Dopo aver configurato e tirato su le macchine virtuali del penetration
lab virtuale ci siamo preoccupati di rendere disponibili dall'esterno
alcune vittime. Lo so che normalmente è sconsigliato rendere
accessibili, dall'esterno ed a chiunque, tali macchine ma alla fine
qual'è il pericolo? Le macchine sono confinate in una DMZ che non puó
comunicare con la nostra LAN interna e seppure venissero compromesse,
non c'è alcun dato sensibile da proteggere. Poi è comodo e sicuramente
più realistico condurre dei pentest dall'esterno cosí come si farebbe
in un "caso reale".
Il nostro firewall è una appliance basata su
PfSense, ve la consiglio.
È semplicissima da installare e configurare, puó girare su un sacco di
dispositivi ed è basata su
FreeBSD che, da sempre, è sinonimo di
sicurezza e stabilità. Tra l'altro sta per essere rilasciata la
versione 2.0 che promette di offrire una serie di servizi da non far
rimpiangere i blasonati router Cisco da migliaia di €uro. È tutto
free, open source e con una community veramente disponibile e
professionale.
Diamo per scontato di avere il router up&running con una
configurazione base. Abbiamo quindi 3 interfacce :
WAN,
LAN e
DMZ.
Chiaramente sono impostate delle regole (è tutto molto semplice
attraverso l'interfaccia grafica) che non permettono il traffico dalla
DMZ verso la LAN ma che invece permettono il traffico in ingresso ed
uscita tra le porte WAN e DMZ.
Abbiamo disponiblità di un ulteriore ip pubblico che vogliamo
assegnare ad una delle vittime, pur continuando ad averla all'interno
della DMZ. Quindi, ad esempio, l'indirizzo del server Windows 2003,
che chiameremo VSRV2K3, è 192.168.100.10 ed il nostro ip pubblico è ad
esempio 88.88.88.88 dovremo assegnare, sempre attraverso l'interfaccia
grafica di PfSense, un nuovo Virtual IP alla porta WAN. Ora bisogna
creare quello che si definisce un NAT 1:1 e cioè linkare l'indirizzo
pubblico 88.88.88.88 assegnato alla WAN, alla porta DMZ e quindi
all'indirizzo 192.168.100.10. Dopo aver fatto questo basta creare una
nuova regola sul firewall per permettere il traffico in ingresso dalla
WAN verso la DMZ (sia TCP che UDP che ICMP) ed il gioco è fatto: il
router girerà tutti i pacchetti verso 88.88.88.88 sull'indirizzo
192.168.100.10 e viceversa rendendo a tutti gli effetti la macchina
VSRV2K3 esposta completamente verso l'esterno.
Se qualche passaggio non è chiaro i commenti sono qui sotto :-)