私は最近、Offensive Securityのコースを受講し始めました。接続ガイドページ彼らは、研究室に接続する危険性について警告している。
コンピュータの VPN IP を、一緒にコースを受講している他の受講者に公開することになります。コースの性質上 (および受講者の性質上)、コンピュータが VPN ネットワークからの攻撃を受ける可能性があります。NAT デバイスの背後にいる場合でも、この状況は変わりません。
私は、これらの危険性と PC を保護する方法についてさらに詳しく知るために、サポートに連絡しました。彼らは、「VM の IP セグメントをホスト マシンから分離する」ことができると提案しました。
VM は、Kali Linux を搭載した VMWare 仮想マシンです。ホストは Windows 10 PC です。
彼らの提案をどう実現できるか、そして「VM の IP セグメントをホスト マシンと分離する」?
答え1
当初、私は別の VMware/ESXi ホストを念頭に置いてこれを書きました。動作中の Windows 10 マシン (VMware Workstation 搭載) を使用する必要がある場合は、ホストの送信インターフェイスにブリッジされていない分離された仮想ネットワークを作成/使用する必要があります。VMware Workstation は最初にこのネットワークを作成する必要があります。ただし、ホストは依然としてこのネットワークにさらされているため、動作中のコンピューターが危険にさらされます。
物理アダプタが接続されていない別の仮想スイッチを備えた別の ESXi ホストをお勧めします。この (分離された) 仮想スイッチにポート グループを作成します。Kali Linux VM には、このポート グループのみが接続されている必要があります。VM は、独自のネットワーク セグメント上または内部ネットワークとは別の VLAN 上にある ESXi 管理を通じてリモートで表示できます。その場合、Kali VM への ssh アクセスはできなくなります。VM は、ESXi の内部ネットワークにのみアクセスできます。
この VM はインターネットにアクセスできません。インターネット アクセスを提供するには (望ましくない場合もあります)、ファイアウォール VM (OPNsense や pfSense など) をインストールします。このファイアウォールを独自の内部ネットワークと Kali VM 用に使用するには、ISP ルーターをブリッジ モードにして、内部ネットワーク ポートを NAT ではなくライブ インターネットに配置します (二重 NAT の混乱を避けるため)。WAN には専用の物理イーサネット アダプターを使用します (LAN および管理用のアダプターに加えて、緊急時には 1 つの別のアダプター上の VLAN のみを使用することもできます)。このホスト マシンの WAN インターフェイスが内部ネットワークに公開されないようにすることが不可欠です。公開する必要がある場合は、すべての Kali VM トラフィックをインターネットに強制的に送信するための非常に慎重なルールを作成する必要があります。ファイアウォール VM には、Kali Linux ポート グループへのインターフェイスが必要です。Kali ネットワークへのアクセスを制限するために、すべてのファイアウォール インターフェイスにルールを作成してください。