Virtualizace OS ve Workstation 15 bez virů

[virtual2]

Zdravím.
Chtěl bych se zeptat na Workstation 15. Mám zkušební verzi tohoto programu (později zřejmě zakoupím) a chtěl bych si tam nasimulovat OS Windows 7 s tím, že budu na takto simulovaném OS W7 chtít spouštět zavirované programy (virustotal.com to tak tvrdí), které ke své činnosti potřebují připojení k internetu (na různé testování, jak se chovají). Nicméně bych potřeboval zajistit, aby takovéto programy byly opravdu "bezpečné" pro můj pravý OS v PC. Potřebuji, aby viry nezpůsobily nějaké problémy s internetem, routerem či neovlivnili můj skutečný OS a PC. Jak to mám zařídit? Jak správně nastavit simulaci ve Workstation 15?
Díky za pomoc .

[Reklama]

[Vilith]

Zakazat sitovou komunikaci a budes testovat zcela bezpecne

[Marek Staněk]

s tím, že budu na takto simulovaném OS W7 chtít spouštět zavirované programy (virustotal.com to tak tvrdí), které ke své činnosti potřebují připojení k internetu (na různé testování, jak se chovají). Nicméně bych potřeboval zajistit, aby takovéto programy byly opravdu "bezpečné" pro můj pravý OS v PC. Potřebuji, aby viry nezpůsobily nějaké problémy s internetem, routerem či neovlivnili můj skutečný OS a PC. Jak to mám zařídit? Jak správně nastavit simulaci ve Workstation 15?

Chápu správně, že to potřebuješ nechat přistupovat ven do internetu, ale aby to neudělalo brajgl ani v LAN, ani na hostujícím počítači?
Je to relativně prosté.

Ovšem jako první si dáme disclaimer:
Počítej s tím, že poskytovatel připojení z tebe bude mít obrovskou radost, a pokud ti prokáže, žes to udělal vědomě, jedná se o dost drsné porušení provozních podmínek, většinou pod docela velkou sankcí. Jestli se po letech co nejsem na O2 pamatuju dobře, bylo tam nějakých 50 tisíc za případ plus plná odpovědnost za eventuální škody.

Daleko lepší je si ty virtuály udělat rovnou dva a vytvořit jim pouze privátní síť (izolovanou od fyzických rozhraní a tedy existující pouze v RAM v rámci tzv. virtuálního switche), po níž se budou bavit jenom mezi sebou. Takže budou mít pouze rozhraní jménem Ethernet (defaultní název) na PRIVÁTNÍ síti, která není propojena na fyzické rozhraní a pouze se přes ní virtuály vidí navzájem a musíš jim dát statické adresy ručně. Osobně bych tím začal, protože AFAIK všechny hypervisory umí nastavit zrcadlení virtuálních rozhraní pro monitoring, takže tam bys provoz a všechno o co se to bude pokoušet, měl např. ve Wiresharku běžícím na hostiteli vidět prostřednictvím jednosměrného monitorovacího rozhraní, ze kterého padá kopie provozu té privátní sítě, ale nejde do ní z hostitele komunikovat a zároveň to rozhraní nevede nikam dál, takže ten provoz neprochází do tvojí LAN (chová se to jako monitorovací port v managovatelném switchi).

Bacha na rozdíly mezi typy sítí:
Private: pouze hosty (virtuály), hostitel po ní není schopen komunikovat, pouze v případě že nastavíš monitoring, může "poslouchat cvrkot"
Internal: pouze hostitel (OS fyzického počítače) a hosty (virtuály); typicky pro management virtuálů. Provoz zůstává uvnitř hostitele a neproniká do LAN
External: propojeno na některé fyzické rozhraní, tedy propojuje LAN, hostitele, a hosty. Lze zvolit, jestli to provoz po fyzickém rozhraní bridguje (virtuály potřebují vlastní IP a jsou z LAN dostupné přímo) nebo NATuje (IP v LAN má pouze hostitel, virtuály mají IP v privátním rozsahu a provoz z LAN musíš na hostiteli forwardovat jako na každém jiném NATu)

===

Teď k tomu jak to tedy pustit ven, pokud to fakt potřebuješ a chceš a chápeš, co to může mít za následky.
Pokud si nevěříš, že na routeru dokážeš nastavit DMZ nebo VLAN tak, aby port kam píchneš síťové rozhraní vedoucí na virtuální síťovku virtuála, nekomunikoval do LAN, dej na WAN stranu routeru switch a takto rozbočenou LAN (bude to fungovat za předpokladu že na ní dostaneš od providera druhou IP) použij VEDLE routeru.
Do počítače přidej druhou síťovou kartu (klidně USB) a dej jí nějakou nesmyslnou statickou adresu, aby se po ní fyzický počítač nikam nedokřičel, nebo ještě líp všechny protokoly jí na hostiteli VYPNI; a tuhle kartu jako jedinou povol virtuálovi, a kabelem ji propoj s tím switchem OKOLO routeru.

Takže máš WAN přípojku, na ní switch, v jednom portu zapojen WAN port routeru, za ním LAN v původní podobě.

Fyzický počítač (hostitel) bude mít dvě fyzická rozhraní:
Ethernet - původní, na LAN straně routeru, fungující jako dosud
Ethernet2 - toto nové, s nesmyslnou IP nebo líp se zakázanými protokoly, aby po něm z hostitele nebylo jak komunikovat; kabel z tohoto rozhraní vede do SWITCHE PŘED routerem, a OS hostitele po něm není schopen komunikovat

Virtuál(y) má/mají JEDNO virtuální rozhraní (default název Ethernet), povoleno DHCP (IP jim SNAD přidělí tvůj ISP) a jsou nastaveny jako externí síť namapovaná na fyzické rozhraní Ethernet2 hostitele.

Ale opakuju: pokud na tom fakt chceš pouštět nějaký malware a ISP ti prokáže úmysl, má právo ti vypovědět s okamžitou platností smlouvu a ještě ti uložit smluvní pokutu a vymáhat náhradu škody.

[Marek Staněk]

(...)
na virtuální síťovku virtuála, nekomunikoval do LAN, dej na WAN stranu routeru switch a takto rozbočenou LAN (bude
(...)

Oprava: Samozřejmě rozbočenou WAN.

[Medo77]

Ale opakuju: pokud na tom fakt chceš pouštět nějaký malware a ISP ti prokáže úmysl, má právo ti vypovědět s okamžitou platností smlouvu a ještě ti uložit smluvní pokutu a vymáhat náhradu škody.

Off-top
Wtf ? PRe ISP su to bezne datove toky. Ak budem utocit na jeho vlastnu infru, moze ma obmedzit, docasne zarezat, pride vyhrazny mail, ale zeby to koncilo vypovedou ? Ak ma obmedzit nevie, je babrak, a teba zmenit ISP.
Co ak ma malware zivi ? (odhliadnuc od legalnosti tohoto pocinu).
V poslednej dobe som sa okrem spamu z nezaplatovanych CMS nestretol zo ziadnym obmedzenim (vypnu/obmedzia SMTP, alebo zarezu konkretny web). Doba, kedy sa blokovali Torrenty a spol su prec, ISP sa poucili a navysili vykon HW.

To by uzivatelia Nmapu a Kali boli davno v digitalnom praveku bez internetu :-)

Virtualizacia nie je vsemocna:
1. Virus zisti, ze bezi vo virtalke, a vobec sa neaktivuje (toto sa deje uz bezne, testuju sandbox)
2. Virus je napisany (velmi) dobre, a z virtualky vyskoci na povodneho hostitela. (hypoteticky, ale Pwn2Own dokazuje, ze sa to da).

[Reklama]

[Marek Staněk]

Ale opakuju: pokud na tom fakt chceš pouštět nějaký malware a ISP ti prokáže úmysl, má právo ti vypovědět s okamžitou platností smlouvu a ještě ti uložit smluvní pokutu a vymáhat náhradu škody.

Off-top
Wtf ? PRe ISP su to bezne datove toky. Ak budem utocit na jeho vlastnu infru, moze ma obmedzit, docasne zarezat, pride vyhrazny mail, ale zeby to koncilo vypovedou ? Ak ma obmedzit nevie, je babrak, a teba zmenit ISP.
Co ak ma malware zivi ? (odhliadnuc od legalnosti tohoto pocinu).
V poslednej dobe som sa okrem spamu z nezaplatovanych CMS nestretol zo ziadnym obmedzenim (vypnu/obmedzia SMTP, alebo zarezu konkretny web). Doba, kedy sa blokovali Torrenty a spol su prec, ISP sa poucili a navysili vykon HW.

To by uzivatelia Nmapu a Kali boli davno v digitalnom praveku bez internetu :-)

Virtualizacia nie je vsemocna:
1. Virus zisti, ze bezi vo virtalke, a vobec sa neaktivuje (toto sa deje uz bezne, testuju sandbox)
2. Virus je napisany (velmi) dobre, a z virtualky vyskoci na povodneho hostitela. (hypoteticky, ale Pwn2Own dokazuje, ze sa to da).

OMG.
1) nepíšu že to ISP udělá. Píšu, že to s největší pravděpodobností má ve smlouvě, a tedy to udělat může. Kdyby ho malware živil, tak by se neptal tady na úplně základní věci.
2) znova si přečti, na co se ptá. Odpovídáš na otázky, které vůbec nikdo nepoložil, i když ty poslední dva body jsou aspoň doplňující informace k věci.

[LarryLin]

Jak už napsal Medo77. Virus může poznat, že je v sandboxu. Vzpomeň na WannaCry, který si ověřoval doménu v internetu.
Pokud nejsi expert, tak riziko, že se ti dostane virus z hosta do hostitele existuje. Co vím, tak třeba pro Qemu museli vydat nové typy virtuálních CPU s názvem IBRS, které chránily před Spectre/Meltdown. Zkus mrknout na https://www.qubes-os.org který je zaměřen na bezpečnost pomocí izolace.

[Marek Staněk]

Jak už napsal Medo77. ...

A pro tebe platí úplně totéž jako pro něj. Máš fucked pocit, že se ptal právě na tohle?

[Medo77]

Ano aj. On chce aby mu fungoval aj internet aj aby bol zabezpecny povodny OS.
Ty si pisal o moznom blokovani ISP, my o sandboxe.

[LarryLin]

Jak už napsal Medo77. ...

A pro tebe platí úplně totéž jako pro něj. Máš fucked pocit, že se ptal právě na tohle?

Ano, mám pocit, že se ptal právě na tohle. Pokusím se tedy citovat a přesně odpovídat.

Nicméně bych potřeboval zajistit, aby takovéto programy byly opravdu "bezpečné" pro můj pravý OS v PC.

IMHO 100% nelze dosáhnout pokud bude používat Workstation 15, proto jsem doporučil Qubes OS.

Potřebuji, aby viry nezpůsobily nějaké problémy s internetem, routerem či neovlivnili můj skutečný OS a PC. Jak to mám zařídit?

Ohledně internetu a routeru jsi mu poradil ty, ale ve tvé odpovědi nevidím žádné varování, že mu mohou viry skočit z virtuálky do hostitele. Pak by mu totiž ten tvůj návod na bridgování a NATování moc platný nebyl.

Jak správně nastavit simulaci ve Workstation 15?

Pokud simulací myslí jen to nastavení sítě, tak jsi mu poradil, ale pokud tou simulací myslí to jak nastavit VM, aby virus nepoznal, že běží ve VM (sandboxu), tak jsme napsali, že pokud je virus chytrý, tak pozná, že je ve VM nebo nějakém sandboxu. Existují techniky, kterým se říká Red Pill (podle Matrixu) pomocí kterých může virus poznat, že je uvnitř VM.

[Marek Staněk]

S jeho úrovní znalostí fakt pochybuju, že  ho to trápí. Navíc to nevypadá, že by měl k dispozici volné železo, kde by si na tom mohl experimentovat nějak důkladně, a předpokládám že právě proto uváděl VMw WSplayer 15. A na něm malware žádný redpill nepotřebuje, protože to, že běží pod hypervisorem, bez problému vidí. Prostě mi to nepřišlo v daném kontextu relevantní.

[LarryLin]

S jeho úrovní znalostí fakt pochybuju, že  ho to trápí.

Nevědomost je sladká. Teď s nově nabytými znalostmi ho to třeba už trápit bude :-)