Bagaimana cara meniru inline host di tengah-tengah 2 host lain di VMware Workstation?

9

Saya ingin mengatur lab untuk mencoba Suricate, sistem IPS. Masalahnya adalah saya perlu mengaturnya seperti ini:

Atacker VM ----- Inline IPS VM ----- Korban VM Bagaimana saya bisa mencapai ini? Saya tidak melihat cara men-setup host virtual dengan 2 NIC, meletakkannya di tengah koneksi. Bisakah itu dilakukan entah bagaimana?

pengguna2723297
sumber
BTW, saya menggunakan Security Onion: sourceforge.net/projects/security-onion Ini adalah Xubuntu ISO yang mengonfigurasi Snort dengan cara yang cukup sederhana atau sensor lain dan alat parsing log untuk membuatnya GUI menyenangkan. Jadi, ini sangat sederhana, coba!
user2723297

Jawaban:

9

Dalam skema Anda, kami dapat melihat bahwa Anda memerlukan dua LAN terpisah. Sebut saja mereka LAN-Attacker dan LAN-Victim. Pada Attacker VM dan Victim VM Anda akan memerlukan adaptor jaringan virtual tunggal untuk setiap VM. Pada IPS VM Anda membutuhkan dua adapter jaringan virtual. Anda dapat menambah dan mengkonfigurasi adaptor di Jendela Pengaturan Mesin Virtual pada tab Perangkat Keras.

Jangan bingung dengan fakta bahwa ada dua LAN yang terpisah. Mereka dapat berada di subnet IP yang sama jika IPS Anda akan berfungsi sebagai jembatan (perangkat layer 2). Mereka juga dapat berada dalam dua subnet IP yang berbeda jika IPS akan bertindak sebagai router (layer 3). Ini tergantung hanya pada konfigurasi jaringan Anda di dalam mesin virtual.

Sekarang ada dua opsi cara mengkonfigurasi dan menghubungkan dua LAN.

Segmen LAN

Di VMware Workstation 8.0 dan yang lebih baru, Anda dapat menggunakan Segmen LAN untuk jaringan virtual lokal yang hanya perlu berkomunikasi dengan mesin virtual. Konfigurasi ini jauh lebih mudah. masukkan deskripsi gambar di sini Di Jendela Pengaturan Mesin Virtual pada tab Perangkat Keras pilih Adaptor Jaringan dan klik tombol Segmen LAN. Buat dua Segmen LAN LAN-Attackerdan LAN-Victim. Pada setiap adapter jaringan virtual pilih Segmen LAN yang sesuai.

Waspadai kenyataan bahwa mesin yang terhubung hanya ke Segmen LAN akan dapat berkomunikasi (melalui jaringan) baik dengan host fisik maupun dengan jaringan fisik eksternal.

Jaringan Virtual vmnetx

Di semua versi VMware Workstation Anda dapat menggunakan jaringan virtual. Anda dapat mengonfigurasinya menggunakan Editor Jaringan Virtual (dalam menu Edit). Jaringan virtual disebut di vmnetxmana xadalah jumlah jaringan virtual. Konfigurasikan yang tidak terpakai atau buat yang baru. masukkan deskripsi gambar di sini Ada tiga jenis jaringan virtual:

  • Bridged - Mereka terhubung ke jaringan fisik host fisik Anda memiliki akses ke pada layer 2. Mesin virtual yang terhubung ke vmnet ini kemudian terlihat seperti mereka terhubung langsung ke jaringan fisik.
  • NAT - Ada jaringan virtual tetapi host fisik melakukan NAT dinamis sehingga mesin yang terhubung ke vmnet ini dapat berkomunikasi dengan jaringan fisik. (dan satu sama lain - lihat di bawah)
  • Host-only - Vmnet ini seperti NAT tetapi tanpa NAT dan akses ke jaringan fisik luar. Jadi mesin yang terhubung dengan vmnet ini hanya dapat berkomunikasi satu sama lain termasuk host fisik jika Anda memilih opsi "Hubungkan adaptor virtual host".

Dalam kasus Anda, Anda akan menggunakan Host saja atau NAT (jika mesin perlu berkomunikasi dengan dunia luar). Dalam instalasi VMware Workstation yang baru vmnet0- vmnet2sudah ditentukan sebelumnya sehingga Anda mungkin dapat menggunakan vmnet3sebagai LAN-Attackerdan vmnet4sebagai LAN-Victim.

Di mesin virtual Anda kemudian menetapkan vmnets yang sesuai untuk adapter jaringan virtual dengan cara yang sama seperti Segmen LAN di atas cukup pilih opsi "Kustom: jaringan virtual spesifik" bukan "Segmen LAN".

pabouk
sumber
Hai teman, terima kasih atas jawaban yang menyeluruh. Saya akan mengujinya dan memberi tahu kalian. Jadi pada dasarnya: ATACKER'S PC (10.0.0.1/8, misalnya) ---- LAN segmen 1 ---- IPS ---- segmen LAN 2 ---- VICTIM'S PC (10.0.0.2/8, dalam jarak yang sama, untuk memaksa IPS berada di tengah). Jadi jika saya melakukan ini, IPS akan dimasukkan secara otomatis? Saya tidak mengerti mengapa. Mengapa VMware mengartikan bahwa ini berarti host dengan segmen 2 LAN harus berada di tengah?
user2723297
Sama sama! PC penyerang dan antarmuka 1 IPS keduanya terhubung ke LAN1. PC korban dan antarmuka 2 IPS keduanya terhubung ke LAN2. Jadi Penyerang dan Korban berada dalam dua LAN terpisah. Mereka tidak dapat berkomunikasi secara langsung. Satu-satunya cara adalah melalui IPS yang terhubung baik ke LAN1 dan LAN2. ------ Tentu saja agar IPS ini berfungsi harus memainkan peran khusus. Itu harus dikonfigurasi sebagai jembatan (dalam hal ini LAN1 dan LAN2 berada di subnet yang sama - di sini 10.0.0.0/8). Bagaimana jembatan bekerja? Lihat misalnya: Ethernet Bridges & Switches .
pabouk
Oh ya, mengerti. Tanpa mengkonfigurasi kotak IPS Linux sebagai jembatan, itu pasti akan menjatuhkan paket siaran yang akan memberi Attacker alamat MAC untuk korban. Dan jelas jika saya memprogram kode alamat MAC di tabel penyerang ARP, IPS masih akan menjatuhkan mereka. Temukan caranya di sini: linuxfoundation.org/collaborate/workgroups/networking/bridge Cukup sederhana! Terima kasih banyak.
user2723297