Como emular um host embutido no meio de dois outros hosts na VMware Workstation?

9

Quero configurar um laboratório para experimentar o Suricate, um sistema IPS. O problema é que eu preciso configurá-lo assim:

VM do Atacker ----- VM IPS em linha ----- VM vítima Como posso fazer isso? Não vejo uma maneira de configurar um host virtual com 2 NIC, colocando-o no meio da conexão. Isso pode ser feito de alguma maneira?

networking security vmware-workstation user2723297
fonte
BTW, usei o Security Onion: sourceforge.net/projects/security-onion É um ISO do Xubuntu que configura de uma maneira bem simples o Snort ou outros sensores e as ferramentas de análise de log para torná-lo divertido na GUI. Então, é incrivelmente simples, confira!
precisa saber é o seguinte

Respostas:

9

No seu esquema, podemos ver que você precisa de duas LANs separadas. Vamos chamá-los de LAN-Attacker e LAN-Victim. Na VM do Attacker e na VM da vítima, você precisará de um único adaptador de rede virtual para cada VM. Na VM IPS, você precisará de dois adaptadores de rede virtual. Você pode adicionar e configurar os adaptadores na janela Configurações da máquina virtual na guia Hardware.

Não se confunda com o fato de haver duas LANs separadas. Eles podem estar na mesma sub-rede IP se o seu IPS funcionar como uma ponte (dispositivo de camada 2). Eles também podem estar em duas sub-redes IP diferentes se o IPS funcionar como roteador (camada 3). Isso depende apenas da sua configuração de rede dentro das máquinas virtuais.

Agora, existem duas opções de como configurar e conectar as duas LANs.

Segmentos de LAN

No VMware Workstation 8.0 e versões mais recentes, você pode usar os segmentos de LAN para redes virtuais locais que precisam se comunicar apenas com máquinas virtuais. Essa configuração é consideravelmente mais fácil. insira a descrição da imagem aqui Na janela Configurações da máquina virtual, na guia Hardware, selecione um adaptador de rede e clique nos botões de segmentos da LAN. Crie os dois segmentos da LAN LAN-Attackere LAN-Victim. Em cada adaptador de rede virtual, selecione o segmento de LAN correspondente.

Esteja ciente do fato de que as máquinas conectadas apenas aos segmentos da LAN poderão se comunicar (pela rede) nem com o host físico nem com as redes físicas externas.

Redes virtuais vmnetx

Em todas as versões do VMware Workstation, você pode usar redes virtuais. Você pode configurá-los usando o Editor de rede virtual (no menu Editar). As redes virtuais são chamadas vmnetxonde xestá o número da rede virtual. Configure os não utilizados ou crie novos. insira a descrição da imagem aqui Existem três tipos de redes virtuais:

  • Ponte - Eles estão conectados a uma rede física à qual seu host físico tem acesso na camada 2. As máquinas virtuais conectadas a este vmnet parecem então estar diretamente conectadas à rede física.
  • NAT - existe uma rede virtual, mas o host físico executa NAT dinâmico, para que as máquinas conectadas a esse vmnet possam se comunicar com redes físicas. (e um para o outro - veja abaixo)
  • Somente host - Esse vmnet é como o NAT, mas sem o NAT e acesso às redes físicas externas. Portanto, as máquinas conectadas a esta vmnet poderão se comunicar apenas entre si, incluindo o host físico, se você selecionar a opção "Conectar um adaptador virtual do host".

No seu caso, você usará apenas host ou NAT (se as máquinas precisarem se comunicar com o mundo externo). Na nova instalação do VMware Workstation vmnet0- vmnet2são predefinidos para que você possa provavelmente usar vmnet3como LAN-Attackere vmnet4como LAN-Victim.

Nas máquinas virtuais, você atribui as vmnets correspondentes aos adaptadores de rede virtual de maneira semelhante aos segmentos de LAN acima, basta selecionar a opção "Personalizado: rede virtual específica" em vez de "Segmento de LAN".

pabouk
fonte
Ei cara, obrigado pela resposta completa. Vou testá-lo e informar vocês. Portanto, é basicamente: PC do ATACKER'S (10.0.0.1/8, por exemplo) ---- segmento 1 da LAN ---- IPS ---- segmento 2 da LAN ---- PC da VICTIM (10.0.0.2/8, no mesmo intervalo, para forçar o IPS a ficar no meio). Então, se eu fizer isso, o IPS será automaticamente colocado em linha? Eu não entendo o porquê. Por que a VMware interpreta que isso significa que o host com os 2 segmentos da LAN deve estar no meio?
precisa saber é o seguinte
Você é bem vindo! O PC atacante e a interface 1 do IPS estão conectados à LAN1. O PC da vítima e a interface 2 do IPS estão conectados à LAN2. Então o atacante e a vítima estão em duas LANs separadas. Eles não podem se comunicar diretamente. A única maneira é passar pelo IPS conectado à LAN1 e LAN2. ------ Obviamente, para que isso funcione, o IPS deve desempenhar um papel especial. Ele deve ser configurado como uma ponte (no caso LAN1 e LAN2 estão na mesma sub-rede - aqui 10.0.0.0/8). Como as pontes funcionam? Veja, por exemplo: Pontes e comutadores Ethernet .
Pabouk
Oh sim, entendi. Sem configurar a caixa IPS do Linux como uma ponte, ele certamente eliminaria os pacotes de transmissão que dariam ao Attacker o endereço MAC da vítima. E, obviamente, se eu codificasse o endereço MAC na tabela do atacante ARP, o IPS ainda os descartaria. Encontre o caminho aqui: linuxfoundation.org/collaborate/workgroups/networking/bridge É bem simples! Muito obrigado.
precisa saber é o seguinte