Jak emulować wbudowanego hosta w środku 2 innych hostów w VMware Workstation?

9

Chcę założyć laboratorium, aby wypróbować Suricate, system IPS. Chodzi o to, że muszę to skonfigurować w następujący sposób:

Atacker VM ----- Inline IPS VM ----- VM ofiary Jak to osiągnąć? Nie widzę sposobu na skonfigurowanie wirtualnego hosta z 2 kartami sieciowymi, umieszczając go w środku połączenia. Czy można to jakoś zrobić?

użytkownik2723297
źródło
BTW, użyłem Security Onion: sourceforge.net/projects/security-onion To jest ISO Xubuntu, które konfiguruje w dość prosty sposób Snorta lub inne czujniki oraz narzędzia do analizy dzienników, aby było przyjemne z GUI. Jest to więc niezwykle proste, sprawdź to!
user2723297

Odpowiedzi:

9

W twoim schemacie widzimy, że potrzebujesz dwóch oddzielnych sieci LAN. Nazwijmy ich LAN-Attacker i LAN-Victim. Na maszynach wirtualnych Attacker i Victim VM potrzebujesz jednej wirtualnej karty sieciowej dla każdej maszyny wirtualnej. Na maszynie wirtualnej IPS potrzebne będą dwie wirtualne karty sieciowe. Możesz dodawać i konfigurować adaptery w oknie Ustawienia maszyny wirtualnej na karcie Sprzęt.

Nie należy się mylić faktem, że istnieją dwie oddzielne sieci LAN. Mogą znajdować się w tej samej podsieci IP, jeśli IPS będzie działał jako most (urządzenie warstwy 2). Mogą również znajdować się w dwóch różnych podsieciach IP, jeśli IPS będzie działać jako router (warstwa 3). Zależy to tylko od konfiguracji sieci wewnątrz maszyn wirtualnych.

Teraz są dwie opcje konfiguracji i połączenia dwóch sieci LAN.

Segmenty LAN

W VMware Workstation 8.0 i nowszych można używać segmentów LAN do lokalnych sieci wirtualnych, które muszą komunikować się tylko z maszynami wirtualnymi. Ta konfiguracja jest znacznie łatwiejsza. wprowadź opis zdjęcia tutaj W oknie ustawień maszyny wirtualnej na karcie Sprzęt wybierz kartę sieciową i kliknij przyciski Segmenty sieci LAN. Utwórz dwa segmenty LAN LAN-Attackeri LAN-Victim. Na każdej wirtualnej karcie sieciowej wybierz odpowiedni segment LAN.

Należy pamiętać, że urządzenia podłączone tylko do segmentów LAN nie będą mogły komunikować się (przez sieć) ani z hostem fizycznym, ani z zewnętrznymi sieciami fizycznymi.

Virtual Networks vmnetx

We wszystkich wersjach VMware Workstation możesz korzystać z sieci wirtualnych. Możesz je skonfigurować za pomocą Virtual Network Editor (w menu Edycja). Sieci wirtualne są nazywane, vmnetxgdzie xjest numerem sieci wirtualnej. Skonfiguruj nieużywane lub utwórz nowe. wprowadź opis zdjęcia tutaj Istnieją trzy typy sieci wirtualnych:

  • Mostkowane - są podłączone do sieci fizycznej, do której fizyczny host ma dostęp w warstwie 2. Maszyny wirtualne podłączone do tej sieci vmnet wyglądają, jakby były podłączone bezpośrednio do sieci fizycznej.
  • NAT - Istnieje sieć wirtualna, ale host fizyczny wykonuje dynamiczny NAT, więc maszyny podłączone do tej sieci vmnet mogą komunikować się z sieciami fizycznymi. (i siebie nawzajem - patrz poniżej)
  • Tylko host - ten vmnet jest jak NAT, ale bez NAT i dostępu do zewnętrznych sieci fizycznych. Tak więc maszyny podłączone do tej sieci vmnet mogą komunikować się tylko z innymi, w tym z hostem fizycznym, jeśli wybierzesz opcję „Podłącz wirtualny adapter hosta”.

W twoim przypadku użyjesz tylko hosta lub NAT (jeśli maszyny będą musiały komunikować się ze światem zewnętrznym). W nowej instalacji VMware Workstation vmnet0- vmnet2są wstępnie zdefiniowane, więc prawdopodobnie możesz używać vmnet3jako LAN-Attackeri vmnet4jako LAN-Victim.

Na maszynach wirtualnych następnie przypisujesz odpowiednie sieci wirtualne do wirtualnych kart sieciowych w podobny sposób jak powyższe segmenty sieci LAN, po prostu wybierz opcję „Niestandardowa: określona sieć wirtualna” zamiast „segmentu sieci LAN”.

pabouk
źródło
Hej, dzięki za dokładną odpowiedź. Przetestuję to i dam wam znać. Jest to w zasadzie: komputer ATACKERA (na przykład 10.0.0.1/8) ---- segment LAN 1 ---- IPS ---- segment LAN 2 ---- komputer VICTIM (10.0.0.2/8, w ten sam zakres, aby wymusić IPS na środku). Więc jeśli to zrobię, IPS zostanie automatycznie włączony? Nie rozumiem dlaczego. Dlaczego VMware interpretuje, że oznacza to, że host z 2 segmentami LAN powinien znajdować się pośrodku?
user2723297,
Zapraszamy! Komputer atakujący i interfejs 1 IPS są podłączone do sieci LAN1. Komputer PC ofiary i interfejs 2 IPS są podłączone do sieci LAN2. Atakujący i Ofiara znajdują się w dwóch oddzielnych sieciach LAN. Nie mogą komunikować się bezpośrednio. Jedynym sposobem jest przejście przez IPS, który jest podłączony zarówno do LAN1, jak i LAN2. ------ Oczywiście, aby to zadziałało IPS musi odgrywać specjalną rolę. Musi być skonfigurowany jako most (w przypadku, gdy LAN1 i LAN2 znajdują się w tej samej podsieci - tutaj 10.0.0.0/8). Jak działają mosty? Zobacz na przykład: Mosty i przełączniki Ethernet .
pabouk
O tak, mam cię. Bez skonfigurowania Linux IPS jako mostu, z pewnością upuściłby pakiety rozgłoszeniowe, które podałyby Attackerowi adres MAC ofiary. I oczywiście, jeśli miałbym na stałe zakodować adres MAC w tabeli ARP atakującego, IPS nadal by je upuścił. Znalazłem sposób tutaj: linuxfoundation.org/collaborate/workgroups/networking/bridge To całkiem proste! Wielkie dzięki.
user2723297,