Exponha a máquina virtual à internet [pentest lab]

0

Eu gostaria de criar uma máquina virtual usando uma caixa virtual para criar um laboratório de hackers e permitir que alguém tentasse hackeá-lo da Internet. (Então a máquina virtual seria a vítima). Como eu posso fazer isso? Todos os dispositivos na minha lan, máquinas virtuais incluídas compartilham um ip único, eu acho, então como posso expor minha máquina virtual? Há algum caminho? Devo configurar o encaminhamento de porta ou usar alguma outra configuração? Peço desculpas se esta é uma pergunta estúpida. Espero que alguém possa me ajudar se possível. Agradecemos antecipadamente.

    
por Fabio 22.12.2013 / 18:32

2 respostas

0

Você deve ter muito cuidado com o que planeja fazer. Se você deseja expor a VM à Internet, certifique-se de que a VM não consiga se comunicar com os outros dispositivos da sua rede. No entanto, o invasor poderá usar sua conexão com a Internet para atividades ilegais. Vai ser difícil evitar isso e requer uma sólida compreensão das técnicas de rede. Tudo somado, meu conselho é: não faça isso, a menos que você saiba absolutamente o que está fazendo.

    
por 22.12.2013 / 19:01
0

Que tipo de dispositivo você tem para um roteador? Você tem acesso ao shell?

Eu tive que ajudar alguém a ter acesso total à sua caixa da internet. Não consegui encontrar uma opção na interface do usuário da web do roteador (executando o Tomato), então apliquei as alterações diretamente e salvei minhas alterações em / etc / iptables . Essas alterações seriam apagadas quando a configuração fosse alterada, embora isso possa não ser um problema, dependendo da sua opção de roteador.

A regra SNAT faz o pacote parecer vir do seu endereço local (censurado a 1.1.1.1 neste caso) quando o pacote deixa sua rede pela Internet. Muitas distribuições de roteadores Linux gostam de implementar seu encaminhamento de porta com SNAT em vez da regra MASQUERADE que pode ser encontrada por padrão.

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1

Quando alguém de fora tenta se conectar ao seu IP público, a conexão é enviada para a máquina local (192.168.0.123). Antes de chegar à máquina, ela deve primeiro ser aceita pela cadeia FORWARD.

iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123

Se isso for aceito, encaminhado para a máquina local.

iptables -A FORWARD -d 192.168.0.123 -j ACCEPT

Para o seu exemplo do honeypot, talvez você queira uma aceitação global, como eu postei acima, embora, no caso de uso, eu quisesse restringir o acesso a um IP confiável conhecido, usando isso:

iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT

Se você permitir que absolutamente qualquer pessoa se conecte ao seu local, eu a colocaria em um domínio de sub-rede / colisão completamente separado de seus computadores normais e faria com que todas as barras iptables da configuração acessassem esse domínio.

    
por 23.12.2013 / 02:51