 Autor
|
Tema: Máquina aislada Virtualbox (Leído 3,906 veces)
|
Geralt_de_Rivia
 Desconectado
Mensajes: 66
|
Buenas tardes, estoy buscando la mejor opción para crear una máquina lo más aislada posible.
Necesitaría tuviera salida a red, por lo que desactivar la tarjeta de red no lo veo una opción viable.
No tengo pensando descargar ningún malware ni programa raro, pero estoy haciendo pruebas y me gustaría dar con la configuración más efectiva y aislada que sea posible. Aunque soy consciente que siendo una VMs no será posible aislarla al 100%.
Gracias.
|
|
|
|
|
En línea
|
|
|
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
¿Alguien puede echarme una mano?
|
|
|
|
|
En línea
|
|
|
|
Manudan85
Desconectado
Mensajes: 8
|
Quitas la red de virtualbox, insertas un usb wifi y lo pasas a la maquina virtual. Ahora ya tienes el adaptador de red wifi en la maquina virtual, instalas drivers si es necesario y te conectas por wifi a tu red directamente.
De nada
|
|
|
|
|
En línea
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.878
|
A falta de que puedas recibir ayuda por parte de usuarios con experiencia profesional en cuestiones avanzadas de seguridad (ya que quiero dejar claro que mi experiencia es personal, yo no trabajo profesionalmente en ámbitos de seguridad), y habiendo dejado claro que no ves factible desactivar la tarjeta de red, te lanzo unas cuantas sugerencias para incrementar la eficacia de aislamiento, empezando por instalar el siguiente software gratuito ( freeware y freemium respectivamente): Cloudflare WARP (VPN): - https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/download-warp/WARP cifra todo el tráfico de Internet, lo que ayuda a proteger la privacidad de los usuarios y evita la interceptación de datos por parte de terceros, como hackers o proveedores de servicios de Internet.
Además de cifrar el tráfico de Internet, WARP también incluye protección contra amenazas en línea, como malware, phishing y ataques de suplantación de identidad. Sandboxie Plus: - https://sandboxie-plus.com/downloads/Sandboxie Plus crea un entorno virtual en el que se pueden ejecutar programas de forma aislada del sistema operativo principal. Esto significa que cualquier acción realizada dentro de Sandboxie Plus, como la instalación de programas o la descarga de archivos, no afectará al sistema principal.
Al ejecutar programas dentro de Sandboxie Plus, cualquier malware o amenaza potencial que se encuentre en esos programas se mantendrá dentro del entorno virtual y no podrá afectar al sistema operativo principal. Esto proporciona una capa adicional de seguridad para el sistema. Y, adicionalmente, podrías instalar un antivirus dedicado o utilizar el que viene integrado con Windows, en modo de escaneo en tiempo real.
En torno a la conectividad de red y, en caso de que no necesites mantener la conectividad activa durante todo el tiempo que dure la sesión de la VM, entonces podrías utilizar un script (mediante un archivo de acceso directo "*.lnk" para hacer la tarea más fácil) para deshabilitar los servicios de Windows de red y/o desactivar los adaptadores de red cuando no te sea realmente necesario mantener activa la conectividad. Puedes usar, por ejemplo, estos scripts VBS para deshabilitar y rehabilitar los dispositivos de red en la VM: Disable_Network_Adapters.vbsSet objShell = CreateObject("WScript.Shell") Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2" Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48) For Each objItem in colItems If objItem.NetConnectionStatus = 2 Then strInterfaceName = objItem.NetConnectionID objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=disable", 0, True End If Next
Enable_Network_Adapters.vbsSet objShell = CreateObject("WScript.Shell") Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2") Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48) For Each objItem in colItems If objItem.NetConnectionStatus = 0 Then strInterfaceName = objItem.NetConnectionID objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=enable", 0, True End If Next
También puedes utilizar programas gratuitos como Net Disabler, que residen en forma de icono en la bandeja del sistema ( system tray) y sirven como atajo para llevar a cabo esa tarea de forma especializada: - https://www.sordum.org/9660/net-disabler-v1-1/Technically, you can control internet by running netsh interface command in command prompt window to enable and disable the network connection that has the internet access. But This method can be easily circumvented and does not offer a guarantee. If you want to disable Internet connectivity for some time or on some events, you can easily do it with Net Disabler it is a small portable Freeware tool, you can use it to quickly turn the Internet off or on again.
3. Disconnecting from the internet can limit the impact of the malware it is a security technique known as an “air gap”. By separating the computer from any network makes it more secure.
Por último, y en caso de que tengas carpetas compartidas en la VM que apunten vulnerablemente a tu sistema operativo huésped ( host), podrías utilizar un script (de nuevo mediante un archivo de acceso directo "*.lnk") para montar/desmontar la unidad virtual en la VM cuando no te sea realmente necesario mantener acceso a tu sistema operativo mediante esas carpetas compartidas, ya que son visibles para un malware. Puedes usar, por ejemplo, estos scripts VBS para desconectar y reconectar la unidad de red en la VM: Disconnect_Network_Drive.vbsSet objNetwork = CreateObject("WScript.Network") objNetwork.RemoveNetworkDrive "Z:", True, True
Reconnect_Network_Drive.vbsSet objNetwork = CreateObject("WScript.Network") objNetwork.MapNetworkDrive "Z:", "\\vmware-host\Shared Folders"
Nota: Estos scripts requieren ser modificados, ya que logicamente la letra de unidad y la ruta UNC cambiarán dependiendo de tu configuración y si estás usando VMWare u otro software de virtualización. EDITO: Una adaptación para hallar y desmontar todas las unidades de red: Disconnect_All_Network_Drives.vbsOption Explicit Dim objNetwork, objShell, unmountedDrives Dim colDrives, i, drive, path, msg Set unmountedDrives = CreateObject("System.Collections.ArrayList") Set objNetwork = CreateObject("WScript.Network") Set colDrives = objNetwork.EnumNetworkDrives For i = 0 to colDrives.Count - 1 Step 2 drive = colDrives.Item(i) path = colDrives.Item(i+1) objNetwork.RemoveNetworkDrive drive, True, True unmountedDrives.Add drive & vbTab & """" & path & """" Next Set objShell = CreateObject("WScript.Shell") If unmountedDrives.Count = 0 Then msg = "No active network drives were found." objShell.Popup msg, 0, "Warning: Network Drives", 48 Else msg = "The following network drives were unmounted:" & vbCrLf & vbCrLf For Each drive In unmountedDrives msg = msg & drive & vbCrLf & vbCrLf Next objShell.Popup msg, 0, "Info: Network Drives", 64 unmountedDrives.Clear() End If
 |
|
|
|
« Última modificación: 17 Marzo 2024, 20:24 pm por Eleкtro »
|
En línea
|
|
|
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
A falta de que puedas recibir ayuda por parte de usuarios con experiencia profesional en cuestiones avanzadas de seguridad (ya que quiero dejar claro que mi experiencia es personal, yo no trabajo profesionalmente en ámbitos de seguridad), y habiendo dejado claro que no ves factible desactivar la tarjeta de red, te lanzo unas cuantas sugerencias para incrementar la eficacia de aislamiento, empezando por instalar el siguiente software gratuito ( freeware y freemium respectivamente): Cloudflare WARP (VPN): - https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/download-warp/Sandboxie Plus: - https://sandboxie-plus.com/downloads/Y, adicionalmente, podrías instalar un antivirus dedicado o utilizar el que viene integrado con Windows, en modo de escaneo en tiempo real.
En torno a la conectividad de red y, en caso de que no necesites mantener la conectividad activa durante todo el tiempo que dure la sesión de la VM, entonces podrías utilizar un script (mediante un archivo de acceso directo "*.lnk" para hacer la tarea más fácil) para deshabilitar los servicios de Windows de red y/o desactivar los adaptadores de red cuando no te sea realmente necesario mantener activa la conectividad. Puedes usar, por ejemplo, estos scripts VBS para deshabilitar y rehabilitar los dispositivos de red en la VM: Disable_Network_Adapters.vbsSet objShell = CreateObject("WScript.Shell") Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2" Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48) For Each objItem in colItems If objItem.NetConnectionStatus = 2 Then strInterfaceName = objItem.NetConnectionID objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=disable", 0, True End If Next
Enable_Network_Adapters.vbsSet objShell = CreateObject("WScript.Shell") Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2") Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48) For Each objItem in colItems If objItem.NetConnectionStatus = 0 Then strInterfaceName = objItem.NetConnectionID objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=enable", 0, True End If Next
También puedes utilizar programas gratuitos como Net Disabler, que residen en forma de icono en la bandeja del sistema ( system tray) y sirven como atajo para llevar a cabo esa tarea de forma especializada: - https://www.sordum.org/9660/net-disabler-v1-1/
Por último, y en caso de que tengas carpetas compartidas en la VM que apunten vulnerablemente a tu sistema operativo huésped ( host), podrías utilizar un script (de nuevo mediante un archivo de acceso directo "*.lnk") para montar/desmontar la unidad virtual en la VM cuando no te sea realmente necesario mantener acceso a tu sistema operativo mediante esas carpetas compartidas, ya que son visibles para un malware. Puedes usar, por ejemplo, estos scripts VBS para desconectar y reconectar la unidad de red en la VM: Disconnect_Network_Drive.vbsSet objNetwork = CreateObject("WScript.Network") objNetwork.RemoveNetworkDrive "Z:", True, True
Reconnect_Network_Drive.vbsSet objNetwork = CreateObject("WScript.Network") objNetwork.MapNetworkDrive "Z:", "\\vmware-host\Shared Folders"
Nota: Estos scripts requieren ser modificados, ya que logicamente la letra de unidad y la ruta UNC cambiarán dependiendo de tu configuración y si estás usando VMWare u otro software de virtualización. EDITO: Una adaptación para hallar y desmontar todas las unidades de red: Disconnect_All_Network_Drives.vbsOption Explicit Dim objNetwork, objShell, unmountedDrives Dim colDrives, i, drive, path, msg Set unmountedDrives = CreateObject("System.Collections.ArrayList") Set objNetwork = CreateObject("WScript.Network") Set colDrives = objNetwork.EnumNetworkDrives For i = 0 to colDrives.Count - 1 Step 2 drive = colDrives.Item(i) path = colDrives.Item(i+1) objNetwork.RemoveNetworkDrive drive, True, True unmountedDrives.Add drive & vbTab & """" & path & """" Next Set objShell = CreateObject("WScript.Shell") If unmountedDrives.Count = 0 Then msg = "No active network drives were found." objShell.Popup msg, 0, "Warning: Network Drives", 48 Else msg = "The following network drives were unmounted:" & vbCrLf & vbCrLf For Each drive In unmountedDrives msg = msg & drive & vbCrLf & vbCrLf Next objShell.Popup msg, 0, "Info: Network Drives", 64 unmountedDrives.Clear() End If
Muchísimas gracias por tu respuesta, gran trabajazo. He estado echándole un vistazo a todo, me ha llamado mucho la atención Sandboxie, aunque por lo que he visto, lo óptimo sería ejecutarlo en una máquina virtual (quizás es eso lo que me querías decir) porque si quieres ejecutar un software en Sanboxie, tienes que instalarlo previamente en el SO anfitrión, al menos es lo que he visto en varios vídeos. Corrígeme si no es así por favor. Muchas gracias.
|
|
|
|
|
En línea
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.878
|
me ha llamado mucho la atención Sandboxie, aunque por lo que he visto, lo óptimo sería ejecutarlo en una máquina virtual (quizás es eso lo que me querías decir) porque si quieres ejecutar un software en Sanboxie, tienes que instalarlo previamente en el SO anfitrión, al menos es lo que he visto en varios vídeos. Corrígeme si no es así por favor.
No, no quise decir eso. Te corrijo (dentro de mis capacidades y limitaciones): Sandboxie Plus crea un espacio virtual, seguro y aislado (una sandbox) en el que se controla y se limita la ejecución del archivo executable que quieras testear. Se puede impedir el acceso a dispositivos de red / Internet, y limitar que el archivo interactue con otras cosas, como con ciertas librerias (DLL) del sistema. En fin, se puede evitar que un malware actúe de forma eficiente al ejecutarlo de forma controlada y limitada. La cuestión más importante y relevante es que, los cambios que el archivo executable (dentro de la sandbox) realice en el disco o en el registro de Windows, serán cambios virtuales. O al menos esa es la premisa de utilizar una sandbox. xD Perfectamente puedes ejecutar el instalador de un programa en SandBoxie Plus; los trazos del programa instalado quedarán expuestos en la ruta "C:\Program Files\Sandbox" (a menos que cambies la ruta en la configuración de la sandbox). Así que lo que quise decir, o la idea que quise transmitirte, es que utilizar una máquina virtual (Sandboxie Plus) dentro de otra máquina virtual (Virtual Box, VMWare, etc) se podría considerar una doble capa de aislamiento, con el objetivo de minimizar el riesgo de que un software malicioso que se ejecute en la VM pueda afectar al sistema operativo invitado, y de ahí pueda infectar al sistema huésped o anfitrión. Aténtamente, Elektro.
|
|
|
|
« Última modificación: 17 Marzo 2024, 22:48 pm por Eleкtro »
|
En línea
|
|
|
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
No, no quise decir eso.
Te corrijo (dentro de mis capacidades y limitaciones): Sandboxie Plus crea un espacio virtual, seguro y aislado (una sandbox) en el que se controla y se limita la ejecución del archivo executable que quieras testear. Se puede impedir el acceso a dispositivos de red / Internet, y limitar que el archivo interactue con otras cosas, como con ciertas librerias (DLL) del sistema. En fin, se puede evitar que un malware actue de forma eficiente al ejecutarlo de forma controlada y limitada.
La cuestión más improtante y relevante es que, los cambios que el archivo executable (dentro de la sandbox) realice en el disco o en el registro de Windows, serán cambios virtuales.
Perfectamente puedes ejecutar el instalador de un programa en SandBoxie Plus; los trazos del programa instalado quedarán expuestos en la ruta "C:\Program Files\Sandbox" (a menos que cambies la ruta en la configuración de la sandbox).
Así que lo que quise decir, o la idea que quise transmitirte, es que utilizar una máquina virtual (Sandboxie Plus) dentro de una máquina virtual (Virtual Box, VMWare, etc) se podría considerar una doble capa de aislamiento, con el objetivo de minimizar el riesgo de que un software malicioso que se ejecute en la VM pueda afectar al sistema operativo invitado, y de ahí pueda infectar al sistema huésped o anfitrión.
Aténtamente,
Elektro.
Entendido completamente ahora, me había confundido viendo un vídeo porque daba un poco lugar a dudas, pero ahora me ha quedado todo muy claro. Muchas gracias por la aclaración y disculpa la confusión. Prosiguiendo con el tema ¿qué riesgos hay de propagación de un malware de una VMs a al SO anfitrión? ¿Cuáles podrían ser los medios de dicha propagación? Ya digo que todo esto es por mera curiosidad y por ampliar conocimientos. Muchas gracias.
|
|
|
|
|
En línea
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.878
|
Prosiguiendo con el tema ¿qué riesgos hay de propagación de un malware de una VMs a al SO anfitrión? ¿Cuáles podrían ser los medios de dicha propagación?
Ya digo que todo esto es por mera curiosidad y por ampliar conocimientos.
Muchas gracias. La principal causa de propagación probablemente sea por recursos físicos compartidos con el sistema anfitrión, como las unidades de red ('carpetas compartidas') o un dispositivo USB. Mientras tengas la característica de 'carpetas compartidas' desactivadas o la unidad de red desmonatada / inaccesible, y no compartas dispositivos extraíbles de almacenamiento en la VM, creo que la propagación no debería ser motivo de preocupación. Pero siempre es positivo llevar a cabo prácticas adicionales (como las que he mencionado) para minimizar el riesgo de infección en cualquier caso. Luego pueden existir vulnerabilidades específicas en el software de virtualización que permitan la propagación, pero la cantidad ínfima de malware que puedan explotar esas vulnerabilidades, y que lo hagan antes de ser parcheadas, tampoco creo que deba ser motivo alguno de preocupación. Más allá de eso, sin tener acceso fisicamente al sistema anfitrión, no se me ocurre como un malware ejecutado en una VM podría infectar al sistema anfitrión solo por tener acceso al dispositivo de red o LAN virtualizado. No digo que no sea posible, solo que de ser posible yo desconozco el procedimiento de infección. Aténtamente, Elektro.
|
|
|
|
« Última modificación: 17 Marzo 2024, 23:07 pm por Eleкtro »
|
En línea
|
|
|
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
La principal causa de propagación probablemente sea por recursos físicos compartidos con el sistema anfitrión, como las unidades de red ('carpetas compartidas') o un dispositivo USB.
Mientras tengas la característica de 'carpetas compartidas' desactivadas o la unidad de red desmonatada / inaccesible, y no compartas dispositivos extraíbles de almacenamiento en la VM, creo que la propagación no debería ser motivo de preocupación. Pero siempre es positivo llevar a cabo prácticas adicionales (como las que he mencionado) para minimizar el riesgo de infección en cualquier caso.
Luego pueden existir vulnerabilidades específicas en el software de virtualización que permitan la propagación, pero la cantidad ínfima de malware que puedan explotar esas vulnerabilidades, y que lo hagan antes de ser parcheadas, tampoco creo que deba ser motivo alguno de preocupación.
Más allá de eso, sin tener acceso fisicamente al sistema anfitrión, no se me ocurre como un malware ejecutado en una VM podría infectar al sistema anfitrión solo por tener acceso al dispositivo de red o LAN virtualizado. No digo que no sea posible, solo que de ser posible yo desconozco el procedimiento de infección.
Aténtamente,
Elektro.
Gracias, muy interesante. Por unidad de red te refieres a un NAS o similar ¿no? ¿Qué hay de las guest additions de Virtual Box? No sé si podrían ser un punto de vulnerabilidad en caso de que se instalen. Gracias.
|
|
|
|
|
En línea
|
|
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
varios S.O en una misma máquina. ¿virtualbox o wmware?
Dudas Generales
|
OssoH
|
4
|
3,755
|
25 Diciembre 2010, 12:51 pm
por OssoH
|
|
|
|
Maquina virtual con windows incluido - Virtualbox
Windows
|
txnofount
|
5
|
19,174
|
1 Mayo 2011, 22:16 pm
por Randomize
|
|
|
Una IP para cada maquina virtual (VirtualBox)
« 1 2 »
Redes
|
WorkingAPI
|
12
|
31,484
|
9 Agosto 2011, 17:09 pm
por int_0x40
|
|
|
|
Instalar Windows Server en una maquina Virtual en VirtualBox
GNU/Linux
|
Amagekure
|
0
|
2,778
|
7 Julio 2013, 23:16 pm
por Amagekure
|
|
|
|
Máquina aislada Virtualbox
Seguridad
|
Geralt_de_Rivia
|
4
|
3,862
|
27 Octubre 2022, 14:07 pm
por el-brujo
|
 |
