Construire en toute sécurité un laboratoire pentest local dans A VM
Je voudrais configurer owasp webgoat ou une application Web vulnérable similaire dans A VM (probablement Virtualbox sur Linux). Pour le bien de la commodité, j'aimerais Obtenez-le sur l'une des machines principales que j'utilise (disons, un ordinateur portable avec une connexion Internet). Je réalise que les machines virtuelles ne fournissent pas de sécurité et d'isolation complètes pour, disent, chargant une machine remplie de virus, mais je veux juste Pour l'utiliser pour en savoir plus sur et pratiquer des applications Web pompes.
Qu'est-ce qui doit être fait pour le faire en toute sécurité? Quels sont certains des risques d'exécution d'une "sandbox" liée à la sécurité dans A VM sur une machine activement utilisée (par opposition à une machine isolée dédiée à cette fin)?
Edit : Juste pour clarifier, ma question principale ici concerne A VM pour penter une application Web vulnérable, non virus Analyse de logiciels malveillants, etc.
La configuration d'une application Web vulnérable dans une machine virtuelle est relativement sûre. Le risque est un attaquant gagnant un accès à celui VM sur le réseau, afin que vous limitez l'accès au réseau à la machine virtuelle, il n'y aura pas de problème.
Si je comprends bien par défaut VMware (et autre VM) sera configuré de cette manière.
De manière réaliste si vous avez votre ordinateur hôte exécutant le VM derrière A NAT, vous êtes assez en sécurité. L'attaquant ne peut accéder à l'application Web vulnérable de Internet donc il n'y a rien à craindre - s'ils parviennent à entrer dans votre réseau une autre manière, vous avez d'autres choses à craindre!
L'état d'esprit de base que vous voulez est:
Construisez-le comme s'il était réel, pas virtuel.
Que voudriez-vous en place? Pare-feu, contrôles d'accès, journalisation, etc.
Pour une analyse de virus exécutée de laboratoire, etc., vous séparerez normalement cela du reste de votre réseau, alors faites la même chose ici. Je ne connais pas encore aucun malware qui est spécifiquement conçu pour sortir d'un VM afin de compromettre l'hôte et de se propager de cette façon. Cependant, ce que vous trouverez, c'est que tout le monde Lot de logiciels malveillants détectera qu'il est dans un VM et adapter son activité en conséquence, ce qui pourrait entraver l'analyse.
ID vient de construire une machine virtuelle et déposez du webgoiat sur celle-ci (Windows ou Linux) et utilisez une adresse réseau qui n'est pas routable vers votre machine hôte ou votre réseau .. Ensuite, créez une autre machine virtuelle avec Samurai WTF pouvant parler à votre machine WebGoiat comme client. Pour tester le webgoiat