuellen Maschinen (VM) kann man auch als Privatanwender einiges anfangen.

Abgesehen von der interessanten Technik per se eignen sich die logischen "PCs im PC" dazu, neue Betriebssysteme kennen zu lernen und Erfahrung mit vernetzten Systemen zu sammeln, ohne mehrere Computer betreiben zu müssen. Gerade wenn es um die Sicherheit geht, kann eine VM sehr nützlich sein: Sie dient dazu, Programme in einer künstlichen Umgebung auszuführen und so deren Auswirkungen zu testen, ohne den eigenen Computer zu gefährden. Es gibt sogar fertig vorinstallierte Pakete mit virtuellen Appliances^[1] wie Firewalls, die man als Teil eines mehrstufigen Sicherheitssystems auf dem PC einsetzen kann.

Virtualbox Links zum Artikel Virtualbox Homepage  (Link[2]) Liste der unterstützten Gast- Betriebssysteme  (Link[3]) AMD-Netzwerktreiber für Windows-Vista- Hosts  (Link[4])

Virtualisierung auszuprobieren ist sogar kostenlos möglich. Microsoft gibt sowohl Virtual PC^[5] als auch Virtual Server^[6] gratis ab, Vmware immerhin noch die Server-Variante^[7]. Aber abseits der beiden Platzhirsche sind noch andere Anbieter mit ihren Lösungen präsent. Besonders interessant ist dabei die deutsche Firma Innotek^[8]. Ihr Produkt Virtualbox^[9] ist für Privatnutzer, Lehre und Forschung kostenlos. Die Bedingungen sind dabei sehr weit gefasst - selbst die kommerzielle Verwendung in Firmen ist erlaubt, solange die Software nicht über eine automatisierte Verteilung auf den PCs installiert wird. Virtualbox ist sehr universell, es läuft sowohl auf Windows PCs als auch auf Mac OS X und verschiedenen Linux-Derivaten. Auch bei den unterstützten Gast-Betriebssystemen ist die Auswahl groß. Neben den üblichen Windows- und Linux-Versionen ist sogar OS/2 lauffähig.

Zur Bedienung gibt es eine grafische Benutzeroberfläche. Die gleichen Funktionen stehen aber auch per Kommandozeile bereit, in Einzelfällen hat man per Befehlszeile sogar mehr Einfluss auf Virtualbox. Hier soll es nur um die Windows-Version von Virtualbox gehen - das ausführliche Handbuch (hier als PDF^[11]) hilft bei den Mac und Linux-Varianten weiter. Das Handbuch sollte man auch tatsächlich lesen: Einige Funktionen erschließen sich weder auf den ersten noch auf den zweiten Blick, zum Beispiel wenn sie nur über die Kommandozeile zu erzielen sind.Nach dem Download und Start des Installationspakets führt ein Wizard durch die erste Konfiguration einer virtuellen Maschine (VM). Wie bei allen ähnlich gelagerten Produkten gibt es zwei Komponenten: Das Festplattenimage und die Konfigurationsdaten. Wichtig ist der zugeteilte Arbeitsspeicher. Wie üblich läuft die VM besser, je mehr RAM sie zur Verfügung hat. Für den Rest gibt Virtualbox sinnvolle Defaultwerte vor.

Als nächstes stellt der Wizard die Frage nach dem Festplattenimage und verzweigt in den Virtual Disk Manager. Dort kann man entweder ein neues Plattenimage anlegen, was im Prinzip nichts anderes ist als eine Datei, die die VM wie eine physikalische Festplatte benutzt. Virtualbox kennt zwei Typen: Eine feste (fixed) und eine dynamische (dynamically expanding). Bei der dynamischen Variante wird zunächst nur ein kleiner Teil des Platzes auf der Host-Festplatte belegt, der automatisch wächst, sobald die VM mehr Platz anfordert. Fixed-Size nimmt sofort die volle Größe auf der Host-Festplatte in Beschlag, ist dafür allerdings deutlich schneller als der dynamische Kollege. Pro Image kann man bis zu 2 Terabyte vergeben.

Danach ist die VM auch schon fertig eingerichtet und kann aus der Managementkonsole heraus gestartet werden. Besonders weit kommt man damit noch nicht - der schwarze Bildschirm zeigt das Innotek-Logo und verlangt nach einem Bootmedium. Das klappt nur, wenn man im Netzwerk einen aktiven PXE-Server hat, der ein Bootimage verteilt. Weil das im Privatbereich eher selten ist, werden die meisten auf CD-ROM oder ein ISO-Image zurück greifen. Wer das CD- oder DVD-Laufwerk des Host-PC dafür nutzen will, wählt in den Einstellungen für die VM den Punkt "CD/DVD-ROM", aktiviert "Mount CD/DVD Drive" und sucht in der Auswahlbox den passenden Laufwerksbuchstaben aus. Die VM übernimmt beim nächsten Start das optische Laufwerk als eigenes Medium und startet, wenn eine bootfähige CD eingelegt ist, das Betriebssystem.

Die restliche Installation läuft wie auf einem realen Computer ab. Es gibt nur einen Unterschied: Zunächst, das heißt, bevor die "Guest Additions" installiert sind, muss man in die VM klicken, dann erst sind Tastatur- und Maus in diesem Fenster aktiv. Die Kontrolle zurück erhält man erst nach dem Drücken der rechten "STRG"-Taste. Sobald die Guest Additions installiert sind, funktioniert das fließend - die Kontrolle der Maus wechselt nahtlos beim Überfahren der VM-Fenstergrenzen zurück an den Host. Guest Additions installiert man über das "Devices"-Menü der VM, es gibt dort einen eigenen Eintrag. Entweder startet das Installationsprogramm automatisch (Autostart enabled) oder man muss den Arbeitsplatz öffnen. Dort hat die Virtualbox ein entsprechendes Image in das CD-ROM Laufwerk eingelegt.Ähnlich kann man auch mit anderen Medien umgehen. Im Internet gibt es viele Tools, die aus einer Datei oder einem Verzeichnis ein ISO-Image erstellen. Dieses Image lässt sich im Virtual Disk Manager von Innotek wie eine Festplatte ablegen und auf Wunsch in der VM über das "Devices"-Menü mounten. Dann stehen die Programme und Daten des ISO-Images innerhalb der VM zur Verfügung. Das funktioniert genauso mit Floppy-Images.

Mit installierten Guest Additions erlaubt die VM auch das Mounten eines Verzeichnisses des Hosts wie ein Netzlaufwerk. Allerdings ist das ein typisches Beispiel dafür, warum man bei Virtualbox nicht um das Lesen des Handbuchs herumkommt. In der aktuellen Version 1.3.8^[12] kann man das gemeinsame Verzeichnis nicht über die GUI, sondern nur durch Befehle auf der Kommandozeile anlegen. Dazu öffnet man eine Eingabeaufforderung, wechselt in das Programmverzeichnis von Virtualbox und gibt folgenden Befehl ein:

vboxmanage sharedfolder add "VM name" -name "sharename" -hostpath "C:\test"

Der "VM name" muss exakt dem Titel der VM entsprechen, "sharename" ist frei wählbar und "hostpath" ist ein vorhandenes Verzeichnis auf dem Host, das Hauptverzeichnis C:\ ist nicht erlaubt. Ist alles ordnungsgemäß gelaufen, erscheint in der DOS-Box eine Bestätigung. Nun lässt sich das Share mit folgendem Befehl innerhalb der VM mounten:

net use x: \\vboxsvr\sharename

Für "X" kann jeder freie Laufwerksbuchstabe gewählt werden, "sharename" ist identisch mit dem "sharename" aus dem vorigen Kommando. Vergleicht man die Prozedur mit Vmware, wo ein Mausklick genügt, wirkt sie unnötig kompliziert. Allerdings gibt sie dem Anwender erheblich mehr Kontrolle über die Prozedur.Ein anderer Weg, um Dateien in eine VM zu bringen, oder generell Daten zwischen der VM und der Außenwelt zu tauschen, ist das Netzwerkinterface. Per Default installiert Virtualbox ein Netzwerkinterface in der VM und stellt es auf Network Address Translation^[13] (NAT) ein. Wie bei einem DSL-Router sind damit alle ausgehenden Verbindungen möglich, eingehende werden geblockt.

Die IP-Adresse ist eine Innotek-spezifische Adresse, die nichts mit dem eigenen Netzwerk zu tun hat. Um Dienste in der VM anzubieten ist NAT also nicht geeignet. Für die Arbeit mit der VM ist NAT hingegen ideal - man kann im Internet surfen ohne von Außen erreichbar zu sein und auf gemeinsame Daten auf Netzwerkspeichern (NAS-Server) zugreifen. Wer auch Kommunikation in die andere Richtung erlauben will, findet in der Konfiguration der VM den Eintrag "Host-Interface". Damit kann eine direkte Verbindung zwischen einer virtuellen Netzwerkkarte auf dem Host und einer virtuellen Karte in der VM hergestellt werden, einschließlich IP-Adresse aus dem eigenen Netzwerk. Allerdings hat Innotek auch hier Konsolenarbeit vor den Erfolg gesetzt. Man muss nämlich zunächst das virtuelle Host-Interface erzeugen, und zwar mit dem Befehl:

vboxmanage createhostif "VM1 external"

Virtualbox Links zum Artikel Virtualbox Homepage  (Link[2]) Liste der unterstützten Gast- Betriebssysteme  (Link[3]) AMD-Netzwerktreiber für Windows-Vista- Hosts  (Link[4])

"VM1 external" ist ein beliebiger Name, der nur der Identifikation dient. Nach einer Weile erscheint in der Eingabeaufforderung eine Prozentskala, die, nachdem sie 100 erreicht hat, den Abschluss des Vorgangs signalisiert. Auf dem Host gibt es nun ein weiteres Netzwerkinterface, bei Windows 2000 und XP "LAN Verbindung n" genannt. "n" ist eine fortlaufende Nummer, je nach Anzahl der anderen Netzwerkkarten im System. Man darf das Interface allerdings nicht innerhalb des Hosts konfigurieren. Zunächst wird in der Virtualbox-Konsole eine Verbindung zwischen "Vm1 external" und einem internen, virtuellen Adapter hergestellt. Dann startet man die VM und kann dort bei den Windows-Netzwerkverbindungen IP-Adresse, Netzmaske und Gateway nach Wunsch konfigurieren. Entfernt wird das Interface ebenfalls über die Virtualbox-Konsole.

Windows Vista^[14] als Gast wird übrigens mit der aktuellen Virtualbox-Version unterstützt, allerdings ist direkt nach der Installation keine Netzwerkverbindung möglich, weil Microsoft bei Vista den notwendigen AMD-Treiber gestrichen hat. Den Treiber kann man bei AMD herunterladen^[4] und per USB-Stift in die VM bringen oder in ein ISO umwandeln und so innerhalb der VM verfügbar machen.Das Konzept von Innotek mit der Mischung aus Kommandozeile und GUI ist stellenweise etwas hakelig, bringt aber auch Vorteile mit sich. So ist ein einzigartiges Feature von Virtualbox, dass VMs ohne grafische Ausgabe laufen können. Das ist dann praktisch, wenn man auf einem Server mehrere VMs hosten, diese aber nur von anderen Rechnern aus nutzen will. Eine Art Thin-Client-Infrastruktur, bei der jedem ein eigener, virtueller PC zur Verfügung steht.

Möglich wird das durch einen eingebauten RDP-Server (VRDP) in jeder VM, der nicht vom Betriebssystem abhängig ist und mit der VM gestartet wird, wenn das vom Benutzer so konfiguriert wurde. Der Zugriff auf die VM läuft dann über Microsofts Remote-Desktop-Unterstützung. Der Client ist bei XP serienmäßig installiert und kann für fast alle Microsoft-Betriebssysteme von deren Homepage heruntergeladen werden^[15]. Auch für Linux gibt es diverse RDP-kompatible Clients. Wichtig ist, den VRDP-Server für die VM freizugeben und für jede VM einen eigenen Port zu wählen, der auch beim Client angegeben werden muss. Ebenfalls wichtig: Die IP-Adresse oder der Hostname ist der des Host-PC, nicht der der VM. Um eine VM ohne grafische Ausgabe zu starten, bedient man sich des folgenden Befehls:

vboxvrdp -startvm <uuid|name>

Am Ende wird entweder die UUID der VM oder deren Name angehängt. Den gleichen Effekt allerdings mit grafischer Ausgabe hat dieser Befehl:

vboxmanage startvm "vmname"

URLs in diesem Artikel:
[1] = http://www.zdnet.de/security/praxis/0,39029462,39154813,00.htm
[2] = http://www.virtualbox.de
[3] = http://www.virtualbox.de/wiki/Guest_OSes
[4] = http://www.amd.com/us-en/ConnectivitySolutions/ProductInformation/0,,50_2330_6629_2452%5E2454%5E2486,00.htm
[5] = http://www.microsoft.com/windows/downloads/virtualpc/default.mspx
[6] = http://www.microsoft.com/germany/virtualserver/default.mspx
[7] = http://www.vmware.com/de/products/server/
[8] = http://www.innotek.de/
[9] = http://www.virtualbox.org/
[10] = http://www.zdnet.de/galerie/39155019/virtualbox-mehr-sicherheit-durch-kostenlose-virtualisierung.htm#sid=39155015
[11] = http://www.virtualbox.org/download/UserManual.pdf
[12] = http://www.virtualbox.org/wiki/Downloads
[13] = http://www.zdnet.de/glossar/0,39029897,70002309p,00.htm
[14] = http://cgi.zdnet.de/vista/
[15] = http://www.microsoft.com/downloads/search.aspx?displaylang=de