Willkommen in meinem Labor für Penetrationstests/Softwareentwicklung/Medienbearbeitung/Alleskönner! Was vor zwei Jahren mit einem schäbigen alten Cisco-Switch und -Router mit einem billigen R610 begann und kein Gigabit-Netzwerk in Sicht war (Schaudern), hat sich zu einem recht anständigen kleinen Labor entwickelt.
Willkommen in meinem Labor für Penetrationstests/Softwareentwicklung/Medienbearbeitung/Alleskönner! Was vor zwei Jahren mit einem schäbigen alten Cisco-Switch und -Router mit einem billigen R610 begann und kein Gigabit-Netzwerk in Sicht war (Schaudern), hat sich zu einem recht anständigen kleinen Labor entwickelt.
Ich beginne mit meinem großen Jungen in der Ecke, meiner Threadripper-Workstation. Mit dem Threadripper 3960x, 128 GB RAM, einem AMD 5700xt, einer Quadro RTX 4000 und einer kombinierten Speichergröße von 8 TB. Sie ist mein Hauptarbeitstier für alles, was eine enorme Krafteinwirkung erfordert. Für temporäre CPU-gesteuerte Anwendungen starte ich eine virtuelle Maschine in VMware Workstation 20H2 und lasse meine Zyklen alle anfallenden Arbeiten verzehren.
Kürzlich wurden Binärdateien für eine Sicherheits-Appliance kompiliert, an der ich gearbeitet habe. GPU-gesteuerte Anwendungen (nennen wir sie mal CUDA-gesteuerte Anwendungen) landen alle auf meiner RTX 4000.
Dazu gehörten einige Anwendungen für maschinelles Lernen, Blender-Renderings und eine ständig laufende NVIDIA RTX Voice (es war ein Geschenk des Himmels, da mein Serverraum mein Büro ist). Ach ja, und der arme kleine 5700XT ist für Spiele gedacht. Wenn ich dazu komme.
Nun zum Rackstapel! Lassen Sie mich der Erste sein, der Sie im Habitual Lab willkommen heißt! Arbeiten wir uns von unten nach oben vor! Unten sehen wir Ye Olde Workhorses, (2) Poweredge 2950, auf denen ESXi 6.5 läuft, mit insgesamt 64 GB RAM zwischen den beiden. Ihre E5410-CPUs tuckern normalerweise mit allen Containeranwendungen, die ich teste, vor sich hin. Ich bin nicht der größte Fan davon, alles in Containern zu verpacken, aber angesichts der Entwicklung der Branche muss man wissen, was mit ihnen los ist. Derzeit wird der VIC von VMware verwendet, aber ich werde auch mit k8s und Docker-Schwärmen herumspielen, wenn mir danach ist.
Weiter oben haben wir den Kern meines Labors. Wieder von unten nach oben arbeitend, haben wir meinen r420, auf dem ESXi 6.7 installiert ist. Mit 64 GB RAM und einem Sportpaar E5-2407 sowie einem Gesamtspeicher von 6 TB. Es unterstützt einen beträchtlichen Teil einiger meiner leichteren Linux-VMs und die Hälfte meiner Windows-Domäne. Es unterstützt auch meinen Edge-Router, eine vertrauenswürdige PFsense-VM.
Darüber befindet sich mein WAN-Switch. Es dient nur dazu, einen Security Onion-Sensor zu unterstützen, den ich gerade baue, damit ich meinen gesamten ausgehenden Datenverkehr über SPAN-Ports besser abdecken kann. Zumindest bis ich endlich dazu komme, einen Wasserhahn zu kaufen.
Und dann kommen wir zu Ol' Faithful, meinem R720. Ausgestattet mit einem Paar bewährter E5-2640, 192 GB RAM und weiteren 6 TB Speicher sowie mit ESXi 6.7 ist es mein wichtigstes Arbeitstier im Labor. Es betreibt ein vollständig getrenntes Penetrationsnetzwerk, mein Entwicklungsnetzwerk, mein Kernnetzwerk und die übrigen Teile meiner Windows-Domäne, es ist eine ausgelastete Maschine.
Was wäre ein Netzwerk ohne Netzwerkspeicher? Als nächstes haben wir mein Whitebox-NAS (auch bekannt als aus Ersatzteilen zusammengebastelt). Mit insgesamt 5 TB Speicher ist es vielleicht nicht so groß wie der Speicher einiger meiner ESXi-Hosts, macht das aber durch eine aggregierte 4-NIC-Verbindung wett, die den Datenverkehr aus meinem gesamten Labor problemlos unterstützt.
Kombiniert mit einem RAID 5-Array bedeutet das, dass alles, was von meinem NAS (normalerweise) bereitgestellt wird, niemals unter 90–100 MBit/s sinkt, egal wie viele Dinge übertragen werden. Es läuft eine Bare-Metal-Installation von Server 2016, vor allem weil die einfache Integration in meine Domäne eine einfache SSO-Lösung für jeden Zugriff über das Netzwerk darstellt.
Aufgrund einiger Kuriositäten beim Einbau eines H610-RAID-Controllers für Unternehmen in ein Consumer-Motherboard, das nicht weiß, was es mit PCIe-Geräten tun soll, die über unabhängige ROMs verfügen, ist der Startvorgang …. Interessant. Um es kurz zu machen: NAS ist eingeschaltet und mitten im POST schließe ich den Raid-Controller an. Reden wir nicht mehr darüber.
Ganz oben steht schließlich der Spielautomat, der auf die Weide geschickt wurde. Mit einem i7-4770k, 24 GB RAM und einem R9 390 war es damals ein echtes Gaming-Gerät. Aber die Zeit der Ausführung von AAA-Titeln ist vorbei, und nachdem es mit einer 500-GB-Festplatte ausgestattet wurde, dient es als Backup-Desktop und zum Betrieb einiger Monitore in meinem Labor. Es verfügt außerdem über einen ESXi-Host, der auf VMware Workstation läuft, sodass ich meine wichtigen Dienste dorthin migrieren kann, falls ich Wartungsarbeiten an meinen „echten“ Servern durchführen muss.
Zwangsläufig ist meine Umgebung äußerst gemischt, etwa 35 % sind Windows-Hosts in der Produktion und der Rest sind Linux-Hosts einiger Art. In der Vergangenheit habe ich standardmäßig Redhat 8 für meine Linux-Hosts verwendet, aber seit Kurzem verwende ich auch Ubuntu 18.04 und 20.04. Für die Umstellung gab es keinen bestimmten Grund, aber es war praktischer, wenn ich einen neuen Host einrichtete, da ich kein Abonnement anhängen musste. Für die Windows-Seite des Hauses habe ich das Glück, einen KMS-Schlüssel zu haben, der für Server 2016 und niedriger geeignet ist. Das bedeutet zwar, dass ich praktisch so viele Windows-Rechner haben kann, wie ich möchte, es hindert mich jedoch daran, einen Server 2019 zu meinem Produktionsnetzwerk hinzuzufügen.
Was mache ich mit diesem Labor? Alles. Aufgrund meiner Anstellung arbeite ich als Cybersicherheitsanalyst/Sicherheitsingenieur. Aber mein Job endet normalerweise damit, dass ich jeden Aspekt der Cyberwelt berühre, von Netzwerken über Infrastruktur und Anwendungen bis hin zur Host-/Malware-Analyse. Da ich über ein leistungsfähiges Labor verfüge, bin ich flexibel und in der Lage, jedes erdenkliche Szenario zu testen und auszuprobieren und dann zu testen, was ich tatsächlich im Netzwerk eines Kunden finde, ohne mir Sorgen machen zu müssen, dass seine Geräte kaputt gehen.
Es gibt auch ein „schmutziges Netz“, das darin isoliert ist. Was ist hier, fragen Sie? Malware, Viren und viele sehr schlechte Praktiken. Getrennt von allem und nie mit dem Internet verbunden, führe ich hier eine einfache Malware-Analyse durch. Durch die Überwachung sowohl des Hosts als auch des Netzwerks, wenn eine bestimmte Malware ausgeführt wird, hilft es mir bei der Entwicklung von Methoden, um die „schlechten Dinge“ in freier Wildbahn zu finden. Ich behaupte nicht, ein Malware-Experte zu sein, aber selbst eine einfache dynamische Analyse der Ausführung von Malware zusammen mit Überwachungssoftware liefert oft einfache, aber effektive Möglichkeiten, sie zu identifizieren.
Außerdem verfüge ich über ein ganzes Netzwerk, das als Labor für Penetrationstests fungiert, und das nicht nur für mich! Ich lade regelmäßig sowohl Kollegen als auch Mentees ein, mitzumachen, wo jeder abwechselnd Blue Teaming und Red Teaming durchführt, um das Wissen jedes Einzelnen abzurunden. Das Netzwerk selbst ist einem abgespeckten Unternehmensnetzwerk nachempfunden, komplett mit einer eigenen Windows Active Directory-Gesamtstruktur und Domänen, Linux-Hosts, die Inhalte bereitstellen, absichtlich anfälligen Hosts und vielen Insiderwitzen, die verbreitet werden. Jeder Benutzer verfügt über eine Kali-Linux-Jumpbox als Angreifer und eine Windows 10-Administratorbox als Verteidiger. Es war eine großartige Möglichkeit, meine Fähigkeiten in einem natürlicheren Umfeld zu verbessern, als man es in vielen Schulungen/Kursen finden könnte.
– Corbett F.