Paparkan mesin virtual ke internet [pentest lab]

0

Saya ingin membuat mesin virtual menggunakan kotak virtual untuk membuat lab peretasan dan memungkinkan seseorang untuk mencoba meretasnya dari internet. (Jadi mesin virtual akan menjadi korban). Bagaimana saya bisa melakukan itu? Semua perangkat di komputer saya, termasuk mesin virtual berbagi ip unik, jadi bagaimana saya bisa mengekspos mesin virtual saya? Apakah ada cara? Haruskah saya mengatur penerusan port atau menggunakan konfigurasi lain? Saya minta maaf jika ini pertanyaan bodoh. Semoga seseorang dapat membantu saya jika memungkinkan. Terima kasih sebelumnya.

linux virtualization Fabio
sumber
"Semua perangkat di LAN saya, termasuk Mesin Virtual, berbagi IP unik .." Tunggu, apakah Anda bermaksud mengatakan bahwa mereka semua berbagi alamat IP yang sama? Atau mereka semua memilikialamat IP yang unik ?
tjt263

Jawaban:

0

Anda harus sangat berhati-hati tentang apa yang Anda rencanakan untuk dilakukan. Jika Anda ingin mengekspos VM ke internet, Anda harus benar-benar memastikan bahwa VM tidak dapat berkomunikasi dengan perangkat lain di jaringan Anda. Namun demikian, penyerang akan dapat menggunakan koneksi internet Anda untuk kegiatan ilegal. Akan sulit untuk mencegah itu dan itu membutuhkan pemahaman yang kuat tentang teknik jaringan. Secara keseluruhan, saran saya adalah: jangan lakukan itu, kecuali jika Anda benar-benar tahu apa yang Anda lakukan.

Tim Zimmermann
sumber
Terima kasih atas jawaban anda. Saya menyadari risiko keamanan, meskipun saya ingin mencoba melakukannya. Saya akan mencoba untuk mengisolasi mesin virtual dan membuatnya tersedia hanya untuk waktu yang terbatas untuk pengujian, maka saya akan mematikan atau menghapusnya. Saya harap seseorang dapat mengarahkan saya ke arah yang benar untuk menyediakan mesin virtual saya dari internet. Saya ingin mengumpulkan info dan melakukannya saat saya siap. Ini adalah cara untuk mempelajari hal-hal baru untuk saya. Saya tahu bagaimana melakukannya menggunakan vps misalnya karena cuz memiliki ip sendiri, meskipun saya ingin melakukannya dengan mesin virtual sendiri di bawah NAT. Saya pikir saya harus menggunakan port forwarding
Fabio
Nah, Anda bisa menggunakan port forwarding. Anda harus meneruskan porta di konfigurasi router Anda. Default biasanya adalah tidak meneruskan apa pun. Port mana yang harus Anda teruskan tergantung pada layanan mana yang VM tawarkan.
Tim Zimmermann
0

Perangkat apa yang Anda miliki untuk router? Apakah Anda memiliki akses shell?

Saya harus membantu seseorang mendapatkan akses penuh ke kotak mereka dari internet. Saya tidak dapat menemukan opsi di UI web router (menjalankan Tomat), jadi saya menerapkan perubahan secara langsung, dan kemudian menyimpan perubahan saya di / etc / iptables . Perubahan ini akan dihapus ketika konfigurasi diubah, meskipun ini mungkin bukan masalah tergantung pada pilihan router Anda.

Aturan SNAT membuat paket tampak berasal dari alamat lokal Anda (disensor ke 1.1.1.1 dalam kasus ini) ketika paket meninggalkan jaringan Anda untuk internet. Banyak distribusi router Linux ingin mengimplementasikan port forwarding mereka dengan SNAT daripada aturan MASQUERADE yang dapat ditemukan secara default.

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1

Ketika seseorang dari luar mencoba untuk terhubung ke IP publik Anda, koneksi dikirim ke mesin lokal (192.168.0.123). Sebelum dapat mencapai mesin, pertama-tama harus diterima oleh rantai FORWARD.

iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123

Jika itu membuatnya diterima, diteruskan ke mesin lokal.

iptables -A FORWARD -d 192.168.0.123 -j ACCEPT

Sebagai contoh honeypot Anda, Anda mungkin ingin penerimaan global seperti yang saya posting di atas, meskipun untuk kasus penggunaan saya, saya ingin membatasi akses ke IP tepercaya yang diketahui, alih-alih menggunakan ini:

iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT

Jika Anda benar-benar membiarkan siapa pun terhubung ke lokasi Anda, saya akan meletakkannya di domain subnet / collision yang benar-benar terpisah untuk komputer normal Anda, dan membuat iptablespengaturan Anda melarang semua akses ke domain itu.

Gadgeteering
sumber
Saya memiliki router Netgear normal (tidak ada di tingkat perusahaan) dan saya bisa telnet ke dalamnya dengan mengaktifkan mode debug. Terima kasih atas jawaban Anda :)
Fabio