Ich bin noch relativ neu darin, Netzwerke mit ESXi einzurichten und mit pfsense zu arbeiten. Entschuldigen Sie also bitte, wenn dies nicht möglich ist oder ich eine falsche Frage stelle.
Ich verwende ESXi 5.5.0 und möchte in meinem Netzwerk einige Honeypots hosten, die über das Internet erreichbar sind, aber die Honeypots selbst können auf nichts außerhalb ihres Subnetzes zugreifen. Idealerweise würde ich bestimmte Ports wie 21, 22, 80, 443 an verschiedene Honeypot-Maschinen weiterleiten.
Da ich dies auch zu Hause hoste, möchte ich mein Honeypot-Netzwerk von meinem Heimnetzwerk trennen. Mein Heimnetzwerk sollte nichts im Honeypot-Netzwerk erreichen können und umgekehrt.
Meine aktuelle Konfiguration ist folgende: Internet -> Modem -> Router/Switch-Kombination für Privatanwender. An dieser Switch-Kombination sind meine drahtlosen Geräte und andere Heimgeräte angeschlossen. Außerdem ist mein ESXi-Server daran angeschlossen. Mein ESXi-Server hat außerdem die folgende Netzwerkkonfiguration:
Und meine pfsense-Box hat die folgenden Schnittstellen:
An diesem Punkt funktioniert fast alles, bis auf zwei Probleme:
- Boxen in meinem Honeypot-Netzwerk (10.0.0.x) können mit Boxen in meinem Heimnetzwerk (192.168.1.x) kommunizieren.
- Der DHCP-Server, der auf meiner pfsense-LAN-Schnittstelle (em1) läuft, verteilt IP-Adressen, die eigentlich mein Consumer-Router verteilen sollte. Wenn mein Telefon also eine Verbindung zu meinem WLAN herstellt, erhält es eine Adresse von pfsense, obwohl dies nicht der Fall sein sollte.
Meine Frage ist also: Wie kann ich dies richtig trennen, sodass die beiden Netzwerke nicht miteinander kommunizieren können und DHCP keine Adressen außerhalb seines Netzwerks vergibt?
Vielen Dank! Ich weiß die Hilfe wirklich zu schätzen!
Antwort1
Richten Sie eine IPTables-Regel ein, um den Weiterleitungsverkehr von 10.0.0.0/24 auf 192.168.1.0/24 zu unterbinden.
Schalten Sie DHCP auf Ihrer pfsense-Box aus, wenn Sie es nicht benötigen, und legen Sie in Ihrem Honeypot-Netzwerk statisch IP-Adressen fest. Sie möchten nicht, dass Boxen ihre DHCP-Lease aktualisieren, wenn Sie Firewall-/NAT-Regeln haben, die auf bestimmte IP-Adressen verweisen.
Stellen Sie sicher, dass Sie die Möglichkeit deaktiviert haben, Ihren Router/Ihre Firewall (in diesem Fall pfsense?) von Ihrem Honeypot aus zu verwalten. Für den Fall, dass eine Ihrer Boxen gerootet wird, möchten Sie nicht, dass sie sich befreien können.
Stellen Sie sicher, dass Sie wissen, was Sie tun, bevor Sie die Schleusen vom Internet zu Ihren Honeypots öffnen – eine Fehlkonfiguration könnte katastrophale Folgen haben.
Antwort2
„Stellen Sie sicher, dass Sie wissen, was Sie tun, bevor Sie die Schleusen vom Internet zu Ihren Honeypots öffnen – eine Fehlkonfiguration könnte katastrophale Folgen haben.“
Achten Sie genau darauf, das ist ein guter Ratschlag.
Ich würde außerdem vorschlagen, wenn möglich, eine Art Vermittler zu installieren oder einzusetzen, um den Datenverkehr zu scannen, etwa eine Entwickler-/Kostenlosversion von ArcSight oder ein McAfee DLP. Sie sind kurz davor, sich selbst zu enttarnen.
Antwort3
Bevor Sie sich iptables oder etwas anderes ansehen.
Wo sind die beiden Ethernet-Kabel angeschlossen, die vmnic0 und vmnic1 zugeordnet sind?
Diese beiden Verbindungen müssen auf Ihrem VMware-Host vorhanden sein – auf separaten physischen Ethernet-Netzwerkkarten – und physisch mit verschiedenen Systemen verbunden sein, d. h. eine mit der pFsense-Box, eine mit Ihrem LAN.
Mit anderen Worten: Stellen Sie sicher, dass Ihre physische Schicht 2 getrennt ist, bevor Sie etwas Exotisches versuchen.
============================== Struktur ===================== 1) Wo ist Ihre WAN-Verbindung? pFsense benötigt 2 vNICs, von denen 1 physisch mit Ihrem physischen WAN verbunden sein muss (nicht mit dem LAN, das in Ihrem Setup als WAN gekennzeichnet ist)
also benötigen Sie meines Wissens nach drei isolierte VNICs, um das zu tun, was Sie möchten.
1) LAN/Mgmgnt 2) Honeypot-Netzwerk 3) Ihre WAN-Verbindung zu PFsense
Sie können zu keinem Zeitpunkt eines der drei Ethernet-Netzwerke, die von Ihrem VMware-Host kommen, an denselben Switch oder Hub anschließen, es sei denn, Sie konfigurieren eine Isolierung zwischen den beteiligten Ports.
Andernfalls kommt es zu Übersprechen auf der Kupferebene (Schicht 2).