Ich habe vor kurzem mit einem Kurs bei Offensive Security begonnen.Konnektivitätshandbuchseitewarnen sie vor den Gefahren einer Verbindung zu ihren Laboren:
Sie geben die VPN-IP Ihres Computers an andere Kursteilnehmer weiter. Aufgrund der Art des Kurses (und seiner Teilnehmer!) kann Ihr Computer Angriffen aus dem VPN-Netzwerk ausgesetzt sein. Dies gilt auch, wenn Sie sich hinter einem NAT-Gerät befinden.
Ich habe ihren Support kontaktiert, um mehr über diese Gefahren zu erfahren und wie ich meinen PC schützen kann. Sie schlugen vor, dass ich „das IP-Segment der VM vom Hostcomputer trennen“ könnte.
Die VM ist eine VMWare-virtuelle Maschine mit Kali Linux. Der Host ist ein Windows 10-PC.
Wie kann ich das erreichen, was sie vorgeschlagen haben, und„Trennen Sie das IP-Segment der VM vom Host-Rechner“?
Antwort1
Ich habe dies ursprünglich im Hinblick auf einen separaten VMware/ESXi-Host geschrieben. Wenn Sie Ihren funktionierenden Windows 10-Computer (mit VMware Workstation) verwenden müssen, müssen Sie ein isoliertes virtuelles Netzwerk erstellen/verwenden, das nicht mit der ausgehenden Schnittstelle des Hosts verbunden ist. VMware Workstation sollte ursprünglich eines für Sie erstellt haben. Ihr Host ist jedoch weiterhin diesem Netzwerk ausgesetzt, was Ihren funktionierenden Computer gefährdet.
Ich empfehle einen separaten ESXi-Host mit einem separaten virtuellen Switch ohne angeschlossenen physischen Adapter. Erstellen Sie eine Portgruppe auf diesem (isolierten) virtuellen Switch. An die Kali Linux VM sollte nur diese Portgruppe angeschlossen sein. Sie können die VM remote über die ESXi-Verwaltung anzeigen, die sich in einem eigenen Netzwerksegment oder in einem von Ihrem internen Netzwerk getrennten VLAN befinden sollte. Sie haben dann keinen SSH-Zugriff auf die Kali VM. Die VM hat nur Zugriff auf ein internes Netzwerk von ESXi.
Diese VM hat keinen Internetzugang. Um Internetzugang bereitzustellen, was möglicherweise nicht wünschenswert ist, können Sie eine Firewall-VM installieren (z. B. OPNsense oder pfSense). Um diese Firewall für Ihr eigenes internes Netzwerk und für die Kali-VM zu verwenden, versetzen Sie Ihren ISP-Router in den Bridge-Modus, der seine internen Netzwerkports auf das Live-Internet und nicht auf NAT setzt (um verwirrendes doppeltes NAT zu vermeiden). Verwenden Sie einen dedizierten physischen Ethernet-Adapter für WAN (zusätzlich zu Adaptern für LAN und Verwaltung, die im Notfall auch nur VLANs auf einem separaten Adapter sein können). Es ist zwingend erforderlich, dass die WAN-Schnittstelle dieser Host-Maschine nicht Ihrem internen Netzwerk ausgesetzt ist – oder wenn dies doch der Fall ist, müssen sehr sorgfältige Regeln erstellt werden, um den gesamten Kali-VM-Verkehr ins Internet zu zwingen. Die Firewall-VM benötigt eine Schnittstelle zur Kali-Linux-Portgruppe. Stellen Sie sicher, dass Sie auf allen Firewall-Schnittstellen Regeln erstellen, um den Zugriff auf das Kali-Netzwerk einzuschränken.