“百香果”内网安全沙盘之各展雄姿

0x00 前景介绍

随着前期说起的“百香果”内网沙盘的雏形初现，斗哥就开始了年底各种忙模式，终于得空给大伙儿再来唠唠我们的“百香果”内网安全沙盘，在本期文章中，斗哥将再给大家介绍一下进阶版的“百香果”。对，你们没有听错，就是进阶版----复杂拓扑的设计模拟，将会设计网络拓扑修改、防火墙规则设置、笔记本接入拓扑网络，拓扑网络连入真实互联网等。开篇前，按照惯例，展示一下“百香果”的网络拓扑图。

0x01 场景设计-场景1

场景设计需求

某总公司的员工小斗通过总公司的出口网络可正常访问互联网上的分公司Web，但若是利用分公司Web系统的内网地址时，则是通过企业专线直接访问到分公司的内网Web系统。

确认场景需要使用到的资源

根据需求，此时我们就需要在9台设备中选取对应的设备：R1、R2、R3、FW2、FW3、FW4。 为更清晰地查看，故斗哥将原拓扑进行简化，将需要的设备画出，得到简化拓扑图如下

其中，实线框中的需自己额外添加的虚拟机，此处斗哥准备采用两台额外的虚拟机来进行演示。

将对应设备的虚拟机开启

根据上一点，开启对应的虚拟机R1、R2、R3、FW2、FW3、FW4。

在对应区域添加相关服务器或终端，并配置对应的IP地址

在小斗的办公电脑、分公司Web服务器中各添加一台虚拟机。 温馨小提示：配完IP后进行连通性测试。 小斗的办公电脑 将其网卡桥接至VMnet 15上，根据拓扑展示给定的IP段，配置IP地址为10.10.15.10/24。网关地址为10.10.15.1/24

分公司Web服务器

将其网卡桥接至VMnet 19上，根据拓扑展示给定的IP段，配置IP地址为10.10.19.20/24。网关地址为10.10.19.1/24

根据需求配置对应的路由器或防火墙上的相关策略

在雏形初现中，我们已经介绍过如何访问ikuai管理页面，在本期中就不做具体的说明，直接进入正题。 通过对场景设计需求的分析，分公司内网Web服务器需对互联网区映射Web服务端口（80端口），并且总公司能通过NAT直接访问互联网地址，通过企业专线直接访问分公司内网地址。 因此需要在FW2上进行端口映射的配置，同时需在FW3上开启NAT转发策略。

FW2上的端口映射配置

点击网络设置-端口映射-端口映射-添加-按下图所示进行配置，将内网的Web服务器的80端口映射到互联网区对应的地址的80端口上。

FW3上的NAT转发策略配置

点击网络设置-NAT转发-添加-按下图所示进行配置，选择需要转发的线路为wan1口，并且转发的源地址为10.10.15.0/24，进行转发的地址为66.28.7.2。

效果呈现

1.小斗的办公电脑到分公司Web系统互联网地址的路由

2.小斗的办公电脑到分公司Web系统内网地址的路由

3.小斗的办公电脑访问分公司Web系统互联网地址与内网地址比对

通过tracert协议发现，小斗的办公电脑访问互联网时走的是公司互联网出口，访问分公司网络时，走的是企业专线，并且通过网页可判断小斗的办公电脑无论从内网地址还是互联网地址均可正常访问，因此场景1可匹配。

0x02 场景设计-场景2

场景设计需求

小斗利用VPS对某公司的CMS系统进行渗透攻击并拿到了其服务器权限，但是由于该公司将CMS系统放置于DMZ区，CMS系统只对公网提供服务，但却无法访问内网，同时工作人员又能通过内网访问CMS系统。

确认场景需要使用到的资源

根据需求，此时我们就需要在9台设备中选取对应的设备：R1、R2、R3、FW3、FW5。 为更清晰地查看，故斗哥将原拓扑进行简化，将需要的设备画出，得到简化拓扑图如下

其中，实线框中的需自己额外添加的虚拟机，此处斗哥准备采用三台额外的虚拟机来进行演示。

将对应设备的虚拟机开启

根据上一点，开启对应的虚拟机R1、R2、R3、FW3、FW5。

在对应区域添加相关服务器或终端，并配置对应的IP地址

在小斗的VPS、总公司Web服务器、总公司CMS系统中各添加一台虚拟机。 温馨小提示：配完IP后进行连通性测试。 小斗的VPS 将其网卡桥接至VMnet 6上，根据拓扑展示给定的IP段，配置IP地址为66.28.6.10/24。网关地址为66.28.6.1/24

总公司Web服务器

将其网卡桥接至VMnet 16上，根据拓扑展示给定的IP段，配置IP地址为10.10.16.10/24。网关地址为10.10.16.1/24

总公司CMS系统

将其网卡桥接至VMnet 13上，根据拓扑展示给定的IP段，配置IP地址为10.10.13.20/24。网关地址为10.10.13.1/24

根据需求配置对应的路由器或防火墙上的相关策略

通过对场景设计需求的分析，CMS系统对外提供服务，即80端口需对互联网区开放，同时该CMS系统无法访问内网。根据该需求，可分析出在FW3上，需对CMS系统做端口映射，同时需要设置ACL禁止该系统访问内网地址。 因此，访问FW3的管理页面进行配置。

实现80端口对互联网区开放规则配置

点击网络设置-端口映射-DMZ主机-设置对应的DMZ区主机地址，并且排除不希望对外开放的端口即可，如下图，除了80端口外，其余端口均不对外开放。

实现CMS系统无法访问内网，但工作人员能从内网访问CMS系统

通过对场景设计需求进行需求分析，可对CMS系统访问内网的流量进行阻断，但是内网访问CMS系统的流量，可正常转发。那么我们只需点击安全设置-ACL规则-添加-按照下图设置：禁用任意协议，并且连接方向为原始方向，同时对内网网段10.10.16.0/24，所有经过进口Lan2，出口Lan3的流量进行阻断。

效果呈现

1.VPS只可访问80端口，其他端口（以3389为例）无法访问

2.内网Web服务器可正常访问CMS系统（以80、3389端口为例）

3.CMS系统无法访问内网Web服务器即内网（以3389为例）

• 确认内网web服务器开启3389端口

• 确认CMS系统无法访问内网

通过第一点的端口访问，可判断CMS系统只对外开放80端口，策略已成功生效；通过第二点以及第三点的端口访问，可判断CMS系统无法访问内网，但内网可以正常访问CMS系统，因此场景2可匹配。

0x03 场景设计-场景3

场景设计需求

在场景1的基础上，增添本地可接入“百香果”内网安全沙盘环境中（此处以接入攻击区为例），并且内网沙盘环境可连接真实互联网进行正常上网。

1.未接入前，本地无法正常访问“百香果”中的Web系统

2.“百香果”内网安全沙盘环境中的虚拟机未连入真实互联网环境前，无法Ping通DNS：114.114.114.114与正常访问百度

确认场景需要使用到的资源

根据需求，此时我们就需要在9台设备中选取对应的设备：R1、R2、R3、FW1、FW2、FW3、FW4。 为更清晰地查看，故斗哥将原拓扑进行简化，将需要的设备画出，得到简化拓扑图如下。

其中，实线框中的需自己额外添加的虚拟机以及斗哥的小本本，此处斗哥准备采用场景1中的两台额外的虚拟机与一台物理机来进行演示。

将对应设备的虚拟机开启

根据上一点，开启对应的虚拟机R1、R2、R3、FW1、FW2、FW3、FW4。

在对应区域添加相关服务器或终端，并配置对应的IP地址

此处在继续沿用场景1的配置，故场景1涉及的两台虚拟机就不再进行演示。现对斗哥的小本本需要接入“百香果”沙盘进行设置。

1.打开VM上的虚拟网络编辑器

2.由于我们需要接入到攻击区中，故需在虚拟网络编辑器中添加VMnet 2网卡，点击添加网络-选择要添加的网络：VMnet 2

3.添加成功后，选择仅主机模式，同时去掉使用本地DHCP服务将IP地址分配给虚拟机，并将子网IP修改为：192.168.2.0（“百香果”沙盘中VMnet 2已给定的地址）

4.在本机上对VMnet 2网卡进行设置，设置如下，把IP设置为192.168.2.10/24，网关地址为192.168.2.1。

温馨小提示：这边需要注意的是，当连着有线网络或者无线网络时，会有一条默认路由指向有线网络网关或无线网络网关，同时我们配置VMnet 2，也会生成一条默认路由指向网关FW1，这时候需要注意跃点数问题，因为Windows系统上的路由跃点数越小越优先，因此若出现如下情形时，我们还需配置VMnet 2的跃点数。

配置方式：

5.通过Ping测试，发现可Ping，故配置成功

根据需求配置对应的路由器或防火墙上的相关策略

通过对场景设计需求的分析，需要内网沙盘环境可连接真实互联网进行正常上网，在原先设计中，在R2上可连接ISP，即运营商网络（互联网），但是如果我们直接连接，也无法正常访问，因为没有路由指向ISP，并且也没有外部也没有路由可指向“百香果”内网安全沙盘中，因此这边就需要配置NAT转发策略。接下来呢，就让我们来操作试试看推想是否成立。

1.R2上需再添加一张虚拟网卡。

2.并将该网卡设置为NAT模式。

3.设置后，需要到R2的管理页面中添加该网卡。登录后，点击网络设置-内外网设置-外网网口。

温馨小提示：这边大家也能看到一个空闲的网卡，可说明我们网卡添加成功，若没有则不成功，需要进行排查。

4.选择eth3网卡并绑定

5.由于是NAT模式，默认可自动分配IP地址，故我们无需操作，保存即可。

6.完成上述操作后，还需配置NAT转发策略。点击网络设置-NAT转发-添加，配置动作为转发，线路为wan1，源地址为66.28.0.0/16（因为在公司出口处已做过一轮NAT转发，内网IP均转换为66.28.0.0/16的IP地址，故此处做二次NAT，只需把源地址设为66.28.0.0/16），转发地址为我们自动获取的IP地址：192.168.242.133

效果呈现

1.在斗哥的小本本上访问分公司Web系统。

2.在小斗的办公电脑上访问互联网（以PingDNS：114.114.114.114与访问百度为例）

综上，场景3的模拟成功完成。

0x04 本期小结

想必大家也都看到了，斗哥通过“百香果”内网安全沙盘，模拟了三个经典场景，但它的功效并不止如此，小伙伴们可以自行利用该沙盘去模拟去测试，也欢迎大家给斗哥留言探讨探讨。 后续呢，斗哥也会利用该沙盘去模拟一些经典内网环境，并和大家分享一些关于这些内网环境中的内网渗透的例子。大家敬请期待吧~~~