Bienvenue dans mon laboratoire de tests d'intrusion/développement de logiciels/édition multimédia/touche à tout ! Ce qui a commencé il y a deux ans est un vieux commutateur et routeur Cisco minable, avec un r610 bon marché et aucun réseau gigabit en vue (frisson), est devenu un petit laboratoire assez décent.
Bienvenue dans mon laboratoire de tests d'intrusion/développement de logiciels/édition multimédia/touche à tout ! Ce qui a commencé il y a deux ans est un vieux commutateur et routeur Cisco minable, avec un r610 bon marché et aucun réseau gigabit en vue (frisson), est devenu un petit laboratoire assez décent.
Je vais commencer par mon grand garçon dans le coin, mon poste de travail Threadripper. Avec le Threadripper 3960x, 128 Go de RAM, un AMD 5700xt, un Quadro RTX 4000 et une taille de stockage combinée de 8 To. Elle est ma principale bête de somme pour tout ce qui nécessite une puissance sérieuse. Pour les applications temporaires pilotées par le processeur, je ferai tourner une machine virtuelle dans VMware Workstation 20H2 et laisserai mes cycles ronger tout le travail qui doit être fait.
Récemment, cela a compilé des binaires pour une appliance de sécurité sur laquelle j'ai travaillé. Les applications pilotées par GPU (soyons réalistes et appelons-les applications pilotées par CUDA) sont toutes lancées sur mon RTX 4000.
Cela a inclus des applications d'apprentissage automatique, des rendus de mélangeur et une voix NVIDIA RTX fonctionnant en permanence (ce fut une aubaine, car ma salle de serveurs est mon bureau). Oh oui, et le pauvre petit 5700XT est pour les jeux. Quand j'y arrive.
Passons maintenant à la pile de rack ! Laissez-moi être le premier à vous accueillir au Habitual Lab ! Travaillons notre chemin de bas en haut! En bas, nous avons Ye Olde Workhorses, (2) Poweredge 2950, exécutant ESXi 6.5, avec une combinaison de 64 Go de RAM entre les deux, leurs processeurs E5410 se débarrassent généralement de toutes les applications de conteneur que je teste. Je ne suis pas le plus grand fan de tout conteneuriser, mais avec la façon dont l'industrie évolue, il est nécessaire de savoir ce qui se passe avec eux. Actuellement, il utilise le VIC de VMware, mais je vais jouer avec les k8 et les essaims de docker quand j'en ai envie.
En remontant, nous avons le cœur de mon laboratoire. Encore une fois, de bas en haut, nous avons mon r420, installé avec ESXi 6.7. Avec 64 Go de RAM et un E5-2407 jumelé sportif, et un stockage total de 6 To. Il prend en charge une partie importante de certaines de mes machines virtuelles Linux plus légères et la moitié de mon domaine Windows. Il prend également en charge mon routeur de périphérie, une machine virtuelle PFsense de confiance.
Au-dessus se trouve mon commutateur WAN. Il est juste là pour prendre en charge un capteur Security Onion que je suis en train de construire, donc j'obtiens une meilleure couverture de tout mon trafic sortant via les ports SPAN. Au moins jusqu'à ce que je me décide enfin à acheter un robinet.
Et puis nous arrivons à Ol' Faithful, mon r720. Arborant une paire de fidèles E5-2640, 192 Go de RAM et 6 To de stockage supplémentaires, et exécutant ESXi 6.7, c'est mon principal cheval de bataille de laboratoire. Il gère un réseau de pénétration entièrement séparé, mon réseau de développement, mon réseau central et les parties restantes de mon domaine Windows, c'est une machine occupée.
Que serait un réseau sans stockage réseau ? Ensuite, nous avons mon NAS whitebox (c'est-à-dire assemblé à partir de pièces de rechange). Avec un total de 5 To de stockage, il n'est peut-être pas aussi grand que le stockage de certains de mes hôtes ESXi, mais il le compense en ayant un lien agrégé de 4 NIC, prenant facilement en charge le trafic de partout dans mon laboratoire.
Combiné avec une matrice RAID 5, cela signifie que tout ce qui est servi à partir de mon NAS (généralement) ne descendra jamais en dessous de 90 à 100 Mbps, quel que soit le nombre de choses traînées. Il exécute une installation bare metal de Server 2016, principalement parce que l'intégration facile avec mon domaine constitue une solution SSO simple pour tout accès réseau.
Maintenant, en raison d'une étrangeté de mettre un contrôleur raid h610 d'entreprise avec une carte mère grand public qui ne sait pas quoi faire avec les périphériques PCIe dotés de ROM indépendantes, le processus de démarrage est…. Intéressant. Pour faire court, le NAS est allumé, et à mi-chemin du POST, je branche le contrôleur RAID. N'en parlons plus.
Enfin au sommet se trouve la machine à sous qui a été mise en pâture. Avec un i7-4770k, 24 Go de RAM et un R9 390, c'était tout à fait la plate-forme de jeu à l'époque. Mais le temps d'exécuter des titres AAA est révolu, et après avoir été fourni avec un disque dur de 500 Go, il sert de bureau de sauvegarde, ainsi que de fonctionnement de certains des moniteurs de mon laboratoire. Il dispose également d'un hôte ESXi s'exécutant sur VMware Workstation, ce qui me permet de migrer mes services critiques vers celui-ci au cas où j'aurais besoin d'effectuer une maintenance sur mes "vrais" serveurs.
Par nécessité, mon environnement est extrêmement mixte, environ 35% d'hôtes Windows en production et le reste des hôtes Linux d'une certaine saveur. Dans le passé, j'utilisais par défaut Redhat 8 pour mes hôtes Linux, mais récemment, j'ai commencé à utiliser Ubuntu 18.04 et 20.04. La transition n'a pas été pour une raison spécifique, mais cela a été plus pratique chaque fois que je crée un nouvel hôte pour ne pas avoir besoin de joindre un abonnement. Pour le côté Windows de la maison, j'ai la chance d'avoir une clé KMS qui est bonne pour Server 2016 et ci-dessous. Bien que cela signifie que je peux avoir essentiellement autant de fenêtres Windows que je le souhaite, cela m'empêche d'ajouter un serveur 2019 à mon réseau de production.
Que dois-je faire avec ce laboratoire ? Tout. Par emploi, je travaille en tant qu'analyste en cybersécurité/ingénieur en sécurité. Mais mon travail finit généralement par toucher toutes les facettes du cybermonde, de la mise en réseau à l'infrastructure, aux applications, à l'analyse des hôtes/malwares. Avoir un laboratoire compétent m'a permis de rester flexible et capable de tester et d'essayer tous les scénarios auxquels je peux penser, puis de tester ce que je trouve réellement sur le réseau d'un client, sans avoir à me soucier de casser ses affaires.
Il y a aussi un « filet sale » isolé à l'intérieur. Qu'y a-t-il ici, demandez-vous? Malwares, virus et beaucoup de très mauvaises pratiques. Séparé de tout et jamais connecté à Internet, c'est ici que je fais une analyse simple des logiciels malveillants. En surveillant à la fois l'hôte et le réseau lorsqu'un logiciel malveillant particulier est exécuté, cela m'aide à développer des méthodologies pour trouver les « mauvaises choses » dans la nature. Je ne prétendrai pas être un expert en logiciels malveillants, mais même une simple analyse dynamique de l'exécution de logiciels malveillants avec un logiciel de surveillance donne souvent des moyens simples mais efficaces de l'identifier.
J'ai aussi tout un réseau qui fait office de labo de test d'intrusion, et ce n'est pas que pour moi ! J'invite régulièrement des pairs et des mentorés à monter dessus, où chacun se relaient en équipe bleue et en équipe rouge, pour compléter les connaissances de chacun. Le réseau lui-même est calqué sur un réseau d'entreprise dépouillé, avec sa propre forêt et ses domaines Windows Active Directory, des hôtes Linux servant du contenu, des hôtes délibérément vulnérables et de nombreuses blagues internes répandues. Chaque utilisateur a une boîte de jonction Kali Linux en tant qu'attaquant et une boîte d'administration Windows 10 en tant que défenseur. Cela a été un excellent moyen de maintenir mes compétences à jour dans un environnement plus organique que celui que vous pourriez trouver dans de nombreuses formations/cours.
–Corbett F.
