Comment émuler un hôte en ligne au milieu de 2 autres hôtes dans VMware Workstation?

9

Je veux configurer un laboratoire pour essayer Suricate, un système IPS. Le fait est que je dois le configurer comme ceci:

Atacker VM ----- Inline IPS VM ----- Victim VM Comment puis-je accomplir cela? Je ne vois pas de moyen de configurer un hôte virtuel avec 2 NIC, en le plaçant au milieu de la connexion. Cela peut-il être fait d'une manière ou d'une autre?

user2723297
la source
BTW, j'ai utilisé Security Onion: sourceforge.net/projects/security-onion C'est un ISO Xubuntu qui configure de manière assez simple Snort ou d'autres capteurs et les outils d'analyse de journaux pour le rendre amusant. Donc, c'est incroyablement simple, vérifiez-le!
user2723297

Réponses:

9

Dans votre schéma, nous pouvons voir que vous avez besoin de deux réseaux locaux distincts. Appelons-les LAN-Attacker et LAN-Victim. Sur la machine virtuelle Attacker et la machine virtuelle Victim, vous aurez besoin d'une seule carte réseau virtuelle pour chaque machine virtuelle. Sur la machine virtuelle IPS, vous aurez besoin de deux adaptateurs réseau virtuels. Vous pouvez ajouter et configurer les adaptateurs dans la fenêtre Paramètres de la machine virtuelle sous l'onglet Matériel.

Ne soyez pas dérouté par le fait qu'il existe deux réseaux locaux distincts. Ils peuvent être dans le même sous-réseau IP si votre IPS doit fonctionner comme un pont (périphérique de couche 2). Ils peuvent également se trouver dans deux sous-réseaux IP différents si l'IPS doit agir en tant que routeur (couche 3). Cela dépend uniquement de la configuration de votre réseau à l'intérieur des machines virtuelles.

Il existe maintenant deux options pour configurer et connecter les deux réseaux locaux.

Segments LAN

Dans VMware Workstation 8.0 et versions ultérieures, vous pouvez utiliser des segments LAN pour les réseaux virtuels locaux qui doivent communiquer uniquement avec des machines virtuelles. Cette configuration est considérablement plus simple. entrez la description de l'image ici Dans la fenêtre Paramètres de la machine virtuelle sous l'onglet Matériel, sélectionnez une carte réseau et cliquez sur les boutons Segments LAN. Créez les deux segments LAN LAN-Attackeret LAN-Victim. Sur chaque carte réseau virtuelle, sélectionnez le segment LAN correspondant.

Soyez conscient du fait que les machines connectées uniquement aux segments LAN ne pourront communiquer (via le réseau) ni avec l'hôte physique ni avec les réseaux physiques externes.

Réseaux virtuels vmnetx

Dans toutes les versions de VMware Workstation, vous pouvez utiliser des réseaux virtuels. Vous pouvez les configurer à l'aide de l'éditeur de réseau virtuel (dans le menu Edition). Les réseaux virtuels sont appelés vmnetxxest le numéro du réseau virtuel. Configurez ceux qui ne sont pas utilisés ou créez-en de nouveaux. entrez la description de l'image ici Il existe trois types de réseaux virtuels:

  • Pontés - Ils sont connectés à un réseau physique auquel votre hôte physique a accès sur la couche 2. Les machines virtuelles connectées à ce vmnet semblent alors être directement connectées au réseau physique.
  • NAT - Il existe un réseau virtuel mais l'hôte physique effectue un NAT dynamique afin que les machines connectées à ce vmnet puissent communiquer avec les réseaux physiques. (et les uns aux autres - voir ci-dessous)
  • Hôte uniquement - Ce vmnet est comme NAT mais sans NAT et sans accès aux réseaux physiques externes. Ainsi, les machines connectées à ce vmnet peuvent communiquer uniquement entre elles, y compris l'hôte physique si vous sélectionnez l'option "Connecter un adaptateur virtuel hôte".

Dans votre cas, vous utiliserez Host-only ou NAT (si les machines doivent communiquer avec le monde extérieur). Dans une nouvelle installation de VMware Workstation vmnet0- vmnet2sont prédéfinis afin que vous puissiez probablement les utiliser au vmnet3fur LAN-Attackeret à vmnet4mesure LAN-Victim.

Dans les machines virtuelles, vous affectez ensuite les vmnets correspondants aux adaptateurs de réseau virtuel de la même manière que les segments LAN ci-dessus, sélectionnez simplement l'option "Personnalisé: réseau virtuel spécifique" au lieu de "Segment LAN".

pabouk
la source
Hé mec, merci pour la réponse complète. Je vais le tester et je vous le ferai savoir. C'est donc essentiellement: ATACKER'S PC (10.0.0.1/8, par exemple) ---- LAN segment 1 ---- IPS ---- LAN segment 2 ---- VICTIM'S PC (10.0.0.2/8, dans le même plage, pour forcer l'IPS à être au milieu). Donc, si je fais cela, l'IPS sera automatiquement mis en ligne? Je ne comprends pas pourquoi. Pourquoi VMware interprète-t-il que cela signifie que l'hôte avec les 2 segments LAN devrait être au milieu?
user2723297
Je vous en prie! Le PC attaquant et l'interface 1 d'IPS sont tous deux connectés au LAN1. Le PC victime et l'interface 2 d'IPS sont tous deux connectés au LAN2. L'attaquant et la victime sont donc dans deux réseaux locaux distincts. Ils ne peuvent pas communiquer directement. Le seul moyen est de passer par l'IPS qui est connecté à la fois à LAN1 et LAN2. ------ Bien sûr, pour que cela fonctionne, IPS doit jouer un rôle spécial. Il doit être configuré comme un pont (dans le cas où LAN1 et LAN2 sont dans le même sous-réseau - ici 10.0.0.0/8). Comment fonctionnent les ponts? Voir par exemple: Ponts et commutateurs Ethernet .
pabouk
Oh ouais, gotcha. Sans configurer la boîte Linux IPS comme un pont, cela supprimerait sûrement les paquets de diffusion qui donneraient à l'attaquant l'adresse MAC de la victime. Et évidemment, si je devais coder en dur l'adresse MAC dans la table ARP de l'attaquant, IPS les supprimerait toujours. J'ai trouvé le chemin ici: linuxfoundation.org/collaborate/workgroups/networking/bridge C'est assez simple! Merci beaucoup.
user2723297