ESXi + pfsense 트래픽 분리

tag-icon tag-icon networking esxi pfsense honeypot
ESXi + pfsense 트래픽 분리

저는 ESXi로 네트워킹을 설정하고 pfsense로 작업하는 것이 처음이므로 이 작업을 수행할 수 없거나 잘못된 방식으로 질문하는 경우 양해해 주시기 바랍니다.

저는 ESXi 5.5.0을 사용하고 있으며 인터넷에 액세스할 수 있는 일부 허니팟을 네트워크에서 호스팅하고 싶지만 허니팟 자체는 서브넷 외부의 어떤 것에도 액세스할 수 없습니다. 이상적으로는 21, 22, 80, 443과 같은 특정 포트를 다양한 허니팟 머신으로 포워딩하는 것이 좋습니다.

이제 저는 이것을 집에서도 호스팅하고 있으므로 허니팟 네트워크를 홈 네트워크와 분리하고 싶습니다. 내 홈 네트워크는 허니팟 네트워크의 어떤 것도 건드릴 수 없어야 하며, 그 반대의 경우도 마찬가지입니다.

현재 설정은 인터넷 -> 모뎀 -> 소비자 라우터/스위치 콤보입니다. 해당 스위치 콤보에는 무선 장치와 기타 가정용 장치가 있습니다. 또한 ESXi 서버도 연결되어 있습니다. 내 ESXi 서버에도 다음과 같은 네트워크 설정이 있습니다.

ESXi 네트워크

내 pfsense 상자에는 다음과 같은 인터페이스가 있습니다.

pfsense 인터페이스

이 시점에서는 다음 두 가지 문제를 제외하고 대부분 모든 것이 작동합니다.

  1. 내 허니팟 네트워크(10.0.0.x)의 상자는 내 홈 네트워크(192.168.1.x)의 상자와 통신할 수 있습니다.
  2. 내 pfsense LAN 인터페이스(em1)에서 실행되는 DHCP 서버가 내 일반 라우터가 전달해야 하는 IP 주소를 전달하고 있습니다. 따라서 내 휴대전화가 Wi-Fi에 연결되면, 있어서는 안되는 주소를 pfsense에서 가져옵니다.

그래서 내 질문은 두 네트워크가 서로 통신할 수 없고 DHCP가 네트워크 외부의 주소를 전달하지 않도록 어떻게 이것을 적절하게 분리할 수 있느냐는 것입니다.

감사해요! 도움을 주셔서 정말 감사드립니다!

답변1

  1. 10.0.0.0/24에서 192.168.1.0/24로 전달 트래픽을 삭제하도록 IPTables 규칙을 설정합니다.

  2. 필요하지 않은 경우 pfsense 상자에서 DHCP를 끄고 허니팟 네트워크에 IP 주소를 정적으로 설정하십시오. 특정 IP 주소를 가리키는 방화벽/NAT 규칙이 있는 경우 상자가 DHCP 임대를 새로 고치는 것을 원하지 않습니다.

  3. 허니팟에서 라우터/방화벽(이 경우 pfsense?)을 관리하는 기능을 비활성화했는지 확인하십시오. 상자 중 하나가 뿌리를 내리더라도 상자가 깨지는 것을 원하지 않을 것입니다.

  4. 인터넷에서 허니팟으로의 수문을 열기 전에 무엇을 하고 있는지 확인하십시오. 잘못 구성하면 재앙적인 결과를 초래할 수 있습니다.

답변2

"인터넷에서 허니팟으로의 수문을 열기 전에 무엇을 하고 있는지 확인하고 확인하십시오. 잘못 구성하면 재앙적인 결과를 초래할 수 있습니다."

이것에 매우 주의 깊게 주의를 기울이십시오. 이것은 훌륭한 조언입니다.

또한 가능하다면 ArcSight의 개발/무료 버전이나 McAfee DLP와 같은 트래픽을 검색하기 위해 일종의 중개자를 설치하거나 배포하는 것도 제안하고 싶습니다. 당신은 자신을 노출하려고합니다.

답변3

iptables나 다른 것을 보기 전에.

vmnic0 및 vmnic1에 매핑된 2개의 이더넷 케이블은 어디에 연결되어 있습니까?

이러한 2개의 연결은 별도의 물리적 이더넷 NIC에 있는 VMware 호스트가 있어야 하며 다른 시스템에 물리적으로 연결되어 있어야 합니다. 즉, 하나는 pFsense 상자에, 다른 하나는 LAN에 연결되어야 합니다.

즉, 뭔가 이상한 것을 시도하기 전에 물리 계층 2가 분리되어 있는지 확인하십시오.

============================= 구조 ==================== 1) WAN 연결은 어디에 있습니까? pFsense에는 2개의 VNIC가 필요하며 그 중 1개는 물리적 WAN에 물리적으로 연결되어야 합니다(설정에서 WAN으로 레이블이 지정된 LAN이 아님).

AFAIK 원하는 작업을 수행하려면 3개의 격리된 vnic이 필요합니다.

1) LAN/관리 2) 허니팟 네트워크 3) PFsense에 대한 WAN 연결

관련된 포트 간에 격리를 구성하지 않는 한 VMware 호스트에서 나오는 3개의 이더넷 중 어느 것도 동일한 허브 스위치에 연결할 수 없습니다.

그렇지 않으면 누화는 구리(레이어 2) 수준에서 발생합니다.

관련 정보