-->Hallo Staatsbehinderte und Staatsgeschädigte,

Beim CCC gelesen.

25. Mai 2007
Der Bundestag hat heute das Verbot von Computersicherheitswerkzeugen unverändert durchgewunken (Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, neuer § 202 StGB). Bestraft werden soll insbesondere das Herstellen, Programmieren, Überlassen, Verbreiten oder Verschaffen von Software, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten dringend notwendig ist.
Damit handelten die Abgeordneten entgegen dem ausdrücklichen Rat der in den Ausschüssen bei der Beratung des Gesetzes gehörten Experten aus Wissenschaft und Praxis. Auch von Seiten der Internetwirtschaft und vom Bundesrat war die Gesetzesänderung scharf kritisiert worden. Mit Ausnahme der PDS und eines einsamen SPD-Abgeordneten votierte nun die ganz große Koalition der Ahnungslosen dafür, Deutschland zur Berufsverbotszone für Computersicherheitsexperten zu machen....
den gesamten Text siehe Link

an Also bei MS gibts demnächst das Bundestrojaner_gate als Plugin für Windofs. aus

Wie wäre es denn wenn man mal wieder die Buchhaltung nach guter alter Sitte mit Gänsekiel und Steusandbüchse praktizieren würde. Möglichst das ganze in Süterlinschrift gefasst.

Auf Brieftauben könnten auch neue Aufgaben zu kommen.

Die Anpassung an das Nivau von Afganistan ist voll im Lauf, das hält weder Ochs noch Esel auf. Und die Rollstuhl_casandra tanzt im Hinterzimmer den Schnüffel_buggi und freut sich darauf alles zu erfahren. Da gibts nur eines, totfüttern mit geheimnisvollen Märchen.

Kopfschüttel über soviel IRRsinn

Das geht aus wie das Geldwäschegesetz, die Grossen werden sich dagegen wappnen, die Kleinen schickaniert man durch Wegelagerei und Beutelschneiderei.

Gruss Ww
<ul> ~ der Kurs DDR-2 liegt an</ul>

-->Das hört sich zuerst mal schrecklich an. Liest man genauer, so handelt es sich um ein Verbot von Programmen, die von AUSSEN - also übers Netz - Rechner auf Schwachstellen abklopfen, also klassische Einbruchswerkzeuge. All meine Tools auf der lokalen Maschine bleiben legal... so what?

Gruss

-->... man gebe einfach mal, sofern ein Windoof PC, an der Kommandozeile ein:
netstat -an ENTER

dann kommt sowas raus:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÃ-REN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÃ-REN
TCP 0.0.0.0:2030 0.0.0.0:0 ABHÃ-REN
TCP 0.0.0.0:18350 0.0.0.0:0 ABHÃ-REN
TCP 127.0.0.1:1032 127.0.0.1:18350 HERGESTELLT
TCP 127.0.0.1:18350 127.0.0.1:1032 HERGESTELLT
TCP 192.168.100.2:139 0.0.0.0:0 ABHÃ-REN
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1033 *:*
UDP 0.0.0.0:1035 *:*
UDP 0.0.0.0:4500 *:*
UDP 127.0.0.1:1034 *:*
UDP 192.168.100.2:137 *:*
UDP 192.168.100.2:138 *:*

dann schaut man, was dort hingehört und was nicht. In der Firewall blockt man dann alles, was man nicht möchte. Ich vermute mal, dass der Bundesstasitrojaner als Remoteadressenport die 80 verwenden wird, da dies der Standardport der Webserver ist, was Firewalls normalerweise nach außen durchlassen, man will ja schließlich ins Internet. Interessant sind dann alle Ports, die auf abhören stehen, die geöffneten UDP-Ports und die hergestellten TCP-Verbindungen. Ist da was dabei, was nicht hingehört, hat man entweder einen Trojaner, oder eben das Bundes-Stasiprogramm auf dem Rechner. Somit wäre das Ausspionieren durch die Stasi schon mal nicht mehr unbemerkt.

Für alle"Paranoiden" (klar, Stasi-Wolfgang ist das natürlich nicht ;-), warum sollte ein Attentatsopfer auch paranoid sein, das ist doch die beste Vorraussetzung für nen Innenminister) kommt dann der Honeypot ins Spiel. Man nehme sich ne alte Kiste, schmeiße ein olles Betriebssystem rauf, lege ein paar alte Steuererklärungen und ein paar Briefe an die Omma drauf, damit die Stasi was zu lesen hat und nutze die Kiste dann als Internet-PC. Runtergeladene Sachen gibt es dann per USB-Stick, die sind mittlerweile groß und billig. Der eigene Rechner gehört dann halt nicht mehr ins Netz und fertig ist der Lack.

MfG
igelei

-->

-->Ich habe keine exponierten Hosts am laufen (... und wenn, dann kämen die in eine DMZ, alles schön mit Routern und Firewalls abgeschottet). Alle inbound connections werden geblockt.

Gruss

-->>Hallo Staatsbehinderte und Staatsgeschädigte,
>Beim CCC gelesen.

........

wie wärs mit dem Virtual PC - für das normale Surfen, innerhalb des Virtual PC können sich die Schnüffler nach Herzenslust austoben - um es für diese Klientel noch etwas interessanter zu gestalten, kann man auf dem Virtual PC das Programm -TOR- installieren, damit kann über einen Proxy die IP-Adresse verändert werden.

So sind dann alle zufrieden - und jeder ist beschäftigt

Gruss

-->... außen seine Systeme scannen kann. Dass sie das verbieten ist absurd und zeigt mal wieder schön die Blödheit der Volksverr äh treter. Zumal ich mich frage, was die Vollidioten gegen Websites wie http://probemyports.com/ machen wollen ;-).

MfG
igelei

-->>>All meine Tools auf der lokalen Maschine bleiben legal... so what?


soweit ich das verstanden habe, wollen die sozusagen Messer als solche verbieten
und nicht nur bspw. jm. damit zu erstechen.

Mit anderen Worten, es soll wohl eine Negativklassifizierung geben, und es könnte darauf hinaus laufen, dass Programme, die in diese Klasse fallen, nur noch Einrichtungen, die von Rollstuhl-Wolli"zertifiziert" sind, benutzt werden dürfen.

-->"Problematisch ist vor allem die Einfügung des § 202 c StGB, mit dem typische Vorbereitungshandlungen unter Strafe gestellt werden, was dem Strafrecht - bis auf wenige Ausnahmen - sonst fremd ist. Dieser Regelungsvorschlag ist vor allem deshalb problematisch, weil entsprechende Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden und so eine Unterscheidung in Programme, die zur Begehung von Straftaten hergestellt werden und solche, die ausschließlich für legale Zwecke hergestellt werden, schlichtweg nicht möglich ist. Lediglich in der Verwendung lassen sie sich unterscheiden. Überdies führt der in § 202 c gewählte Wortlaut zu einer Kriminalisierung der heute millionenfach verwendeten Programme, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind."


Quelle: http://www.tauss.de/presse/presse_2007/20070525_computerkriminalitaet/

-->Hallo Staatsbehinderte und Staatsgeschädigte,


dito,

ich nutze doch MS windoof. Bei XP ist schon ein remote desktop implementiert - damit gehe ich regelmässig auf meinen Zweitrechner, ich Verbrecher ich.
Wie lange kriege ich dafür?

fragt sich:
Fremdwort

-->>wie wärs mit dem Virtual PC - für das normale Surfen, innerhalb des Virtual PC können sich die Schnüffler nach Herzenslust austoben - um es für diese Klientel noch etwas interessanter zu gestalten, kann man auf dem Virtual PC das Programm -TOR- installieren, damit kann über einen Proxy die IP-Adresse verändert werden.
>So sind dann alle zufrieden - und jeder ist beschäftigt
>Gruss

Wenn man konsequent ist, ist das eine Lösung.

Aber dann muss das Hostsystem vom Netz abgekoppelt sein und die Netzwerkkarte exclusiv der VM zugeordnet sein. Auch darfts du der VM keinen Zugriff auf die Datenverzeichnisse des Hostsystems geben - alles muss dann über Transferverzeichnisse laufen.


Gruss

-->>>wie wärs mit dem Virtual PC - für das normale Surfen, innerhalb des Virtual PC können sich die Schnüffler nach Herzenslust austoben - um es für diese Klientel noch etwas interessanter zu gestalten, kann man auf dem Virtual PC das Programm -TOR- installieren, damit kann über einen Proxy die IP-Adresse verändert werden.
>>So sind dann alle zufrieden - und jeder ist beschäftigt
>>Gruss
>Wenn man konsequent ist, ist das eine Lösung.

Hmm, Foxy, das kommt darauf an, was Du unter konsequent verstehst.

Ueberhaupt, dem MS Virtual PC oder Virtual Server wuerde ich jederzeit ein VMWare Produkt vorziehen, ich schoepfe auch aus inzwischen mehr als 27 Jahren Virtualisierung auf richtig grossen bis zu ganz kleinen Kisten meine Erfahrungen. ;-)

Aber ich sehe, ein paar von Euch Jungens denken schon mit. ;-)

>Aber dann muss das Hostsystem vom Netz abgekoppelt sein und die Netzwerkkarte exclusiv der VM zugeordnet sein.

Ich weiss, Foxy, was die Probleme sind, aber das ist nicht so gut, was Du da machst, weil dann die NIC nur 1 VM Guest dediziert ist, was zur Folge hat, dass sowohl dein Host-OP wie auch Deine Guest-OPs mit Ausnahme diesem 1 Guest-OP mit der dedizierten NIC netztechnisch leider nicht erreichbar sind, und das wiederum bedeutet, dass Du jede Menge Host-OP- und Guest-OP-Inseln hast, deren Administration in eigentlich jeder Beziehung einer Rallye Paris-Dakar zu Fuss entspricht.

>Auch darfts du der VM keinen Zugriff auf die Datenverzeichnisse des Hostsystems geben - alles muss dann über Transferverzeichnisse laufen.

Das ist richtig, aber auch die Maintenance der TXF-Verzeichnisse kann sich zu typischer Schwielen-Administration entwickeln und ausarten.

Tassie wuerde das Architektur-Problem auch durch Virtualisierung des Intranet-LAN wie folgt loesen:

1. Strenges Administrations-Regiment, um die Zuegel jederzeit managable auf allen Levels voll in der Hand zu halten, dadurch keinerlei"Hardware/Software-Auto-Update"-Funktionen eingeschaltet haben, alles off.

2. Die NIC eines jeden System-Nodes (PC, Server, Bladecenter etc.) ist real immer auf das Host-OP geschaltet, d.h. das Host-OP verwaltet die gesamten Hardware-Resourcen einschliesslich der NIC.

3. Die Host-OPs erhalten im 1-n Domain-LAN ihre eigene Virtual-IP-Address-Ranges gemaess den Spezifikationen fuer Class B und C Netzwerke (Class C z.B. 192.168.Host-VIPAXXX.y). Unter der Vorraussetzung, dass jede Virtual Subdomain nicht mehr als 254 IP-Adressen nutzen darf, wuerde ich den 3. Qualifier bei der IPv4-Address-Range (Host-VIPAXXX) mit 001 beginnen lassen und in Abhaengigkeit der Anzahl der zu administrierenden Host-OP-Gruppen grosszuegig nach oben abgerundet bei 010 enden lassen (Max. Anzahl der System-Nodes mit Host-OPs waeren damit 254 x 10 = 2540). Die Host-VIPAXXX-Range ist ausschliesslich fuer Intranet-LAN-Communication eingerichtet, es gibt keinerlei Router, Gateways oder sonstige Pfade innerhalb dieser Host-VIPAXXX-Range, die auf IP-Adressen ausserhalb verweisen oder von aussen nach IP-Adressen innerhalb verweisen, d.h. dass die Host-VIPAXXX-Range getrennt von anderen IP-Adress-Ranges innerhalb des Intranet-LANS wie auch von Pfaden ins/vom Internet voellig isoliert laeuft.

4. Die Guest-OPs erhalten im 1-n Domain-LAN ihre eigene Virtual-IP-Address-Ranges gemaess den Spezifikationen fuer Class B und C Netzwerke (Class C z.B. 192.168.Guest-VIPAXXX.y). Unter der Vorraussetzung, dass jede Virtual Subdomain nicht mehr als 254 IP-Adressen nutzen darf, wuerde ich den 3. Qualifier bei der IPv4-Address-Range (Guest-VIPAXXX) mit 011 beginnen lassen und in Abhaengigkeit der Anzahl der zu administrierenden Guest-OP-Gruppen grosszuegig nach oben abgerundet bei 030 enden lassen (Max. Anzahl der System-Nodes mit Guest-OPs waeren damit 254 x 20 = 5080). Die Guest-VIPAXXX-Range ist sowohl fuer ausschliessliche Intranet-LAN-Communication eingerichtet, hierfuer wuerde ich die Guest-VIPAXXX-Range 011-020 vorsehen, es gibt keinerlei Router, Gateways oder sonstige Pfade innerhalb dieser Guest-VIPAXXX-Range, die auf IP-Adressen ausserhalb verweisen oder von aussen nach IP-Adressen innerhalb verweisen, d.h. dass die Guest-VIPAXXX-Range 011-020 getrennt von anderen IP-Adress-Ranges innerhalb des Intranet-LANs wie auch von Pfaden ins/vom Internet voellig isoliert laeuft, wie auch fuer Intranet-LAN-Communication mit Zugriffen auf externe Netzwerke inklusiv dem Internet eingerichtet (ueber Router/Gateways), hierfuer wuerde ich die Guest-VIPAXXX-Range 021-030 vorsehen, diese letztere Guest-VIPAXXX-Range ist folglich ein nicht isoliertes"offenes" Intranet-LAN auch mit Zugriff aufs Internet und ggf. direkter Zugriff vom Internet ins Intranet-LAN.

5. Das Lifecycle-Management bei den Host-OPs wuerde ich so gestalten, dass ich in der Administrator-Developer-Kueche (ein paar Kisten mit ihren NICs und eigener ADMIN-VIPAXXX-Range z.B. 3. Qualifier 251-254 mit Zugriff auf Intranet-LAN und Verbindung ins Internet, der von aussen das Eindringen mit Firewall, Proxy und weiteren Abdichtungen verriegelt und verrammelt ist) die Host-OPs als Gruppenmodelle hochziehen wuerde, um sie dann gruppenweise in der Host-VIPAXXX-Address-Range Intranet-LAN distributed zum Einsatz zu bringen (entweder auf jedem System-Node per Flip-Flop HD-Boot-Partition, um die jeweils vorherige Version des Host-OPs als Fallback booten zu koennen, oder im Falle des Netboots der System-Nodes dasselbe Flip-Flop HD-Boot-Verfahren auf dem Gruppen-Boot-Server.

6. Das Lifecycle-Management bei den Guest-OPs wuerde ich so gestalten, dass ich in der Administrator-Developer-Kueche die Guest-OPs nach Nutzungsaspekten (z.B. 1 MS Office System Node Modell, 1 Internet Access System Node Modell, 1 MS Sharepoint System Node Modell usw. usf.) als Gruppenmodelle hochziehen wuerde, um sie dann gruppenweise in der Guest-VIPAXXX-Address-Range Intranet-LAN distributed zum Einsatz zu bringen, dabei wuerde ich die Management-Funktionen der Host-OPs fuer die Distribution der Guest-OPs weidlich nutzen.

Was meinst Du bis hierher mal zu dieser Architektur, Foxy?

>Gruss

Gruss!
TD

-->>Hmm, Foxy, das kommt darauf an, was Du unter konsequent verstehst.
>Ueberhaupt, dem MS Virtual PC oder Virtual Server wuerde ich jederzeit ein VMWare Produkt vorziehen, ich schoepfe auch aus inzwischen mehr als 27 Jahren Virtualisierung auf richtig grossen bis zu ganz kleinen Kisten meine Erfahrungen. ;-)

Auf jeden Fall nicht MS. Ich dachte schon an ein Produkt aus dem Hause VMWare...

>Aber ich sehe, ein paar von Euch Jungens denken schon mit. ;-)

Mein Vorschlag war auch noch nicht ganz ausgegoren....

>>Aber dann muss das Hostsystem vom Netz abgekoppelt sein und die Netzwerkkarte exclusiv der VM zugeordnet sein.

Mein erster Denkfehler...

>Ich weiss, Foxy, was die Probleme sind, aber das ist nicht so gut, was Du da machst, weil dann die NIC nur 1 VM Guest dediziert ist, was zur Folge hat, dass sowohl dein Host-OP wie auch Deine Guest-OPs mit Ausnahme diesem 1 Guest-OP mit der dedizierten NIC netztechnisch leider nicht erreichbar sind, und das wiederum bedeutet, dass Du jede Menge Host-OP- und Guest-OP-Inseln hast, deren Administration in eigentlich jeder Beziehung einer Rallye Paris-Dakar zu Fuss entspricht.

Du denkst schon an den Grosseinsatz

>Das ist richtig, aber auch die Maintenance der TXF-Verzeichnisse kann sich zu typischer Schwielen-Administration entwickeln und ausarten.



>Tassie wuerde das Architektur-Problem auch durch Virtualisierung des Intranet-LAN wie folgt loesen:
>1. Strenges Administrations-Regiment, um die Zuegel jederzeit managable auf allen Levels voll in der Hand zu halten, dadurch keinerlei

SCHNIPP...

... SCHNAP
>Was meinst Du bis hierher mal zu dieser Architektur, Foxy?

Ich muss zugeben, die Virtualisierung der Subnetze ist nicht meine Baustelle. Dafür sind bei uns... also wo ich arbeite... andere Leute zuständig. Vom Konzept her denke ich aber, ich weiss, wie du das angehen willst. Auch die Wartung der Gast- und Host-OS (Patch-Management) ist ein kritischer Punkt, für den es aber Lösungen gibt, Anwendungen dito.

Was ist aber die praktikable Lösung für das klassische Homeszenario:

- DSL-Router
- 1-2 PCs
- Anwendungen mit Netzzugang (Browser + Co)
- Anwendungen ohne Netzzugang

Was sagst du dazu:

Kernanwendungen (Text- und Bildbearbeitung usw) ins Hostsystem, Onlineanwendungen ins Gastsystem. Zusätzlich würde ich die Anwendungen mit Altiris-SVS virtualisieren, was durch die Sandbox-Eigenschaften eine zusätzliche Schicht einzieht. Man kann auch darüber nachdenken, als Gast-OS Linux zu nehmen.

Nebenbei... ich schliesse mich der Bundestrojaner-Hysterie nicht an. Bis auf ein paar klassische Hacks ist wohl nichts zu erwarten. Irgendeine Bundessoftware (Elster) können die schon versuchen zu verwanzen... das kommt aber raus und das Teil ist tot.

>Gruss!
>TD

Gruss

-->>>Hmm, Foxy, das kommt darauf an, was Du unter konsequent verstehst.
>>Ueberhaupt, dem MS Virtual PC oder Virtual Server wuerde ich jederzeit ein VMWare Produkt vorziehen, ich schoepfe auch aus inzwischen mehr als 27 Jahren Virtualisierung auf richtig grossen bis zu ganz kleinen Kisten meine Erfahrungen. ;-)
>Auf jeden Fall nicht MS. Ich dachte schon an ein Produkt aus dem Hause VMWare...

Ok.

>>Aber ich sehe, ein paar von Euch Jungens denken schon mit. ;-)
>Mein Vorschlag war auch noch nicht ganz ausgegoren....

Ok.

>>>Aber dann muss das Hostsystem vom Netz abgekoppelt sein und die Netzwerkkarte exclusiv der VM zugeordnet sein.
>Mein erster Denkfehler...

Ja.

Hier ein kleiner Tip von einem ex-deutschen VM-King ;-):

Lass das Real-System-Management, also das Management der gesamten Hardware des System-Nodes (PC, Server etc.) grundsaetzlich nur vom Host-OP machen, Du ersparst Dir damit spaetestens mittelfristig Aerger vielerlei Art.

Sollte es, aus welchen hardware/software-technischen Gruenden auch immer, nicht moeglich sein, ein Stueck Hardware durch das Host-OP selbst zu betreiben, dann verzichte besser entweder ganz auf diese Loesung oder, wenn das nicht moeglich ist und Du musst das Stueck Hardware direkt durch den Treiber/Software-Support eines speziellen Guest-OP fahren, was das stets einschraenkende Dedizieren des Stueck Hardware mit zumindest mittelfristigen Konsequenzen manchmal ausgesprochen haesslicher Natur zur Folge hat, dann folge dem unumgaenglichen Zwang mit der Auflage, diese temporaere Zeitgranate/Zeitbombe baldmoeglichst und so schnell wie moeglich dadurch zu entschaerfen, dass das Stueck Hardware vom Host-OP und nicht mehr von einem Guest-OP voll getrieben wird.

>>Ich weiss, Foxy, was die Probleme sind, aber das ist nicht so gut, was Du da machst, weil dann die NIC nur 1 VM Guest dediziert ist, was zur Folge hat, dass sowohl dein Host-OP wie auch Deine Guest-OPs mit Ausnahme diesem 1 Guest-OP mit der dedizierten NIC netztechnisch leider nicht erreichbar sind, und das wiederum bedeutet, dass Du jede Menge Host-OP- und Guest-OP-Inseln hast, deren Administration in eigentlich jeder Beziehung einer Rallye Paris-Dakar zu Fuss entspricht.
>Du denkst schon an den Grosseinsatz

Nuja, aus der Ecke komme ich ja seit Jahrzehnten, ist dem gemaess also meine Hausstrecke.

>>Das ist richtig, aber auch die Maintenance der TXF-Verzeichnisse kann sich zu typischer Schwielen-Administration entwickeln und ausarten.
>>Tassie wuerde das Architektur-Problem auch durch Virtualisierung des Intranet-LAN wie folgt loesen:
>>1. Strenges Administrations-Regiment, um die Zuegel jederzeit managable auf allen Levels voll in der Hand zu halten, dadurch keinerlei
>
>SCHNIPP...
>... SCHNAP
>>Was meinst Du bis hierher mal zu dieser Architektur, Foxy?
>Ich muss zugeben, die Virtualisierung der Subnetze ist nicht meine Baustelle. Dafür sind bei uns... also wo ich arbeite... andere Leute zuständig. Vom Konzept her denke ich aber, ich weiss, wie du das angehen willst.

An dieser Stelle noch die ergaenzende Anmerkung, dass ich in meinem Vorbeitrag mit den Guest-VIPAXXX-Address-Ranges deren REALE IP-Adressierung auf dem REALEN Intranet/LAN (Kabel, Wireless) meinte, wofuer das Host-OP, das ja ueber die Hardware NIC das reale Intranet/LAN betreibt, per IP-Address-Translation von und aus den Guest-OPs zustaendig ist (exakt dieses gehoert mit zum Thema der Netzwerk-Virtualisierung).

Konkret heisst das, dass es piepegal ist, welche IP-Adress-Vergaben und Vergabe-Strategien innerhalb eines oder mehrerer oder vieler Guest-OPs gefahren werden oder werden MUESSEN (es liegen manchmal Zwaenge auf dem Virtual Level innerhalb der Guest-OPs vor, deren Resolution viel Blut, Schweiss und Traenen kosten kann), denn es ist eine der Aufgaben des Host-OS beim Thema Netzwerk-Virtualisierung, das IP-Address-Translation-Management und damit die Koordinierung zwischen der realen Netzhardware und der virtuellen Netzsoftware der virtuellen Guest-OPs zu handeln.

>Auch die Wartung der Gast- und Host-OS (Patch-Management)

Ja, aber auch Version/Release-Management, im Grunde eigentlich alles, was ITIL beim Thema ICTIM (ICT Infrastructure Management) in der Section Service Support fokussiert.

>ist ein kritischer Punkt, für den es aber Lösungen gibt, Anwendungen dito.

Ja, voellig zweifellos, keine Frage.

>Was ist aber die praktikable Lösung für das klassische Homeszenario:
>- DSL-Router
>- 1-2 PCs
>- Anwendungen mit Netzzugang (Browser + Co)
>- Anwendungen ohne Netzzugang
>Was sagst du dazu:
>Kernanwendungen (Text- und Bildbearbeitung usw) ins Hostsystem,

Eine der grundsaetzlichen Strategien beim Thema Virtualisierung sollte immer sein, das Host-OP mit moeglichst wenigen, besser gar keinen Applications zu belasten, auch wenn es"Core-"Applications" sind.

Der Gruende weshalb liegen ganz einfach darin, dass ein"schlankes" Host-OP wesentlich geringere Risiken in saemtlichen Angelegenheiten der Stabilitaet/Error-Malfunction/Security nicht nur fuer sich selbst sondern auch fuer alle Guest-OPs aufweist; beim Thema Performance und Throughput hat diese Strategie deshalb Vorteile, weil die Strukturen"in die Breite" und nicht"in die Laenge" gehen, was konkret meint, dass die vom Prozessor (oder insbesondere den Prozessoren falls MP) abzuarbeitenden Instruktionsketten wesentlich kuerzere Pfadlaengen aufweisen, sodass das Prozessor(en)-Multiplexing aller OPs, Host wie Guests, bessere Performance- und Throughput-Charaktereigenschaften zeigen; gerade auch beim Thema ITIL ICTIM in den Sectionen Service Delivery und vor allem auch Service Support im Hinblick auf Patch/Release/Version-Management hat das"schlanke" Host-OP allemal seine Vorteile.

Gemaess der Strategie: kein laufendes Guest-OP ohne laufendes Host-OP wuerde ich im Host-OP nur das einbauen und aktivieren, was die Funktion des Host-OPs beim Thema Virtualisierung vollstaendig erfuellt, nicht mehr, aber auch nicht weniger.

Dazu gehoert, dass das Host-OP die gesamte Hardware auf seinem eigenen Hardware-System-Knoten (PC) aber auch den DSL-Router als Hardware im LAN managed; weiterhin gehoert dazu, dass das Host-OP alle notwendigen Netzwerk-Werkzeuge fuer Management und Zugriff auf LAN wie auch das Internet hat, darunter einen Browser und einen eMail-Client. Sowohl der Browser wie auch der eMail-Client im Host-OP sind im Hinblick auf Zugriffe ins Internet lediglich das Sicherheitsnetz im Falle eines totalen Absturzes vom Hochseil, in aller Regel werden sie nie fuer auch nur einen"Notfall-"Zugriff ins Internet benoetigt.

>Onlineanwendungen ins Gastsystem.

Alle Online-Anwendungen ins Internet in zumindestens 1 Guest-OP betreiben, was heisst, dass Du ggf. Deine Online-Applications auf 2-n Guest-OPs aufsplitten kannst, was Dir ggf. sogar groessere Vorteile im Hinblick auf Security bringt, aber das musst Du entscheiden, ich kann es nicht, weil ich nicht weiss, was Du alles beim Thema Online-Applications faehrst. Faehrst Du nur Browser und eMail-Client, dann wuerde ich Dir nur 1 Guest-OP empfehlen.

Zur Freude von Schaeuble & Co. kannst Du Dir bei dieser gegebenen Struktur jederzeit zusaetzlich 1-n Honeypot-Guest-OPs oder andere Guest-OPs bauen und ggf. auch nur temporaer reinhaengen, die die Strategie verfolgen, bei der Schaeuble-Stasi im Hinblick auf deren Arbeitsplatz-Kapazitaeten und -Volumina fuer einen gewaltigen Volatilitaets-Hub zu sorgen, sowohl mal rauf wie auch mal runter. Darueber hinaus erlaubt Dir diese gesamte vorliegende Virtualisierungsstruktur auch die fuer Dich voellig gefahrlose Option, solche Schaeuble-Stasi-Blaster als bereits von anderen ICT-Stars fix- und fertig vorbereitete Guest-OPs aus dem Internet herunterzuladen und, falls die virtuellen Harddisk-Partition(en) solcher Guest-OPs keine RAW-Disk-Partitionen sondern ganz einfache Files sind, im Handumdrehen zum Rennen zu bringen.

Fuer alle Non-Online-Applications siehst Du gleichfalls 1-n Guest-OPs vor, Deine obigen Kernanwendungen wuerde ich an Deiner Stelle in 1 separates Guest-OP installieren und darin abfahren, aber auch beim Thema der Non-Online-Applications liegen die Struktur-Entscheidungen bei Dir und nicht bei mir, weil ich weder weiss, was Du bereits am Rennen hast, noch weiss ich, was Du diesbezueglich fuer die nahe oder fernere Zukunft in der Pipline hast.

>Zusätzlich würde ich die Anwendungen mit Altiris-SVS virtualisieren, was durch die Sandbox-Eigenschaften eine zusätzliche Schicht einzieht.

Die Anwendung von Altiris-Produkten solltest Du nur fuer Guest-OPs vorsehen, aber auch wenn ich durchaus Vorteile bei deren Anwendung sehe muss es, weil ich halt nicht weiss was in Deinem Shop Sache ist, letztlich Deine strategische Entscheidung bleiben, ob und wie Du diese Altiris-Produkte einsetzt und nutzt.

>Man kann auch darüber nachdenken, als Gast-OS Linux zu nehmen.

Ohh ja, natuerlich, und nicht nur Linux, aber man kann auch darueber nachdenken, als Host-OS Linux zu nutzen, und bei richtiger Vorgehensweise ist das alles kein grosses Problem bei gleichzeitig sehr geringem Risiko.

An dieser Stelle nun einige Statements of Direction bzgl. Deiner Home-Netzwerk-Installation des DSL-Routers, Deiner beiden System-Nodes (2 PCs, in gewissen Grenzen weiter ausbaufaehig) und den darauf gemaess obiger Strategien entwickelten Struktur von Host- und Guest-OPs.

Um Dir aufgrund meiner im Vorbeitrag dargestellten Host/Guest-OP-VIPAXXX-Strategie fuer groessere und grosse Installation-Sites unnoetigen Routeraufwand
in jeglichem Hinblick zu ersparen, wobei Du moeglicher oder sogar wahrscheinlicher Weise mit Deinem DSL-Router ohne weiteren Hardware-Zukauf diese Struktur ueberhaupt nicht darstellen koenntest, muss ich zunaechst den Herstellername und Geraetetyp Deines DSL-Routers wissen, um in Erfahrung zu bringen, was diese Box kann und was sie nicht kann.

>Nebenbei... ich schliesse mich der Bundestrojaner-Hysterie nicht an. Bis auf ein paar klassische Hacks ist wohl nichts zu erwarten. Irgendeine Bundessoftware (Elster) können die schon versuchen zu verwanzen... das kommt aber raus und das Teil ist tot.

Wie schrieb ich hier schon im Forum?

Die Stasi tobt und Tassie kichert - denn er ist SCHAEUBLE abgesichert

Naechstes Jahr werden es 40 Jahre her sein, in denen ich mein Handwerk in der ICT (Information and Communication Technology) von der Pike auf gelernt wie auch in groesseren und grossen Rahmen angewendet habe.

Diese BRDDR-DemokRATTEN-Stasi-Staatsmafia kommt auch mir gerade noch zurecht geschlichen, auch ich trage dafuer Sorge, dass sie mit blutigen Koepfen zur Hoelle fahren, diese hoechstleistungskrimelle und schwerstverbrecherische Schweinepriester-Bande!
>
>>Gruss!
>>TD
>Gruss

P.S. Ich habe bereits einige Beitraege hier im Forum auch bzgl. der Partitionierungstrategie von Harddisks bei Einsatz mehrerer OPs geschrieben, musst mal suchen gehen!

-->