Come creare un accesso a Internet sandbox?

Naviga le tue risposte
6

Come posso configurare il mio PC Windows e / o la rete, in modo che nessuno dei programmi sul mio PC abbia accesso a Internet, ma ho una sandbox / VM, con un browser, che ha accesso a Internet, ma non ha accesso ai file reali. In sostanza, voglio tagliare il mio pc a metà. La parte offline ha accesso ai documenti, ma nessuna connessione Internet. L'altro è un browser web in modalità sandbox, che ha accesso a Internet, ma non può leggere o scrivere la parte offline del PC.

In altre parole, desidero un browser Web in modalità sandbox e quindi bloccare l'accesso a Internet di ogni programma all'esterno della sandbox. Anche l'aggiornamento di Windows. Non avrei comunque bisogno di "aggiornamenti per la sicurezza". Penso che in questo modo si possa raggiungere quasi il 100% di sicurezza per i documenti sensibili.

Anche le risposte / commenti riguardanti questo tipo di difese non sono degni di questo.

modifica: la parte offline verrà utilizzata principalmente, quindi sarebbe meglio allocare le risorse in qualche modo. Non so quante prestazioni sono perse da ogni tecnologia di virtualizzazione, ma nella mia esperienza, finora, è molto.

    
posta Jani Kovacs 05.05.2013 - 01:53
fonte

4 risposte

2

Semplice. Utilizza un firewall in modalità whitelist *.

Per uno scopo simile, ho usato ZoneAlarm Free Firewall . Impostalo sulla modalità whitelist e attendi che ti chieda di fornire l'accesso a Internet all'applicazione sandbox (ho usato Sandboxie ). Quindi comunica a ZoneAlarm di interrompere la notifica delle applicazioni future e di non presupporre che siano autorizzate.

* Modalità lista bianca: a meno che un'applicazione non sia esplicitamente autorizzata ad avere accesso alla rete, si presume che sia in blacklist.

    
risposta data 05.05.2013 - 08:34
fonte
1

Potresti avere un hypervisor per Linux che ospita due macchine virtuali Windows in cui una VM di Windows non ha una connessione Internet .

(Modifica: immagino che Windows 2008 possa essere un hypervisor ... ma perché qualcuno dovrebbe volerlo?)

    
risposta data 05.05.2013 - 01:56
fonte
0

Potresti installare VirtualBox e creare un'altra macchina virtuale per il tuo accesso a Internet. L'host in cui non desideri alcun accesso a Internet, disattiva la connessione di rete tramite:

  • ifconfig ethX down o ifconfig wlanX down (Linux X è il numero dato alla connessione)
  • Pannello di controllo - > Rete e Internet - > Connessione di rete - > Destra Fare clic sulla connessione e selezionare disable (Windows)

Nel SO guest, utilizzare Bridged Adapter per connettersi a Internet. Poiché il sistema host in cui non si desidera alcuna connessione Internet non ha connettività di rete, anche se il malware viene scaricato sul guest, non può accedere al sistema operativo host senza rompere la sandbox VM stessa. Finora non esiste alcun exploit noto per rompere la sandbox VM per l'ultima soluzione di virtualizzazione (o VMware) di virtualizzazione.

Per quanto riguarda il costo, VirtualBox è open source ed è disponibile gratuitamente.

    
risposta data 05.05.2013 - 08:04
fonte
0

I would not need "security updates" anyway. I think this way one could reach nearly 100% security for sensitive documents.

Sì, avresti assolutamente bisogno di aggiornamenti di sicurezza. Hai affermato che stai utilizzando Windows e che stai consentendo al browser solo l'accesso a Internet.

Un sacco di malware si inietta nello spazio di memoria del browser (tramite BHO o iniezione DLL) e esegue l'estrazione dei dati che modo. Nel tuo scenario questo funzionerebbe ancora abbastanza bene. Puoi farlo anche su Windows 8 con IE 10 per le modalità Metro e Desktop .

Non penso che il tuo approccio sia sbagliato, ma fai devi comunque eseguire gli aggiornamenti di sicurezza se hai una connessione Internet su questo computer.

Inoltre, suggerirei di utilizzare anche un firewall hardware che consente solo l'ingresso e l'uscita di TCP 80/443 e UDP 53 (DNS). Corri comunque il rischio del tunneling DNS, ma aggiungendo un blacklisting tipo di proxy di prodotto puoi ridurre il rischio.

    
risposta data 05.05.2013 - 15:54
fonte

Leggi altre domande sui tag

Limita l'accesso alla rete per un singolo processo con SELinux o AppArmor In che modo la virtualizzazione (IaaS) protegge dagli aggiornamenti del microcodice della CPU e dalle modifiche del firmware?