Сегодня хочу поделиться своим методом защиты виртуальной
машины на VMware. Речь
пойдет о предотвращении утечки трафика после внезапного разрыва VPN соединения.
Пример: у нас имеется стационарный компьютер с ОС WINDOWS 7. По каким то причинам нам необходимо установить
виртуальную машину, где развернуть ОС WINDOWS XP и настроить VPN соединение
на определенный сервер. VPN ресурсов имеется великое множество как платных так и
бесплатных, поэтому останавливаться на этом моменте я не буду. Нас интересует
конечный момент - защита виртуальной машины от внезапного разрыва VPN соединения
и утечки трафика напрямую через сетевое подключение рабочего ПК.
Остался единственный шаг - настроить соединение VPN. Для этого открываем настройки для процесса VMNAT.EXE и переходим к созданным правилам, куда добавляем еще одно: нужно прописать разрешающее правило для IP адреса VPN. За пример возьмем адрес "100.100.100.100". Жмем на кнопку "Новое" и делаем все как показано на картинке ниже:
Все
настройки проделаны, пробуем подключится к VPN на
виртуальной машине. Теперь, если произойдет случайное отключение от сети - вы
можете быть уверены в безопасности ваших данных. Как только пропадет VPN соединение
- сразу же пропадет доступ в сеть для любого приложения виртуальной машины.
Решение,
которое я хочу предложить является самым простым и в то же время крайне надежным.
В двух словах это выглядит так: устанавливаем на основной ПК фаервол, создаем
правила, в которых запрещаем любую сетевую активность для рабочей станции VMware, а так же добавляем
одно правило разрешающее обмен трафиком с IP-адресом нашего VPN соединения. После таких настроек - можно быть уверенным что
ОС, установленная на виртуальной машине потеряет доступ в сеть и не сможет
подключиться ни на один ресурс за исключением указанного нами IP адреса VPN.
Теперь немного конкретики и скринов настройки. В качестве фаервола я всегда выбираю решение от компании Agnitum - Outpost Firewall. Программа имеет русскоязычный интерфейс, львиную долю рутинных настроек делает автоматически. Нам же остается лишь прописать правила для нужных нам приложений. И так установив Outpost Firewall и VMware, подключившись к VPN - приступаем к настройке надежной связки.Как получить бесплатный лицензионный ключ на год я рассказывал в этой статье
Теперь немного конкретики и скринов настройки. В качестве фаервола я всегда выбираю решение от компании Agnitum - Outpost Firewall. Программа имеет русскоязычный интерфейс, львиную долю рутинных настроек делает автоматически. Нам же остается лишь прописать правила для нужных нам приложений. И так установив Outpost Firewall и VMware, подключившись к VPN - приступаем к настройке надежной связки.Как получить бесплатный лицензионный ключ на год я рассказывал в этой статье
Процесс,
отвечающий за работу сети VMware называется VMNAT.EXE. Именно для него и нужно
создать правила в фаерволе. После запуска настроек Agnitum - переходим на вкладку
"Инструменты" - "Сетевая активность" - видим список всех
процессов, подключенных в данный момент к сети. Запускаем виртуальную машину,
что бы в списке появился нужный нам нам процесс VMNAT.EXE:
Выделяем
его как указано на рисунке и дважды кликаем. Откроется диалоговое окно с
настройками правил и прочими параметрами. Нас интересует только вкладка "Сетевые
правила". Выделяем ее и видим стандартные правила для процесса. Удаляем их
ВСЕ, после чего создаем свои правила. Жмем кнопку "Новое" и создаем 4
правила именно так как указано на рисунке ниже:
Как
видно - нужно создать 4 правила, блокирующих доступ в сеть виртуальной машине
по всем основным протоколам. Сохраняем настройки и пробуем открыть любой адрес
на виртуальной машине. Сеть успешно отключена и ни одно приложение не может
получить доступ в глобальную паутину :)
Остался единственный шаг - настроить соединение VPN. Для этого открываем настройки для процесса VMNAT.EXE и переходим к созданным правилам, куда добавляем еще одно: нужно прописать разрешающее правило для IP адреса VPN. За пример возьмем адрес "100.100.100.100". Жмем на кнопку "Новое" и делаем все как показано на картинке ниже:
Вместо
адреса 100.100.100.100 указываем IP адрес VPN выбранный вами в личном кабинете
вашего VPN провайдера. Сохраняем правило и ВАЖНО! С помощью кнопок
"Вверх" и "Вниз" перемещаем данное правило в самый верх,
для того что бы разрешающее правило было на первом месте.
ваще круто! автору респект! я в шоке!
ОтветитьУдалитьrespect bro
ОтветитьУдалитьne rabotaet. v processah WMNAT dage ne proskakivaet IP moego VPN, a tolko lokalnie IP. chto delat'
ОтветитьУдалитьsorry. Ya zapuskal vpn na osnonoi OS, a ne gostevoy. Vse rabotaet
ОтветитьУдалить