¡Bienvenido a mi laboratorio de pruebas de penetración/desarrollo de software/edición de medios/todoterreno! Lo que comenzó hace dos años es un conmutador y enrutador Cisco viejo y de mala calidad, con un r610 barato y sin redes gigabit a la vista (estremecimiento), que se ha convertido en un pequeño laboratorio bastante decente.
¡Bienvenido a mi laboratorio de pruebas de penetración/desarrollo de software/edición de medios/todoterreno! Lo que comenzó hace dos años es un conmutador y enrutador Cisco viejo y de mala calidad, con un r610 barato y sin redes gigabit a la vista (estremecimiento), que se ha convertido en un pequeño laboratorio bastante decente.
Comenzaré con mi niño grande en la esquina, mi estación de trabajo Threadripper. Con Threadripper 3960x, 128 GB de RAM, AMD 5700xt, Quadro RTX 4000 y un tamaño de almacenamiento combinado de 8 TB. Ella es mi principal caballo de batalla para cualquier cosa que requiera un poder serio. Para aplicaciones temporales impulsadas por CPU, haré girar una máquina virtual en VMware Workstation 20H2 y dejaré que mis ciclos consuman cualquier trabajo que deba realizarse.
Recientemente, esto ha estado compilando archivos binarios para un dispositivo de seguridad en el que he estado trabajando. Las aplicaciones impulsadas por GPU (seamos realistas y llamémoslas aplicaciones impulsadas por CUDA) todas se lanzan a mi RTX 4000.
Esto ha incluido algunas aplicaciones de aprendizaje automático, representaciones de blender y NVIDIA RTX Voice de ejecución perpetua (ha sido una bendición, ya que mi sala de servidores es mi oficina). Ah, sí, y el pequeño y pobre 5700XT es para jugar. Cuando me pongo a ello.
¡Ahora a la pila de estantes! ¡Déjame ser el primero en darte la bienvenida al Habitual Lab! ¡Trabajemos nuestro camino de abajo hacia arriba! En la parte inferior tenemos Ye Olde Workhorses, (2) Poweredge 2950, que ejecutan ESXi 6.5, con una combinación de 64 GB de RAM entre los dos, sus CPU E5410 generalmente funcionan con cualquier aplicación de contenedor que estoy probando. No soy el mayor fanático de contener todo, pero con la forma en que va la industria, es necesario saber qué pasa con ellos. Actualmente, está usando VIC de VMware, pero jugaré con k8s y docker swarms cuando me apetezca.
Avanzando tenemos el núcleo de mi laboratorio. Nuevamente, trabajando de abajo hacia arriba, tenemos mi r420, instalado con ESXi 6.7. Con 64 GB de RAM, E5-2407 combinado deportivo y almacenamiento total de 6 TB. Es compatible con una parte considerable de algunas de mis máquinas virtuales Linux más livianas y la mitad de mi dominio de Windows. También es compatible con mi enrutador perimetral, una máquina virtual PFsense de confianza.
Encima de eso está mi conmutador WAN. Solo está ahí para admitir un sensor Security Onion que estoy construyendo, por lo que obtengo una mejor cobertura de todo mi tráfico saliente a través de los puertos SPAN. Al menos hasta que finalmente me compre un grifo.
Y luego llegamos a Ol' Faithful, mi r720. Con un par de confiables E5-2640, 192 GB de RAM y otros 6 TB de almacenamiento, y ejecutando ESXi 6.7, es mi caballo de batalla principal en el laboratorio. Ejecuta una red de penetración totalmente segregada, mi red de desarrollo, mi red central y las partes restantes de mi dominio de Windows, es una máquina ocupada.
¿Dónde estaría una red sin algo de almacenamiento en red? A continuación, tenemos mi NAS de caja blanca (también conocido como ensamblado con piezas de repuesto). Con un total de 5 TB de almacenamiento, puede que no sea tan grande como el almacenamiento de algunos de mis hosts ESXi, pero lo compensa al tener un enlace agregado de 4 NIC, que soporta fácilmente el tráfico de todo mi laboratorio.
Combinado con una matriz RAID 5, eso significa que todo lo que se sirve desde mi NAS (por lo general) nunca caerá por debajo de 90-100 MBps, sin importar cuántas cosas se arrastren. Ejecuta una instalación completa de Server 2016, principalmente porque la fácil integración con mi dominio hace que sea una solución SSO sencilla para cualquier acceso a través de la red.
Ahora, debido a la rareza de colocar un controlador de incursión h610 empresarial con una placa base de consumo que no sabe qué hacer con los dispositivos PCIe que tienen ROM independientes, el proceso de arranque es... Interesante. Para resumir, el NAS está encendido y, a la mitad de la POST, conecto el controlador RAID. No hablemos más de eso.
Finalmente, en la parte superior está la máquina de juego que se ha puesto a pastar. Con un i7-4770k, 24 GB de RAM y un R9 390, era una gran plataforma de juegos en el pasado. Pero se acabó el momento de ejecutar títulos AAA, y después de recibir un disco duro de 500 GB, sirve como escritorio de respaldo, además de ejecutar algunos de los monitores en mi laboratorio. También tiene un host ESXi que se ejecuta en VMware Workstation, por lo que puedo migrar mis servicios críticos en caso de que necesite realizar tareas de mantenimiento en mis servidores "reales".
Por necesidad, mi entorno es extremadamente mixto, alrededor del 35% de los hosts de Windows en producción y el resto de hosts de Linux de algún tipo. En el pasado, usaba por defecto Redhat 8 para mis hosts Linux, pero recientemente comencé a usar Ubuntu 18.04 y 20.04. La transición no ha sido por ningún motivo específico, pero ha sido más conveniente cada vez que abro un nuevo host para no tener que adjuntar una suscripción. Para el lado de Windows de la casa, tengo la suerte de tener una clave KMS que es buena para Server 2016 y versiones anteriores. Si bien esto significa que puedo tener básicamente tantas cajas de Windows como quisiera, me impide agregar un servidor 2019 a mi red de producción.
¿Qué hago con este laboratorio? Todo. Por empleo, trabajo como analista de ciberseguridad/ingeniero de seguridad. Pero mi trabajo por lo general termina tocando todas las facetas del mundo cibernético, desde las redes hasta la infraestructura, las aplicaciones y el análisis de host/malware. Tener un laboratorio capaz me ha permitido seguir siendo flexible y capaz de probar y probar todos los escenarios que se me ocurren, y luego probar lo que realmente encuentro en la red de un cliente, sin tener que preocuparme por romper sus cosas.
También hay una "red sucia" aislada dentro. ¿Qué hay aquí, preguntas? Malware, virus y muchas muy malas prácticas. Separado de todo, y nunca conectado a Internet, aquí es donde hago un análisis simple de malware. Al monitorear tanto el host como la red cuando se ejecuta una pieza particular de malware, me ayuda a desarrollar metodologías para encontrar las "cosas malas" en la naturaleza. No pretendo ser un experto en malware, pero incluso un simple análisis dinámico de la ejecución de malware junto con el software de monitoreo a menudo produce formas simples pero efectivas de identificarlo.
También tengo una red completa que actúa como un laboratorio de pruebas de penetración, ¡y no es solo para mí! Regularmente invito a compañeros y aprendices a subirse a él, donde todos se turnan para formar equipos azules y equipos rojos, para completar el conocimiento de cada persona. La red en sí está modelada a partir de una red corporativa simplificada, completa con su propio bosque y dominios de Windows Active Directory, hosts Linux que sirven contenido, hosts deliberadamente vulnerables y muchos chistes internos difundidos. Cada usuario tiene un cuadro de salto de Kali Linux como atacante y un cuadro de administración de Windows 10 como defensor. Ha sido una excelente manera de mantener mis habilidades a punto en un entorno más orgánico que el que podría encontrar en muchas capacitaciones/cursos.
– Corbett F.
