Как эмулировать встроенный хост в середине двух других хостов в VMware Workstation?

9

Я хочу создать лабораторию, чтобы попробовать Suricate, систему IPS. Дело в том, что мне нужно настроить его так:

Atacker VM ----- Inline IPS VM ----- Victim VM Как это сделать? Я не вижу способа настроить виртуальный хост с двумя сетевыми картами, расположив его в середине соединения. Можно ли это как-то сделать?

networking security vmware-workstation user2723297
источник
Кстати, я использовал Security Onion: sourceforge.net/projects/security-onion Это ISO-образ Xubuntu, который довольно просто настраивает Snort или другие датчики и инструменты анализа журналов, чтобы сделать его интересным с графическим интерфейсом. Итак, это удивительно просто, зацените!
user2723297

Ответы:

9

В вашей схеме мы видим, что вам нужны две отдельные локальные сети. Давайте назовем их LAN-Attacker и LAN-Victim. На виртуальных машинах Attacker и Victim вам потребуется отдельный виртуальный сетевой адаптер для каждой виртуальной машины. На виртуальной машине IPS вам понадобятся два виртуальных сетевых адаптера. Вы можете добавить и настроить адаптеры в окне «Настройки виртуальной машины» на вкладке «Оборудование».

Не смущайтесь тем, что есть две отдельные ЛВС. Они могут находиться в одной и той же IP-подсети, если ваша IPS будет работать как мост (устройство уровня 2). Они также могут находиться в двух разных подсетях IP, если IPS будет выступать в качестве маршрутизатора (уровень 3). Это зависит только от вашей сетевой конфигурации внутри виртуальных машин.

Теперь есть два варианта настройки и подключения двух локальных сетей.

Сегменты локальной сети

В VMware Workstation 8.0 и новее вы можете использовать сегменты локальной сети для локальных виртуальных сетей, которые должны взаимодействовать только с виртуальными машинами. Эта конфигурация значительно проще. введите описание изображения здесь В окне «Настройки виртуальной машины» на вкладке «Оборудование» выберите сетевой адаптер и нажмите кнопки «Сегменты локальной сети». Создайте два сегмента локальной сети LAN-Attackerи LAN-Victim. На каждом виртуальном сетевом адаптере выберите соответствующий сегмент локальной сети.

Помните о том, что машины, подключенные только к сегментам локальной сети, не смогут обмениваться данными (по сети) ни с физическим хостом, ни с внешними физическими сетями.

Виртуальные сети vmnetx

Во всех версиях VMware Workstation вы можете использовать виртуальные сети. Вы можете настроить их с помощью редактора виртуальной сети (в меню «Правка»). Виртуальные сети называются vmnetxгде xномер виртуальной сети. Либо настройте неиспользуемые, либо создайте новые. введите описание изображения здесь Существует три типа виртуальных сетей:

  • Bridged - они подключены к физической сети, к которой у вашего физического хоста есть доступ на уровне 2. Виртуальные машины, подключенные к этому vmnet, выглядят так, как будто они напрямую подключены к физической сети.
  • NAT - виртуальная сеть существует, но физический хост выполняет динамический NAT, поэтому машины, подключенные к этому vmnet, могут взаимодействовать с физическими сетями. (и друг другу - см. ниже)
  • Только для хоста - этот vmnet похож на NAT, но без NAT и доступа к внешним физическим сетям. Таким образом, машины, подключенные к этому vmnet, могут взаимодействовать только друг с другом, включая физический хост, если вы выберете опцию «Подключить виртуальный адаптер хоста».

В вашем случае вы будете использовать только Host-only или NAT (если машинам необходимо взаимодействовать с внешним миром). В новой установке VMware Workstation vmnet0- vmnet2предварительно определены, так что вы, вероятно, можете использовать vmnet3как LAN-Attackerи vmnet4как LAN-Victim.

Затем в виртуальных машинах вы назначаете соответствующие виртуальные сети виртуальным сетевым адаптерам аналогично вышеприведенным сегментам локальной сети, просто выбирая параметр «Пользовательский: определенная виртуальная сеть» вместо «Сегмент локальной сети».

pabouk
источник
Эй, чувак, спасибо за подробный ответ. Я проверю это и сообщу вам, ребята. Так что это в основном: компьютер ATACKER (например, 10.0.0.1/8) ---- сегмент LAN 1 ---- IPS ---- сегмент LAN 2 ---- PC VICTIM (10.0.0.2/8, в тот же диапазон, чтобы заставить IPS быть в середине). Так что, если я сделаю это, IPS будет автоматически включен? Я не понимаю почему. Почему VMware интерпретирует, что это означает, что хост с двумя сегментами локальной сети должен быть посередине?
user2723297
Добро пожаловать! ПК-злоумышленник и интерфейс 1 IPS подключены к LAN1. ПК жертвы и интерфейс 2 IPS оба подключены к LAN2. Итак, Attacker и Victim находятся в двух разных локальных сетях. Они не могут общаться напрямую. Единственный способ - пройти через IPS, который подключен как к LAN1, так и к LAN2. ------ Конечно, для этого IPS должна играть особую роль. Он должен быть настроен как мост (в случае, если LAN1 и LAN2 находятся в одной подсети - здесь 10.0.0.0/8). Как работают мосты? См. Например: Мосты Ethernet и Коммутаторы .
Пабук
Ах да, понял. Без настройки Linux IPS в качестве моста он, безусловно, отбросит широковещательные пакеты, которые дадут Attacker MAC-адрес жертвы. И, очевидно, если бы я жестко закодировал MAC-адрес в таблице ARP атакующего, IPS все равно отбросил бы их. Нашел путь здесь: linuxfoundation.org/collaborate/workgroups/networking/bridge Это довольно просто! Большое спасибо.
user2723297