Come emulare un host inline nel mezzo di altri 2 host in VMware Workstation?

9

Voglio creare un laboratorio per provare Suricate, un sistema IPS. Il fatto è che devo impostarlo in questo modo:

VM Atacker ----- Inline IPS VM ----- Victim VM Come posso ottenere questo risultato? Non vedo un modo per configurare un host virtuale con 2 NIC, mettendolo al centro della connessione. Può essere fatto in qualche modo?

networking  security  vmware-workstation 
user2723297
fonte
A proposito, ho usato Security Onion: sourceforge.net/projects/security-onion È un ISO Xubuntu che configura in modo abbastanza semplice Snort o altri sensori e gli strumenti di analisi dei log per renderlo divertente con la GUI. Quindi, è incredibilmente semplice, dai un'occhiata!
user2723297

Risposte:

9

Nel tuo schema possiamo vedere che hai bisogno di due LAN separate. Chiamiamoli LAN-Attacker e LAN-Victim. Su VM Attacker e Victim VM avrai bisogno di una singola scheda di rete virtuale per ogni VM. Sulla VM IPS sono necessari due adattatori di rete virtuale. È possibile aggiungere e configurare gli adattatori nella finestra Impostazioni della macchina virtuale nella scheda Hardware.

Non essere confuso dal fatto che ci sono due LAN separate. Possono trovarsi nella stessa sottorete IP se l'IPS funzionerà come bridge (dispositivo di livello 2). Possono anche trovarsi in due diverse sottoreti IP se l'IPS funzionerà come router (livello 3). Questo dipende solo dalla configurazione di rete all'interno delle macchine virtuali.

Ora ci sono due opzioni su come configurare e connettere le due LAN.

Segmenti LAN

In VMware Workstation 8.0 e versioni successive è possibile utilizzare segmenti LAN per reti virtuali locali che devono comunicare solo con macchine virtuali. Questa configurazione è notevolmente più semplice. inserisci qui la descrizione dell'immagine Nella finestra Impostazioni macchina virtuale nella scheda Hardware selezionare una scheda di rete e fare clic sui pulsanti Segmenti LAN. Creare i due segmenti LAN LAN-Attackere LAN-Victim. Su ciascuna scheda di rete virtuale selezionare il segmento LAN corrispondente.

Essere consapevoli del fatto che le macchine collegate solo ai segmenti LAN saranno in grado di comunicare (tramite la rete) né con l'host fisico né con le reti fisiche esterne.

Reti virtuali vmnetx

In tutte le versioni di VMware Workstation è possibile utilizzare le reti virtuali. Puoi configurarli usando l'Editor di rete virtuale (nel menu Modifica). Le reti virtuali vengono chiamate vmnetxdove si xtrova il numero della rete virtuale. Configurare quelli non utilizzati o crearne di nuovi. inserisci qui la descrizione dell'immagine Esistono tre tipi di reti virtuali:

  • Bridged : sono connessi a una rete fisica a cui l'host fisico ha accesso sul livello 2. Le macchine virtuali connesse a questa rete virtuale sembrano quindi essere direttamente connesse alla rete fisica.
  • NAT - Esiste una rete virtuale ma l'host fisico esegue NAT dinamico in modo che le macchine connesse a questa rete virtuale possano comunicare con reti fisiche. (e l'uno all'altro - vedi sotto)
  • Solo host : questa rete virtuale è come NAT ma senza NAT e accesso alle reti fisiche esterne. Pertanto, le macchine connesse a questa rete virtuale possono comunicare solo tra loro, incluso l'host fisico, se si seleziona l'opzione "Connetti un adattatore virtuale host".

Nel tuo caso utilizzerai solo Host o NAT (se le macchine devono comunicare con il mondo esterno). Nella nuova installazione di VMware Workstation vmnet0: vmnet2sono predefiniti, quindi è possibile utilizzarli vmnet3come LAN-Attackere vmnet4come LAN-Victim.

Nelle macchine virtuali si assegnano quindi le reti virtuali corrispondenti agli adattatori di rete virtuale in modo simile come Segmenti LAN sopra, basta selezionare l'opzione "Personalizzato: Rete virtuale specifica" invece di "Segmento LAN".

pabouk
fonte
Ehi amico, grazie per la risposta esaustiva. Lo proverò e farò sapere a voi ragazzi. Quindi è sostanzialmente: ATACKER'S PC (10.0.0.1/8, ad esempio) ---- LAN segment 1 ---- IPS ---- LAN segment 2 ---- VICTIM'S PC (10.0.0.2/8, in the stesso intervallo, per forzare l'IPS a trovarsi nel mezzo). Quindi se lo faccio, l'IPS verrà automaticamente messo in linea? Non capisco perché. Perché VMware interpreta questo significa che l'host con i 2 segmenti LAN dovrebbe essere nel mezzo?
user2723297
Prego! Il PC attaccante e l'interfaccia 1 dell'IPS sono entrambi collegati alla LAN1. Il PC Victim e l'interfaccia 2 di IPS sono entrambi collegati a LAN2. Quindi l'attaccante e la vittima si trovano in due LAN separate. Non possono comunicare direttamente. L'unico modo è passare attraverso l'IPS collegato sia a LAN1 che a LAN2. ------ Naturalmente per far funzionare questo IPS deve svolgere un ruolo speciale. Deve essere configurato come bridge (nel caso LAN1 e LAN2 si trovino nella stessa sottorete - qui 10.0.0.0/8). Come funzionano i ponti? Vedere ad esempio: Ponti e switch Ethernet .
pabouk,
Oh sì, capito. Senza configurare la scatola IPS di Linux come bridge, eliminerebbe sicuramente i pacchetti di trasmissione che darebbero ad Attacker l'indirizzo MAC della vittima. E ovviamente se dovessi codificare l'indirizzo MAC nella tabella degli aggressori ARP, IPS li lascerebbe comunque cadere. Ho trovato la strada qui: linuxfoundation.org/collaborate/workgroups/networking/bridge È abbastanza semplice! Molte grazie.
user2723297
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.