s tím, že budu na takto simulovaném OS W7 chtít spouštět zavirované programy (virustotal.com to tak tvrdí), které ke své činnosti potřebují připojení k internetu (na různé testování, jak se chovají). Nicméně bych potřeboval zajistit, aby takovéto programy byly opravdu "bezpečné" pro můj pravý OS v PC. Potřebuji, aby viry nezpůsobily nějaké problémy s internetem, routerem či neovlivnili můj skutečný OS a PC. Jak to mám zařídit? Jak správně nastavit simulaci ve Workstation 15?
Chápu správně, že to potřebuješ nechat přistupovat ven do internetu, ale aby to neudělalo brajgl ani v LAN, ani na hostujícím počítači?
Je to relativně prosté.
Ovšem jako první si dáme disclaimer:
Počítej s tím, že poskytovatel připojení z tebe bude mít obrovskou radost, a pokud ti prokáže, žes to udělal vědomě, jedná se o dost drsné porušení provozních podmínek, většinou pod docela velkou sankcí. Jestli se po letech co nejsem na O2 pamatuju dobře, bylo tam nějakých 50 tisíc za případ plus plná odpovědnost za eventuální škody.
Daleko lepší je si ty virtuály udělat rovnou dva a vytvořit jim pouze privátní síť (izolovanou od fyzických rozhraní a tedy existující pouze v RAM v rámci tzv. virtuálního switche), po níž se budou bavit jenom mezi sebou. Takže budou mít pouze rozhraní jménem Ethernet (defaultní název) na PRIVÁTNÍ síti, která není propojena na fyzické rozhraní a pouze se přes ní virtuály vidí navzájem a musíš jim dát statické adresy ručně. Osobně bych tím začal, protože AFAIK všechny hypervisory umí nastavit zrcadlení virtuálních rozhraní pro monitoring, takže tam bys provoz a všechno o co se to bude pokoušet, měl např. ve Wiresharku běžícím na hostiteli vidět prostřednictvím jednosměrného monitorovacího rozhraní, ze kterého padá kopie provozu té privátní sítě, ale nejde do ní z hostitele komunikovat a zároveň to rozhraní nevede nikam dál, takže ten provoz neprochází do tvojí LAN (chová se to jako monitorovací port v managovatelném switchi).
Bacha na rozdíly mezi typy sítí:
Private: pouze hosty (virtuály), hostitel po ní není schopen komunikovat, pouze v případě že nastavíš monitoring, může "poslouchat cvrkot"
Internal: pouze hostitel (OS fyzického počítače) a hosty (virtuály); typicky pro management virtuálů. Provoz zůstává uvnitř hostitele a neproniká do LAN
External: propojeno na některé fyzické rozhraní, tedy propojuje LAN, hostitele, a hosty. Lze zvolit, jestli to provoz po fyzickém rozhraní bridguje (virtuály potřebují vlastní IP a jsou z LAN dostupné přímo) nebo NATuje (IP v LAN má pouze hostitel, virtuály mají IP v privátním rozsahu a provoz z LAN musíš na hostiteli forwardovat jako na každém jiném NATu)
===
Teď k tomu jak to tedy pustit ven, pokud to fakt potřebuješ a chceš a chápeš, co to může mít za následky.
Pokud si nevěříš, že na routeru dokážeš nastavit DMZ nebo VLAN tak, aby port kam píchneš síťové rozhraní vedoucí na virtuální síťovku virtuála, nekomunikoval do LAN, dej na WAN stranu routeru switch a takto rozbočenou LAN (bude to fungovat za předpokladu že na ní dostaneš od providera druhou IP) použij VEDLE routeru.
Do počítače přidej druhou síťovou kartu (klidně USB) a dej jí nějakou nesmyslnou statickou adresu, aby se po ní fyzický počítač nikam nedokřičel, nebo ještě líp všechny protokoly jí na hostiteli VYPNI; a tuhle kartu jako jedinou povol virtuálovi, a kabelem ji propoj s tím switchem OKOLO routeru.
Takže máš WAN přípojku, na ní switch, v jednom portu zapojen WAN port routeru, za ním LAN v původní podobě.
Fyzický počítač (hostitel) bude mít dvě fyzická rozhraní:
Ethernet - původní, na LAN straně routeru, fungující jako dosud
Ethernet2 - toto nové, s nesmyslnou IP nebo líp se zakázanými protokoly, aby po něm z hostitele nebylo jak komunikovat; kabel z tohoto rozhraní vede do SWITCHE PŘED routerem, a OS hostitele po něm není schopen komunikovat
Virtuál(y) má/mají JEDNO virtuální rozhraní (default název Ethernet), povoleno DHCP (IP jim SNAD přidělí tvůj ISP) a jsou nastaveny jako externí síť namapovaná na fyzické rozhraní Ethernet2 hostitele.
Ale opakuju: pokud na tom fakt chceš pouštět nějaký malware a ISP ti prokáže úmysl, má právo ti vypovědět s okamžitou platností smlouvu a ještě ti uložit smluvní pokutu a vymáhat náhradu škody.
Zobrazit příspěvky
