¿Cómo hacer que el acceso a Internet sea solo para sandbox?

Navega tus respuestas
6

¿Cómo puedo configurar mi PC y / o mi red con Windows, para que ninguno de los programas en mi PC real tenga acceso a Internet, pero tengo un sandbox / VM, con un navegador, que tiene acceso a Internet, pero no tiene Acceso a los archivos reales. Esencialmente, quiero cortar mi pc por la mitad. La parte fuera de línea tiene acceso a documentos, pero no tiene conexión a Internet. El otro es un navegador web de espacio aislado, que tiene acceso a Internet, pero no puede leer ni escribir la parte sin conexión de la PC.

En otras palabras, quiero un explorador web de espacio aislado, y luego bloquear el acceso a Internet de todos los programas fuera del espacio aislado. Incluso las actualizaciones de windows. No necesitaría "actualizaciones de seguridad" de todos modos. Creo que de esta manera se podría alcanzar una seguridad de casi el 100% para documentos confidenciales.

También las respuestas / comentarios de bienvenida sobre este tipo de defensas no valen la pena.

editar: La parte fuera de línea se usaría principalmente, por lo que sería mejor asignar los recursos de alguna manera. No sé cuánto rendimiento se pierde con cada tecnología de virtualización, pero en mi experiencia, hasta ahora, es mucho.

    
pregunta Jani Kovacs 05.05.2013 - 01:53
fuente

4 respuestas

2

Simple. Use un firewall en el modo de lista blanca *.

Para un propósito similar, he usado Firewall gratuito de ZoneAlarm . Configúrelo en el modo de lista blanca y espere a que le pregunte si le da acceso a Internet a su aplicación de sandbox (he usado Sandboxie ). Luego, dígale a ZoneAlarm que deje de notificarle sobre futuras aplicaciones y que no asuma que están en la lista blanca.

* Modo de lista blanca: a menos que a una aplicación se le permita explícitamente tener acceso a la red, se supone que está en la lista negra.

    
respondido por el Adi 05.05.2013 - 08:34
fuente
1

Podría tener un hipervisor de Linux que aloja dos máquinas virtuales de Windows en las que una VM de Windows no tiene conexión a Internet. .

(Edición: Supongo que Windows 2008 puede ser un hipervisor ... pero ¿por qué alguien querría eso?)

    
respondido por el rook 05.05.2013 - 01:56
fuente
0

Puede instalar VirtualBox y crear otra máquina virtual para su acceso a Internet. El host donde no desea acceder a Internet, deshabilite la conexión de red:

  • ifconfig ethX down o ifconfig wlanX down (Linux. X es el número dado a la conexión)
  • Panel de control - > Red e Internet - > Conexión de red - > Derecha Haga clic en la conexión y elija deshabilitar (Windows)

En el sistema operativo invitado, use Adaptador puenteado para conectarse a Internet. Dado que el sistema host en el que no desea ninguna conexión a Internet no tiene conectividad de red, incluso si se descarga un malware en el invitado, no puede acceder al sistema operativo host sin romper la propia caja de arena de la VM. Hasta el momento, no existe una vulnerabilidad pública conocida por romper el entorno limitado de VM para la última solución de virtualización VirtualBox (o VMware).

En lo que se refiere al costo, VirtualBox es de código abierto y está disponible gratuitamente.

    
respondido por el void_in 05.05.2013 - 08:04
fuente
0
  

No necesitaría "actualizaciones de seguridad" de todos modos. Creo que de esta manera uno podría   alcance casi el 100% de seguridad para documentos confidenciales.

Sí, absolutamente todavía necesitarías actualizaciones de seguridad. Declaró que está ejecutando en Windows y que solo está permitiendo que el navegador tenga acceso a Internet.

Una gran cantidad de malware se inyecta en el espacio de memoria del navegador (a través de BHO o inyección de DLL) y realiza una extracción de datos que camino. En su escenario, esto todavía funcionaría bastante bien. Incluso puedes hacer esto en Windows 8 con IE 10 para los modos Metro y Desktop .

No creo que su enfoque sea malo, pero debe seguir realizando actualizaciones de seguridad si va a tener una conexión a Internet en esta máquina.

Además, sugeriría usar también un firewall de hardware que solo permita la entrada y salida de TCP 80/443 y UDP 53 (DNS). Todavía corre el riesgo de hacer un Túnel de DNS, pero al agregar un lista negra tipo proxy de producto puede reducir el riesgo.

    
respondido por el Mick 05.05.2013 - 15:54
fuente

Lea otras preguntas en las etiquetas

¿Cómo debo mitigar las vulnerabilidades de XSS en KnockoutJS descritas en big-security? ¿Puede ocurrir la enumeración de dominios NSEC para zonas con registros comodín?