Desde hace un tiempo quería tener un lab para probar diferentes herramientas de seguridad, tengo que sacarme la duda respecto a la calidad de los antivirus que hay en el mercado y ver que tan agresivo es mi vecindario.
Dado que el laboratorio debe ser lo suficientemente seguro para no permitir la diseminacion de los bichos, ademas de lo suficientemente flexible como para poder probar rápidamente diferentes ambientes sin la necesidad de reinstalar todo, la opción mas conveniente es trabajar con maquinas virtuales.
Pensé en un diseño tipo matrioshka,
es decir una maquina dentro de otra para encapsular y contener posibles fugas.
Este esquema me recordó una película de hace muchos años atrás que se llamaba La fortaleza, transcurría durante la segunda guerra mundial, los alemanes llegaban a un pueblo escondido en las montañas de Rumania. Para protegerse, se internan en una fortaleza abandonada, a la cual los lugareños le temían. La construcción era extraña, un cubo negro que tenia una sola entrada, pero ningún otro tipo de abertura.
A medida que pasa el tiempo, los soldados alemanes comienzan a tener muertes horrendas, hasta que alguien se da cuenta que una fuerza maligna los esta matando.
No les voy a contar el final de la película, pero si les puedo decir que durante la trama alguien dice "Esta fortaleza no es para proteger a los que se encuentran adentro, esta construida para no dejar salir a lo que hay adentro".
Para quien le guste conocer mas del libro en el que esta basada la pelicula, pueden ir a esta entrada en Wikipedia y a la correspondiente al film en Imdb y en este sitio muchísima informacion sobre "The Keep"
Por lo tanto la Fortaleza tendrá un diseño basado en un ambiente para Honeypots como el mostrado a continuación.
Este ambiente esta compuesto por :
Una maquina virtual en VirtualBox a la cual llame SANDBOX, dentro de esta maquina virtual esta instalado, VMWARE-Server 2.
Dentro de VMWARE, hay dos maquinas ejecutándose:
La primera se llama HoneyWall y es un ambiente que actúa como Bridge, es decir, es transparente para los equipos en su misma red.
Junto con HoneyWall se encuentra la maquina que sufrirá todas las pruebas, en este caso la llame HoneyPot porque también puede servir para ese fin.
Este equipo tiene ejecutándose una versión de Windos XP SP 3.
El trabajo esta basado en un documento llamado "How to install a virtual honeypot in a private environment " que explica como armar un entorno virtual para Honeypot.
El software del Bridge o HoneyWall esta basado en el trabajo de The Honeypot project, llamado HoneyWall CDROM.
El entorno permite entre otras cosas, tener un control sobre el trafico que pasa por el Bridge, limitando las comunicaciones de manera de evitar scanneos o ataques desde el Honeypot hacia la red.
Esta limitación esta dada por la cantidad de conexiones que permitimos, tanto a nivel IP, TCP,UDP o ICMP.
Ademas cuenta con un IDS y otras herramientas para investigar el trafico que viene desde el Honeypot.
En este momento tengo ejecutándose el ambiente , en mi maquina llamada NOSTROMO, la cual tiene corriendo como Hypervisor a VirtualBox 3.1.6.
En la siguiente imagen se puede ver los parámetros definidos para la maquina llamada SANDBOX, la cual contiene VMWARE Server.
Haciendo un Snapshot de este equipo virtual , me permite tener el estado de todo el LAB.
Dentro de SANDBOX esta VMWARE SERVER 2.0, y la configuración del HoneyWALL
Todo el ambiente ejecutándose en mi maquina tiene muy poca carga, como vemos en el monitor de procesos :
Ya tome un snapshot de cada una de las maquinas. Por lo tanto ante cualquier problema solamente tengo que recurrir a esta foto del ambiente y vuelvo todo a la situación anterior al problema.
Mas adelante voy a comentar los resultados que obtenga con el laboratorio.
3 comments:
Muy bueno, yo hace tiempo tengo ganas de hacer algo por el estilo para probar antivirus en acción y en su estado natural, para ver que tal andan.
Voy a estar atento a los resultados, sin dudas serán muy interesantes.
Por ahora encuentro dificultades en trabajar con el equipo cliente ya que el bridge limita las comunicaciones.
Ahora estoy modificando algunos parametros para ver como responde.
Excelente lab!!! no sabía que se podía instalar el vmware server dentro de un entorno virtual.
Me gustaría tener una maquinita como la tuya para meterme en estas cosas, no se si por el tema virus, mas que nado por el tema de probar lso diferentes entornos de virtualización.
Post totalmente guardado en favoritos para futura investigación :)
Post a Comment