EVE-NG

При тестировании средств безопасности, а также при обучении персонала сценариям атак и защиты сетевой инфраструктуры не обойтись без средств виртуализации. Часто для этого изобретают велосипед, сооружая жуткое нагромождение из виртуальных машин и всевозможного софта. Мы же пойдем иным путем: настроим платформу эмуляции на базе EVE-NG и создадим на ее основе универсальный масштабируемый киберполигон, позволяющий оттачивать свои навыки сетевикам и безопасникам.

Идея попробовать современную платформу эмуляции возникла, когда я наблюдал за работой команды инженеров кибербезопасности. Они часто занимаются изучением, развертыванием, интеграцией и тестированием разных продуктов. Вендоров и решений — огромное количество, но значительная их часть вращается вокруг защиты одних и тех же ключевых систем, некой стандартной корпоративной инфраструктуры: рабочих станций, серверов AD, файловых шар, почтовых серверов, веб‑серверов, серверов баз данных. Также в любой инфраструктуре присутствует некая стандартная иерархия групп пользователей, сетевая сегментация, набор ПО и сетевое оборудование в виде коммутаторов, маршрутизаторов, файрволов.

Задачи по интеграции, как правило, тоже типичные: настроить авторизацию через AD/Radius, подружить с почтой, раскатать агентов, собрать кластер, подать зеркалированный трафик, отправлять аналитикам логи или флоу. Практика показывает, что без стандартизированного подхода каждый инженер со временем нагородит себе подобную инфраструктуру, и каждый — со своим блек‑джеком. В результате получается целый зоопарк по‑разному сконфигурированных виртуалок, на которых крутится непонятно что. Просто взять и быстро заюзать такие ВМ другой член команды, скорее всего, не сможет.

Помимо разбросанных на разных ESXi-хостах «личных» ВМ, для тестирования файрволов, запуска малвари и прочих задач требуются сегментированные сети, поэтому в такой инфраструктуре порой встречаются еще и порт‑группы. Они необходимы только для лаборатории, но по факту ходят в интернет через продакшен‑инфраструктуру. После увольнения инженера подобные виртуалки просто убиваются вместе со всем «накопленным опытом». Короче говоря, такой подход казался мне совсем не эффективным, тем более в нем не используются некоторые фичи и гибкость VMware. Я решил стандартизировать процесс, а заодно протестировать платформу эмуляции.

ВЫБОР ПЛАТФОРМЫ

Под наши нужды была выбрана платформа EVE-NG Community Edition — это форк известного UNetLab, который больше не поддерживается. Данное решение очень любят сетевики, и действительно есть за что. Ты только посмотри на примеры сетевых топологий с кластерами и BGP!

Топология BGP

Однако она создана не только для сетевиков: возможности ее использования практически безграничны, они зависят исключительно от фантазии и имеющихся знаний. Для работы нам требовался веб‑интерфейс, а у конкурентов он присутствовал на момент выбора только в GNS3, да и то в бете. Обо всех фичах EVE-NG, включая версию Professional и Learning Center, в которых есть Docker и поддержка кластеризации, ты можешь прочитать на официальном сайте, я же расскажу о ключевых возможностях.

QEMU/KVM. В данной связке QEMU выступает в роли эмулятора железа, он достаточно гибок и может запускать код, написанный для одной архитектуры процессора, на другой (ARM на x86 или PPC на ARM). KVM же, в свою очередь, позволяет достигать высокой производительности благодаря виртуализации с аппаратной поддержкой, такой как Intel VT-x и AMD-V.
IOU/IOL и Dynamips. Поддержка стареньких, но вполне рабочих коммутаторов и маршрутизаторов Cisco.
Оптимизация памяти UKSM в ядре. При одновременном использовании однообразных ВМ позволяет дедуплицировать память и тем самым существенно снизить расход RAM.
Полноценный веб‑интерфейс на HTML5.
Многопользовательский режим для одновременной работы различных виртуальных лабораторий.
Взаимодействие с «настоящей» сетью.

УСТАНОВКА

Мы развернули «Еву» на железе (bare metal). Для такого типа установки предъявляются следующие системные требования: ЦПУ — Intel Xeon CPU supporting Intel® VT-x with Extended Page Tables (EPT), ОС — Ubuntu Server 16.04.4 LTS x64.

Все остальное зависит от предполагаемой нагрузки: тут чем больше, тем лучше, особенно это касается ОЗУ. Если тебя смутила старая версия ОС, то не переживай, она будет поддерживаться до 2024 года. Замечу, что Community-версия обновляется не так часто, как Professional, в которой для установки на железо требуется уже 18.04 LTS. Если же ты весь такой в облаках, то имей в виду, что EVE-NG официально поддерживает GCP.

INFO

Знаешь ли ты, что в GCP (Azure, Яндексе) новый пользователь может получить 300 долларов в виде бесплатных кредитов для тестирования сервисов, например для запуска ВМ? И что, помимо этого, в GCP есть «вытесняемые ВМ»? Это такие виртуалки, которые стоят в 3–4 раза дешевле обычных, но живут максимум 24 часа или меньше: если облаку потребуются ресурсы, которые занимает эта ВМ, оно ее грохнет.

К сожалению, политика Google изменилась, и бесплатные кредиты нельзя тратить на вытесняемые ВМ, но, если вдруг когда‑нибудь тебе потребуется 128 RAM в облаке и задешево, ты знаешь, что делать! 😉

Мы же сейчас с тобой рассмотрим вариант быстрого знакомства с платформой, развернув ее на ноутбуке с VMware Workstation. Поддерживается только VMware, включая Player и ESXi. Но в любом случае следует понимать, что вложенная (nested) виртуализация (это когда виртуалка работает внутри другой виртуалки) может плохо влиять на производительность. Также твой ЦПУ должен поддерживать технологии аппаратной виртуализации, такие как Intel VT-x и AMD-V. Не забудь проверить, включены ли они в BIOS.

Интересно, что про поддержку AMD в Community-версии официально не сообщается, а вот в документации к Professional производители уже написали, что поддерживают последние версии процессоров. Как бы то ни было, я развернул Community-версию на процессоре AMD Ryzen 5 4600H без каких‑либо проблем.

Если ты используешь в качестве хостовой ОС Windows, тебе следует помнить кое‑что о роли Hyper-V, в частности в Windows 10. Вот что об этом написано на сайте Microsoft:

We introduced a number of features that utilize the Windows Hypervisior. These include security enhancements like Windows Defender Credential Guard, Windows Defender Application Guard, and Virtualization Based Security as well as developer features like Windows Containers and WSL 2.

Помимо самой ОС и ее фич, эту службу может использовать еще и Docker Desktop. Из‑за этого до версии 15.5 включительно VMware Workstation (как и VirtualBox) вообще не работала на хосте с включенной ролью Hyper-V. Коллаборация Microsoft и VMware позволила все же сделать интеграцию Workstation с WHP через API, благодаря чему появилось рабочее решение. Но, к сожалению, помимо того, что такая связка стала медленней работать, имеется главное ограничение, а именно — функции Intel VT-x / AMD-V недоступны для гостевых ВМ. Служба Hyper-V эксклюзивно использует VT-x, ограничивая к нему доступ другим гипервизорам.

Поэтому, если на твоем хосте включена роль Hyper-V, проанализируй, для чего она используется, и при возможности отключи ее. Если это невозможно, используй другой ПК, сервер или облако.

Я рекомендую качнуть сразу книгу рецептов EVE-NG в формате PDF. В ней содержится исчерпывающее руководство по всему проекту, от А до Я.

Итак, для быстрого развертывания мы скачаем ZIP-архив с OVF-образом, распакуем архив и двойным щелчком мыши по EVE-COMM-VM.ovf импортируем его в Workstation.

Импорт OVF

Откроем свойства, добавим при необходимости памяти и процессоров. Убедись, что у тебя стоит галочка Virtualize Intel VT-x/EPT or AMD-V/RVI в группе настроек Virtualization engine. Без нее EVE-NG будет загружаться сама, можно открывать и создавать лаборатории, но ВМ внутри лаборатории запускаться не будут.

Свойства ВМ

Для наглядности мы выберем режим Bridgedу сетевого адаптера, тем самым наши ВМ внутри лаборатории станут доступны напрямую в локальной сети.

РАБОТА С ПЛАТФОРМОЙ

Запускаем EVE-VM в Workstation. После успешной загрузки ты получишь приглашение на ввод пароля.

Приглашение на ввод пароля

Логинимся, используя стандартную учетку root/eve для консоли.

Далее отвечаем на стандартные вопросы по настройке ОС, такие как:

New root password;
Hostname;
DNS domain name;
DHCP/Static IP address;
NTP Server;
Proxy Server configuration.

После ответа на последний вопрос система автоматически перезагрузится. По завершении перезагрузки открываем веб‑интерфейс по IP-адресу, указанному в консоли ВМ, и логинимся, используя учетку admin/eve.

Консоли управления

По большей части вся работа с платформой выполняется через веб‑интерфейс. По SSH подключаться к «Еве» приходится лишь изредка, например для подготовки образов. Существует два варианта подключения к монитору ВМ: через нативные приложения или консоль HTML5. При выборе нативной консоли на ПК, с которого открыт веб‑интерфейс, должны быть установлены приложения для удаленного доступа и Wireshark. Набор софта разнится в зависимости от ОС, а также требуется некоторый тюнинг реестра, поэтому рекомендуется использовать Windows/Linux/Apple Client Side Integration Pack, содержащий все необходимое, включая скрипты для конфигурации.

При использовании же консоли HTML5 все управление ведется полностью через браузер. Консоль работает на Apache Guacamole, как во многих современных вендорных лабораториях.

После логина мы попадаем в некий файловый менеджер, где у нас хранятся файлы лабораторий. Сначала я покажу тебе готовую корпоративную лабораторию, а потом мы создадим для примера свою. Отмечу лишь, что для лучшего визуального отображения многие соединения на этой схеме были изменены или вовсе удалены.

Открыть лабораторию

По своей сути файл лаборатории — это конфиг в формате XML, описывающий конфигурацию нод, их расположение на поле, соединения и прочее. Ноды — это объекты ВМ, которые могут быть образами IOL/Dynamips/QEMU. Лабы можно клонировать, экспортировать и импортировать прямо через веб‑интерфейс.

Конфиг лаборатории

При открытии лаборатории демонстрируется вид топологии, чем‑то похожий на Visio. На этой топологии добавляются и соединяются между собой ноды. Слева в меню находится все, что необходимо для работы, ноды можно запускать сразу все, а можно выборочно.

Вид топологии

В отличие от Visio, при щелчке по значку открывается удаленное подключение к ноде.

Монитор Windows 10

Монитор Kali Linux

Каждая нода имеет свои стандартные настройки ВМ, такие как образ, с которого выполняется загрузка, количество CPU, RAM, Ethernet-портов, аргументы для гипервизора и другое.

Настройки ноды

Настройки ноды, продолжение

СЕТИ

В «Еве» два главных вида сетей: мост и интерфейс управления. В основном тебе придется щелкать мышью на нодах и выбирать порты источника и назначения. Это как раз одна из причин, по которым сетевикам так нравится «Ева»: в ESXi, например, для «чистых» соединений point-to-point требуется создавать отдельный vSwitch и порт‑группу, что отнимает кучу времени и сил.

Соединение нод

Сеть в режиме моста действует как неуправляемый коммутатор. Она поддерживает передачу помеченных пакетов dot1q. Это может быть необходимо, когда нам нужно соединить множество узлов в плоскую (dot1q) сеть без использования образа сетевого устройства. Получится полностью изолированная виртуальная сеть.

Сеть в режиме моста

Второй вариант сети называется «сеть управления» с именами Cloud0/Pnet0. Этот интерфейс настроен в режиме моста с первым сетевым адаптером сервера. Благодаря этому ты можешь сделать ноды доступными напрямую по сети, они будут находиться в том же сетевом сегменте, что и интерфейс управления, и могут взаимодействовать с другими внешними сетями.

Сеть управления

Остальные интерфейсы Cloud* можно связать со вторым и выше портом Ethernet для подключения к другой сети или к устройству. Настраивать на них IP-адрес не требуется. Они будут действовать как чистый мост между твоим внешним соединением и лабораторной нодой.

ОБРАЗЫ

«Ева» поставляется без образов, на борту имеется только Virtual PC с базовой сетевой функциональностью.

Виртуальный ПК

Список поддерживаемых образов на сайте не всегда актуальный, об этом напрямую говорится в документации. Из‑за лицензионных ограничений авторы проекта не могут выкладывать у себя на сайте прямые ссылки на образы, но на практике любой образ можно найти на торрентах. А если ты работаешь в интеграторе, так это вообще не проблема.

Образы Dynamips/IOL

С образами сетевых устройств Dynamips/IOL почти ничего делать не нужно, кроме выяснения значения IDLE PC и создания файла лицензии. К сожалению, не все функции этих сетевых устройств поддерживаются. Их конфиги хранятся в отдельном месте, в меню startup-configs и в NVRAM, а не в самом файле образа. NVRAM используется как постоянное хранилище с возможностью записи для начальной конфигурации. В процессе загрузки нода всегда будет проверять NVRAM на наличие сохраненной конфигурации.

Загрузочные конфиги

Процесс загрузки таких образов изображен на следующей схеме и в целом понятен без дополнительных пояснений.

Порядок загрузки конфигов

Образы QEMU/KVM

Все остальные системы будут работать в виде QEMU-образов. Особенность работы этих образов в «Еве» заключается в том, что сначала создается некий базовый образ, а при запуске и работе ВМ все изменения пишутся в отдельный файл. Это можно расценивать как своего рода снапшоты, привязанные к отдельным пользователям.

Такой механизм очень удобен при групповом обучении, когда несколько инженеров делают параллельно одну лабораторную работу: изменение настроек в образе у одного пользователя никак не влияет на остальных. Если образ стал неработоспособным вследствие неправильных настроек и на поиск проблемы нет времени, можно нажать кнопку Wipe (Wipe all nodes), и образ в лаборатории у конкретного пользователя вернется к состоянию базового.

Помимо прочего, такая схема также решает проблему лицензирования — нужна только одна лицензия. Параметры, к которым привязываются лицензии, не меняются, как это происходит, например, при клонировании в ESXi.

Крупные вендоры обычно предоставляют несколько вариантов образов своих ВМ: VMware, KVM, Hyper-V. Но если готового образа нет, его можно создать или сконвертировать из имеющегося.

Конвертация образа

Для конвертации образа необходимо использовать консольную утилиту qemu-img, уже установленную в «Еве». Только имей в виду, что qemu-img и /opt/qemu/bin/qemu-img — разных версий, поэтому используй полный путь, как указано в документации.

Например, эта команда конвертирует образ VMware в образ QEMU:

$ /opt/qemu/bin/qemu-img convert -f vmdk -O qcow2 image.vmdk image.qcow2

Остальные форматы и аргументы для конвертации смотри в таблице:

QCOW2 (KVM, Xen)

qcow2

QED (KVM)

qed

raw

raw

VDI (VirtualBox)

vdi

VHD (Hyper-V)

vpc

VMDK (VMware)

vmdk

Создание своего образа

При создании своего образа следует руководствоваться правилами именования папок и образов диска, так как система к ним чувствительна.

Корневая директория для образов — /opt/unetlab/addons/qemu/. В качестве примера рассмотрим создание своего образа на базе дистрибутива Kali Linux. Для этого скачаем установочный образ kali-linux-2021.2-installer-netinst-amd64.iso.

Создай директорию на сервере «Евы»:
$ mkdir /opt/unetlab/addons/qemu/linux-kali/
Перенеси установочный образ kali-linux-2021.2-installer-netinst-amd64.iso на сервер «Евы» в папку /opt/unetlab/addons/qemu/linux-kali/.
Переименуй установочный образ в cdrom.iso:
$ mv kali-linux-2021.2-installer-netinst-amd64.iso cdrom.iso
Находясь в той же папке, создай новый файл диска HDD. В примере указан размер 30 Гбайт — ты можешь задать любой:
$ /opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 30G
Создай или открой лабораторию через веб‑интерфейс, добавь новую ноду, подключив ее к сети, если необходимо наличие интернета для установки.
Запусти ноду, открой ее и продолжай процесс установки как обычно.
После завершения установки перезагрузись и выключи ноду изнутри стандартными средствами ОС, после чего удали файл cdrom.iso.

Если ты посмотришь на размер файла /opt/unetlab/addons/qemu/linux-kali/virtioa.qcow2, то увидишь, что он не изменился и остался пустым.

Размер базового образа

Это произошло потому, что все изменения в процессе работы ноды записываются в отдельный файл по пути /opt/unetlab/tmp/PodID/UUID/NodeID. Если ты сделал изменения внутри ноды, установил софт или залил файлы и хочешь эти изменения внести в базовый образ, то сделать это можно способом, описанным ниже.

Внесение изменений в базовый образ

Выключи ноду изнутри стандартными средствами ОС, в веб‑интерфейсе «Евы» щелкни правой кнопкой мыши на ноде. В круглых скобках ты увидишь число. Это Node ID, запиши его — в нашем примере это 2.

ID ноды

Слева в меню открой пункт Lab Detailsи запиши ID, в этом примере — 6393e2df-501f-405c-b602-2e9a080f72f1.

ID лаборатории

Закрой лабу и перейди в Management/User Management. Найди своего пользователя и запиши его значение POD. У админа это значение по умолчанию 0.
Перейди по пути /opt/unetlab/tmp/PodID/UUID/NodeID, подставив свои значения:
$ cd /opt/unetlab/tmp/0/6393e2df-501f-405c-b602-2e9a080f72f1/2/
Как видишь, файл диска с изменениями в этой папке занимает 3,1 Гбайт.

Размер временного образа

Выполни команду, указав имя файла диска:
$ /opt/qemu/bin/qemu-img commit virtioa.qcow2

Если все прошло успешно, ты получишь сообщение Image comitted. Проверив файлы, ты сможешь убедиться, что изменения из временной папки переехали в базовый образ.

Образ переехал

Теперь при включении ноды linux-kali любым из пользователей будет загружаться файл базового образа диска. Это была инструкция из официальной документации, но на практике ее использование вызывало проблемы, которые я опишу далее.

Сканирование портов Windows с Kali

Порт открыт, и имеется подробная информация о хосте. Проверять сетевую связность с VPC2 и VPC3 мы не станем, они нам нужны лишь для массовки, чтобы показать, как можно добиться построения сети L2 (в которой больше двух узлов), используя объект network и эмуляцию сетевого оборудования.