Recientemente comencé a tomar un curso en Seguridad Ofensiva. En supágina de guía de conectividad, advierten sobre los peligros de conectarse a sus laboratorios:
expondrá la IP VPN de sus computadoras a otros estudiantes que tomen el curso con usted. Debido a la naturaleza del curso (¡y a sus participantes!), su computadora puede estar sujeta a ataques provenientes de la red VPN. Esto es cierto incluso si está ubicado detrás de un dispositivo NAT.
Me comuniqué con su soporte para obtener más información sobre esos peligros y cómo proteger mi PC. Sugirieron que podría "separar el segmento IP de la VM con la máquina host".
La VM es una máquina virtual VMWare con Kali Linux. El anfitrión es una PC con Windows 10.
¿Cómo puedo lograr lo que sugirieron y"separe el segmento IP de la VM con la máquina host"?
Respuesta1
Inicialmente escribí esto teniendo en mente un host VMware/ESXi independiente. Si debe usar su máquina con Windows 10 en funcionamiento (con VMware Workstation), debe crear/usar una red virtual aislada que no esté conectada a la interfaz de salida del host. VMware Workstation debería haber creado uno inicialmente. Sin embargo, su host todavía está expuesto a esta red, lo que pone en riesgo su computadora en funcionamiento.
Recomiendo un host ESXi independiente con un conmutador virtual independiente sin adaptador físico conectado. Cree un grupo de puertos en este conmutador virtual (aislado). La máquina virtual Kali Linux solo debe tener conectado este grupo de puertos. Puede ver la VM de forma remota a través de la administración de ESXi, que debe estar en su propio segmento de red o en una VLAN separada de su red interna. Entonces no tendrá acceso ssh a Kali VM. La VM solo tendrá acceso a una red interna de ESXi.
Esta máquina virtual no tendrá acceso a Internet. Para proporcionar acceso a Internet, lo que puede no ser deseable, puede instalar una máquina virtual con firewall (por ejemplo, OPNsense o pfSense). Para usar este firewall para su propia red interna y para Kali VM, coloque el enrutador de su ISP en modo puente, lo que coloca sus puertos de red interna en Internet en vivo y no en NAT (para evitar confundir la doble NAT). Utilice un adaptador Ethernet físico dedicado para WAN (además de adaptadores para LAN y administración, que pueden ser solo VLAN en un adaptador separado en caso de necesidad). Es imperativo que la interfaz WAN de esta máquina host no esté expuesta a su red interna; o, si es necesario, se deben crear reglas muy cuidadosas para forzar que todo el tráfico de Kali VM salga a Internet. La máquina virtual del firewall necesitará una interfaz para el grupo de puertos de Kali Linux. Asegúrese de crear reglas en todas las interfaces del firewall para restringir el acceso a la red Kali.