||| Página inicial
Curso para forex, criptomoedas, ações e contratos futuros Curso de análise fundamentalista de ações - Benjamim Graham Curso de psicologia do trader e investidor usando PNL Provas dos lucros consistentes e diferenciados
Grupo de SinaisPrivacidade Online Softwares Comprar Artigos|Tutoriais|Notícias Depoimentos Quem Somos
Curso de ações, criptomoedas, forex, futuros, análise técnica e fundamentalista e outros grátis Psicologia do trader grátis - PNL e submodalidades Estratégias de day trade
Contato
Facebook Youtube Youtube 2 Twitter Instagram Grupo Telegram
Doar

QEMU-KVM Rede Bridge Macvtap - ITP logo
configurar rede bridge macvtap virt manager qemu

Aprenda Configurar KVM Virt Manager no Modo Bridge Macvtap no Linux


Diferenças entre o modo Macvtap e o modo 100% Bridge

O modo NAT, que você aprendeu no primeiro tutorial do Virt-Manager, é um modo que cria uma rede NAT dentro do host por meio de um switch virtual do Virt-Manager! O modo Macvtap é semelhante ao modo Bridge, pois ele usará o gateway padrão do seu host, que pode ser um roteador ou switch físico, e conseguirá escanear e ter contato com os computadores da mesma rede do host, exceto com o próprio host! No entanto, diferente do modo 100% Bridge, não se usa uma bridge, mas sim uma interface de rede física do próprio host, seja Wi-Fi ou Ethernet. No modo Bridge, a VM pode escanear e se comunicar com o host e todos os dispositivos da rede!

No nosso exemplo, usaremos a interface física! Neste tutorial, você aprenderá como fazer isso manualmente e também como usar nossa CLI de gestão e anonimato para o Virt-Manager!

A vantagem do modo Macvtap é a segurança para operações de anonimato ou sensíveis. Caso a VM seja hackeada, se o atacante conseguir sair da VM, ainda encontrará a barreira da rede Macvtap, que impede a comunicação com o host, dificultando a invasão do sistema! Você pode usar esse modo para isolar aplicativos na VM, como aqueles que podem ser vulneráveis a ataques de zero-click, por exemplo. Assim, além da segurança da VM, você terá o isolamento adicional da rede Macvtap entre o host e a VM!

No modo Macvtap, não é possível realizar testes de penetração no próprio host através de uma VM rodando nele, sem precisar de uma máquina física adicional na rede, pois o Macvtap impede que a VM enxergue e se comunique com o host!


Mac Spoofing Secreto em Modo Bridge, Macvtap ou Route no Virt-Manager

No Virt-Manager, ao utilizar o Mac Spoofing no modo Bridge, Macvtap ou Route, não é possível alterar o MAC diretamente pela VM, como no exemplo de ligar o Debian e usar o Mac Spoofing com o Macchanger. Isso ocorre porque, nos modos Bridge e Macvtap, o MAC da VM é fixado no arquivo XML da máquina virtual, localizado em:

/etc/libvirt/qemu

Para realizar o Mac Spoofing, basta acessar os arquivos XML das máquinas virtuais, procurar pela tag <mac address> e modificar o MAC address por um falsificado, para camuflar a identidade da sua VM nas redes e impedir o monitoramento do seu MAC real por ISPs ou sniffers.

O MAC gerado automaticamente pelo Virt-Manager será aleatório, o que, embora não seja um MAC real, ainda é um metadado que pode chamar a atenção de administradores de rede ou ISPs que utilizam sniffers para monitorar esses dados. Para evitar que sua máquina virtual seja identificada como uma VM, você pode falsificar o MAC address usando um endereço de fabricante legítimo, de forma a se camuflar como um dispositivo real, como por exemplo, em uma rede de hotel.

Exemplo: se a maioria dos dispositivos em um hotel estiver usando iOS, você pode gerar um MAC da Apple, modificar o arquivo .xml da VM com esse MAC e, ao reiniciar a rede e o Virt-Manager, sua VM parecerá um dispositivo iOS, embora esteja executando um sistema operacional como Linux ou outro SO de anonimato para operações sensíveis, como transações com criptomoedas.

Para gerar um MAC falsificado, você pode utilizar ferramentas como o mullvad-mac-ram (mais avançado, com sandbox anti-forense e amnésico) ou a versão mais simples, mac-random.html, que pode ser baixada em: Gerador de MAC Address Amnésico.

Por exemplo, se você criou uma máquina virtual chamada "Ubuntu", o arquivo correspondente estará em /etc/libvirt/qemu/ubuntu.xml. Para modificar o MAC address, siga os passos abaixo:

  1. Abra o terminal como root:
    2. cd /etc/libvirt/qemu
  2. Edite o arquivo XML da VM:
    3. sudo nano ubuntu.xml
  3. Pressione Control + W para procurar e digite <mac address , em seguida pressione Enter.
  4. Substitua o MAC address existente pelo MAC falsificado que você gerou com a ferramenta de spoofing.
  5. Para salvar as alterações, pressione Control + O, depois Enter.
  6. Saia do editor com Control + X.
  7. Por fim, reinicie o Virt-Manager para aplicar o novo MAC spoofado e garantir o anonimato da sua VM.
  8. Atenção: Falsificar seus MACs é uma questão de segurança! ISPs, administradores de redes, governos ou hackers podem vender ou vazar seu MAC real para se passar por você em ataques criminosos ou para lhe incriminar! O spoofing de MAC também é uma defesa!

Parar os serviços do Virt-Manager
sudo systemctl stop libvirtd.socket
sudo systemctl stop libvirtd-admin.socket
sudo systemctl stop libvirtd-ro.socket
sudo systemctl stop libvirtd

Reiniciar o serviço libvirtd
sudo systemctl stop libvirtd
sudo systemctl disable libvirtd
sudo systemctl enable libvirtd
sudo systemctl start libvirtd
sudo systemctl restart libvirtd
sudo systemctl status libvirtd

Iniciar novamente os serviços do Virt-Manager
sudo systemctl start libvirtd.socket
sudo systemctl start libvirtd-admin.socket
sudo systemctl start libvirtd-ro.socket
sudo systemctl restart libvirtd.socket
sudo systemctl restart libvirtd-admin.socket
sudo systemctl restart libvirtd-ro.socket


Configuração manual de rede Bridge com MacVTap no KVM Virt Manager

Antes, selecione a interface de rede Ethernet física que seu Linux host está usando para se comunicar na rede e na internet!

Use os comandos nmcli ou ip addr.

O output de nmcli será mais ou menos assim:

Nesse exemplo, a interface física é a eth0, mas poderia ser outro nome. Cada host e marca de PC aparecerá com um nome diferente! Escolha o que corresponde ao seu caso.

Crie um arquivo do tipo .xml.

Você pode usar um arquivo de texto, colocar os dados e depois renomeá-lo com a extensão .xml, ou no terminal, use os comandos:

Adicione o seguinte conteúdo ao arquivo, substituindo interface_substitua pela sua interface (no exemplo, é eth0):

<network>
  <name>macvtap</name>
  <forward mode="bridge">
    <interface dev="interface_substitua"/>
  </forward>
</network>

Após substituir, o arquivo ficará assim:

<network>
  <name>macvtap</name>
  <forward mode="bridge">
    <interface dev="eth0"/>
  </forward>
</network>

Control + O para salvar e Control + X para sair.

Execute os seguintes comandos:

Opcional: Para sempre se auto conectar quando ocorrer reboot da máquina, execute:

Pronto, o modo MacVTap está pronto!


Configurando a VM para entrar no modo Bridge Macvtap

Inicie o Virt Manager com o seguinte comando:

Escolha a máquina virtual que deseja usar o Macvtap.

Clique duas vezes nela ou selecione Open ou Abrir.

Vá em Ver (ou See).

Selecione a opção Detalhes (ou Details).

Vá até a opção NIC:

Clique em Aplicar (ou Apply).

Em seguida, vá em Ver (ou See), depois em Console.

Agora, dê o start na máquina virtual.

Checando...

Se você estiver conectado na rede por um roteador com IP 192.168.0.1, execute o comando:

No output, deverá aparecer algo como:

Ou seja, você está conectado ao roteador e poderá visualizar os computadores na rede, escaneá-los, se comunicar via SSH, compartilhar arquivos, etc., e até realizar testes de segurança na rede. Porém, o seu host é o único dispositivo que você não poderá ver ou interagir, devido ao modo MacVtap!


Teste se o Macvtap está funcionando Atacando com Nmap Scanner

Se você for escanear a rede com o Nmap, pode instalá-lo com o seguinte comando:

Após a instalação, você verá que o Nmap consegue escanear os dispositivos da rede, exceto o host!

No seu host, abra o terminal para checar o seu IP com o comando:

Na máquina virtual, instale o Nmap e execute o seguinte comando para verificar o IP da rede:

O que aparecer com ip/algum_número será o IP da rede e a máscara de rede em CIDR.

Por exemplo, para um roteador com o IP 192.168.0.1, a rede ficará 192.168.0.0/24.

Agora, use o comando:

No resultado, você não encontrará o IP do host!

Do host, se você usar o mesmo comando, o IP da VM também não será checado com o Nmap, atacando a rede!

Isso serve para testar o modo Macvtap como uma defesa cibernética, usando o isolamento pela rede entre o host e a VM! Por exemplo, ao operar aplicativos como Telegram ou Signal em uma VM configurada com Macvtap, se um atacante tentar realizar um ataque de zero clique (que não tem defesa), e ele conseguir sair da VM para atacar o host, a rede Macvtap o impedirá!


Suit CLI de gerenciamento e anonimato da VM Virt Manager

Todo esse processo complexo é automatizado pela nossa CLI de Virt Manager.

Instale no seu Linux a Suit CLI de acordo com as instruções em:

Após instalar, execute o comando:

O output será:

QEMU-KVM Virt-Manager Menu: Network Settings
----------------------------------------------
Choose an option:
1) virt_manager_start
2) virt_manager_stop
3) virt_manager_delete
4) virt_manager_nat
5) virt_manager_default
6) virt_manager_macvtap
7) virt_manager_route
8) virt_bridge
9) virt_mac_spoofing
10) virt_network_spoofing
0) Exit

Ative a opção 1 para iniciar o Virt Manager.

Use a opção 9 para realizar o MAC Spoofing de fabricante, com o objetivo de ocultar metadados contra o ISP e sniffers/scanners de rede em geral! Lembre-se de usar o mac-random.html, conforme ensinado anteriormente.

Use a opção 6 para configurar a rede MacVTap.

Caso não saiba qual interface de rede está utilizando, abra outro terminal e cheque o IP com os seguintes comandos:

Para parar o Virt Manager, use a opção 2, e para reiniciá-lo e confirmar o MAC Spoofing de fabricante na VM, use novamente a opção 1.

Para sair, utilize a opção 0.

Agora, siga o procedimento manual já ensinado anteriormente para colocar sua VM em MacVTap!


Veja os tutoriais sobre NAT e modo 100% BRIDGE para KVM Virt Manager: Clique aqui!

Se inscrever em nossos cursos gravados de anonimidade e segurança online avançados? Clique aqui!

Doar monero para ajudar no crescimento desse projeto: Clique aqui!

Contato:
Clique aqui