Välkommen till mitt penetrationstest/mjukvaruutveckling/mediaredigering/jack-of-all-trades-labb! Det som började för två år sedan är en trasig gammal Cisco-switch och router, med en billig r610, och inget gigabitnätverk i sikte (ryser), har vuxit till ett ganska anständigt litet labb.
Välkommen till mitt penetrationstest/mjukvaruutveckling/mediaredigering/jack-of-all-trades-labb! Det som började för två år sedan är en trasig gammal Cisco-switch och router, med en billig r610, och inget gigabitnätverk i sikte (ryser), har vuxit till ett ganska anständigt litet labb.
Jag börjar med min stora pojke i hörnet, min Threadripper-arbetsstation. Med Threadripper 3960x, 128 GB RAM, en AMD 5700xt, en Quadro RTX 4000 och en kombinerad lagringsstorlek på 8 TB. Hon är min främsta arbetshäst för allt som kräver seriös kraft. För tillfälliga CPU-drivna applikationer kommer jag att snurra upp en virtuell maskin i VMware Workstation 20H2 och låta mina cykler tugga iväg på allt arbete som behöver göras.
Nyligen har detta kompilerat binärfiler för en säkerhetsanordning som jag har arbetat med. GPU-drivna applikationer (låt oss vara verkliga och kalla dem CUDA-drivna applikationer) slängs alla på min RTX 4000.
Detta har inkluderat en del maskininlärningsapplikationer, blenderrenderingar och en ständigt körande NVIDIA RTX Voice (det har varit en gåva, eftersom mitt serverrum är mitt kontor). Åh ja, och den stackars lilla 5700XT är för spel. När jag kommer runt till det.
Nu till rackstacken! Låt mig vara den första att välkomna dig till Habitual Lab! Låt oss arbeta oss nerifrån och upp! Längst ner har vi Ye Olde Workhorses, (2) Poweredge 2950's, som kör ESXi 6.5, med ett kombinerat 64 GB RAM-minne mellan de två, deras E5410-processorer tjafsar vanligtvis i alla containerapplikationer jag testar. Jag är inte den största fan av att behålla allt, men med hur branschen går är det nödvändigt att veta vad som händer med dem. För närvarande använder den VMwares VIC, men jag kommer att leka med k8:or och docker-svärmar när jag känner för det.
När vi flyttar upp har vi kärnan i mitt labb. Återigen, när vi arbetar nerifrån och upp, har vi min r420, installerad med ESXi 6.7. Med 64 GB RAM och sportparad E5-2407 och totalt lagringsutrymme på 6 TB. Den stöder en stor del av några av mina lättare virtuella Linux-datorer och hälften av min Windows-domän. Den stöder också min edge-router, en pålitlig PFsense VM.
Ovanför det är min WAN-switch. Den är bara till för att stödja en Security Onion-sensor som jag håller på att bygga, så jag får bättre täckning av all min utgående trafik via SPAN-portar. Åtminstone tills jag äntligen hinner köpa en kran.
Och så kommer vi till Ol' Faithful, min r720. Med ett par pålitliga E5-2640, 192 GB RAM och ytterligare 6 TB lagring, och kör ESXi 6.7, är det min främsta labbhäst. Den kör ett helt segregerat penetrationsnätverk, mitt utvecklingsnätverk, mitt kärnnätverk och de återstående delarna av min Windows-domän, det är en upptagen maskin.
Var skulle ett nätverk vara utan lite nätverkslagring? Härnäst har vi min whitebox (aka smälld ihop från reservdelar) NAS. Med totalt 5 TB lagringsutrymme är det kanske inte lika stort som lagringen för några av mina ESXi-värdar, men det kompenserar för det genom att ha en sammanlagd länk med 4 NIC, som enkelt stöder trafik från hela mitt labb.
I kombination med en RAID 5-array betyder det att allt som serveras från min NAS (vanligtvis) aldrig kommer att sjunka under 90-100 MBps, oavsett hur många saker som dras. Den kör en ren metallinstallation av Server 2016, främst för att den enkla integrationen med min domän gör en enkel SSO-lösning för alla via nätverksåtkomst.
Nu, på grund av vissa konstigheter med att sätta en företagsh610 raid-kontroller med ett konsumentmoderkort som inte vet vad de ska göra med PCIe-enheter som har oberoende ROM, är startprocessen... Intressant. Lång historia kort, NAS är påslagen och halvvägs genom POST kopplar jag in raid-kontrollern. Låt oss inte prata om det längre.
Äntligen på toppen ligger spelautomaten som har satts ut på bete. Med en i7-4770k, 24 GB RAM och en R9 390 var det en riktigt spelrigg förr i tiden. Men det är dags att köra AAA-titlar är över, och efter att ha levererats med en 500 GB hårddisk, fungerar den som backup-skrivbord, samt kör några av monitorerna i mitt labb. Den har också en ESXi-värd som körs på VMware Workstation, så jag kan migrera mina kritiska tjänster till den ifall jag behöver göra underhåll på mina "riktiga" servrar.
Av nödvändighet är min miljö extremt blandad, cirka 35% Windows-värdar i produktion och resten Linux-värdar av någon smak. Tidigare använde jag som standard Redhat 8 för mina Linux-värdar, men nyligen har jag börjat använda Ubuntu 18.04 och 20.04. Övergången har inte skett av någon specifik anledning, men det har varit bekvämare när jag snurrar upp en ny värd för att inte behöva bifoga ett abonnemang. För Windows-sidan av huset har jag turen att ha en KMS-nyckel som är bra för Server 2016 och senare. Även om detta betyder att jag kan ha i princip så många Windows-lådor som jag skulle vilja, hindrar det mig från att lägga till en Server 2019 till mitt produktionsnätverk.
Vad ska jag göra med det här labbet? Allt. Till anställning arbetar jag som Cybersäkerhetsanalytiker/Säkerhetsingenjör. Men mitt jobb slutar vanligtvis med att jag berör alla aspekter av cybervärlden, från nätverk till infrastruktur, till applikationer, till analys av värd/skadlig programvara. Att ha ett kompetent labb har gjort det möjligt för mig att förbli flexibel och kunna testa och prova alla scenarion jag kan tänka mig, och sedan testa vad jag faktiskt hittar på en kunds nätverk, utan att behöva oroa mig för att gå sönder deras saker.
Det finns också ett "smutsigt nät" isolerat inuti. Vad är här, frågar du? Skadlig programvara, virus och många mycket dåliga metoder. Separat från allt, och aldrig ansluten till internet, är det här jag gör några enkla skadliga programanalyser. Genom att övervaka både värden och nätverket när en viss del av skadlig programvara körs, hjälper det mig att utveckla metoder för att hitta de "dåliga sakerna" ute i naturen. Jag kommer inte att bekänna mig som en expert på skadlig programvara, men även en enkel dynamisk analys från att köra skadlig programvara tillsammans med övervakningsprogram ger ofta enkla men effektiva sätt att identifiera det.
Jag har också ett helt nätverk som fungerar som ett penetrationstestlabb, och det är inte bara för mig! Jag bjuder regelbundet in både kamrater och adepter att hoppa på det, där alla turas om med blå och röda, för att runda ut varje persons kunskap. Själva nätverket är modellerat efter ett avskalat företagsnätverk, komplett med sin egen Windows Active Directory-skog och domäner, Linux-värdar som serverar innehåll, avsiktligt sårbara värdar och massor av interna skämt spridda runt. Varje användare har en Kali Linux-hoppbox som angripare och en Windows 10 Admin-box som försvarare. Det har varit ett bra sätt att hålla mina kunskaper skarpa i en mer organisk miljö än du kanske hittar på många utbildningar/kurser.
– Corbett F.