Недавно я начал посещать курс в Offensive Security. На ихстраница руководства по подключению, они предупреждают об опасностях подключения к их лабораториям:
вы будете раскрывать VPN IP вашего компьютера другим студентам, проходящим курс вместе с вами. Из-за характера курса (и его участников!) ваш компьютер может быть подвергнут атакам, исходящим из сети VPN. Это справедливо даже если вы находитесь за устройством NAT.
Я связался с их службой поддержки, чтобы узнать больше об этих опасностях и о том, как защитить свой ПК. Они предложили мне «разделить сегмент IP виртуальной машины с хост-машиной».
VM — это виртуальная машина VMWare с Kali Linux. Хост — ПК с Windows 10.
Как я могу добиться того, что они предложили, и«разделить IP-сегмент виртуальной машины с хост-машиной»?
решение1
Изначально я писал это, имея в виду отдельный хост VMware/ESXi. Если вам необходимо использовать рабочую машину Windows 10 (с VMware Workstation), вам необходимо создать/использовать изолированную виртуальную сеть, которая не соединена мостом с исходящим интерфейсом хоста. VMware Workstation изначально должна была создать ее для вас. Однако ваш хост все еще открыт для этой сети, что подвергает ваш рабочий компьютер риску.
Я рекомендую отдельный хост ESXi с отдельным виртуальным коммутатором без подключенного физического адаптера. Создайте группу портов на этом (изолированном) виртуальном коммутаторе. Виртуальная машина Kali Linux должна иметь только эту подключенную группу портов. Вы можете просматривать виртуальную машину удаленно через управление ESXi, которое должно находиться в собственном сетевом сегменте или в отдельной VLAN от вашей внутренней сети. Тогда у вас не будет доступа по ssh к виртуальной машине Kali. У виртуальной машины будет доступ только к сети, внутренней по отношению к ESXi.
Эта VM не будет иметь доступа в Интернет. Чтобы обеспечить доступ в Интернет, что может быть нежелательно, вы можете установить VM брандмауэра (например, OPNsense или pfSense). Чтобы использовать этот брандмауэр для вашей собственной внутренней сети и для VM Kali, переведите маршрутизатор вашего провайдера в режим моста, который размещает его внутренние сетевые порты в активном Интернете, а не в NAT (чтобы избежать путаницы с двойным NAT). Используйте выделенный физический адаптер Ethernet для WAN (в дополнение к адаптерам для LAN и управления, которые могут быть просто VLAN на одном отдельном адаптере в крайнем случае). Крайне важно, чтобы интерфейс WAN этой хост-машины не был открыт для вашей внутренней сети, или, если это необходимо, необходимо создать очень тщательные правила, чтобы заставить весь трафик VM Kali выходить в Интернет. VM брандмауэра потребуется интерфейс для группы портов Kali Linux. Обязательно создайте правила на всех интерфейсах брандмауэра, чтобы ограничить доступ к сети Kali.