Безопасность: связка VMWare + VPN + Agnitum Outpost

Сегодня хочу поделиться своим методом защиты виртуальной машины на VMware. Речь пойдет о предотвращении утечки трафика после внезапного разрыва VPN соединения. Пример: у нас имеется стационарный компьютер с ОС  WINDOWS 7. По каким то причинам нам необходимо установить виртуальную машину, где развернуть ОС WINDOWS XP и настроить VPN соединение на определенный сервер. VPN ресурсов имеется великое множество как платных так и бесплатных, поэтому останавливаться на этом моменте я не буду. Нас интересует конечный момент - защита виртуальной машины от внезапного разрыва VPN соединения и утечки трафика напрямую через сетевое подключение рабочего ПК.

Решение, которое я хочу предложить является самым простым и в то же время крайне надежным. В двух словах это выглядит так: устанавливаем на основной ПК фаервол, создаем правила, в которых запрещаем любую сетевую активность для рабочей станции VMware, а так же добавляем одно правило разрешающее обмен трафиком с IP-адресом нашего VPN соединения. После таких настроек - можно быть уверенным что ОС, установленная на виртуальной машине потеряет доступ в сеть и не сможет подключиться ни на один ресурс за исключением указанного нами IP адреса VPN.


Теперь немного конкретики и скринов настройки. В качестве фаервола я всегда выбираю решение от компании Agnitum - Outpost Firewall. Программа имеет русскоязычный интерфейс, львиную долю рутинных настроек делает автоматически. Нам же остается лишь прописать правила для нужных нам приложений. И так установив Outpost Firewall и VMware, подключившись к VPN - приступаем к настройке надежной связки.Как получить бесплатный лицензионный ключ на год я рассказывал в этой статье

Процесс, отвечающий за работу сети VMware называется VMNAT.EXE. Именно для него и нужно создать правила в фаерволе. После запуска настроек Agnitum - переходим на вкладку "Инструменты" - "Сетевая активность" - видим список всех процессов, подключенных в данный момент к сети. Запускаем виртуальную машину, что бы в списке появился нужный нам нам процесс VMNAT.EXE:

Выделяем его как указано на рисунке и дважды кликаем. Откроется диалоговое окно с настройками правил и прочими параметрами. Нас интересует только вкладка "Сетевые правила". Выделяем ее и видим стандартные правила для процесса. Удаляем их ВСЕ, после чего создаем свои правила. Жмем кнопку "Новое" и создаем 4 правила именно так как указано на рисунке ниже:

Как видно - нужно создать 4 правила, блокирующих доступ в сеть виртуальной машине по всем основным протоколам. Сохраняем настройки и пробуем открыть любой адрес на виртуальной машине. Сеть успешно отключена и ни одно приложение не может получить доступ в глобальную паутину :)

Остался единственный шаг - настроить соединение VPN. Для этого открываем настройки для процесса VMNAT.EXE и переходим к созданным правилам, куда добавляем еще одно: нужно прописать разрешающее правило для IP адреса VPN. За пример возьмем адрес "100.100.100.100". Жмем на кнопку "Новое" и делаем все как показано на картинке ниже:

Вместо адреса 100.100.100.100 указываем IP адрес VPN выбранный вами в личном кабинете вашего VPN провайдера. Сохраняем правило и ВАЖНО! С помощью кнопок "Вверх" и "Вниз" перемещаем данное правило в самый верх, для того что бы разрешающее правило было на первом месте.

Все настройки проделаны, пробуем подключится к VPN на виртуальной машине. Теперь, если произойдет случайное отключение от сети - вы можете быть уверены в безопасности ваших данных. Как только пропадет VPN соединение - сразу же пропадет доступ в сеть для любого приложения виртуальной машины.