Eiji James Yoshidaの記録

パケット作りが趣味のセキュリティ技術者の記録(2006年9月6日執筆開始)。当ブログはGoogle AnalyticsとAmazonアソシエイトを利用しています。

サイバー攻撃の演習環境について

SPNのトレーニングなどで使っている演習環境と同じようなものを作りたいといった質問を受けることが多いので、ここに書いておく。
演習環境は仮想化ソフトで構築されていて、Windowsにインストールできるものとしては私も使っているVMware WorkstationやOracle VM VirtualBoxなどがある。

Oracle VM VirtualBoxは無償なのに有償のVMware Workstationと同等の機能を持っているので、個人で勉強するならOracle VM VirtualBoxで十分だと思う。もちろん、スナップショットの機能もある。
VMware Playerも無償だが、標準ではスナップショットの機能が無く作業効率が悪いので私はOracle VM VirtualBoxをお勧めする。
Oracle VM VirtualBoxをインストールしたら仮想マシンを作成して、仮想マシンのネットワークを[内部ネットワーク]*1に設定する。
[内部ネットワーク]を選ぶと[内部ネットワーク]に接続された仮想マシン同士だけが通信できるので、ホストOSや物理ネットワーク*2を攻撃パケットが飛び交う仮想ネットワークから切り離すことができる。
ホストOSと通信したりDHCPでIPアドレスを設定したい場合は[ホストオンリーアダプター]を選ぶが、当然ホストOSに攻撃パケットが届くので[ホストオンリーアダプター]より[内部ネットワーク]の方が良い。
また[内部ネットワーク]などの仮想ネットワークに流れる全てのパケットをキャプチャしたい場合は、キャプチャする仮想マシンでネットワークにある[プロミスキャスモード]を[許可したVM]に設定すると、その仮想マシンだけは接続された仮想ネットワークに流れる全てのパケットをキャプチャできるようになる。*3
あとは仮想マシンにインストールするOSだけど、下記がお勧め。

攻撃用OS

  • Kali Linux(www.kali.org)
    • Oracle VM VirtualBoxの場合は仮想マシンのシステムにあるプロセッサーで[PAE/NXを有効化]にチェックを入れないと起動しないので注意

インシデント調査用OS

攻撃対象OS(脆弱性満載OS)

Windowsを使いたいなら評価版を使う方法があります。

作成した仮想マシンを[内部ネットワーク]に接続したら、あとは仮想マシンを起動して各OSでIPアドレスなどを設定して演習環境の構築完了。
Kali LinuxからMetasploitableを攻撃して、その際に飛び交うパケットをSecurity Onionなどでキャプチャして攻撃の仕組みや特徴を調べたりすると勉強になる。

*1:VMwareだと[LANセグメント]になる

*2:家庭内LANや社内LAN

*3:仮想マシンの起動中に変更した場合は再起動しないとダメっぽい