Re: Was ist die Lösung für den Hausgebrauch?

verfasst von Tassie Devil, 27.05.2007, 16:31

-->>>Hmm, Foxy, das kommt darauf an, was Du unter konsequent verstehst.
>>Ueberhaupt, dem MS Virtual PC oder Virtual Server wuerde ich jederzeit ein VMWare Produkt vorziehen, ich schoepfe auch aus inzwischen mehr als 27 Jahren Virtualisierung auf richtig grossen bis zu ganz kleinen Kisten meine Erfahrungen. ;-)
>Auf jeden Fall nicht MS. Ich dachte schon an ein Produkt aus dem Hause VMWare...

Ok.

>>Aber ich sehe, ein paar von Euch Jungens denken schon mit. ;-)
>Mein Vorschlag war auch noch nicht ganz ausgegoren....

Ok.

>>>Aber dann muss das Hostsystem vom Netz abgekoppelt sein und die Netzwerkkarte exclusiv der VM zugeordnet sein.
>Mein erster Denkfehler...

Ja.

Hier ein kleiner Tip von einem ex-deutschen VM-King ;-):

Lass das Real-System-Management, also das Management der gesamten Hardware des System-Nodes (PC, Server etc.) grundsaetzlich nur vom Host-OP machen, Du ersparst Dir damit spaetestens mittelfristig Aerger vielerlei Art.

Sollte es, aus welchen hardware/software-technischen Gruenden auch immer, nicht moeglich sein, ein Stueck Hardware durch das Host-OP selbst zu betreiben, dann verzichte besser entweder ganz auf diese Loesung oder, wenn das nicht moeglich ist und Du musst das Stueck Hardware direkt durch den Treiber/Software-Support eines speziellen Guest-OP fahren, was das stets einschraenkende Dedizieren des Stueck Hardware mit zumindest mittelfristigen Konsequenzen manchmal ausgesprochen haesslicher Natur zur Folge hat, dann folge dem unumgaenglichen Zwang mit der Auflage, diese temporaere Zeitgranate/Zeitbombe baldmoeglichst und so schnell wie moeglich dadurch zu entschaerfen, dass das Stueck Hardware vom Host-OP und nicht mehr von einem Guest-OP voll getrieben wird.

>>Ich weiss, Foxy, was die Probleme sind, aber das ist nicht so gut, was Du da machst, weil dann die NIC nur 1 VM Guest dediziert ist, was zur Folge hat, dass sowohl dein Host-OP wie auch Deine Guest-OPs mit Ausnahme diesem 1 Guest-OP mit der dedizierten NIC netztechnisch leider nicht erreichbar sind, und das wiederum bedeutet, dass Du jede Menge Host-OP- und Guest-OP-Inseln hast, deren Administration in eigentlich jeder Beziehung einer Rallye Paris-Dakar zu Fuss entspricht.
>Du denkst schon an den Grosseinsatz

Nuja, aus der Ecke komme ich ja seit Jahrzehnten, ist dem gemaess also meine Hausstrecke.

>>Das ist richtig, aber auch die Maintenance der TXF-Verzeichnisse kann sich zu typischer Schwielen-Administration entwickeln und ausarten.
>>Tassie wuerde das Architektur-Problem auch durch Virtualisierung des Intranet-LAN wie folgt loesen:
>>1. Strenges Administrations-Regiment, um die Zuegel jederzeit managable auf allen Levels voll in der Hand zu halten, dadurch keinerlei
>
>SCHNIPP...
>... SCHNAP
>>Was meinst Du bis hierher mal zu dieser Architektur, Foxy?
>Ich muss zugeben, die Virtualisierung der Subnetze ist nicht meine Baustelle. Dafür sind bei uns... also wo ich arbeite... andere Leute zuständig. Vom Konzept her denke ich aber, ich weiss, wie du das angehen willst.

An dieser Stelle noch die ergaenzende Anmerkung, dass ich in meinem Vorbeitrag mit den Guest-VIPAXXX-Address-Ranges deren REALE IP-Adressierung auf dem REALEN Intranet/LAN (Kabel, Wireless) meinte, wofuer das Host-OP, das ja ueber die Hardware NIC das reale Intranet/LAN betreibt, per IP-Address-Translation von und aus den Guest-OPs zustaendig ist (exakt dieses gehoert mit zum Thema der Netzwerk-Virtualisierung).

Konkret heisst das, dass es piepegal ist, welche IP-Adress-Vergaben und Vergabe-Strategien innerhalb eines oder mehrerer oder vieler Guest-OPs gefahren werden oder werden MUESSEN (es liegen manchmal Zwaenge auf dem Virtual Level innerhalb der Guest-OPs vor, deren Resolution viel Blut, Schweiss und Traenen kosten kann), denn es ist eine der Aufgaben des Host-OS beim Thema Netzwerk-Virtualisierung, das IP-Address-Translation-Management und damit die Koordinierung zwischen der realen Netzhardware und der virtuellen Netzsoftware der virtuellen Guest-OPs zu handeln.

>Auch die Wartung der Gast- und Host-OS (Patch-Management)

Ja, aber auch Version/Release-Management, im Grunde eigentlich alles, was ITIL beim Thema ICTIM (ICT Infrastructure Management) in der Section Service Support fokussiert.

>ist ein kritischer Punkt, für den es aber Lösungen gibt, Anwendungen dito.

Ja, voellig zweifellos, keine Frage.

>Was ist aber die praktikable Lösung für das klassische Homeszenario:
>- DSL-Router
>- 1-2 PCs
>- Anwendungen mit Netzzugang (Browser + Co)
>- Anwendungen ohne Netzzugang
>Was sagst du dazu:
>Kernanwendungen (Text- und Bildbearbeitung usw) ins Hostsystem,

Eine der grundsaetzlichen Strategien beim Thema Virtualisierung sollte immer sein, das Host-OP mit moeglichst wenigen, besser gar keinen Applications zu belasten, auch wenn es"Core-"Applications" sind.

Der Gruende weshalb liegen ganz einfach darin, dass ein"schlankes" Host-OP wesentlich geringere Risiken in saemtlichen Angelegenheiten der Stabilitaet/Error-Malfunction/Security nicht nur fuer sich selbst sondern auch fuer alle Guest-OPs aufweist; beim Thema Performance und Throughput hat diese Strategie deshalb Vorteile, weil die Strukturen"in die Breite" und nicht"in die Laenge" gehen, was konkret meint, dass die vom Prozessor (oder insbesondere den Prozessoren falls MP) abzuarbeitenden Instruktionsketten wesentlich kuerzere Pfadlaengen aufweisen, sodass das Prozessor(en)-Multiplexing aller OPs, Host wie Guests, bessere Performance- und Throughput-Charaktereigenschaften zeigen; gerade auch beim Thema ITIL ICTIM in den Sectionen Service Delivery und vor allem auch Service Support im Hinblick auf Patch/Release/Version-Management hat das"schlanke" Host-OP allemal seine Vorteile.

Gemaess der Strategie: kein laufendes Guest-OP ohne laufendes Host-OP wuerde ich im Host-OP nur das einbauen und aktivieren, was die Funktion des Host-OPs beim Thema Virtualisierung vollstaendig erfuellt, nicht mehr, aber auch nicht weniger.

Dazu gehoert, dass das Host-OP die gesamte Hardware auf seinem eigenen Hardware-System-Knoten (PC) aber auch den DSL-Router als Hardware im LAN managed; weiterhin gehoert dazu, dass das Host-OP alle notwendigen Netzwerk-Werkzeuge fuer Management und Zugriff auf LAN wie auch das Internet hat, darunter einen Browser und einen eMail-Client. Sowohl der Browser wie auch der eMail-Client im Host-OP sind im Hinblick auf Zugriffe ins Internet lediglich das Sicherheitsnetz im Falle eines totalen Absturzes vom Hochseil, in aller Regel werden sie nie fuer auch nur einen"Notfall-"Zugriff ins Internet benoetigt.

>Onlineanwendungen ins Gastsystem.

Alle Online-Anwendungen ins Internet in zumindestens 1 Guest-OP betreiben, was heisst, dass Du ggf. Deine Online-Applications auf 2-n Guest-OPs aufsplitten kannst, was Dir ggf. sogar groessere Vorteile im Hinblick auf Security bringt, aber das musst Du entscheiden, ich kann es nicht, weil ich nicht weiss, was Du alles beim Thema Online-Applications faehrst. Faehrst Du nur Browser und eMail-Client, dann wuerde ich Dir nur 1 Guest-OP empfehlen.

Zur Freude von Schaeuble & Co. kannst Du Dir bei dieser gegebenen Struktur jederzeit zusaetzlich 1-n Honeypot-Guest-OPs oder andere Guest-OPs bauen und ggf. auch nur temporaer reinhaengen, die die Strategie verfolgen, bei der Schaeuble-Stasi im Hinblick auf deren Arbeitsplatz-Kapazitaeten und -Volumina fuer einen gewaltigen Volatilitaets-Hub zu sorgen, sowohl mal rauf wie auch mal runter. Darueber hinaus erlaubt Dir diese gesamte vorliegende Virtualisierungsstruktur auch die fuer Dich voellig gefahrlose Option, solche Schaeuble-Stasi-Blaster als bereits von anderen ICT-Stars fix- und fertig vorbereitete Guest-OPs aus dem Internet herunterzuladen und, falls die virtuellen Harddisk-Partition(en) solcher Guest-OPs keine RAW-Disk-Partitionen sondern ganz einfache Files sind, im Handumdrehen zum Rennen zu bringen.

Fuer alle Non-Online-Applications siehst Du gleichfalls 1-n Guest-OPs vor, Deine obigen Kernanwendungen wuerde ich an Deiner Stelle in 1 separates Guest-OP installieren und darin abfahren, aber auch beim Thema der Non-Online-Applications liegen die Struktur-Entscheidungen bei Dir und nicht bei mir, weil ich weder weiss, was Du bereits am Rennen hast, noch weiss ich, was Du diesbezueglich fuer die nahe oder fernere Zukunft in der Pipline hast.

>Zusätzlich würde ich die Anwendungen mit Altiris-SVS virtualisieren, was durch die Sandbox-Eigenschaften eine zusätzliche Schicht einzieht.

Die Anwendung von Altiris-Produkten solltest Du nur fuer Guest-OPs vorsehen, aber auch wenn ich durchaus Vorteile bei deren Anwendung sehe muss es, weil ich halt nicht weiss was in Deinem Shop Sache ist, letztlich Deine strategische Entscheidung bleiben, ob und wie Du diese Altiris-Produkte einsetzt und nutzt.

>Man kann auch darüber nachdenken, als Gast-OS Linux zu nehmen.

Ohh ja, natuerlich, und nicht nur Linux, aber man kann auch darueber nachdenken, als Host-OS Linux zu nutzen, und bei richtiger Vorgehensweise ist das alles kein grosses Problem bei gleichzeitig sehr geringem Risiko.

An dieser Stelle nun einige Statements of Direction bzgl. Deiner Home-Netzwerk-Installation des DSL-Routers, Deiner beiden System-Nodes (2 PCs, in gewissen Grenzen weiter ausbaufaehig) und den darauf gemaess obiger Strategien entwickelten Struktur von Host- und Guest-OPs.

Um Dir aufgrund meiner im Vorbeitrag dargestellten Host/Guest-OP-VIPAXXX-Strategie fuer groessere und grosse Installation-Sites unnoetigen Routeraufwand
in jeglichem Hinblick zu ersparen, wobei Du moeglicher oder sogar wahrscheinlicher Weise mit Deinem DSL-Router ohne weiteren Hardware-Zukauf diese Struktur ueberhaupt nicht darstellen koenntest, muss ich zunaechst den Herstellername und Geraetetyp Deines DSL-Routers wissen, um in Erfahrung zu bringen, was diese Box kann und was sie nicht kann.

>Nebenbei... ich schliesse mich der Bundestrojaner-Hysterie nicht an. Bis auf ein paar klassische Hacks ist wohl nichts zu erwarten. Irgendeine Bundessoftware (Elster) können die schon versuchen zu verwanzen... das kommt aber raus und das Teil ist tot.

Wie schrieb ich hier schon im Forum?

Die Stasi tobt und Tassie kichert - denn er ist SCHAEUBLE abgesichert

Naechstes Jahr werden es 40 Jahre her sein, in denen ich mein Handwerk in der ICT (Information and Communication Technology) von der Pike auf gelernt wie auch in groesseren und grossen Rahmen angewendet habe.

Diese BRDDR-DemokRATTEN-Stasi-Staatsmafia kommt auch mir gerade noch zurecht geschlichen, auch ich trage dafuer Sorge, dass sie mit blutigen Koepfen zur Hoelle fahren, diese hoechstleistungskrimelle und schwerstverbrecherische Schweinepriester-Bande!
>
>>Gruss!
>>TD
>Gruss

P.S. Ich habe bereits einige Beitraege hier im Forum auch bzgl. der Partitionierungstrategie von Harddisks bei Einsatz mehrerer OPs geschrieben, musst mal suchen gehen!

Thread gesperrt

 

gesamter Thread:

• Verbot von Computersicherheitswerkzeugen öffnet Bundestrojaner Tür und Tor - Worldwatcher, 26.05.2007, 06:44
  • Nu mal halblang... - FOX-NEWS, 26.05.2007, 11:06
    • nana, mit nem Portscan von außen findet man aber sehr schnell offene Ports. (o.Text) - igelei, 26.05.2007, 11:23
      • Und inwieweit betrifft mich das? - FOX-NEWS, 26.05.2007, 11:32
        • Ist richtig. Aber für einen Adnin ist es schon hilfreich, wenn er mal von...mkT - igelei, 26.05.2007, 11:45
    • Re: eben nicht - Jermak Timofejewitsch, 26.05.2007, 11:50
      • Re: Nachtrag - Zitat des MdB-Abweichlers Tauss - Jermak Timofejewitsch, 26.05.2007, 12:17
    • ohne Weiterentwicklung von Einbruchswerkzeugen ist keine Abwehr mehr möglich (o.Text) - ManfredF, 28.05.2007, 17:33
  • ähm, wie wollen sie netstat -an denn verbieten?... mkT - igelei, 26.05.2007, 11:20
  • Re: Verbot von Computersicherheitswerkzeugen öffnet Bundestrojaner Tür und Tor - Illuminati, 26.05.2007, 11:44
    • Re: Verbot von Computersicherheitswerkzeugen öffnet Bundestrojaner Tür und Tor - FOX-NEWS, 26.05.2007, 13:32
      • Re: Der Bundesschaeuble im Honeypot - Tassie Devil, 26.05.2007, 18:01
        • Was ist die Lösung für den Hausgebrauch? - FOX-NEWS, 27.05.2007, 11:15
          • Re: Was ist die Lösung für den Hausgebrauch? - Tassie Devil, 27.05.2007, 16:31
  • Re: soll ich mich stellen? - Fremdwort, 26.05.2007, 13:07