Kali Linux + Whonix Gateway con VirtualBox y puesta a punto

"Atención: mi SO host es Xubuntu 14.04 y la info debería valer para cualquier SO basado en Debian. Los que usen Windows como host me imagino que podrán seguir este tuto, pero si se presenta algún problema aquí no podrán resolverlo" Hay varia info en inglés sobre esto y no es un tema complicado. Lo que pretendo con el post es resolver diversos fallos producidos por una mala configuración del Gateway o de nuestro Kali Linux que como Work Station no direcciona bien las conexiones. El ejemplo más claro lo tenemos con nmap, que ante cualquier escaneo siempre nos mostrará todos los puertos abiertos por no haber una redirección correcta a nuestro proxy gateway (en este caso Whonix). Si habeis dado con este post me imgaino que ya conocereis qué es Whonix: a grandes rasgos es un SO linux virtualizado (en este caso con VirtualBox, VB a partir de ahora) conectado a través de la red Tor y que nos ofrecerá un entorno completamente aislado y anónimo para nuestro Work Station (en este caso Kali Linux). La velocidad de conexión puede llegar a verse reducida, pues toda la información viaja por diferentes nodos antes de llegar a su destino, enmascarando así nuestra IP. Usando Whonix como Gateway filtramos a través de la red Tor todas las aplicaciones de pentesting que usemos con Kali Linux. Dicho esto, y sin más dilación, vamos al lío: 1. Descargamos Whonix Gateway desde su página https://www.whonix.org/wiki/Download#Install_Whonix. Este enlace es buenísimo para cualquier duda que tengamos durante-post instalación. No nos hace falta el Work Station, pues usaremos Kali Linux. 2. Importamos la imagen descargada con VB. Seguimos los pasos de la wiki de Whonix https://www.whonix.org/wiki/VirtualBox. (Recordad no hacer los pasos de la Work Station...) 3. Iniciamos la Whonix Gateway. Con Ctrl.Dcho metemos y sacamos el puntero del ratón. Al iniciarse nos avisan de nuestro user y password por defecto (user-changeme). Damos a "Entendido", decimos que sí a las repos oficiales de Whonix, yo elijo la repo estable, elegimos "listos para usar la red Tor", Ok, Ok... 4. Se inician automáticamente los demonios whonixcheck y timesync. Atentos a estos dos programas, que los tendremos en el escritorio, pues a partir de ahora cada vez que iniciemos nuestro Whonix-Gateway tenemos que iniciarlos para confirmar que todo funciona correctamente (veremos las INFO en verde). Esta primera vez sin embargo nos indica que primero tenemos que actualizar....ahora lo hacemos. Podemos cerrar las ventanas. 5. Cambiamos el teclado a español (si no os gusta el americano): Inicio - Computer - Systems settings - Input devices - Layouts - Configure Layouts ---> Escogemos teclado español y borramos el inglés. 6. Cambiamos YA los pass por defecto. En consola: sudo passwd y sudo passwd user https://www.whonix.org/wiki/Post_Install_Advice 7. Ahora ya sí que podemos actualizar con sudo apt-get update && sudo apt-get dist-upgrade. 8. Abrimos whonixcheck y luego timesync (con terminal o desde el escritorio) para ver que el Gateway funciona correctamente. Si nos sale todo como en la imagen, tenemos todo ok. Los pasos 7 y 8 tenemos que hacerlos cada vez que iniciemos por Virtualbox nuestro Whonix-Gateway. 9. Minimizamos la ventana y nos aseguramos que en VB Whonix está corriendo, y empezamos ya con Kali Linux. Nos descargamos la ISO en https://www.kali.org/downloads/ 10. Instalamos la ISO en VB. No voy a explayarme mucho porque hay mil tutos en internet. El mejor es este https://www.whonix.org/wiki/Other_Operating_Systems Os escribo la configuración que yo he puesto: - Botón "Nueva" en VB. Tipo: Linux. Versión: Debian 64 bit (o 32 según qué te descargaste). - 2048 MB de RAM (tengo 8GB y quiero que me tire bien que voy a darle caña) - Crear un disco virtual ahora --> VDI - Tamaño fijo (siempre irá más rápido con nuevas escrituras en disco) --> 25 GB (por ejemplo). Esperamos a que VB cree la unidad. 11. Una vez creado, lo configuramos: Botón configuración ---> - General - Avanzado ---> Compartir portapapeles y arrastrar y solar en bidireccional (podremos copiar y pegar lo que queramos desde la SO virtualizada a nuestro SO Host) - Sistema - Placa base ---> desactivar disquete y como dispositivo apuntador Ratón/PS2 - Procesador ---> Habilitamos PAE/NX - Pantalla - Vídeo ---> Habilitamos aceleración 3D - Almacenamiento ---> En IDE secundario maestro cargamos la ISO descargada de Kali Linux - Red ---> En adaptador 1 elegimos conectado a red interna, con nombre Whonix. Los demás adaptadores (2,3,4) tienen que estar apagados. Damos a aceptar para guardar todos los cambios realizados. Si seguisteis mis indicaciones debería quedaros todo como en la imagen (ya dije que no era imprescindible, antes os pegué un enlace con la configuración wiki de Whomix...). *Anotación importante sobre la conexión red, interesante y que sacará de dudas a alguno. No es imprescindible la lectura para continuar con el tuto aunque sí es información muy valiosa que he ido recopilando de otros foros: Si queremos estar aislados y conectados a través de la red Tor no podemos permitir con Kali Linux una conexión directa a internet, con esta configuración (red interna apuntando a Whonix) indicamos que la conexión a internet nos la proporciona Whonix-Gateway, por eso es importante que éste este corriendo antes de iniciar Kali Linux. La conexión red de whonix Gateway lo dejamos en NAT, que es como en Whonix Wiki nos recomiendan, aunque hay foros extensos sobre la elección de NAT o un adaptador puente https://phabricator.whonix.org/T49 . Con la configuración NAT en Whonix lo que hacemos es proporcionar la red a través de nuestro SO Host (donde tenemos instalado VB) y a efectos funciona como un filtro más e inaccesible para espías por el uso de la red Tor. Con esta configuración no nos hace falta tener un wifi USB, pues nuestra wifi integrada es la que proporciona la conexión. Con el adaptador puente necesitamos por leches un wifi USB y la conexión se realiza automáticamente con el router, como un PC más. Si queremos hacer esto en la configuración de Whonix vamos a USB, lo habilitamos y en la pestaña + buscamos nuestro wifi USB. Si no podemos puede ser por dos motivos: el primero, que nos hace falta una actualización de VB, y el programa nos avisará en la parte inferior, y el segundo, que en la pestaña + no se desplega ningún usb. En este caso cerramos VB, vamos a usuarios y grupos en el buscador de inicio (esto si tu host es linux, yo tengo Xubuntu 14.04) - gestionar grupos - buscamos "vboxusers" y seleccionamos nuestro usuario. Cuando abramos de nuevo VB ya podremos escoger nuestro wifi USB. Despúes vamos a Red y escogemos "Conectado a adaptador puente". Esto mismo podemos hacer si un día no nos apetece iniciar Kali Linux a través de Whomix, en vez de la red interna elegimos NAT o adaptador puente y nuestro Kali Linux se iniciará sin conexión a la red Tor. Si al iniciar el SO en adaptador puente la pantalla se queda colgada y en negro...es porque nuestro Wifi USB tiene problemas con VB y no nos quedará más remedio que iniciar a través de NAT. Mi Wifi USB es un ASUS AC56 y me he tenido que fastidiar http://www.taringa.net/posts/linux/18459081/Instalacion-facil-de-Wifi-USB-Asus-AC56-en-Linux.html 12. Iniciamos la instalación de Kali Linux, elijo el instalador gráfico. http://0x32202.tumblr.com/post/48061102961 (Para la instalación sigo este tuto, que está muy bien). - Recomiendo elegir la instalación en ingles (por la cantidad de tutos que encontrareis en este idioma, mucha más info que en español...) - Elegid si quereis dar vuestra ubicación real... - Elegid idioma del teclado. - Nos da un error de la conexión a internet, es normal. Elegimos la configuración de red manual. - IP adress 192.168.0.20/24 - Gateway 192.168.0.10 - Name server adress no lo tocamos. - Hostname poned lo que querais - Domain name lo dejamos vacío. - Elegimos passwd root - Partition method guided usando todo el disco - Continuamos - Todos los ficheros en una partición - Finish partitioning and write changes to disk - Damos a Yes y continuamos. - Comenzará la instalación. - Yes para usar red espejo - HTTP proxy en blanco. - A lo mejor nos da error en bad archive mirror. Damos a continuar, elegimos un país cercano al nuestro y el archivo ftp.pais.debian.org. Si vuelve a salir error damos a back, volvemos a dar yes y ya nos lo reconocerá. - Yes a instalar Grub y finalizamos la instalación. Ahora se reiniciará. 13. Ahora nos toca configurar Kali Linux. Para iniciar sesión escribimos "root" en username (sí, a pesar de que tu usuario este seleccionado, entraremos directamente siendo root) y después la contraseña que dimos en la instalación. - En terminal: sudo nano /etc/network/interfaces y dejamos el archivo exactamente así: # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface, leave as it is auto lo iface lo inet loopback auto eth0 #iface eth0 inet dhcp iface eth0 inet static # increment last octet of IP address on additional workstations address 10.152.152.12 netmask 255.255.192.0 #network 10.152.152.0 #broadcast 10.152.152.255 gateway 10.152.152.10 También modificamos /etc/resolv.conf para que quede así: nameserver 10.152.152.10 De esta forma estamos diciendo a Kali Linux que cualquier petición de conexión debe de hacerse a través de nuestro gateway Whonix con IP 10.152.152.10. Reiniciamos Kali Linux. 14. La próxima vez que iniciemos sesión ya tendremos internet (siempre que Whonix-Gateway esté corriendo). Hacemos apt-get update && apt-get dist-upgrade para actualizar y ya tenemos a punto nuestro Kali Linux como Work Station. Actualizo: Las aplicaciones de Kali Linux funcionan bien y a través de Whonix-Gateway nos aseguramos el anonimato. No obstante hay problemas en algunas aplicaciones, como por ejemplo Nmap, que no redireccionan bien la info a través del proxy, porque da igual la IP que vaya a testear me marca todos los puertos abiertos. Llevo tiempo intentándolo solucionar y nada (con socat, proxychains...) y en los foros tampoco se encuentra solución http://sourceforge.net/p/whonix/discussion/general/thread/ac04011c/ http://seclists.org/nmap-dev/2012/q4/121 Si alguien tiene idea de como arreglarlo...que lo diga!