Bem-vindo ao meu laboratório de teste de penetração/desenvolvimento de software/edição de mídia/pau para toda obra! O que começou há dois anos é um switch e roteador Cisco velho e miserável, com um r610 barato e nenhuma rede gigabit à vista (estremecimento), tornou-se um pequeno laboratório decente.
Bem-vindo ao meu laboratório de teste de penetração/desenvolvimento de software/edição de mídia/pau para toda obra! O que começou há dois anos é um switch e roteador Cisco velho e miserável, com um r610 barato e nenhuma rede gigabit à vista (estremecimento), tornou-se um pequeno laboratório decente.
Vou começar com meu garotão no canto, minha estação de trabalho Threadripper. Com o Threadripper 3960x, 128 GB de RAM, um AMD 5700xt, um Quadro RTX 4000 e um tamanho de armazenamento combinado de 8 TB. Ela é meu cavalo de batalha principal para qualquer coisa que exija força séria. Para aplicativos temporários controlados por CPU, vou ativar uma máquina virtual no VMware Workstation 20H2 e deixar meus ciclos mastigarem qualquer trabalho que precise ser feito.
Recentemente, ele compilou binários para um dispositivo de segurança no qual estou trabalhando. Aplicativos baseados em GPU (vamos ser realistas e chamá-los de aplicativos baseados em CUDA) são jogados no meu RTX 4000.
Isso incluiu alguns aplicativos de aprendizado de máquina, renderizações de liquidificador e uma voz NVIDIA RTX em execução perpétua (foi uma dádiva de Deus, já que minha sala de servidores é meu escritório). Ah, sim, e o pobre 5700XT é para jogos. Quando eu chegar perto disso.
Agora para a pilha de rack! Deixe-me ser o primeiro a dar-lhe as boas-vindas ao Habitual Lab! Vamos trabalhar de baixo para cima! Na parte inferior, temos Ye Olde Workhorses, (2) Poweredge 2950, executando ESXi 6.5, com 64 GB de RAM combinados entre os dois, suas CPUs E5410 geralmente estão funcionando em qualquer aplicativo de contêiner que estou testando. Não sou muito fã de tudo em contêineres, mas do jeito que a indústria está indo, é necessário saber o que está acontecendo com eles. Atualmente, ele está usando o VIC do VMware, mas vou brincar com k8s e enxames de docker quando quiser.
Subindo, temos o núcleo do meu laboratório. Novamente, trabalhando de baixo para cima, temos meu r420, instalado com o ESXi 6.7. Com 64 GB de RAM e emparelhamento esportivo E5-2407 e armazenamento total de 6 TB. Ele suporta uma parte considerável de algumas das minhas VMs Linux mais leves e metade do meu domínio Windows. Ele também suporta meu roteador de borda, uma VM PFsense confiável.
Acima disso está o meu switch WAN. Ele existe apenas para oferecer suporte a um sensor Security Onion que estou construindo, para obter uma melhor cobertura de todo o meu tráfego de saída por meio de portas SPAN. Pelo menos até eu finalmente comprar uma torneira.
E então chegamos ao Ol' Faithful, meu r720. Ostentando um par de confiáveis E5-2640, 192 GB de RAM e outros 6 TB de armazenamento e executando o ESXi 6.7, é meu principal laborioso de laboratório. Ele executa uma rede de penetração totalmente segregada, minha rede de desenvolvimento, minha rede principal e as partes restantes do meu domínio do Windows, é uma máquina ocupada.
Onde estaria uma rede sem algum armazenamento de rede? Em seguida, temos meu NAS de caixa branca (também conhecido como montado com peças sobressalentes). Com um total de 5 TB de armazenamento, pode não ser tão grande quanto o armazenamento de alguns dos meus hosts ESXi, mas compensa por ter um link agregado de 4 NICs, suportando facilmente o tráfego de todo o meu laboratório.
Combinado com uma matriz RAID 5, isso significa que qualquer coisa sendo servida do meu NAS (geralmente) nunca cairá abaixo de 90-100 MBps, não importa quantas coisas estejam sendo arrastadas. Ele executa uma instalação bare metal do Server 2016, principalmente porque a fácil integração com meu domínio torna uma solução SSO fácil para qualquer acesso à rede.
Agora, devido a alguma estranheza em colocar um controlador raid h610 corporativo com uma placa-mãe de consumidor que não sabe o que fazer com dispositivos PCIe que possuem ROMs independentes, o processo de inicialização é…. Interessante. Para encurtar a história, o NAS está ligado e, no meio do POST, conecto o controlador RAID. Não vamos mais falar sobre isso.
Finalmente, no topo está a máquina de jogos que foi colocada para pastar. Com um i7-4770k, 24 GB de RAM e um R9 390, era o equipamento de jogo da época. Mas acabou a hora de rodar títulos AAA, e depois de ser fornecido com um disco rígido de 500 GB, ele serve como um desktop de backup, além de rodar alguns dos monitores do meu laboratório. Ele também possui um host ESXi rodando no VMware Workstation, para que eu possa migrar meus serviços críticos para ele caso precise fazer manutenção em meus servidores “reais”.
Por necessidade, meu ambiente é extremamente misto, cerca de 35% de hosts Windows em produção e o restante de hosts Linux de algum tipo. No passado, eu usava o Redhat 8 como padrão para meus hosts Linux, mas recentemente comecei a usar o Ubuntu 18.04 e 20.04. A transição não ocorreu por nenhum motivo específico, mas foi mais conveniente sempre que eu criei um novo host para não precisar anexar uma assinatura. Para o lado do Windows da casa, tenho a sorte de ter uma chave KMS que é boa para o Server 2016 e abaixo. Embora isso signifique que posso ter essencialmente quantas caixas do Windows quiser, isso me impede de adicionar um Server 2019 à minha rede de produção.
O que eu faço com este laboratório? Tudo. Por emprego, trabalho como analista de segurança cibernética/engenheiro de segurança. Mas meu trabalho geralmente acaba comigo tocando todas as facetas do mundo cibernético, desde redes até infraestrutura, aplicativos e análise de host/malware. Ter um laboratório capaz me permitiu permanecer flexível e capaz de testar e experimentar todos os cenários em que posso pensar e, em seguida, testar o que realmente encontro na rede de um cliente, sem ter que me preocupar em quebrar suas coisas.
Há também uma “rede suja” isolada dentro. O que há aqui, você pergunta? Malware, vírus e muitas práticas muito ruins. Separado de tudo e nunca conectado à Internet, é aqui que faço algumas análises simples de malware. Ao monitorar o host e a rede quando um determinado malware é executado, ele me ajuda a desenvolver metodologias para encontrar as “coisas ruins” à solta. Não pretendo ser um especialista em malware, mas mesmo uma simples análise dinâmica da execução de malware junto com o software de monitoramento geralmente produz maneiras simples, mas eficazes, de identificá-lo.
Também tenho toda uma rede que funciona como um laboratório de testes de penetração, e não é só para mim! Convido regularmente colegas e pupilos a entrarem nele, onde todos se revezam no time azul e no time vermelho, para completar o conhecimento de cada pessoa. A rede em si é modelada a partir de uma rede corporativa simplificada, completa com sua própria floresta e domínios do Windows Active Directory, hosts Linux servindo conteúdo, hosts deliberadamente vulneráveis e muitas piadas internas espalhadas. Cada usuário tem uma caixa de salto do Kali Linux como invasor e uma caixa de administrador do Windows 10 como defensor. Tem sido uma ótima maneira de manter minhas habilidades afiadas em um ambiente mais orgânico do que você pode encontrar em muitos treinamentos/cursos.
– Corbet F.
