实践分享:ESXi安全实验室

　　去年（2011年）年底，我着手搭建一个新的虚拟化平台作为个人安全实验室。自从微软公司的Hyper-V和VMware公司的ESXi出现，我便想要使用一个纯粹的hypervisor解决方案，而不仅仅是VMware server或workstation。

　　我在VMware ESXi上开始了我的研究，不久又在VMware workstation中运行，以掌握如何进行安装和配置基础设备。通过逛博客和论坛(HardOCP的虚拟机论坛尤其不错)，为构建我的安全实验室收集了一系列的资料。对于实验室的建设我有一些标准，其中稳定性是最重要的。同时我研究了硬件不兼容部分的问题报告，以确保我的时间花在对虚拟机的工作上，而不是浪费在解决ESXi的问题上。

　　准备好系统硬件并完成基本功能测试后，就开始安装ESXi了。安装非常简单。用时不到15分钟，这还包括从ISO文件启动并指定从USB设备安装操 作系统，而后让安装程序完成接下来的事情。从开始安装到结束、启动并运行ESXi，再到登录进vCenter用了差不多20分钟。我最初安装的ESXi是 4.x版本，后来升级到5.x，整个过程相当顺利。

　　下图是我的安全实验室当前结构的一个拓扑描述。从技术角度看不是100%的准确，但提供了一个架构总览。我创建了一个完备的、预设不安全集合的网络，里面都是易被侵入的主机和系统，同时与我内部的“产品”系统和家用网络保持隔离。

　　我配置了三个独立的host-only网络。每个网络配置有一个虚拟交换机及双接口的Endian Firewall。通过严格配置防火墙，允许或禁止重要的端口和协议，使模拟三个恶意网络相互之间的各种攻击场景成为可能。此外，通过配置前后两端的Endian Firewal以隔离虚拟和物理网络，同时避免恶意网络中漏洞/溢出/易感染主机受到外部攻击。

　　每一个恶意网络和DMZ的honeynet都由Snort入侵检测传感器的监控。我使用了很棒的的开源IDS包—Security Onion，作为实验室的核心IDS。Security Onion结合了开放源代码安全包Snort和带有安全管理控制台的squil、Snorby、SQuert组成的OSSEC构成了一个不错的安全监控Linux系统。ESXi的虚拟接口和交换机使其易于快速分配IDS监控接口到任何一个虚拟网络。

　　恶意网络充斥着一些预设的脆弱的操作系统镜像，这些镜像可以从互联网上很容易的获取到，例如metasploitable和Kioptix。我也创 建了自己的漏洞虚拟主机和服务工具箱，可以以巧妙的方式溢出。例如，malnet02包含了配置不当和一个缺少大量补丁的windows 2003 AD 域控制器，其上面运行了众多易攻击的服务。攻击和发掘这样的网络可以在保持一流攻击技巧的同时，加深对防御的理解。

　　家庭网络中的防火墙是具有企业安全认证的思科ASA 5505。这使我可以分配防火墙的一个物理端口作为DMZ的接口。我将这个接口连接到ESXi 的一个以太网接口，并把它分配给一个虚拟交换机。现在，我能将任一个虚拟主机连接到DMZ的交换机，一系列配置后，能在DMZ的honeynet网络中检 测到它。当前网络就有了一个运行honeynet的主机。ASA配置成允许入站流量由多个端口(TCP21,22,110,1433,3389)从因特网 进入DMZ。

　　为了进行无线网络攻击研究实践，增加了一个Linksys WRT54G的无线路由器，应用默认的Linksys固件，将其配置成接入点。我能使用ALFA USB卡连接到笔记本，也能通过阿尔法卡连接到ESXi中的任一个虚拟主机，并通过虚拟机攻击无线网络。

　　这是Virtual Center的一个ESXi快照的摘要页面：