我最近开始参加 Offense Security 的课程。连接指南页面他们警告了连接到他们的实验室的危险:
您将向与您一起上课的其他学生公开您计算机的 VPN IP。由于课程(及其参与者!)的性质,您的计算机可能会受到来自 VPN 网络的攻击。即使您位于 NAT 设备后面,情况也是如此。
我已经联系了他们的支持人员,以了解有关这些危害的更多信息以及如何保护我的电脑。他们建议我可以“将虚拟机的 IP 段与主机分开”。
VM 是安装了 Kali Linux 的 VMWare 虚拟机。主机是 Windows 10 PC。
我怎样才能实现他们的建议,“将虚拟机的 IP 段与主机分开”?
答案1
我最初写这篇文章时考虑的是单独的 VMware/ESXi 主机。如果您必须使用正在运行的 Windows 10 计算机(带有 VMware Workstation),则需要创建/使用未桥接到主机传出接口的隔离虚拟网络。VMware Workstation 最初应该已经为您创建了一个。但是,您的主机仍然暴露于此网络,这会使您的工作计算机面临风险。
我建议使用单独的 ESXi 主机,该主机带有单独的虚拟交换机,且不连接任何物理适配器。在此(隔离的)虚拟交换机上创建一个端口组。Kali Linux VM 应该只连接此端口组。您可以通过 ESXi 管理远程查看 VM,该管理应位于其自己的网段上或位于与您的内部网络不同的 VLAN 上。这样,您将无法通过 ssh 访问 Kali VM。VM 只能访问 ESXi 内部的网络。
此虚拟机无法访问互联网。要提供互联网访问(这可能不是理想的选择),您可以安装防火墙虚拟机(例如 OPNsense 或 pfSense)。要将此防火墙用于您自己的内部网络和 Kali VM,请将您的 ISP 路由器置于桥接模式,将其内部网络端口置于实时互联网上而不是 NAT 上(以避免混淆双重 NAT)。使用专用的物理以太网适配器作为 WAN(除了 LAN 和管理适配器,在紧急情况下,它们可以只是一个单独适配器上的 VLAN)。此主机的 WAN 接口必须不暴露在您的内部网络中 - 或者如果必须这样做,必须构建非常谨慎的规则以强制所有 Kali VM 流量流出到互联网。防火墙虚拟机将需要一个到 Kali Linux 端口组的接口。请确保在所有防火墙接口上创建规则以限制对 Kali 网络的访问。