Endlich hatte ich genügend Zeit um ein lang auf die Bank geschobenes Projekt zu verwirklichen: Ein auf VMware Workstation basierendes virtuelles Testlabor, mit dem man auch mal ein paar bösartige Dinge untersuchen kann. Nach ein bisschen herumbasteln bin ich auf eine überraschen simple und elegante Lösung gestoßen:
Virtuelles Testlabor
Realisiert ist alles mit VMware Workstation 8. Die drei virtuellen Maschinen sind alle in einem Team zusammengefasst (ein neues Feature in Workstation 8, es würde auch mit den Gruppen in Workstation 7 klappen). Grundsätzlich sollte sich das aber auch mit Virtualbox und Co realisieren lassen, wichtig ist, dass ihr einen virtuellen Switch habt, der mehrere Netzwerke unterstützt. Aktuell sind es drei VMs: die pfSense-Appliance sowie ein Windows 7 und ein XP SP3.
pfSense ist ein Router/Firewall-System auf FreeBSD-Basis (hey, Linux kann ja jeder 
). Ich kann nicht genau sagen, warum ich mich für pfSense und nicht IPCop entschieden habe (vielleicht, weil der Herr Donauer von den Bitblokes immer IPCop nimmt und ich mich von ihm absetzen muss 
), aber das Ding bietet für den Anfang (und wahrscheinlich für immer) alle Funktionen, die ich brauche. pfSense hat zwei virtuelle Netzwerkkarten: Eine für den WAN-Zugriff (den Pfeil), eine für das LAN. Die WAN-Ethernetkarte ist gebridged, greift also auf mein “normales” Netzwerk zu und kann mit dem Internet kommunizieren. Die LAN-Karte ist im Host-Only-Modus und einem separaten Netzwerk für das virtuelle LAN. Im Grunde hab ich einfach das gemacht, was ein Router im normalen Netzwerk übernimmt: Das Internet ist in dem Fall mein lokales Netzwerk, pfSense erhält seien IP von meinem eigentlich Router und kann über den Traffic ins “wirkliche” Internet leiten. Das hat den großen Vorteil, dass ich die Konfigurationsseite von pfSensen von meinem Produktivsystem aus erreichen kann – das ist bequemer als wenn ich ständig von einer der virtuellen Maschinen aus zugreifen muss.
pfSense
Die beiden Windows-System wiederum erhalten ihre IP vom DHCP-Server von pfSense – die beiden Systeme kennen nur sich selbst, dass ist quasi wie bei The 13th Floor (ach, hätte Matrix nur auch so geendet, aber ich schweife ab). Beides sind Standard-Windows-Installationen, deren Status natürlich in einem Snapshot gesichert wurde. Zusätzlich hab ich auf beiden ein nettes Tool installiert, den Windows System State Analyzer (WSSA) sowie dem Windows System State Monitor (WSSM). Der WSSA erlaubt es mir, einen Snapshot des Systemzustandes anzulegen und diesen mit einem späteren Snapshot (etwa nach der Installation eins verdächtigen Programmes) zu vergleichen. Dadurch sollte ich relativ schnell sehen, was eine Software an Unfug anstellt (an so spaßige Dinge wie und Co traue ich mich noch nicht ran). Der WSSM zeigt Zugriff im Live-Betrieb an, mal schaun, was mir besser gefällt. Anschließend werden die Systeme zurückgesetzt und alles ist wieder sauber. Beide Tools sind im Paket des Server Logo Program Software Certification Tool enthalten. Aktuell ist das Tool nur auf dem Windows 7 System eingerichtet, auf XP sollte es aber auch gehen.
Oh, eine weiter großartige Sache von pfSense ist die Logging-Funktion. Das System bringt tcpdump mit und kann den kompletten Traffic protokollieren, der über den Router ins Web geht (SSL ausgenommen, aber das kann ich ja später probieren, für den Anfang sollte normaler Traffic reichen) . Die Datei kann ich anschließend runterladen und über WireShark oder CloudShark analysieren. Cool.
Was bringt mir jetzt das Ganze? Zum einen habe ich ein schöne Laborumgebung, mit der ich ein wenig herumspielen kann, ohne dass ich mein Produktivnetz (in dem auch noch ein paar andere Rechner von Mitbewohnern hängen) in Gefahr bringe. Sollte ich wirklich mal einen Virus analysieren wollen, kann ich die Verbreitung mit ein paar Firewall-Regeln (wohl) recht gut in den Griff kriegen. Und ich lerne neue Funktionen kennen und kann neue Dinge ausprobieren (pfSense kann auch massig neue Pakete nachladen, so dass ich das Teil auch in eine Snort-Installation oder einen VPN-Server umbauen kann – was zahlreiche neue Workshops ermöglicht). Dank dem VMware-Setup kann ich auch relativ leicht neue Systeme dazuhängen oder abschalten (etwa, wenn ich mich endlich mal ans Aufsetzen einer Domain wage). Und ich lerne neue Tipps und Tricks kennen.
