ESXi + Pfsense-Verkehrstrennung

1116
Chiggins

Ich bin ziemlich neu darin, ein Netzwerk mit ESXi aufzubauen und mit pfsense zu arbeiten. Bitte entschuldigen Sie, wenn dies nicht möglich ist oder ich etwas falsches frage.

Ich verwende ESXi 5.5.0 und möchte einige Honeypots in meinem Netzwerk hosten, die für das Internet zugänglich sind, aber die Honeypots selbst können außerhalb ihres Subnetzes nicht auf etwas zugreifen. Idealerweise portiere ich bestimmte Ports wie 21, 22, 80, 443 in verschiedene Honeypot-Maschinen.

Jetzt hoste ich das auch zu Hause, also möchte ich mein Honeypot-Netzwerk von meinem Heimnetzwerk trennen. Mein Heimnetzwerk sollte nichts im Honeypot-Netzwerk berühren können und umgekehrt.

Mein aktuelles Setup ist folgendes: Internet -> Modem -> Consumer-Router / Switch-Kombination. In dieser Schalterkombination befinden sich meine drahtlosen Geräte und andere Heimgeräte. Daran angeschlossen ist auch mein ESXi-Server. Mein ESXi-Server verfügt außerdem über die folgenden Netzwerkeinstellungen:

ESXi network

Und meine Pfsense-Box hat folgende Schnittstellen:

pfsense interfaces

An diesem Punkt funktioniert meistens alles außer zwei Problemen:

  1. Boxen in meinem Honeypot-Netzwerk (10.0.0.x) können mit Boxen in meinem Heimnetzwerk (192.168.1.x) kommunizieren.
  2. Der DHCP-Server, der auf meiner pfsense LAN-Schnittstelle (em1) ausgeführt wird, gibt IP-Adressen aus, die mein Comsumer-Router ausgeben soll. Wenn mein Telefon eine Verbindung zu meinem WLAN herstellt, erhält es eine Adresse von pfsense, wenn dies nicht der Fall sein sollte.

Meine Frage ist also: Wie kann ich dies richtig trennen, damit die beiden Netzwerke nicht miteinander kommunizieren können und dass DHCP keine Adressen außerhalb seines Netzwerks ausgibt?

Vielen Dank! Ich weiß die Hilfe wirklich zu schätzen!

0

3 Antworten auf die Frage

1
DKNUCKLES

  1. Richten Sie eine IPTables-Regel ein, um den Weiterleitungsverkehr von 10.0.0.0/24 auf 192.168.1.0/24 zu reduzieren

  2. Deaktivieren Sie DHCP in Ihrer Pfsense-Box, wenn Sie es nicht benötigen, und statisch IP-Adressen in Ihrem Honeypot-Netzwerk festlegen. Sie möchten nicht, dass Boxen ihre DHCP-Lease aktualisieren, wenn Firewall- / NAT-Regeln auf bestimmte IP-Adressen verweisen.

  3. Stellen Sie sicher, dass Sie die Möglichkeit zur Verwaltung Ihres Routers / Ihrer Firewall (in diesem Fall "pfsense") von Ihrem Honeypot deaktiviert haben. Falls eine Ihrer Boxen verwurzelt wird, möchten Sie nicht, dass sie sich befreien können.

  4. Stellen Sie sicher, dass Sie wissen, was Sie tun, bevor Sie die Fluttore aus dem Internet für Ihre Honigtöpfe öffnen. Eine falsche Konfiguration kann katastrophale Folgen haben.

1. Soll ich die iptables-Regel direkt über die Befehlszeile auf pfsense hinzufügen oder gibt es eine bessere Möglichkeit, dies über die Weboberfläche zu tun? 2. Ja, ich habe darüber nachgedacht, wahrscheinlich eine gute Idee, alles statisch zu setzen. 3. Ja, definitiv. Versuchen Sie, es über das WAN zugänglich zu machen, und schließen Sie es dann über LAN ab. 4. Auf jeden Fall. Ich werde einem anderen Hacker-Freund von mir Fernzugriff erteilen, um weitere Augen zu gewinnen, um zu sehen, ob er einen Ausweg finden kann. Danke für diese Antwort! Chiggins vor 8 Jahren 0
@Chiggins Es ist egal, wo Sie die Regel (Web- oder Cmd-Zeile) festlegen. Stellen Sie nur sicher, dass sie gespeichert werden und dass dies der Fall ist. DKNUCKLES vor 8 Jahren 0
1
Matthew Dartez

"Stellen Sie sicher, dass Sie wissen, was Sie tun, bevor Sie die Flutentore aus dem Internet für Ihre Honigtöpfe öffnen - eine falsche Konfiguration kann katastrophale Folgen haben."

Achten Sie genau darauf - das ist ein guter Rat.

Ich würde auch vorschlagen, wenn Sie es können, vielleicht eine Art Vermittler installieren oder implementieren, um diesen Verkehr zu scannen, wie eine dev / free-Version von ArcSight oder ein anderes McAfee DLP. Du bist dabei, dich auszusetzen.

Ich habe darüber nachgedacht, eine Instanz von Snort zur Überwachung des Datenverkehrs zu werfen, nur damit ich eine bessere Vorstellung davon habe, was los ist. Chiggins vor 8 Jahren 0
Vermutlich eine gute Idee. Etwas anderes, das ein guter Gedanke sein könnte, da Sie ESXi 5.5 verwenden, ist die Aktivierung von VXLAN über NSX und die Verwendung der VDS-Sicherheitsaktivierung - oder das Überwachen über PowerCLI Matthew Dartez vor 8 Jahren 0
Ich bin ehrlich, nicht sicher, was VXLAN / VDS ist. Gibt es eine Ressource, die Sie vorschlagen könnten? Chiggins vor 8 Jahren 0
Wenn Sie ein VMware-Konto haben, melden Sie sich dafür an: https://www.vmware.com/products/nsx Matthew Dartez vor 8 Jahren 0
1

Bevor Sie sich iptables oder etwas anderes ansehen.

Wo sind die 2 Ethernet-Kabel, die an vmnic0 und vmnic1 angeschlossen sind, zugeordnet?

Diese beiden Verbindungen müssen auf Ihrem VMware-Host vorhanden sein - auf separaten physischen Ethernet-Netzwerken -, die physisch mit verschiedenen Systemen verbunden sind, dh einer mit der pFsense-Box, einer mit Ihrem LAN.

Mit anderen Worten, stellen Sie sicher, dass Ihre physische Schicht 2 getrennt ist, bevor Sie etwas Eotisches versuchen.

============================= Struktur ===================== 1) Wo ist Ihre WAN-Verbindung? pFsense benötigt 2 vnics, von denen eine physisch mit Ihrem physischen WAN verbunden sein muss (nicht das LAN, das in Ihrem Setup als WAN bezeichnet wird)

AFAIK Sie benötigen 3 isolierte Vnics, um das zu tun, was Sie wollen.

1) LAN / Mgmgnt 2) Honeypot-Netzwerk 3) WAN-Verbindung zu PFsense

Zu keinem Zeitpunkt können Sie eines der drei aus Ihrem VMware-Host stammenden Ethernets an denselben Switch des Hubs anschließen, es sei denn, Sie konfigurieren die Isolation zwischen den beteiligten Ports.

Andernfalls kommt Ihr Übersprechen auf die Kupferebene (Schicht 2).

Verwandte Probleme