Як наслідувати вбудований хост посеред двох інших хостів у VMware Workstation?

9

Я хочу налаштувати лабораторію, щоб спробувати Suricate, систему IPS. Вся справа в тому, що мені потрібно налаштувати його так:

Atacker VM ----- Inline IPS VM ----- Victim VM Як я можу це зробити? Я не бачу способу встановити віртуальний хост з 2 NIC, помістивши його в середину з'єднання. Чи можна це зробити якось?

networking  security  vmware-workstation 
користувач2723297
джерело
До речі, я використовував Security Onion: sourceforge.net/projects/security-onion Це ISO Xubuntu, який досить просто налаштовує Snort або інші датчики та інструменти розбору журналу, щоб зробити GUI цікавим. Отже, це 'напрочуд просто, перевірити це!
користувач2723297

Відповіді:

9

У вашій схемі ми бачимо, що вам потрібні дві окремі локальні мережі. Назвемо їх LAN-Attacker та LAN-Victim. Для Attacker VM та Victim VM вам знадобиться один віртуальний мережевий адаптер для кожного VM. У IPS VM вам знадобляться два віртуальні мережеві адаптери. Ви можете додати та налаштувати адаптери у вікні налаштувань віртуальної машини на вкладці Обладнання.

Не слід плутати той факт, що є дві окремі локальні мережі. Вони можуть знаходитися в одній підмережі IP, якщо ваш IPS буде виконувати функцію моста (пристрій рівня 2). Вони також можуть бути в двох різних підмережах IP, якщо IPS буде виконувати роль маршрутизатора (рівень 3). Це залежить лише від вашої конфігурації мережі всередині віртуальних машин.

Зараз є два варіанти налаштування та з'єднання двох локальних мереж.

LAN сегменти

У VMware Workstation 8.0 та новіших версіях ви можете використовувати сегменти LAN для локальних віртуальних мереж, яким потрібно спілкуватися лише з віртуальними машинами. Ця конфігурація значно простіша. введіть тут опис зображення У вікні налаштувань віртуальної машини на вкладці Обладнання виберіть мережевий адаптер і натисніть на кнопки сегментів локальної мережі. Створіть два сегменти локальної мережі LAN-Attackerта LAN-Victim. На кожному віртуальному адаптері мережі виберіть відповідний сегмент локальної мережі.

Будьте в курсі того, що машини, підключені лише до сегментів локальної мережі, не зможуть спілкуватися (по мережі) ні з фізичним хостом, ні із зовнішніми фізичними мережами.

Віртуальні мережі vmnetx

У всіх версіях VMware Workstation ви можете використовувати віртуальні мережі. Ви можете налаштувати їх за допомогою редактора віртуальної мережі (у меню Правка). Віртуальними мережами називають, vmnetxде xє номер віртуальної мережі. Або налаштовуйте невикористані, або створюйте нові. введіть тут опис зображення Існує три типи віртуальних мереж:

  • Мостові - Вони підключені до фізичної мережі, до якої фізичний хост має доступ на рівні 2. Віртуальні машини, підключені до цього vmnet, виглядають так, ніби вони безпосередньо підключені до фізичної мережі.
  • NAT - Існує віртуальна мережа, але фізичний хост виконує динамічний NAT, тому машини, підключені до цієї vmnet, можуть спілкуватися з фізичними мережами. (і один до одного - див. нижче)
  • Тільки для хоста - ця vmnet схожа на NAT, але без NAT та доступу до зовнішніх фізичних мереж. Тож машини, підключені до цієї vmnet, можуть спілкуватися лише один з одним, включаючи фізичний хост, якщо вибрати опцію "Підключити віртуальний адаптер хоста".

У вашому випадку ви будете використовувати або лише Host, або NAT (якщо машинам потрібно спілкуватися із зовнішнім світом). У свіжому встановленні VMware Workstation vmnet0- vmnet2заздалегідь визначено, так що ви, ймовірно, можете використовувати vmnet3як LAN-Attackerі vmnet4як LAN-Victim.

Потім у віртуальних машинах ви присвоюєте відповідні vmnets адаптерам віртуальної мережі аналогічним чином, як сегменти локальної мережі вище, просто виберіть опцію "Спеціальна: конкретна віртуальна мережа" замість "Сегмент локальної мережі".

пабук
джерело
Гей, спасибі за ретельну відповідь. Я тестую це, і я дам вам знати. Отже, це: ПК ATACKER (наприклад, 10.0.0.1/8) ---- сегмент локальної мережі 1 ---- IPS ---- сегмент локальної мережі 2 ---- ПК VICTIM (10.0.0.2/8, у той же діапазон, щоб змусити IPS бути посередині). Тож якщо я це зробити, IPS буде автоматично введено в дію? Я не розумію чому. Чому VMware тлумачить, що це означає, що хост із 2-ма сегментами локальної мережі повинен знаходитися посередині?
користувач2723297
Будь ласка! PC атакуючого та інтерфейс 1 IPS підключені до LAN1. Комп'ютер жертви та інтерфейс 2 IPS підключені до LAN2. Тож "Нападник" та "Жертва" знаходяться у двох окремих локальних мережах. Вони не можуть безпосередньо спілкуватися. Єдиний спосіб - пройти IPS, який підключений як до LAN1, так і до LAN2. ------ Звичайно, для цього IPS повинен відігравати особливу роль. Він повинен бути налаштований як міст (у випадку, коли LAN1 і LAN2 знаходяться в одній підмережі - тут 10.0.0.0/8). Як працюють мости? Дивіться, наприклад: Мости та комутатори Ethernet .
пабук
О так, готча. Без конфігурації поля IPS Linux в якості моста, воно, безумовно, відкине широкомовні пакети, які дадуть Attacker MAC-адресу для жертви. І очевидно, якби мені було важко зашифрувати MAC-адресу в таблиці ARP-зловмисників, IPS все одно їх скинув би. Знайшов шлях тут: linuxfoundation.org/collaborate/workgroups/networking/bridge Це досить просто! Дуже дякую.
user2723297
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.