踏雪无痕系列·网络层面（四）——物理隔离之虚拟机隔离

前言

本文介绍了物理隔离的虚拟机隔离丐版-也就是穷鬼的方案不用买实体机的。VirtualBox和Vmware的使用教程自己去网上搜我就不造轮子了！！

**tips:**如果虚拟化软件（比如 VirtualBox、VMware、KVM …）本身出现了安全漏洞，并且这个安全漏洞会导致虚拟机被穿透；然后，Guest OS 正好又感染了恶意软件；而相关恶意代码正好又能够利用这个漏洞进行穿透；那么，该恶意代码就有可能从 Guest OS 入侵 Host OS。一旦恶意代码能够侵入 Host OS，理论上它就可以访问这个 Host OS 上的所有 Guest OS。在这种情况下，“虚拟机隔离”的措施就【失效】了。 　　出现上述情况的概率是非常低的——需要好几个条件【同时】具备。因此，能够进行这种攻击的，必然是比较高级的入侵者，而且这个入侵者对入侵对象必须有深入的了解： 知道对方用的是什么类型的虚拟化软件（不同的虚拟化软件，其安全漏洞的情况全然不同）， 知道对方用的 Guest OS 是什么类型的系统 知道对方用的 Host OS 是什么类型的系统

虚拟机隐匿公网IP

虚拟机的局限性

• 无法防范服务端历史
• 无法彻底解决加密问题
• 难以隐藏虚拟机文件

真要用虚拟机，还得配合VeraCrypt 一起用（比如把虚拟机分区文件放到 VeraCrypt 的加密盘），才够安全。

这里有两种方案一个的使用国外开源的whonix的双虚拟机物理隔离，还有就是自己单独配置的双虚拟机或者三虚拟机物理隔离来达到一个隐私保护的方法。在下面我会给出一套单独配置双虚拟机物理隔离和三虚拟机物理隔离的方法，whonix的自己去官网进行下载配置。虚拟机软件推荐VirtualBox不推荐Vmware。

QQ专用虚拟机

虚拟机里用Proxifier3.21汉化版

Proxifier3.21—设置的项目有

配置文件–代理服务器–SOCK5协议 192.168.151.1 端口9150 （新版tor端口）点测试 ok

代理规则–取消规则 localhost 前面的对号，在最后一个默认规则Defa最后面选择–192.168.151.1 9150 名称解析–通过代理解析

文件–主动启动

设置完毕，

安装vbox虚拟机 比如安装xp sp3 安装完毕

vbox-xp系统–设置网络–设置为 仅主机 host-noly–高级–mac地址-旁边的妞 点换mac地址

主机系统里

xp 点击“开始”指向“所有程序”—＞附件—＞通信—＞网络连接，点击“网络连接”

WIN7下 开始–控制面板–网络和共享中心–网络连接

右键点击 VirtualBox Host-Only Network –属性–

在 常规 –点 internet 协议 tcp/ip 的属性

我的 ip地址 显示是 192.168.151.1 记住这个啊，记住啊。是记住你电脑上的.

虚拟机系统里

在同样的地方 本地连接 internet tco/ip 设置

ip地址 192.168.151.4 最后一位我设置的是4 大于2 就可以把

子网掩码 255.255.255.0

使用下面的dns 两项为空 不设置.

完毕

单虚拟机隔离方案

单虚拟机方案，VPNGate+TOR+虚拟机。

假设双虚拟机和防火墙设置正确，虚拟机A如何通过B代理上网？

◆如果虚拟机B安装VPN GATE，就是如何共享翻墙VPN的问题。教程详见 ◇解决方案之 ＂Privoxy＂

具体设置如下：

在虚拟机B安装Privoxy，修改配置文件config.txt。]

（Privoxy 默认的监听端口是8118，绑定在 127.0.0.1 上。为了让其它电脑能连上来，需要修改绑定的地址。） 打开config.txt，搜索 listen-address 会看到如下一行

listen-address 127.0.0.1:8118 修改为 listen-address 0.0.0.0:8118

保存后运行VPN GATE和Privoxy，虚拟机A IE 局域网代理设置 192.168.56.101 端口：8118 可联网。

◆如果虚拟机B是VPN GATE +Tor(Vidalia Bridge Bundle),虚拟机A如何通过B代理上网？

第1步、修改Privoxy的配置文件config.txt，定位到如下命令：

forward-socks5 / 127.0.0.1:9050 .

去掉前面的注释标记“#”便可。

简单解释下此命令：forward-socks5是命令项，“/”表示对所有站点进行同样的配置，后面的“127.0.0.1:9050”表示定位到tor的socks代理端口。

注意：后面的“.”不能去掉，因为在forward-socks5命令参数中，这个点表示没有http设置，如果去掉将会报错！

第2步、（与前方案相同）Privoxy 默认的监听端口是8118，绑定在 127.0.0.1 上。为了让其它电脑能连上来，需要修改绑定的地址。

打开config.txt ，搜索 listen-address 会看到如下一行

listen-address 127.0.0.1:8118 修改为

listen-address 0.0.0.0:8118

保存文件，虚拟机B运行vpn gate、TOR、Privoxy，虚拟机A IE 局域网代理设置 192.168.56.101 端口：8118 可联网。

双虚拟机物理隔离方案

HOST Os为 XP SP3，GUEST OS 为两个XP SP3

1、HOST Os为 XP SP3的情况下，这时VirtualBox Host-Only Network虚拟网卡ip会设置为192.168.56.1。（无须设置本地连接的“共享网络”这个功能）

2、2、打开VirtualBox，选择管理 ——全局设定——网络，点右边的螺丝刀按钮，在弹出的窗口中，内容如下：主机虚拟网络界面：ipv4：192.168.56.1 掩码：255.255.255.0 DHCP服务器：打勾选择＂启用服务器选项＂,地址192.168.0.1掩码：255.255.255.0 最小地址：192.168.0.101 最大地址：192.168.0.254

改为：取消“启用DHCP服务器”。

可以使用Newsid改新拷贝的虚拟机的sid和name,重启后不再被microsoft识别为同一台机器

http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx

3、虚拟系统B NAT网卡配置

IP 地址:10.0.2.15

默认网关:10.0.2.2

DNS:8.8.8.8 和 8.8.4.4

子网掩码:255.255.255.0

4、虚拟系统B Host-Only网卡配置

IP 地址:192.168.56.101

子网掩码:255.255.255.0

默认网关：不用填

DNS：不用填

查看自动分配的ip是192.168.56.101

虚拟系统B安装代理软件：gsnova前置代理 + tor，再用Privoxy绑定转换端口。

Privoxy的配置文件，Options-＞Edit Main Configuration。

找到 #forward-socks5 127.0.0.1：9050.这一行，去掉前面的“#”号。找到listen-address 127.0.0.1:8118 改为listen-address 0.0.0.0:8118。

5、虚拟系统A，Host-Only网卡配置

IP 地址：192.168.56.102

子网掩码：255.255.255.0

默认网关：不用填

DNS：不用填

6、虚拟系统A，IE 局域网代理设置 192.168.56.101 端口：8118

（填写另一个虚拟系统（虚拟系统B）的那个 Host-Only 网卡的 IP）

7、如果虚拟系统B开机显示“糸统错误，网络上有重名”，请参考 http://www.360doc.com/content/11/0302/02/5399974_97333597.shtml 修改。

三虚拟机物理隔离方案

三虚拟机配置步骤

配置环境:宿主机:Debian 8

网关机:Debian 8 无桌面环境，给定内存不小于85M,可以稳定运行,双网卡,rinetd,sslocal可执行程序(在宿主系统中编译，通过ssh传送)

tor机:Debian 7 无桌面环境，给定内存不小于85M,可以稳定运行,双网卡，apt-install tor tor-arm

网关机:网卡配置:eth0设置dhcp自动分配,eth1设为192.168.56.3（tor机中的前置代理IP）

配置ss文件　sslocal -c *.json　建立翻墙通道 。

在/etc/rinetd.conf文件中配置端口转发：0.0.0.0 1234 127.0.0.1 1080

运行rinetd 可以把编译完成的rinetd 及sslocal放到/usr/bin中，编写启动脚本以供调用。

设置rc.local 以进行开机启动

tor虚拟机网卡

eth0:192.168.56.4(由interfaces文件配置) 255.255.255.0 gw 192.168.56.2 eth1:192.168.100.1＃ 255.255.255.0

torrc文件配置

Socks5Proxy 192.168.56.3:1234(ip地址由eth1网卡决定,端口rinetd绑定)

SOCKSListenAddress 192.168.100.1:9150(ip由自设的eth1网卡决定,端口由tor决定

编写tor机iptables链表规则：

网卡号通过ifconfig 查询

-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK,SYN none -j REDIRECT --to-ports 9150

保存为文件:rules 设置rc.local 开机启动脚本: iptables-restore ＜ $规则文件所在路径/rules 开机自启脚本配置完成之后，网关机、tor机使用无界面启动，需要更改翻墙通道的，再去网关机修改ss配置文件。 两台虚拟机运行内存不会超过180M.

敏感机：单网卡，192.168.100.2(/etc/network/interfaces文件配置) 255.255.255.0　网关 192.168.100.1 DNS 192.168.100.1(/etc/resolv.conf文件配置) 就可以联网了..

浏览器代理项设置:192.168.100.1:9150

应用后就可以了….

关于/etc/network/interfaces的配置示例:

auto eth0（自动启用）
iface eth0 inet static(设置为静态)
address 192.168.56.3
netmask 255.255.255.0
gateway 192.168.56.2

双网卡只要设置靠近外网一侧的网卡网关就行了。

网关机如果是dhcp　那么接外网的网卡不需要设置网关　否则需设为　10.0.2.2

tor机设置为与网关机相连的网卡网关。即网关ip为网关机eth1的ip设定值。