Ich möchte mit Virtual Box eine virtuelle Maschine erstellen, um ein Hacking-Labor einzurichten und es jemandem zu ermöglichen, zu versuchen, es über das Internet zu hacken. (Die virtuelle Maschine wäre also das Opfer.) Wie kann ich das machen? Ich schätze, alle Geräte in meinem LAN, einschließlich virtueller Maschinen, teilen sich eine eindeutige IP. Wie kann ich also meine virtuelle Maschine verfügbar machen? Gibt es eine Möglichkeit? Soll ich eine Portweiterleitung einrichten oder eine andere Konfiguration verwenden? Ich entschuldige mich, wenn das eine dumme Frage ist. Ich hoffe, jemand kann mir helfen, wenn möglich. Vielen Dank im Voraus.
Antwort1
Sie sollten sehr vorsichtig sein, was Sie vorhaben. Wenn Sie die VM dem Internet aussetzen möchten, sollten Sie unbedingt sicherstellen, dass die VM nicht mit den anderen Geräten in Ihrem Netzwerk kommunizieren kann. Trotzdem kann der Angreifer Ihre Internetverbindung für illegale Aktivitäten nutzen. Das zu verhindern wird schwer sein und erfordert ein solides Verständnis von Netzwerktechniken. Alles in allem lautet mein Rat: Tun Sie es nicht, es sei denn, Sie wissen genau, was Sie tun.
Antwort2
Was für ein Gerät hast du als Router? Hast du Shell-Zugriff?
Ich musste jemandem helfen, über das Internet vollen Zugriff auf seine Box zu erhalten. Ich konnte in der Web-Benutzeroberfläche des Routers (auf dem Tomato läuft) keine Option finden, also habe ich die Änderungen direkt angewendet und dann meine Änderungen in/etc/iptables. Diese Änderungen werden gelöscht, wenn die Konfiguration geändert wird. Je nach Routerwahl ist dies jedoch möglicherweise kein Problem.
Die SNAT-Regel lässt das Paket so aussehen, als käme es von Ihrer lokalen Adresse (in diesem Fall zensiert auf 1.1.1.1), wenn das Paket Ihr Netzwerk in Richtung Internet verlässt. Viele Linux-Router-Distributionen implementieren ihre Portweiterleitung lieber mit SNAT als mit der standardmäßig vorhandenen MASQUERADE-Regel.
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1
Wenn jemand von außen versucht, eine Verbindung zu Ihrer öffentlichen IP-Adresse herzustellen, wird die Verbindung an den lokalen Computer (192.168.0.123) gesendet. Bevor sie den Computer erreichen kann, muss sie zunächst von der FORWARD-Kette akzeptiert werden.
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123
Wenn dies gelingt, wird es akzeptiert und an den lokalen Computer weitergeleitet.
iptables -A FORWARD -d 192.168.0.123 -j ACCEPT
Für Ihr Honeypot-Beispiel benötigen Sie möglicherweise eine globale Akzeptanz, wie ich sie oben beschrieben habe. In meinem Anwendungsfall wollte ich den Zugriff jedoch auf eine bekannte vertrauenswürdige IP beschränken und stattdessen Folgendes verwenden:
iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT
Wenn Sie absolut jedem erlauben, eine Verbindung zu Ihrem Standort herzustellen, würde ich ihn in einem völlig separaten Subnetz/einer Kollisionsdomäne zu Ihren normalen Computern platzieren und Ihr iptablesSetup so einrichten, dass jeglicher Zugriff auf diese Domäne gesperrt ist.