Virtuelle Maschine dem Internet aussetzen [pentest lab]

0

Ich möchte eine virtuelle Maschine mit einer virtuellen Box erstellen, um ein Hackerlabor zu erstellen, und jemandem gestatten, ihn aus dem Internet zu hacken. (Die virtuelle Maschine wäre also das Opfer). Wie kann ich das machen? Alle Geräte in meinem LAN, einschließlich virtueller Maschinen haben eine eindeutige IP-Adresse. Wie kann ich meine virtuelle Maschine verfügbar machen? Gibt es einen Weg? Soll ich Portweiterleitung einrichten oder eine andere Konfiguration verwenden? Ich entschuldige mich, wenn dies eine dumme Frage ist. Hoffe, jemand kann mir helfen wenn möglich. Danke im Voraus.

linux virtualization Fabio
quelle
"Alle Geräte in meinem LAN, einschließlich der virtuellen Maschinen, haben eine eindeutige IP-Adresse." Warten Sie, wollen Sie damit sagen, dass sie alle sind Aktie die gleiche IP-Adresse? Oder dass sie alle haben einzigartig IP-Adressen
tjt263

Antworten:

0

Sie sollten sehr vorsichtig sein, was Sie vorhaben. Wenn Sie die VM für das Internet freigeben möchten, sollten Sie unbedingt sicherstellen, dass die VM nicht mit den anderen Geräten in Ihrem Netzwerk kommunizieren kann. Der Angreifer kann Ihre Internetverbindung jedoch für illegale Aktivitäten nutzen. Dies wird schwer zu verhindern sein und erfordert ein solides Verständnis der Netzwerktechniken. Alles in allem ist mein Rat: Tu es nicht, wenn du nicht absolut weißt, was du tust.

Tim Zimmermann
quelle
Danke für deine Antwort. Ich bin mir der Sicherheitsrisiken bewusst, obwohl ich es gerne versuchen würde. Ich würde versuchen, die virtuelle Maschine zu isolieren und sie nur für eine begrenzte Zeit zum Testen verfügbar zu machen. Dann würde ich sie ausschalten oder löschen. Ich hoffe, jemand kann mich in die richtige Richtung weisen, um meine virtuelle Maschine aus dem Internet verfügbar zu machen. Ich möchte Informationen sammeln und tun, wenn ich bereit bin. Es ist ein Weg, um neue Dinge für mich zu lernen. Ich weiß, wie man es mit einem vps macht, zum Beispiel, weil es eine eigene IP hat, obwohl ich es gerne mit einer eigenen virtuellen Maschine unter einem NAT machen würde Port-Weiterleitung
Fabio
Nun, Sie können Portweiterleitung verwenden. Sie müssen die Ports in Ihrer Router-Konfiguration weiterleiten. Standardmäßig wird normalerweise nichts weitergeleitet. Welche Ports Sie weiterleiten müssen, hängt davon ab, welche Dienste die VM anbietet.
Tim Zimmermann
0

Was für ein Gerät hast du für einen Router? Hast du Shell-Zugriff?

Ich musste jemandem helfen, vollen Zugriff auf ihre Box vom Internet zu erhalten. Ich konnte keine Option in der Web-Benutzeroberfläche des Routers (mit Tomato) finden. Daher habe ich die Änderungen direkt übernommen und meine Änderungen in gespeichert / etc / iptables . Diese Änderungen werden gelöscht, wenn die Konfiguration geändert wird. Dies hängt jedoch möglicherweise nicht von Ihrer Router-Wahl ab.

Durch die SNAT-Regel scheint das Paket von Ihrer lokalen Adresse zu stammen (in diesem Fall in 1.1.1.1 zensiert), wenn das Paket Ihr Netzwerk für das Internet verlässt. Viele Linux-Router-Distributionen implementieren ihre Portweiterleitung gerne mit SNAT anstelle der standardmäßig gefundenen MASQUERADE-Regel.

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1

Wenn jemand von außen versucht, eine Verbindung zu Ihrer öffentlichen IP-Adresse herzustellen, wird die Verbindung an den lokalen Computer gesendet (192.168.0.123). Bevor es die Maschine erreichen kann, muss es von der FORWARD-Kette akzeptiert werden.

iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123

Wenn es gemacht wird, wird es an den lokalen Rechner weitergeleitet.

iptables -A FORWARD -d 192.168.0.123 -j ACCEPT

Für Ihr Honeypot-Beispiel möchten Sie möglicherweise eine globale Annahme, wie ich sie oben gepostet habe. Für meinen Anwendungsfall wollte ich jedoch den Zugriff auf eine bekannte vertrauenswürdige IP-Adresse einschränken.

iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT

Wenn Sie absolut zulassen möchten, dass sich jemand mit Ihrem Standort verbindet, würde ich ihn in eine vollständig separate Subnetz- / Kollisionsdomäne von Ihren normalen Computern stellen und diese als Ihre iptables Setup sperrt den gesamten Zugriff auf diese Domäne.

Gadgeteering
quelle
Ich habe einen normalen Netgear-Router (nichts auf Unternehmensebene) und könnte durch Aktivieren des Debug-Modus telnet. Danke für deine Antwort :)
Fabio