저는 최근 Offensive Security 과정을 수강하기 시작했습니다. 그들의연결 가이드 페이지, 그들은 연구실 연결의 위험에 대해 경고합니다.
귀하는 귀하와 함께 강좌를 수강하는 다른 학생들에게 귀하의 컴퓨터의 VPN IP를 노출하게 됩니다. 강좌(및 참가자!)의 특성으로 인해 귀하의 컴퓨터가 VPN 네트워크에서 발생하는 공격을 받을 수 있습니다. NAT 장치 뒤에 있는 경우에도 마찬가지입니다.
이러한 위험과 내 PC를 보호하는 방법에 대해 자세히 알아보기 위해 해당 지원팀에 문의했습니다. 그들은 "VM의 IP 세그먼트를 호스트 시스템과 분리"할 수 있다고 제안했습니다.
VM은 Kali Linux를 사용하는 VMWare 가상 머신입니다. 호스트는 Windows 10 PC입니다.
그들이 제안한 것을 어떻게 달성할 수 있습니까?"VM의 IP 세그먼트를 호스트 시스템과 분리"?
답변1
처음에는 별도의 VMware/ESXi 호스트를 염두에 두고 이 글을 작성했습니다. 작동 중인 Windows 10 시스템(VMware Workstation 포함)을 사용해야 하는 경우 호스트 발신 인터페이스에 브리지되지 않는 격리된 가상 네트워크를 생성/사용해야 합니다. VMware Workstation은 처음에 사용자를 위해 하나를 생성했어야 합니다. 그러나 귀하의 호스트는 여전히 이 네트워크에 노출되어 있으며, 이로 인해 작업 중인 컴퓨터가 위험에 처하게 됩니다.
물리적 어댑터가 연결되지 않은 별도의 가상 스위치가 있는 별도의 ESXi 호스트를 권장합니다. 이(격리된) 가상 스위치에 포트 그룹을 생성합니다. Kali Linux VM에는 이 포트 그룹만 연결되어 있어야 합니다. 자체 네트워크 세그먼트에 있거나 내부 네트워크와 별도의 VLAN에 있어야 하는 ESXi 관리를 통해 VM을 원격으로 볼 수 있습니다. 그러면 Kali VM에 대한 SSH 액세스 권한이 없습니다. VM은 ESXi 내부 네트워크에만 액세스할 수 있습니다.
이 VM은 인터넷에 액세스할 수 없습니다. 바람직하지 않을 수 있는 인터넷 액세스를 제공하기 위해 방화벽 VM(예: OPNsense 또는 pfSense)을 설치할 수 있습니다. 자체 내부 네트워크와 Kali VM에 이 방화벽을 사용하려면 ISP 라우터를 브리지 모드로 전환하여 내부 네트워크 포트를 NAT가 아닌 라이브 인터넷에 배치합니다(이중 NAT의 혼동을 피하기 위해). WAN용 전용 물리적 이더넷 어댑터를 사용하십시오(LAN 및 관리용 어댑터에 더해, 한 번에 하나의 별도 어댑터에 VLAN이 될 수도 있음). 이 호스트 시스템의 WAN 인터페이스가 내부 네트워크에 노출되지 않는 것이 필수적입니다. 또는 노출되어야 하는 경우 모든 Kali VM 트래픽을 인터넷으로 강제로 내보내도록 매우 신중한 규칙을 구성해야 합니다. 방화벽 VM에는 Kali Linux 포트 그룹에 대한 인터페이스가 필요합니다. Kali 네트워크에 대한 액세스를 제한하려면 모든 방화벽 인터페이스에 규칙을 만들어야 합니다.