Kann ich über eine virtuelle Maschine auf eine gesperrte Website zugreifen, wenn die Hostadresse des Host-Betriebssystems in der Datei hosts enthalten ist?

5307
Vinayak

Ich habe diesen Artikel von Net Nanny durchgearbeitet, in dem er die verschiedenen Möglichkeiten erwähnte, wie sein Webfilter von Kindern umgangen werden könnte.

Unter anderen Methoden sah ich das:

Jugendliche können den Filter vollständig umgehen, indem sie ein Programm installieren, das eine virtuelle Maschine auf dem Computer ausführt, im Wesentlichen einen Computer innerhalb des Computers. Wenn das Betriebssystem Ihres Computers beispielsweise Windows ist, kann das clevere Teen ein Programm herunterladen, das ein virtuelles Windows-Betriebssystem ausführt, auf dem Net Nanny nicht installiert ist, und dann ohne Filter im Web surfen.

Jetzt habe ich mich gefragt, ob dies möglicherweise noch möglich ist, wenn die Hosts-Datei auf dem Host-Betriebssystem den Zugriff auf alle unerwünschten Websites blockiert hat (lassen Sie uns im Moment davon ausgehen, dass es eine solche riesige, regelmäßig aktualisierte Hosts-Datei gibt), einschließlich Websites mit Inhalten für Erwachsene. Web-Proxies, P2P-Websites zum Teilen von Dateien usw.

Wäre es jetzt möglich, diese gesperrten Sites über einen in der VM ausgeführten Webbrowser zu besuchen? Nehmen wir auch an, dass kein VPN verwendet wird und weder Tor noch Googles "Cache-Ansicht" der Webseite .

16
Ich habe versucht, Ubuntu auf meiner Windows 7-Installation auszuführen, auf der K9 installiert ist, aber der Hack kam nicht an den Verteidigungsfunktionen von K9 vorbei :( shortstheory vor 10 Jahren 0
Sie müssen etwas falsch machen, weil ich es leicht umgehen könnte. Vinayak vor 10 Jahren 1
UPDATE: Sie haben wahrscheinlich den Netzwerkverbindungsmodus der VM als NAT eingestellt. Ändern Sie das zu "Bridged" und K9 hilft nicht mehr. Vinayak vor 10 Jahren 0

2 Antworten auf die Frage

26
Darth Android

Ja. Die hostsDatei blockiert nichts, sie teilt dem Computer lediglich mit, wo er benannte Websites finden kann. Wenn Sie versuchen, zu zu gelangen google.com, überprüft das System die hostsDatei auf diesen Namen. Falls vorhanden, wird die IP-Adresse dort verwendet, anstatt die IP-Adresse von einem DNS-Server abzurufen.

Eine virtuelle Maschine verfügt über eine eigene Host-Datei und führt ihre eigene Namensauflösung durch (dh, sie prüft ihre eigene Host-Datei und kontaktiert ihren eigenen DNS-Server), unabhängig vom Host-Computer.

Selbst wenn Sie google.comauf 127.0.0.1(Eine übliche Methode zum "Blockieren" einer Website) umgeleitet haben, können Sie Google auch einfach durch Eingabe 173.227.93.99Ihres Webbrowsers aufrufen.

Darüber hinaus können IP-basierte Filter auf dem Host-Betriebssystem je nach Konfiguration des VM-Netzwerks unbrauchbar sein. Normalerweise wird die VM mit dem Host-Netzwerk "überbrückt". Dies bedeutet, dass der gesamte eingehende Datenverkehr dupliziert und an die VM gesendet wird, sodass er den gesamten Netzwerkverkehr des Hosts sehen kann. Selbst wenn der Host so konfiguriert ist, dass bestimmte IP-Adressen (z. B. mit einer Firewall) blockiert oder gefiltert werden, kann die VM immer noch die "Kopie" der Daten sehen. Dadurch kann die VM im Internet surfen und einen installierten Filter ignorieren der Host-Computer.


Denken Sie an die Grundregel des Computers und der Sicherheit: Wenn ich ein Computersystem physisch berühren kann, kann ich mit der Zeit die volle Kontrolle darüber haben. Kinder haben viel Freizeit und bilden auf keinen Fall eine Ausnahme von dieser Regel. Es ist trivial, ein System im Safemode neu zu starten und NetNanny oder andere darauf installierte Software zu entfernen.

Wenn Sie filtern / einschränken / überwachen möchten, was Ihre Kinder im Internet tun, müssen Sie dies auf Netzwerkebene und nicht auf Systemebene tun. Informieren Sie sich darüber, welche Funktionen Ihr Router unterstützt (wie NetNanny Integration wie @Keltari empfiehlt) und ob er alternative Router-Firmwares wie DD-WRT unterstützt, die den Computer des Kindes zeitgesteuert trennen können (zB täglich zwischen 22:00 Uhr und 6:00 Uhr) ).

Selbst dann ist die Netzwerkfilterung oft ein Whack-A-Mole-Spiel, das von Proxys wie Tor oftmals vereitelt wird. Es ist fast unmöglich, jemanden vom Zugang zum Internet abzuhalten, der wirklich will (fragen Sie einfach China oder andere Länder mit massiven Firewalls, die letztendlich nicht perfekt funktionieren).

Mit Kindern müssen Sie entweder mit ihnen sprechen und ihnen die Gefahren des Internets erklären und genug Vertrauen haben, dass sie nicht absichtlich nach den schlechten Websites suchen (und dann NetNanny lediglich als Backup verwenden, um versehentliche Navigationen zu stoppen) oder Sie dürfen einen angeschlossenen Computer nicht unbeaufsichtigt benutzen.

+1. Prüfen Sie, ob Ihr Router die Netnanny-Integration unterstützt. Einige tun dies. Wenn nicht, können Sie immer einen kaufen, der dies tut. Keltari vor 10 Jahren 2
Vielen Dank! Ich habe mich gerade über das Gleiche gewundert (dh wenn es funktioniert, wurde der Netzwerkadapter der VM mit dem Host "überbrückt" oder als NAT konfiguriert). Vinayak vor 10 Jahren 0
@Vinayak Wenn es als NAT konfiguriert ist, wirken sich Firewalls und IP-Filter auf dem Host auf die VM aus Darth Android vor 10 Jahren 0
@DarthAndroid: Ich habe es gerade in VMWare Player mit dem als NAT konfigurierten Netzwerkadapter ausprobiert und es funktionierte trotzdem. Das war interessant. Der Host konnte nicht auf die gesperrten Sites zugreifen, der Gast jedoch. Vinayak vor 10 Jahren 0
@Vinayak Es hängt davon ab, wie die Sites blockiert sind (ich habe NetNanny noch nicht verwendet und nicht genau gesehen, wie es funktioniert). Wenn Sie die VM als NAT konfigurieren und dann die Windows-Firewall so konfigurieren, dass eine IP-Adresse blockiert wird, würde ich davon ausgehen, dass die VM diese IP-Adresse nicht erreichen kann. Darth Android vor 10 Jahren 0
Vielen Dank! Ich werde auf jeden Fall DD-WRT- und NetNanny-integrierte Router untersuchen. Würde es aus Neugier helfen, wenn zwischen der VM und dem Internet ein restriktiver Proxy (nicht sicher, ob das so heißt) heißt? Wie in einer Unternehmensumgebung? Vinayak vor 10 Jahren 0
@ Vinayak Siehe meine Änderungen an meinem Beitrag; Ein "Blacklist" -Proxy (wo Sie hinzuzufügende Sites hinzufügen) kann hilfreich sein, wenn Sie versehentliche Navigation zu schlechten Sites unterbinden möchten. Letztendlich kann jedoch jemand damit umgehen, wenn er möchte. Ein "Whitelist" -Proxy (bei dem Sie Sites hinzufügen, die zugelassen werden sollen und alles andere blockiert ist), kann verhindern, dass Benutzer unerwünschte Sites besuchen. Die Wartung erfordert jedoch sehr viel mehr Arbeit, da Sie jede Domäne oder IP der Whitelist hinzufügen müssen . Eine Site wie SuperUser hat wahrscheinlich 5-10 verschiedene Domains, die auf die Whitelist gesetzt werden müssen, wenn nicht mehr. Darth Android vor 10 Jahren 1
Schöne Bearbeitung übrigens. Ich würde +10 wenn ich könnte. Vinayak vor 10 Jahren 0
@DarthAndroid Wenn die Frage "Kann ich über eine virtuelle Maschine auf eine gesperrte Website zugreifen ..." lautet, sollte das erste Wort Ihrer Antwort nicht "Ja" sein, nicht "Nein"? Digital Chris vor 10 Jahren 1
@DigitalChris Fixed; Es scheint, dass ich die Hälfte der gestellten Frage übersprungen habe. Darth Android vor 10 Jahren 0
+1 für "Gespräch mit Ihren Kindern" ... oft die beste Antwort. Brad vor 10 Jahren 12
+1 für "Sprechen Sie mit Ihren Kindern" und "Es ist fast unmöglich, jemanden vom Zugang zum Internet abzuhalten, der wirklich will." Ich habe viel Erfahrung damit, mit allen Arten von Filtern umzugehen, nicht weil ich jemals versucht hatte, auf etwas Unangemessenes zuzugreifen, sondern weil ich oft übereifrige Filter verwenden musste, um meine Arbeit zu erledigen. Im Allgemeinen sind sie ziemlich leicht zu umgehen, wenn Sie viel über das Netzwerk wissen (und nicht einmal so schwer mit nur Grundkenntnissen.) reirab vor 10 Jahren 0
"127.0.0.1 (Eine gebräuchliche Methode zum" Blockieren "einer Website)" - Ich denke, dass die Verwendung von 0.0.0.0 für das "Blockieren" besser ist als die Verwendung von localhost. PTwr vor 10 Jahren 0
"Sprich mit deinen Kindern" ist alles gut und gut, und ja, auf jeden Fall musst du deinen Kindern die Gefahren erklären. Aber für die (meist männlichen) Teenager, die bereits eine Neigung (oder Sucht) haben, provokatives Material anzuschauen, wird das Reden sie nicht aufhalten. +1 für geplante Router-Blockierung als sekundäre Maßnahme. Ich würde auch hinzufügen, ein starkes Router-Passwort (und einen Benutzernamen!) Und einen DNS-Auflösungsdienst wie OpenDNS (opendns.com) verwenden. Ogre Psalm33 vor 10 Jahren 0
@Ogre Psalm33: Ich habe versucht, OpenDNS FamilyShield zu verwenden und es auf meinem Router einzurichten. Es funktionierte gut auf allen Geräten, die mit dem WLAN verbunden waren. Diese Maßnahme wurde jedoch leicht durchkreuzt, indem die DNS-Servereinträge des Netzwerkadapters manuell geändert wurden Google DNS. Vinayak vor 10 Jahren 0
@Vinayak Ich glaube, DD-WRT ermöglicht es Ihnen, alle DNS-Anfragen unter dem Hotspot-Servicemenü abzufangen und umzuleiten. Sie könnten sich das mal ansehen. Ich habe es jedoch nicht getestet, also nicht sicher, ob es so einfach funktioniert. Darth Android vor 10 Jahren 0
Vielen Dank! Aber wie Sie vorgeschlagen haben, ist das Gespräch mit den Kindern der effektivste Weg, um das Problem zu bekämpfen. Vinayak vor 10 Jahren 0
0
Boss

Die hosts-Datei blockiert Bilder, Anzeigen und Websites, wenn Sie die URL mit der Adresse 0.0.0.0 oder 127.0.0.1 voranstellen. Das System überprüft die Hosts-Datei auf Adressen. Wenn Sie der Adresse "home" oder "null" als Ort für die Suche nach einer Ressource angeben, wird das Element effektiv blockiert.

Menschen verwenden es ständig, um schädliche Websites, Werbe-URLs und viele andere Dinge zu blockieren. OpenDNS tut dasselbe für Sie, indem Sie den Zugriff auf Kategorien von Websites usw. blockieren, die Sie nicht sehen möchten.

Die richtige Antwort ist JA, wenn Sie die Hosts-Datei mit einer virtuellen Maschine blockieren können, da die virtuelle Maschine ihre eigene Hosts-Datei verwendet.

Aber zu sagen, dass die hosts-Datei nichts blockiert, ist nur eine Menge Mist.