¿Cómo emular un host en línea en medio de otros 2 hosts en VMware Workstation?

9

Quiero configurar un laboratorio para probar Suricate, un sistema IPS. Lo que pasa es que necesito configurarlo así:

Atacker VM ----- Inline IPS VM ----- Victim VM ¿Cómo puedo lograr esto? No veo una manera de configurar un host virtual con 2 NIC, colocándolo en el medio de la conexión. ¿Se puede hacer de alguna manera?

networking security vmware-workstation usuario2723297
fuente
Por cierto, utilicé Security Onion: sourceforge.net/projects/security-onion Es un Xubuntu ISO que configura de una manera bastante simple Snort u otros sensores y las herramientas de análisis de registros para que la GUI sea divertida. Entonces, es increíblemente simple, ¡échale un vistazo!
user2723297

Respuestas:

9

En su esquema podemos ver que necesita dos LAN separadas. Llamémoslos LAN-Attacker y LAN-Victim. En la VM del atacante y la VM de la víctima, necesitará un único adaptador de red virtual para cada VM. En la VM IPS necesitará dos adaptadores de red virtual. Puede agregar y configurar los adaptadores en la ventana de configuración de la máquina virtual en la pestaña Hardware.

No se confunda con el hecho de que hay dos LAN separadas. Pueden estar en la misma subred IP si su IPS va a funcionar como un puente (dispositivo de capa 2). También pueden estar en dos subredes IP diferentes si el IPS va a actuar como un enrutador (capa 3). Esto depende solo de su configuración de red dentro de las máquinas virtuales.

Ahora hay dos opciones para configurar y conectar las dos LAN.

Segmentos LAN

En VMware Workstation 8.0 y versiones posteriores, puede usar segmentos de LAN para redes virtuales locales que solo necesitan comunicarse con máquinas virtuales. Esta configuración es considerablemente más fácil. ingrese la descripción de la imagen aquí En la ventana Configuración de la máquina virtual en la pestaña Hardware, seleccione un Adaptador de red y haga clic en los botones Segmentos de LAN. Cree los dos segmentos de LAN LAN-Attackery LAN-Victim. En cada adaptador de red virtual, seleccione el segmento LAN correspondiente.

Tenga en cuenta el hecho de que las máquinas que están conectadas solo a segmentos LAN no podrán comunicarse (a través de la red) ni con el host físico ni con las redes físicas externas.

Redes virtuales vmnetx

En todas las versiones de VMware Workstation puede usar redes virtuales. Puede configurarlos utilizando el Editor de red virtual (en el menú Editar). Las redes virtuales se llaman vmnetxdonde xes el número de la red virtual. Configure los no utilizados o cree otros nuevos. ingrese la descripción de la imagen aquí Hay tres tipos de redes virtuales:

  • En puente : están conectados a una red física a la que su host físico tiene acceso en la capa 2. Las máquinas virtuales conectadas a esta vmnet parecen estar conectadas directamente a la red física.
  • NAT : hay una red virtual, pero el host físico realiza una NAT dinámica, por lo que las máquinas conectadas a esta vmnet pueden comunicarse con redes físicas. (y entre sí, ver más abajo)
  • Solo host : este vmnet es como NAT pero sin el NAT y el acceso a las redes físicas externas. Por lo tanto, las máquinas conectadas a este vmnet solo pueden comunicarse entre sí, incluido el host físico, si selecciona la opción "Conectar un adaptador virtual de host".

En su caso, utilizará solo Host o NAT (si las máquinas necesitan comunicarse con el mundo exterior). En la instalación nueva de VMware Workstation vmnet0: vmnet2están predefinidas, por lo que probablemente pueda usar vmnet3as LAN-Attackery vmnet4as LAN-Victim.

En las máquinas virtuales, luego asigna los vmnets correspondientes a los adaptadores de red virtual de manera similar a los Segmentos LAN anteriores, simplemente seleccione la opción "Personalizado: Red virtual específica" en lugar de "Segmento LAN".

pabouk
fuente
Hola hombre, gracias por la respuesta completa. Lo probaré y les haré saber. Entonces es básicamente: PC ATACKER (10.0.0.1/8, por ejemplo) ---- Segmento LAN 1 ---- IPS ---- Segmento LAN 2 ---- PC VICTIMA (10.0.0.2/8, en el mismo rango, para forzar al IPS a estar en el medio). Entonces, si hago esto, ¿el IPS se pondrá en línea automáticamente? No entiendo por qué. ¿Por qué VMware interpreta que esto significa que el host con los 2 segmentos LAN debe estar en el medio?
user2723297
¡De nada! El PC atacante y la interfaz 1 de IPS están conectados a LAN1. La PC de la víctima y la interfaz 2 de IPS están conectadas a LAN2. Entonces Attacker y Victim están en dos LAN separadas. No pueden comunicarse directamente. La única forma es pasar por el IPS que está conectado tanto a LAN1 como a LAN2. ------ Por supuesto, para que esto funcione, IPS debe jugar un papel especial. Debe configurarse como un puente (en el caso de que LAN1 y LAN2 estén en la misma subred, aquí 10.0.0.0/8). ¿Cómo funcionan los puentes? Ver por ejemplo: Puentes y conmutadores Ethernet .
Pabouk
Oh si, te tengo. Sin configurar la caja IPS de Linux como un puente, seguramente descartaría los paquetes de difusión que le darían al atacante la dirección MAC de la víctima. Y, obviamente, si tuviera que codificar la dirección MAC en la tabla ARP del atacante, IPS aún los descartaría. Encontré el camino aquí: linuxfoundation.org/collaborate/workgroups/networking/bridge ¡ Es bastante simple! Muchas gracias.
user2723297