Creación de un Laboratorio

La utilización de Máquinas Virtuales ofrece varias ventajas sobre los equipos dedicados:

  • Se pueden utilizar simultáneamente varias Máquinas Virtuales disponiendo de un único equipo físico. Además, configurarlas es bastante sencillo: es posible cambiar la cantidad de memoria asignada, cambiar la configuración de la red, agregar discos duros virtuales y asignar más núcleos del procesador de manera gráfica.
  • Las Máquinas Virtuales se pueden duplicar de manera rápida y sencilla, de manera que es posible generar varias VM nuevas con las mismas características que una ya existente. 
  • Las Máquinas Virtuales se pueden exportar, tanto de manera individual como en conjunto, de modo que se puedan instalar de manera sencilla en otro equipo.
  • Los sistemas de virtualización permiten tomar instantáneas del estado en que se encuentra una Máquina Virtual, de modo que se pueda revertir en caso de no querer guardar los cambios realizados o se haya producido algún problema.

Con respecto al hardware necesario para trabajar con Máquinas Virtuales, es muy recomendable disponer de un equipo con un buen procesador y con una buena cantidad de memoria RAM, sobre todo si se va a trabajar con varias Máquinas Virtuales simultáneamente. Existen diversas alternativas para virtualizar;

  • VMWare Workstation.
  • Hyper-V.
  • VirtualBox (La que utilizaremos).

La instalación es sencilla, basta con descargar la versión adecuada para el host que se utilice y seguir los pasos indicados en el sitio web de VirtualBox (https://www.virtualbox.org/wiki/Downloads).

CONFIGURACIÓN DE UNA VM OFENSIVA

La forma más simple de preparar una máquina ofensiva es utilizar una distribución de seguridad. Una de las más extendidas es Kali Linux, que está disponible en distintos formatos. Aunque se pueden descargar Máquinas Virtuales preconfiguradas para utilizar en VMWare y VirtualBox es recomendable descargar la imagen ISO aunque el proceso sea más largo, puesto que con esta imagen se podrá instalar Kali directamente en el equipo o crear una Máquina Virtual propia, evitando futuras molestias con las redes o con las distribuciones del teclado, entre otras.

Se descargará del repositorio oficial de Kali (https://www.kali.org/downloads/) una de las imágenes denominadas installer, de 32 o 64 bits.

  • Una vez descargada la imagen ISO se creará una nueva Máquina Virtual en VirtualBox cuando se abra la ventana emergente se introducirá el nombre y el tipo de Sistema Operativo.


  • En el siguiente paso se indicará la memoria RAM y la cantidad de Nucleos de Procesamiento que se quiere dar a la Máquina Virtual. La cantidad dependerá tanto de la memoria disponible y de nucleos en el host como del número de Máquinas Virtuales que se quieran utilizar de manera simultánea. Para una distribución Kali Linux de 64 bits con 2 GB y 2 Nucleos serian más que suficientes para obtener un buen rendimiento, aunque se podría recortar en caso de necesidad.

  • En el tercer paso se indicará si se quiere utilizar un disco duro existente o crear uno nuevo. Lo normal en una instalación limpia será crear uno nuevo. Aunque VirtualBox indique que el tamaño recomendado es de 8GB, es recomendable asignar un tamaño mayor. Con 240 GB dinámicos es más que suficiente para esta distribución. El resto de las opciones se pueden dejar con sus valores por defecto.


Una vez creada la estructura de la Máquina Virtual, es necesario configurar la red e indicar dónde se ubica la imagen ISO para la instalación.
 




El siguiente paso a dar una vez finalizada la configuración de la Máquina Virtual es la instalación del sistema operativo en la misma.

CONFIGURACIÓN DE UN LABORATORIO

A la hora de practicar las acciones de pentesting es necesario disponer de un laboratorio con distintos equipos, de modo que se disponga de distintos Sistemas Operativos y aplicaciones con vulnerabilidades diferentes. Dado que montar un laboratorio con equipos físicos seria muy costoso y dificil de mantener, es bastante habitual optar por la virtualización, puesto que con unos recursos más limitados se puede disponer de equipos suficientes para practicar, con la ventaja añadida de que si se dañan se pueden revertir al estado inicial sin tener que reinstalarlos desde cero.

Existen plataformas que ponen a disposición del público entornos virtuales en los que practicar. Esta seria la mejor opción de cara a practicar, dado que suelen ir notando las Máquinas Virtuales con cierta regularidad y, además, algunas de ellas proporcionan laboratorios que simulan redes, de modo que se puede utilizar un equipo vulnerado para pivotar y acceder a la red interna hasta lograr tomar el control de todos los equipos. Corno inconveniente principal, estos entornos son generalmente de pago, salvo pases temporales o laboratorios reducidos, por lo que hay que habrá que considerar si el presupuesto permite optar por esta opción.

Las posibilidades son múltiples: se pueden utilizar Máquinas Virtuales independientes descargadas de internet o crear Máquinas Virtuales propias, utilizando aplicaciones y/o configuraciones vulnerables; se puede crear un laboratorio con varios equipos en una misma red para practicar los movimientos laterales o, incluso, crear un dominio Windows con su controlador de dominio y diferentes servidores y clientes. La limitación en este caso viene dada por el procesador y por la cantidad de memoria disponible en el equipo utilizado, aparte de por el presupuesto disponible para las licencias de Windows, si se opta por esta opción.

Repositorios de máquinas vulnerables:
  • https://thehackerslabs.com/
  • https://vulnyx.com/
  • https://www.vulnhub.com/
  • https://dockerlabs.es/#/
  • https://bugbountylabs.com/
Una vez configurado el laboratorio con la Máquina Virtual atacante y las Máquinas Virtuales vulnerables se puede comenzar a practicar.
 
¡¡¡Happy Hacking!!!