Simpel Vlan netwerk aanleggen

Gewoon niet doen. Zeker niet gezien de getoonde kennis in de startpost; jouw router ondersteunt niet eens VLANs dus alles komt daar automatisch weer bij elkaar.

Waarom moet die bak aan het netwerk hangen? Waarom moet 'ie over het modem kunnen? Hoe verwacht je dat jouw ISP reageert als jij (per ongeluk) toch malware test en die gaat via jouw publieke IP naar buiten?

Als je niet zo ervaren bent en je wil dit graag doen kan je misschien beter andere dingen eerst proberen.

Je zou een goedkope switch kunnen pakken (unmanaged) en daar alleen de PC's en apparaten aansluiten die jij wil dat besmet raken. In dit geval heb je dan alleen geen internet.

Je zou ook virtueel kunnen testen en kunnen werken met interne netwerken of bridged netwerken. Dit heeft mijn voorkeur.

Verder ondersteund jou router geen VLAN dus kan je dat niet gebruiken.

Gekkejantje schreef op donderdag 13 juli 2017 @ 14:51:
Je zou ook virtueel kunnen testen en kunnen werken met interne netwerken of bridged netwerken. Dit heeft mijn voorkeur.

Ik zou voor dit soort toepassingen absoluut geen bridged netwerk pakken. Daarmee hangt die geinfecteerde machine effectief gewoon in je eigen netwerk! Beter gebruik je NAT, maar ook dan moet je nog steeds voorzichtig zijn. Host-only is het meest veilige (gewoon geen communicatie), maar dan wordt het ook lastiger om de besmetting binnen te halen...

Standalone, wifi en tetheren via je smartphone. Zo is ie ook mooi geïsoleerd en blijft je internetverbinding buiten schot.

anboni schreef op donderdag 13 juli 2017 @ 14:54:
[...]


Ik zou voor dit soort toepassingen absoluut geen bridged netwerk pakken. Daarmee hangt die geinfecteerde machine effectief gewoon in je eigen netwerk! Beter gebruik je NAT, maar ook dan moet je nog steeds voorzichtig zijn. Host-only is het meest veilige (gewoon geen communicatie), maar dan wordt het ook lastiger om de besmetting binnen te halen...

Had dit inderdaad misschien beter niet hier kunnen neerzetten omdat dit een "onervaren" gebruiker is.

Niks mis mee om routing en vlanning e.d. te willen snappen, maar wees verstandig en doe dat niet met een honeypot. Een brandweerman in opleiding wordt ook niet meteen een vuurzee ingestuurd. Een netwerk met verschillende vlans kun je ook uitproberen met een simpel webservertje in het ene vlan en een browser in het andere.

Een paar termen waarmee je je via Google kunt inlezen: 802.1Q, VLAN trunking, OSI model (wordt wat theoretisch, maar wel nuttig).

En om een virusscanner te testen, kun je prima gebruik maken van EICAR.

mrbamelam1 schreef op donderdag 13 juli 2017 @ 17:27:
Tsja, ik krijg op meerdere fora's te horen: niet doen je bent onervaren. Ja maar waar moet ik dan beginnen?

Ja. Stom he? Zo kom je toch nergens?

Je kunt dit op zich prima doen, maar je hebt wel apparatuur nodig die ondersteunt wat je wilt. Goede VLAN-ondersteuning kom je niet echt tegen in consumentenspullen. Je hebt een switch nodig die VLANs ondersteunt, ten eerste. Daarna heb je ook een router nodig die dat snapt. (Kan in 1 doosje zijn trouwens.) In die router en switch maak je dan 1 vlan voor je malware doos, en een vlan voor je gewone spullen. De firewall in je router stel je vervolgens in zodanig dat de malware doos nergens bij kan behalve wat jij wil dat 'ie kan. Ik zou je aanraden om 'm niet zomaar bij het internet te laten, bijvoorbeeld, behalve om precies dat te doen wat je op 't internet wilt doen zoals bijvoorbeeld software downloaden.

VLAN tagging overigens, is een manier om een ethernet frame van een extra labeltje te voorzien zodat de ontvanger ervan weet bij welk VLAN het hoort. Je kunt daarmee meerdere VLANs over één fysieke kabel sturen, en ze toch nog scheiden.

Je hoeft dit overigens niet per se met VLANs te doen -- je kunt ook gebruik maken van een router met drie of meer fysieke interfaces en er dan één gebruiken voor je netwerk en één voor je malwaredoos (en één voor je internet natuurlijk.) Een ubiquiti EdgeRouter X of Lite bijvoorbeld.

[ Voor 10% gewijzigd door CyBeR op 13-07-2017 17:40 ]

Wederom: als je je malware-machine en de rest van je omgeving over dezelfde internet-verbinding laat lopen: niet handig. Heb je je ideeen al overlegd met je ISP? Of wil je expres het risico lopen dat je zometeen de halve buurt besmet als het over de wijkkast gaat? Neem aan dat je weet dat je VLAN tot je eigen voordoor loopt en daarna "publiekelijk" het internet op gaat?

Ik begrijp ook niet wat je denkt te leren van "malware analyse" als je de hele bende tegen een cloud-solution zoals GravityZone laat praten. Dan analyseert BitDefender namelijk het issue, zet een eventueel virus in quarantine en dan is het weg van je testbak. Handig; ben je dus geen steek verder anders dan dat je virussen op je PC zet.

En, denk dan ook even hier over na: hoe wil je een (besmettelijk) iets binnenhalen over het internet zonder dat het de machine besmet waar het op binnenkomt? Ongeacht of dat de testbak is, een andere VM, een USB-stick aan je router of whatever?

Ik probeer je na te laten denken zodat je misschien ziet/snapt dat jouw infra en jouw kennis hier niet op berekend zijn. En dat je je mogelijk ook niet realiseert wat voor virussen/malware er zijn en van welke onverwachte vulnerabilities ze gebruik maken. Zo zijn er bijvoorbeeld meerdere "keygens" die ineens ongewenst een backdoor in je router prikken.

Zoals ik lees, is de vraag die je stelt eigenlijk gewoon om twee gescheiden netwerken binnen je huis te maken. Of meer specifieker: je wilt je normale apparatuur gescheiden hebben van die malware-testPC, maar waarbij je op die test-PC wel de beschikking hebt over een internetverbinding.

Je hebt het vervolgens over VLANs, maar volgens mij heb je die helemaal niet nodig, en kan je het simpel op de volgende manier opzetten:


Thuisnetwerk ===> router wlr4004 ---> | LAN poort 1 van experiabox
.................................. Malware-PC ---> | LAN poort 2 van experiabox

Uitleg: Je experiabox heeft ook een router en switch ingebouwd.
Die gebruik je om je wlr-router en de malware-PC op aan te sluiten
Alles in je thuisnetwerk hangt vervolgens áchter de ingebouwde firewall/NAT van de wlr-router.
Vanuit je thuisnetwerk/wlr gezien hangt de malware-PC dus aan de WAN / internet kant, en heeft per definitie geen toegang tot alle andere apparaten die in het Thuisnetwerk zitten.
Klaar.
(wel even ervoor zorgen dat je wlr voorzien is van laatste firmware, wachtwoorden ingesteld zijn, en geen management vanaf de WAN poort heeft open staan of zoiets dergelijks)

Oh ja, en je moet de ingebouwde wifi van de experiabox natuurlijk NIET gebruiken om thuis-apparatuur op aan te sluiten. Beste gewoon uitschakelen of zo

[ Voor 8% gewijzigd door BrainCrash op 13-07-2017 18:13 ]

@BrainCrash En hoe heeft de Experiabox (die ik vermoed als DHCP-server) geen connectie van LAN1 naar LAN2? En al zou dat niet zo zijn; welk argument bestaat er om een "continu geinfecteerde machine" aan het WAN aan te sluiten?

@mrbamelam1 Klinkt dom maar bel je ISP eens op en leg je idee voor? Ik wil wel eens weten wat ze erover te zeggen hebben.

Ik snap dat je het een en ander wilt leren en bestuderen maar begin dan alles van netwerken te begrijpen en wat daar gebeurt. Lees je in over malware etc.. vergaar eerst heel veel kennis voordat je begint met een besmette PC want nu weet je waarschijnlijk ook niet waar je hem mee besmet en wat de karakteristieken zijn.
Bedenk wel dat malware etc over het algemeen de meest complexe zaken zijn met veel risico voor jezelf maar ook voor anderen.

MAX3400 schreef op donderdag 13 juli 2017 @ 18:14:
@BrainCrash En hoe heeft de Experiabox (die ik vermoed als DHCP-server) geen connectie van LAN1 naar LAN2? En al zou dat niet zo zijn; welk argument bestaat er om een "continu geinfecteerde machine" aan het WAN aan te sluiten?

@MAX3400
Tuurlijk creeert die experiabox gewoon een local network van LAN1 naar LAN2. Maar de experiabox wordt aangesloten op de WAN poort van de wlr router.. dus LAN verkeer komt niet door de wlr4004 heen richting de rest van zijn thuisnetwerk. (windows filesharing, SMB, etc) tenzij je handmatig poorten op de wlr4004 open gaat zetten.

Verder zou ik zelf persoonlijk ook geen continue geinfecteerde machine aan het internet (of any netwerk whatsoever) hangen, maar ja, ik geef de TS alleen maar een mogelijkheid om de rest van zn apparatuur enigszins veilig te houden,
ik ga niet de TS overtuigen om het niet te doen, als ie per-se zo graag daarmee wil testen.

Overigens moet je als je dit gaat doen ook wel goed vertrouwen hebben in de firewall-capaciteiten van de WLR-router om zeker te weten dat je malware niet gebruik maakt van een security-lek in de wlr-router die de rest van je netwerk veilig moet houden...

[ Voor 12% gewijzigd door BrainCrash op 13-07-2017 18:29 ]

Kan je dit niet gewoon in een virtuele machine doen? Waarbij je het internet eventueel uitzet voor die virtuele machine zodra je de benodigde malware binnen hebt? Zo ging ik altijd in een Virtuele Machine met een ongepatchte Windows XP het internet op om te kijken hoe snel je al rommel kreeg als je ja drukte op dingen.

mrbamelam1 schreef op donderdag 13 juli 2017 @ 17:52:
Dat allemaal via NAT en via Vlans. Da moet dat toch kunnen?

Met goede voorbereiding wel. Veel van dat soort shit wil ook gewoon random meuk op 't internet besmetten. Daar wil jij niet aan meewerken (hoop ik toch), dus je moet goed opletten dat die malware niet zomaar bij het internet kan.

Als ik je een tip mag geven begin dan eerst eens met een software matige router firewall waar je ook verkeer op kan analyseren etc. Zeker zo boeiend en als je inzicht in normaal verkeer krijgt kan je het vreemde ook zien!

Ten eerste, het is goed om te willen leren. En daar willen we je zeker niet voor behoeden. Lees een hoop over VLAN's en koop misschien een simpele switch om het begin te leren (zelf ben ik erg fan van de edgerouter en switches). Er zijn ook virtuele omgevingen waar je dit kan leren. Op school gebruikte wij altijd Cisco packet tracer.

Verder als je het dan toch echt op je thuisnetwerk wil doen. Zorg er dan voor dat je zeker weet dat je het goed gescheiden hebt met firewalls en VLAN's. Misschien kun je dit VLAN ook laten lopen via een VPN zodat KPN hier in ieder geval al geen last van heeft.

Kun je een RouterOS or pfSense in een vm zetten met twee netwerk interfaces, één NAT en één host only?
Dan kun je diverse vm's aan je host only netwerkje knopen, welke via je router/firewall vm aan je echte netwerk vast zitten.

Let wel op dat als de malware bekend is en het internet op wil. Je provider dit gedrag wellicht herkent met geautomatiseerde detectie en je in quarantine zet. Ik zou ook een VPN zoeken.

[ Voor 30% gewijzigd door jeroen3 op 14-07-2017 10:56 ]

Om wat van routering en VLAN's te leren zou ik je aanraden een Edgerouter X 5 poorten met veel mogelijkheden voor VLAN's etc zijn niet duur. Anders oude PC met Pfsense of iets anders erop persoonlijk ben ik fan van ClearOS maar dat is meer server gateway opties en minder VLAN's. Kortom er is genoeg om mee te spelen en te leren. Succes.

jeroen3 schreef op vrijdag 14 juli 2017 @ 10:53:
Kun je een RouterOS or pfSense in een vm zetten met twee netwerk interfaces, één NAT en één host only?
Dan kun je diverse vm's aan je host only netwerkje knopen, welke via je router/firewall vm aan je echte netwerk vast zitten.

Inderdaad. Er is geen enkele reden om hiervoor hardware aan te schaffen, virtueel is nog praktischer ook.

Let wel op dat als de malware bekend is en het internet op wil. Je provider dit gedrag wellicht herkent met geautomatiseerde detectie en je in quarantine zet. Ik zou ook een VPN zoeken.

En dit is ook een hele goede. Absoluut een VPN of Tor-uplink gebruiken.