| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:virtualizacija:hypervisor [2020/01/09 16:15]
kceh [Upotreba] |
racfor_wiki:virtualizacija:hypervisor [2024/12/05 12:24] (trenutno)
|
| ===== Uvod ===== | ===== Uvod ===== |
| |
| Hipervisor (engl. //Hypervisor//) ili monitor virtualnog stroja (engl. //Virtual machine monitor//, VMM) je najčešće dio softvera koji omogućuje izvođenje jednog ili više virtualnih strojeva (engl. Virtual machine, VM) na računalu. Virtualni stroj je emulacija računala koja pruža sve funkcionalnosti kao pravo, fizičko računalo. Uz softversku implementaciju hipervizor može biti izveden kao firmware ili hardver. | Hipervisor (engl. //Hypervisor//) ili monitor virtualnog stroja (engl. //Virtual machine monitor//, VMM) je najčešće dio softvera koji omogućuje izvođenje jednog ili više virtualnih strojeva (engl. Virtual machine, VM) na računalu. Virtualni stroj je emulacija računala koja pruža sve funkcionalnosti kao pravo, fizičko računalo. Uz softversku implementaciju hipervizor može biti izveden kao firmware ili hardver. [[https://www.vmware.com/topics/glossary/content/hypervisor|[2]]] |
| |
| Računalo na kojem se izvode virtualni strojevi često se još naziva računalo/stroj domaćin, dok se virtualni strojevi nazivaju računala/strojevi gosti. Gosti (virtualni strojevi) koji se izvode uz pomoć hipervizora na domaćinu dijele iste fizičke resurse tog domaćina. Hipervizor se brine da se gosti izvode neometano jedni pored drugih. Svaki gost (VM) je logički odvojen od ostalih i to tako da mu hipervizor dodijeli dio računalne snage, memorije i diska domaćina. Logička odvojenost sprječava moguće interferencije gosti (VMa). To za posljedicu ima da nepopravljiva greška na jednom gostu (VMu), na primjer greška u memoriji ili sigurnosna kompromitiranosti, ne mora uzrovati grešku na ostalim gostima ili domaćinu. | Računalo na kojem se izvode virtualni strojevi često se još naziva računalo/stroj domaćin, dok se virtualni strojevi nazivaju računala/strojevi gosti. Gosti (virtualni strojevi) koji se izvode uz pomoć hipervizora na domaćinu dijele iste fizičke resurse tog domaćina. Hipervizor se brine da se gosti izvode neometano jedni pored drugih. Svaki gost (VM) je logički odvojen od ostalih i to tako da mu hipervizor dodijeli dio računalne snage, memorije i diska domaćina. Logička odvojenost sprječava moguće interferencije gosti (VMa). To za posljedicu ima da nepopravljiva greška na jednom gostu (VMu), na primjer greška u memoriji ili sigurnosna kompromitiranosti, ne mora uzrovati grešku na ostalim gostima ili domaćinu. [[https://www.ibm.com/cloud/learn/hypervisors|[1]]] |
| |
| Upravo zbog logičke odvojenosti različitih virtualnih strojeva hipervizor se danas koristi sve više. | Upravo zbog logičke odvojenosti različitih virtualnih strojeva hipervizor se danas koristi sve više. |
| Prednosti ovakve vrste hipervizora su: efikasnost, odnosno performanse zbog direktnog izvođenja na fizičkom hardveru, pojačana sigurnost zbog toga što nema nekog sloja između hipervizora i hardvera kojeg bi napadač mogao ugroziti poput operacijskog sustava. | Prednosti ovakve vrste hipervizora su: efikasnost, odnosno performanse zbog direktnog izvođenja na fizičkom hardveru, pojačana sigurnost zbog toga što nema nekog sloja između hipervizora i hardvera kojeg bi napadač mogao ugroziti poput operacijskog sustava. |
| |
| Mane tipa 1 su: kompliciranije postavljanje za krajnjeg korisnika, potreba za dodatnom upravljačkom logikom (upravlja se sa gostima, ali i hardverom domaćina). | Mane tipa 1 su: kompliciranije postavljanje za krajnjeg korisnika, potreba za dodatnom upravljačkom logikom (upravlja se sa gostima, ali i hardverom domaćina). [[https://www.ibm.com/cloud/learn/hypervisors|[1]]][[https://www.dnsstuff.com/what-is-hypervisor|[3]]] |
| |
| Primjeri ovakvog tipa hipervizora su: [[https://www.oracle.com/virtualization/vm-server-for-sparc/|Oracle VM Server for SPARC]], [[https://www.oracle.com/virtualization/vm-server-for-x86/|Oracle VM Server for x86]], [[https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/|Microsoft Hyper-V]], Xbox One sistemski softver (koji je zapravo varijacija Microsoftovog Hyper-V rješenja) i [[https://www.vmware.com/products/esxi-and-esx.html|VMware ESXi]]. | Primjeri ovakvog tipa hipervizora su: [[https://www.oracle.com/virtualization/vm-server-for-sparc/|Oracle VM Server for SPARC]], [[https://www.oracle.com/virtualization/vm-server-for-x86/|Oracle VM Server for x86]], [[https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/|Microsoft Hyper-V]], Xbox One sistemski softver (koji je zapravo varijacija Microsoftovog Hyper-V rješenja) i [[https://www.vmware.com/products/esxi-and-esx.html|VMware ESXi]]. |
| Prednosti ove izvedbe su: jednostavno korištenje za krajnjeg korisnika (pogotovo ako korisnik nije stručnjak), mogućnost lakog i brzog isprobavanja novih okolina ili operacijskih sustava (tip 2 se često koristi kod isprobavanja programa na različitim platformama ili kod provjera nekih sigurnosnih izazova bez ugrožavanja vlastitog računala). | Prednosti ove izvedbe su: jednostavno korištenje za krajnjeg korisnika (pogotovo ako korisnik nije stručnjak), mogućnost lakog i brzog isprobavanja novih okolina ili operacijskih sustava (tip 2 se često koristi kod isprobavanja programa na različitim platformama ili kod provjera nekih sigurnosnih izazova bez ugrožavanja vlastitog računala). |
| |
| Također ovakva izvedba ima i mane, neke od koji su: performanse zbog posredništva operacijskog sustava, sigurnosne prijetnje ako napadač ovlada operacijskim sustavom domaćina može ugroziti i sve goste. | Također ovakva izvedba ima i mane, neke od koji su: performanse zbog posredništva operacijskog sustava, sigurnosne prijetnje ako napadač ovlada operacijskim sustavom domaćina može ugroziti i sve goste. [[https://www.ibm.com/cloud/learn/hypervisors|[1]]][[https://www.dnsstuff.com/what-is-hypervisor|[3]]] |
| |
| Primjeri ovakvog tipa hipervizora su: [[https://www.vmware.com/products/workstation-pro.html|VMware Workstation]],[[https://www.vmware.com/products/workstation-player.html| VMware Player]], [[https://www.virtualbox.org/|VirtualBox]], [[https://www.parallels.com/eu/products/desktop/|Parallels Desktop (Mac)]]. | Primjeri ovakvog tipa hipervizora su: [[https://www.vmware.com/products/workstation-pro.html|VMware Workstation]],[[https://www.vmware.com/products/workstation-player.html| VMware Player]], [[https://www.virtualbox.org/|VirtualBox]], [[https://www.parallels.com/eu/products/desktop/|Parallels Desktop (Mac)]]. |
| Tehnologija hipervizora se može koristiti i u zlonamjerne svrhe. Prije ulaženja u detalje valja imati na umu da je hipervizor koji se izvodi direktno iznad hardvera (tip 1) izuzetno sigurna okolina. Budući da nema nikakvog dodatnog softvera između hipervizora i hardvera, potencijalni napadač ima malo prostora za napade. Također takav tip hipervizora može dodatno nadzirati operacijski sustav budući da sve naredbe prije izvršavanja na hardveru idu kroz njega. Pa je napad na operacijski sustav također teže provesti. Međutim neki napredniji napadi su još uvijek mogući i za ovakvo rješenje. Napadi na hipervizor tipa 2 su lakši zbog toga što se može prvo ugroziti operacijski sustav domaćina pa se onda može ovladati hipervizorom. | Tehnologija hipervizora se može koristiti i u zlonamjerne svrhe. Prije ulaženja u detalje valja imati na umu da je hipervizor koji se izvodi direktno iznad hardvera (tip 1) izuzetno sigurna okolina. Budući da nema nikakvog dodatnog softvera između hipervizora i hardvera, potencijalni napadač ima malo prostora za napade. Također takav tip hipervizora može dodatno nadzirati operacijski sustav budući da sve naredbe prije izvršavanja na hardveru idu kroz njega. Pa je napad na operacijski sustav također teže provesti. Međutim neki napredniji napadi su još uvijek mogući i za ovakvo rješenje. Napadi na hipervizor tipa 2 su lakši zbog toga što se može prvo ugroziti operacijski sustav domaćina pa se onda može ovladati hipervizorom. |
| |
| //Hyperjacking// je naziv za skupinu napada kojima je cilj ili ovladati originalnim hipervizorom pomoću malwarea ili postaviti svoj hipervizor kako bi se ovladalo originalnim hipervizorom na računalu. Jednom kad se ovlada originalnim hipervizorom, može se upravljati i sa virtualnim strojevima. Glavni načini kako ovaj napad može biti izveden su: postavljanje vlastitog hipervizora ispod originalnog hipervizora, preuzimanje kontrole originalnog hipervizora, izvođenjem vlastitog hipervizora iznad originalnog. Postavljanje vlastitog hipervizora se često provodi uz pomoć malwarea ili rootkitova. Slika ispod skicira napad. | //Hyperjacking// je naziv za skupinu napada kojima je cilj ili ovladati originalnim hipervizorom pomoću malwarea ili postaviti svoj hipervizor kako bi se ovladalo originalnim hipervizorom na računalu. Jednom kad se ovlada originalnim hipervizorom, može se upravljati i sa virtualnim strojevima. Glavni načini kako ovaj napad može biti izveden su: postavljanje vlastitog hipervizora ispod originalnog hipervizora, preuzimanje kontrole originalnog hipervizora, izvođenjem vlastitog hipervizora iznad originalnog. Postavljanje vlastitog hipervizora se često provodi uz pomoć malwarea ili rootkitova. Slika ispod skicira napad. [[https://www.securityweek.com/deep-dive-hyperjacking|[7]]] |
| |
| {{ :racfor_wiki:virtualizacija:hyperjacking.png?400 }} | {{ :racfor_wiki:virtualizacija:hyperjacking.png?400 }} |
