@RolandPierzga
Blog (6)
Komentarze (71)
Recenzje (0)

CyberLab — wirtualne cyber laboratorium. Część 2

@RolandPierzgaCyberLab — wirtualne cyber laboratorium. Część 217.11.2017 22:44

Witajcie ponownie.

W poprzednim wpisie przedstawiłem Wam ogólna koncepcję cyklu artykułów jaki mam zamiar dla Was napisać, a którego główną tematyką będzie praktyczne wykorzystanie wirtualizacji. Precyzując: wirtualizacji uruchomionej w oparciu o oprogramowanie VirtualBox. Tak więc zaczynamy, ale zanim zaczniemy mała zagadka: co jest podstawową potrzebą/składową w obecnych infrastrukturach IT jest..?? Prąd - prawda bez prądu wiele nie zdziałamy, przykładem niech będzie awaria w OVH. Zakładam więc, że rachunki opłacone, a zasilanie stabilne. Kolejnym kluczowym elementem infrastruktury jest SIEĆ WAN/LAN. I tym oto tematem będziemy zajmować się w pierwszej kolejności.

3...2...1... zaczynamy!

Wymagania

  1. Zainstalowany program VirtualBox
  2. Pobrany obraz ISO systemu PfSense

Rodzaje sieci - VirtualBox

W poprzednim wpisie w skrócie omówione zostały rodzaje sieci jakie można utworzyć w ramach wirtualizatora VirtualBox. Dla przypomnienia tabelka :)

VirtualBox - rodzaje sieci
VirtualBox - rodzaje sieci

Jak widzicie mamy aż 5 wariantów konfiguracji sieci, różnią się one w sposobie komunikacji maszyny wirtualnej z otoczeniem oraz sposobem realizacji tej komunikacji. Niektóre z wariantów konfiguracji sieci możliwe są do zrealizowania na komputerze zupełnie pozbawionym jakiejkolwiek fizycznej karty sieciowe :). Możliwe jest to do osiągnięcia dzięki zastosowaniu wirtualnych kart sieciowych, które są prezentowane do systemu jako urządzenie sprzętowe, choć w rzeczywistości są po prostu sterownikiem programowym. To właśnie w tym celu, podczas instalacji VirtualBox'a potwierdziliśmy chęć zainstalowania sterownika systemowego, dzięki któremu mamy możliwość wirtualizacji sieci :)

Po kolei omówmy teraz rodzaje sieci dostępnych w VirtualBox:

Host-only - czyli karta sieci izolowanej. Jasne prawda? Nie? :-)Ok, spróbuję wytłumaczyć to tak: Jest to rodzaj sieci, który dzięki wykorzystaniu WIRTUALNEJ karty sieciowej, która jest tworzona przy pomocy sterownika VirtualBox'a umożliwia komunikację sieciową pomiędzy maszynami wirtualnymi posiadającymi skonfigurowaną sieć HOST-ONLY jak również pomiędzy HOSTEM, czyli komputerem na którym działa VirtualBox i tylko w jego obrębie. Oznacza to, że żadna maszyna podłączona do sieci typu HOST-ONLY nie ma dostępu poza HOSTA, gdyż nie ma dostępu do FIZYCZNEJ karty sieciowej. Dlatego maszyny wirtualne w obrębie tej sieci nie będą miały dostępu do internetu, mimo tego że HOST jest podłączony do sieci i dostęp do internetu posiada. Stąd określenie "sieć izolowana". Wirtualny adapter pełni tolę przełącznika, do którego podłączony jest HOST oraz wszystkie maszyny wirtualne, którym skonfigurujemy kartę sieciową z konfiguracją HOST-ONLY.

Zobaczcie na poniższą ilustrację, jedynie HOST/komputer, na którym działa VirtualBox równocześnie znajduje się w dwóch strefach HOST-ONLY oraz WAN/LAN, więc tylko on będzie miał dostęp zarówno do jednej jak i do drugiej sieci.

VirtualBox - sieć HOST-ONLY
VirtualBox - sieć HOST-ONLY

INTERNAL - Inaczej sieć wewnętrzna, w której komunikacja odbywa się tylko i wyłącznie na poziomie VirtualBoxa. Oznacza to, że z sieci tej mogą skorzystać jedynie maszyny wirtualne do niej podłączone. Inaczej niż w sieci HOST-ONLY, w tym przypadku nawet HOST nie będzie miał do niej dostępu a co za tym idzie komunikacja maszyn wirtualnych ze światem lub nawet systemem HOSTa będzie całkowicie niemożliwa.Prezentuje to poniższa ilustracja.

VirtualBox - sieć INTERNAL
VirtualBox - sieć INTERNAL

BRIDGED - ten rodzaj sieci umożliwia podłączenie maszynom wirtualnym bezpośrednio do fizycznej sieci LAN/WAN, tej samej do której podłączone są karty sieciowe HOSTA. Wszystkie hosty z sieci LAN mogą się komunikować z maszynami wirtualnymi w taki sam sposób jak z każdym innym urządzeniem sieciowym tak samo maszyny wirtualne maja pełny dostęp do sieci LAN/WAN. Co za tym idzie, możemy odpowiednio konfigurując nasz router/firewall umożliwić komunikację z/do INTERNETU bezpośrednio z maszyną wirtualną np. na potrzeby serwera WWW :).

Zobaczcie jak to wygląda na poniższej ilustracji.

VirtualBox - sieć BRIDGED
VirtualBox - sieć BRIDGED

NAT & NAT NETWORK - Ten typ sieci postanowiłem opisać wspólnie gdyż jest on bardzo prosty a różnice pomiędzy nimi znikome. Większość z Was zapewne już się spotkało z określeniem NAT. Network Address Translation lub inaczej "maskarada" to nic innego jak translacja adresacji IP, z publicznego adresu IP na adres prywatny. Oznacza to, że urządzenie sieciowe, które pracuje w sieci z NAT nie jest bezpośrednio dostępne z internetu gdyż posiada zupełnie inny adres IP niż nasze IP publiczne. Tak więc musi tutaj zadziałać pewien uzgodniony mechanizm komunikacji, który obsłuży tą komunikację i jest to właśnie NAT. Najczęściej taką rolę pełni router, który z jednej "strony" na porcie WAN do którego podłączony jest nasz dostawca internetu posiada IP publiczne (choć nie zawsze) a z drugiej strony posiada adresację LAN, która jest adresacją prywatną, nie dostępną w internecie. To właśnie mechanizm NAT odpowiada za to żeby pakiety wysłane z adresu LAN 1.1.1.1 skierowane go www.google.pl dotarły do tego serwera, a pakiety zwrotne został odebrane na publicznym IP na porcie WAN i zostały skierowane do hosta o lokalnym adresie IP 1.1.1.1. Wszystko jest fajnie, do czasu kiedy rozmawiamy o całym procesie w kontekście stacji klienckich. Ale co w sytuacji gdy zaczniemy rozmawiać o SERWERACH? SERWERACH czyli hostach serwujących jakieś usługi, np. serwerach WWW?? Co się stanie gdy na telefonie wpiszemy nasz publiczny adres IP? Tak więc jeśli nasz router jest skonfigurowany w sposób nieodpowiedni, posiada interface WEB to zobaczymy właśnie stronę panelu konfiguracyjnego routera. Dlatego że to właśnie na porcie WAN routera zaterminowany jest nasz publiczny adres IP. Co zrobić więc żeby usługa WWW z naszego serwera była dostępna z internetu zamiast strona panelu administracyjnego naszego routera?? Tutaj z pomocą przychodzi nam port forwarding, inaczej przekierowanie portów. Jest to rozszerzenie funkcjonalności NAT, które pozwala na skierowanie ruch przychodzącego na określony PORT na porcie WAN (IP publiczne) na określony port hosta w sieci LAN. W VirtualBox nie wymyślono nic nowego pod tym względem, działa ona dokładnie tak samo. VirtualBox pełni role serwera DHCP oraz odpowiada za obsługę NAT dla tej sieci. Maszyny wirtualne podłączone do sieci NAT nie są widoczne w sieci LAN, tak samo jak hosty z sieci LAN nie są widoczne z sieci internet kiedy korzystamy z NAT. różnica pomiędzy NAT a NAT NETWORK jest bardzo oczywista, NAT dotyczy jednej maszyny wirtualnej i oznacza, że maszyna ta będzie niedostępna dla innych maszyn, NAT NETWORK natomiast tworzy sieć, w której wszystkie maszyny wirtualne mogą się ze sobą komunikować. Reszta jest wspólna dla obu sieci NAT. ufff mam nadzieję, że nie zagmatwałem za bardzo ;)

Zobaczcie na poniższą ilustrację, zobrazowany został ruch z internetu do serwer WWW działającego na maszynie wirtualnej uruchomione na laptopie z adresem IP 1.1.1.1. Ruch z IP publicznego kierowany jest za pomocą forwardowania portów do laptopa na port 443. Następnie tą samą metoda ruch jest kierowany przez VirtualBoxa do maszyny wirtualnej również na port 443 na którym działa serwer WWW.

VirtualBox - sieć NAT & NAT NETWORK + PORT FORWARDING
VirtualBox - sieć NAT & NAT NETWORK + PORT FORWARDING

Tym oto sposobem dotarliśmy do końca. Omówiliśmy działanie sieci i to jakie możliwości ale też ograniczenia dają poszczególne konfiguracje. Miało być kilka zdań a wyszło jak wyszło :) Jeśli jeszcze to czytacie, to na koniec nagroda. Na początku wspomniałem o wymaganiach do dzisiejszego wpisu. Pojawiła się tam wzmianka o ISO PfSense, nie bez powodu. Właśnie dzisiaj na deser przeprowadzimy proces stworzenia pierwszej maszyny, a raczej każdy z Was przeprowadzi samodzielnie, jako ćwiczenie domowe :) już bez tłumaczenia, omawiania itd. ale według poniższych wytycznych.

  1. Rodzaj systemu - BSD
  2. Nazwa VM - pfsense_01
  3. minimum 1 vCPUz włączoną PAE/NX ora akceleracją VT-x/AMD-V
  4. 1G RAM
  5. dysk 16Gb
  6. jedna karta sieciowa

Instalacja PfSense ma być domyślną instalacją, więc nie zmieniamy żadnych opcji konfiguracyjnych. Jeśli będziecie mieć pytania to jak zawsze nie wahajcie się pytać w komentarzach a na deser ostatnia dzisiaj zagadka. Jaki rodzaj sieci skonfigurowalibyście dla PfSense pamiętając o założeniach naszego CyberLab???

Schemat sieci CyberLab
Schemat sieci CyberLab

Czekam na Wasze odpowiedzi w komentarzach ;)

W następnej części pobawimy się już trochę maszyna wirtualną z PfSense, skonfigurujemy sieć LAN i omówimy ogólnie sam system PfSense oraz jego możliwości.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.