Welkom bij mijn penetratietest/softwareontwikkeling/mediabewerking/manusje-van-alles lab! Wat twee jaar geleden begon als een armoedige oude Cisco-switch en -router, met een goedkope r610 en geen gigabit-netwerk in zicht (huivering), is uitgegroeid tot een behoorlijk fatsoenlijk klein laboratorium.
Welkom bij mijn penetratietest/softwareontwikkeling/mediabewerking/manusje-van-alles lab! Wat twee jaar geleden begon als een armoedige oude Cisco-switch en -router, met een goedkope r610 en geen gigabit-netwerk in zicht (huivering), is uitgegroeid tot een behoorlijk fatsoenlijk klein laboratorium.
Ik begin met mijn grote jongen in de hoek, mijn Threadripper-werkstation. Met de Threadripper 3960x, 128 GB RAM, een AMD 5700xt, een Quadro RTX 4000 en een gecombineerde opslagcapaciteit van 8 TB. Ze is mijn belangrijkste werkpaard voor alles waarvoor serieuze kracht nodig is. Voor tijdelijke CPU-gestuurde applicaties zal ik een virtuele machine opstarten in VMware Workstation 20H2, en mijn cycli laten kauwen op al het werk dat gedaan moet worden.
Onlangs heeft dit binaire bestanden gecompileerd voor een beveiligingsapparaat waaraan ik heb gewerkt. GPU-gestuurde applicaties (laten we eerlijk zijn en ze CUDA-gestuurde applicaties noemen) worden allemaal naar mijn RTX 4000 gegooid.
Dit omvatte enkele machine learning-applicaties, blender-renders en een continu draaiende NVIDIA RTX Voice (het was een uitkomst, aangezien mijn serverruimte mijn kantoor is). Oh ja, en de arme kleine 5700XT is voor gamen. Als ik er aan toe ben.
Nu naar de rackstack! Laat mij de eerste zijn om je te verwelkomen in het Habitual Lab! Laten we van onder naar boven werken! Aan de onderkant hebben we Ye Olde Workhorses, (2) Poweredge 2950's, met ESXi 6.5, met een gecombineerde 64 GB RAM tussen de twee, hun E5410 CPU's zijn meestal aan het sukkelen bij alle containertoepassingen die ik aan het testen ben. Ik ben niet de grootste fan van alles in containers te stoppen, maar met de manier waarop de industrie bezig is, is het noodzakelijk om te weten wat er met hen aan de hand is. Momenteel gebruikt het de VIC van VMware, maar ik speel met k8s en docker zwermen als ik daar zin in heb.
Als we hogerop komen, hebben we de kern van mijn lab. Nogmaals, bottom-up werkend, we hebben mijn r420, geïnstalleerd met ESXi 6.7. Met 64 GB RAM, en sportief gepaarde E5-2407, en een totale opslag van 6 TB. Het ondersteunt een aanzienlijk deel van sommige van mijn lichtere Linux VM's en de helft van mijn Windows-domein. Het ondersteunt ook mijn edge-router, een vertrouwde PFsense VM.
Daarboven is mijn WAN-schakelaar. Het is er gewoon om een Security Onion-sensor te ondersteunen die ik aan het bouwen ben, zodat ik een betere dekking krijg van al mijn uitgaand verkeer via SPAN-poorten. Tenminste, totdat ik er eindelijk toe kom om een kraan te kopen.
En dan komen we bij Ol' Faithful, mijn r720. Met een paar betrouwbare E5-2640's, 192 GB RAM en nog eens 6 TB opslag, en met ESXi 6.7, is dit mijn belangrijkste laboratoriumwerkpaard. Het beheert een volledig gescheiden penetratienetwerk, mijn ontwikkelingsnetwerk, mijn kernnetwerk en de resterende delen van mijn Windows-domein, het is een drukke machine.
Waar zou een netwerk zijn zonder enige netwerkopslag? Vervolgens hebben we mijn whitebox (ook wel in elkaar geslagen uit reserveonderdelen) NAS. Met in totaal 5 TB aan opslagruimte, is het misschien niet zo groot als de opslag van sommige van mijn ESXi-hosts, maar het maakt het goed door een geaggregeerde link van 4 NIC's te hebben, die gemakkelijk verkeer van overal in mijn lab kan ondersteunen.
Gecombineerd met een RAID 5-array betekent dit dat alles wat vanaf mijn NAS wordt aangeboden (meestal) nooit onder de 90-100 MBps komt, ongeacht hoeveel dingen er worden gesleept. Het voert een bare metal-installatie van Server 2016 uit, vooral omdat de gemakkelijke integratie met mijn domein een eenvoudige SSO-oplossing maakt voor iedereen via het netwerk.
Nu, als gevolg van enige eigenaardigheid bij het plaatsen van een enterprise h610 raid-controller met een consumenten-moederbord dat niet weet wat te doen met PCIe-apparaten met onafhankelijke ROM's, is het opstartproces.... Interessant. Om een lang verhaal kort te maken, de NAS staat aan en halverwege de POST sluit ik de raidcontroller aan. Laten we het er maar niet meer over hebben.
Eindelijk bovenaan staat de speelautomaat die in de wei is gezet. Met een i7-4770k, 24 GB RAM en een R9 390 was het vroeger een behoorlijk game-apparaat. Maar de tijd van het uitvoeren van AAA-titels is voorbij, en nadat het werd geleverd met een harde schijf van 500 GB, dient het als een back-upbureaublad, evenals voor het uitvoeren van enkele van de monitoren in mijn lab. Het heeft ook een ESXi-host die draait op VMware Workstation, zodat ik mijn kritieke services ernaar kan migreren voor het geval ik onderhoud moet plegen aan mijn "echte" servers.
Noodgedwongen is mijn omgeving een extreem gemengde omgeving, ongeveer 35% Windows-hosts in productie en de rest Linux-hosts met een bepaalde smaak. In het verleden gebruikte ik standaard Redhat 8 voor mijn Linux-hosts, maar sinds kort gebruik ik Ubuntu 18.04 en 20.04. De overgang was niet om een specifieke reden, maar het was handiger wanneer ik een nieuwe host start om geen abonnement te hoeven koppelen. Voor de Windows-kant van het huis heb ik het geluk een KMS-sleutel te hebben die goed is voor Server 2016 en lager. Hoewel dit betekent dat ik in wezen zoveel Windows-boxen kan hebben als ik zou willen, voorkomt het dat ik een Server 2019 aan mijn productienetwerk kan toevoegen.
Wat doe ik met dit lab? Alles. Door tewerkstelling werk ik als Cybersecurity analist/Security Engineer. Maar mijn baan eindigt meestal met elk facet van de cyberwereld, van netwerken tot infrastructuur, tot applicaties, tot host-/malware-analyse. Door een capabel lab te hebben, ben ik flexibel gebleven en in staat om elk scenario dat ik kan bedenken te testen en uit te proberen, en vervolgens uit te testen wat ik werkelijk aantref op het netwerk van een klant, zonder dat ik me zorgen hoef te maken dat hun spullen kapot gaan.
Er is ook een geïsoleerd "vuil net". Wat is hier, vraag je? Malware, virussen en heel veel slechte praktijken. Los van alles, en nooit verbonden met internet, doe ik hier een eenvoudige malware-analyse. Door zowel de host als het netwerk te monitoren wanneer een bepaald stuk malware wordt uitgevoerd, helpt het me bij het ontwikkelen van methodologieën om de "slechte dingen" in het wild te vinden. Ik zal niet beweren een malware-expert te zijn, maar zelfs een eenvoudige dynamische analyse van het uitvoeren van malware samen met bewakingssoftware levert vaak eenvoudige maar effectieve manieren op om het te identificeren.
Ik heb ook een heel netwerk dat fungeert als een penetratietestlaboratorium, en dat is niet alleen voor mij! Ik nodig regelmatig zowel peers als mentees uit om erop te springen, waar iedereen om beurten blue teaming en red teaming uitvoert, om ieders kennis aan te vullen. Het netwerk zelf is gemodelleerd naar een uitgekleed bedrijfsnetwerk, compleet met zijn eigen Windows Active Directory-forest en domeinen, Linux-hosts die inhoud leveren, opzettelijk kwetsbare hosts en tal van inside-jokes die verspreid worden. Elke gebruiker heeft een Kali Linux-springbox als aanvaller en een Windows 10 Admin-box als verdediger. Het is een geweldige manier geweest om mijn vaardigheden scherp te houden in een meer organische omgeving dan je in veel trainingen/cursussen aantreft.
– Corbett F.
