Por ejemplo, en Ubuntu / Fedora: si tengo instalado VirtualBox y ejecuto invitados, ¿cómo puedo hacer que a un atacante le resulte más difícil acceder al host de VirtualBox desde los invitados de VirtualBox?
ej.:
- Si configuramos la tarjeta de red NATed en Vbox, entonces el invitado de Vbox no puede ver el host de Vbox en su red, en Layer3 & Layer2, hurray!
Aquí hay algunos pasos básicos que sigo cuando estoy probando en un entorno virtual.
Paso uno: use un sistema operativo que sea diferente al que se virtualiza. Si está ejecutando máquinas virtuales Linux, use la instalación de Windows VirtualBox. Nota: nunca he visto evidencia real de que esto ayude, pero siempre lo he hecho simplemente para permanecer en el lado seguro.
Paso dos: No tengo tanta experiencia con VirtaulBox en particular con esto, pero asegúrate de desactivar los directorios compartidos de host / cliente, no instales VirtualBox Additions en el host, y configure cualquier otra opción disponible que ayude a segregar / sandbox la máquina virtual.
Paso tres: configura correctamente tu red. Asegúrese de que, como mínimo, la subred del host y la subred de la VM estén segmentadas. Por segmentación me refiero a que es seguridad y controles entre las dos redes (es decir, firewall, acls, etc.). Uno puede incluso llevarlo tan lejos como para no interconectar permanentemente la máquina host; Configure una NIC como administración que no esté conectada hasta que necesite realmente conectarse con el hipervisor y conectar las máquinas virtuales a través de otras NIC.
Esto es bastante universal para cualquier entorno virtual. Algo más que haría es investigar las vulnerabilidades de VirtualBox. ¿Puedes encontrar exploits que te permitan administrar el host a través del huésped? ¿Explotaciones que le permiten entrar en una terminal / consola host? etc? Si encuentra estas vulnerabilidades, configure el entorno virtual "endurecido" y luego inténtelo; mira si funcionan.
El resto depende de lo que quieras hacer con la máquina. Si solo desea que sea lo más seguro posible, la mayor parte del trabajo será en el lado invitado del rompecabezas, asegurándose de que el sistema operativo sea seguro. Si desea configurar un laboratorio de prueba de la pluma, esos pasos deberían dejarlo en un buen lugar para comenzar a analizar algunos escenarios. Si quiere decirnos en particular en qué estaba pensando, podemos brindarle más ayuda.
Lea otras preguntas en las etiquetas virtualization hardening