Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: V. 26. 04. 2012, 14:01:02
-
Zdravím,
měl bych dotaz: na druhém disku, který bude v laptopu, budu mít virtuální firemní Windows, která ale musí být šifrována. Co je lepší (méně náročné na CPU) - šifrovat oddíl, na kterém je uložen obraz Windows nebo šifrovat virtuální disk až ve Windows samotných? Co k tomu použít?
Ten druhý disk bude klasický 2,5" 7200rpm SATA, hostitelský systém bude na SSD
Díky předem za pomoc
-
To záleží na tom, co si od toho slibujes. Pokud budes sifrovat virtualni disk, tak pro desifrovani budou pouzity pouze prostredky, ktere bude mit virtualni stroj k dispozici, coz povede ke spomaleni virtualniho systemu jako takoveho a budes muset resit pridanim prostredku.
Ja podle toho zadani moc nechapu ten layout, to budes mit SSD s linuxem a ten SATA dedikovanej pro widle? Na jakym zeleze to budes provozovat a k jaky praci?
-
SSD pro Linux a cast HDD pro Windows. Bude to i5 na ~2.6GHz, dvoujadro, 8GB RAM.
Pracovat budu na Linuxu, Windows tam budou jen kvuli toho, abych se dostal na Live meetingy a mel nativniho Office communicatora. Jinak se tam budu snazit zdrzovat co nejmene. A jde mi o to, co bude nejmene narocne pro HDD/CPU ... jestli sifrovany virtualni stroj nebo virtualni disk.
-
Bude samozrejme zalezet na pouzite virtualizacni a sifrovaci technologii, nicmene pokud potrebujes ty widle sifrovany, tak je treba si uvedomit, ze budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr.. jak Bata s drevakama coz se ti pri virtualizaci na hostovi nestane.
-
... Windows tam budou jen kvuli toho, abych se dostal na Live meetingy a mel nativniho Office communicatora. Jinak se tam budu snazit zdrzovat co nejmene. A jde mi o to, co bude nejmene narocne pro HDD/CPU ...
Ja jsem toto resil tak, ze narozdil od vsech svych kolegu byl pracovni notas porad v praci a pres RD sem resil tyhle specificky pozadavky. Vyhoda umisteni fyzicky v praci byla samozrejme i v praci s mistni siti, ponevadz tahat vse pres VPN domu byl dost opruz u nekolika gigovych buildu.
-
Ja jsem toto resil tak, ze narozdil od vsech svych kolegu byl pracovni notas porad v praci a pres RD sem resil tyhle specificky pozadavky. Vyhoda umisteni fyzicky v praci byla samozrejme i v praci s mistni siti, ponevadz tahat vse pres VPN domu byl dost opruz u nekolika gigovych buildu.
To pak muzu misto notasu mit klasickou pracovni stanici, ktera bude vykonem uplne nekde jinde:) Navic u nas se do VPN z jineho, nez firemniho Windows/Linuxu, nedostaneme.
-
Bude samozrejme zalezet na pouzite virtualizacni a sifrovaci technologii, nicmene pokud potrebujes ty widle sifrovany, tak je treba si uvedomit, ze budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr.. jak Bata s drevakama coz se ti pri virtualizaci na hostovi nestane.
Kurnik to me nenapadlo, ze v pripade sifrovani hostitelskeho disku to muze nekdo vykopirovat :/
Samo, ze bych nezamknuty laptop nikde nenechal, ale cert nikdy nespi. Oukey, takze to asi vypada na sifrovani primo ve virtualnich windows...
-
budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr..
Kurnik to me nenapadlo, ze v pripade sifrovani hostitelskeho disku to muze nekdo vykopirovat :/
Samo, ze bych nezamknuty laptop nikde nenechal, ale cert nikdy nespi. Oukey, takze to asi vypada na sifrovani primo ve virtualnich windows...
To nepomuze, ne? Kdyz nekdo ziska pristup k bezicimu pocitaci s bezicim virtualem, tak ten virtual uspi, zkopiruje a ma k nemu pristup tak jako tak. (Minimalne muze z kopie pameti nastartovaneho virtualu ziskat sifrovaci klic)
-
To nepomuze, ne? Kdyz nekdo ziska pristup k bezicimu pocitaci s bezicim virtualem, tak ten virtual uspi, zkopiruje a ma k nemu pristup tak jako tak. (Minimalne muze z kopie pameti nastartovaneho virtualu ziskat sifrovaci klic)
Asi se vzdy najde zpusob, jak se k datum dostat, pokud je system pusteny...
Jde mi o to, aby se nekdo nemohl dostat do firemni site a k mailum a podobne a abych splnil "company policy". To, ze tady existuje teoreticka moznost, ze nejaky uber hacker se k tomu dostane, bych neresil.
Tak jsem hledal reseni, ktere bude co mozna nejvice bezpecne a zaroven co mozna nejmene narocne na provoz.
-
To nepomuze, ne? Kdyz nekdo ziska pristup k bezicimu pocitaci s bezicim virtualem, tak ten virtual uspi, zkopiruje a ma k nemu pristup tak jako tak. (Minimalne muze z kopie pameti nastartovaneho virtualu ziskat sifrovaci klic)
Tak mas pravdu, ale to uz je trochu sci-fi a hranici s paranoiou nemyslis? :) Tahle firemní politika funguje proti fetkam, nenechavejm neprizpusobivejm a pripadne zvedavejm a kolegum a lidem v kategorii script-kiddie. Proti cilenymu utoku ti to stejne nepomuze.
Kurnik to me nenapadlo, ze v pripade sifrovani hostitelskeho disku to muze nekdo vykopirovat :/
ono staci nekoho nechat podivat se na facebook na tvem pocitaci a odskocit si na zachod. Nez budes zpet ma kopii celeho virtualu na flashce a k datum se potom dostat je otazkou natazeni do jineho virtualu a bootu jedny live distro.
S tvym pocitacem bych nad tim vubec nepremyslel a zasifroval ten virtual. Ja na i5ce s 4GB RAM provozoval na Gentoo virtualni Windows 2008 a win 7 na testovani a behalo to bez problemu s pustenym hdd filmem takze bych strach nemel, i kdyz sem sifrovani na virtualu nikdy nezkousel a muze se to chovat vselijak.
-
Tak mas pravdu, ale to uz je trochu sci-fi a hranici s paranoiou nemyslis? :)
Vyhledavani toho klice v pameti uspaneho virtualu trochu sci-fi je. Ale uspani beziciho virtualu, jeho zkopirovani a spusteni jinde mi zas takovy scifi neprijde.
Tahle firemní politika funguje proti fetkam, nenechavejm neprizpusobivejm a pripadne zvedavejm a kolegum a lidem v kategorii script-kiddie. Proti cilenymu utoku ti to stejne nepomuze.
To uz musi tazatel posoudit sam, jestli to resi splnuje jejich firemni politiku nebo ne.
-
budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr.. jak Bata s drevakama coz se ti pri virtualizaci na hostovi nestane.
Když se někdo dostane k hostiteli, tak je to v háji všechno – může např. odposlouchávat klávesy (a tím heslo, které zadáváš uvnitř toho virtuálu) nebo si udělat dump paměti virtuálu a z něj vytáhnout šifrovací klíč.
Ale je to prašť jako uhoď – když má přístup k hostiteli, má přístup i k virtuálu, ale když má přístup k virtuálu (nabourá se do těch Windows), nemá přístup k hostiteli (že by se mu podařilo „vyskočit“ z virtualizace, je celkem nepravděpodobné). Na druhou stranu, když je útočník ve virtuálu, má k dispozici dešifrovaný disk (tak jako tak) a může tahat soubory rovnou z běžícího systému.
Co se týče výkonu, bude lepší šifrovat na úrovni hostitele – přeci jen virtualizace nějakou režii má.
-
Ono nakolko to je notebook, uplne defaultne by som tam dal full disk encryption bud cez dm_crypt alebo tresor a nad to LVM.
Pokial ma CPU Intel Core i5 a vyssie, podporuje instruckcie AES-NI a tympadom sifrovanie len minimlane zatazuje CPU. A pokial je uz hostitelsky disk na aes256 cez dm_crypt, nema zmysel dalsie sifrovanie vo Windows.
Implementacia dm_crypt je navyse v ubuntu uplne easy a podporuje ju aj installator.
Tresor je sice bezpecnejsia varianta ale stoji viac namahy a navyse by oba disky museli mat rovnaky kluc.
-
Len tak mimochodom... Vyhladanie kluca z memeory dumpu je hracka. Su na to hotove nastroje a to dokonca aj pre host systemy. Cize efektivne nie je rozdiel medzi tym ci sifrujes pod alebo nad virtualizaciou.
V pripade ze ma niekto pristup k pamati virtualky, ma pristup ku klucu... A mozeme zajst aj dalej. Staci ti na 5 min pristup k fyzickemu stroju a sprej so stlacenym vzduchom za 100 kc. Tych 8 G by som si dumpol a dm_crypt, bitlocker, truecrypt kluce by som mal chvilu na to.
Pokial by sa utocnik dostal k pamati virtualky cez host OS, je uz aj tak vsetko stratene. Cize uplne najbezpecnejsie riesenie je trsor nakolko je odolny voci cold boot memory dumpu. A mimochodom je to lahsie nez si vacsina ludi mysli.
https://citp.princeton.edu/research/memory/code/
-
Diky za odpovedi.
takovy snad uz posledni dotaz - da se nejake sifrovani nastavit tak, ze po zamknuti obrazovky/uspani by se musel klic znova zadat?
-
Diky za odpovedi.
takovy snad uz posledni dotaz - da se nejake sifrovani nastavit tak, ze po zamknuti obrazovky/uspani by se musel klic znova zadat?
Klic myslis sifrovaci? Jedine tak, ze by si pri zamykani obrazovky odmountoval sifrovane particie - co znamena zabitie virtualky v tvojom pripade a to asi nechces. Totiz, aj ked mas zamknutu obrazovku, programy bezia dalej a teda virtualka kde tu potrebuje sahnut na disk ...
-
Klic myslis sifrovaci? Jedine tak, ze by si pri zamykani obrazovky odmountoval sifrovane particie - co znamena zabitie virtualky v tvojom pripade a to asi nechces.
Viz man cryptsetup:
luksSuspend <name>
suspends active device (all IO operations are frozen) and wipes encryption key from kernel. Kernel version 2.6.19 or later is required.
After that operation you have to use luksResume to reinstate encryption key (and resume device) or luksClose to remove mapped device.
WARNING: never try to suspend device where is the cryptsetup binary itself.
luksResume <name>
Resumes suspended device and reinstates encryption key. You will need provide passphrase identical to luksOpen command (using prompting or key file).
<options> can be [--key-file]
-
Virtualni windows je v posledni dobe hodne moderni na firemnich pc (clovek si tam muze cokoliv nelegalniho nahrat).
-
Virtualni windows je v posledni dobe hodne moderni na firemnich pc (clovek si tam muze cokoliv nelegalniho nahrat).
co to ma spolecneho s tematem?
-
Spolecnyho nic a navic je to nesmysl :).