Benvenuti nel mio laboratorio di test di penetrazione/sviluppo software/editing multimediale/tuttofare! Ciò che è iniziato due anni fa è un vecchio e scadente switch e router Cisco, con un economico r610 e nessuna rete Gigabit in vista (brividi), è cresciuto fino a diventare un piccolo laboratorio abbastanza decente.
Benvenuti nel mio laboratorio di test di penetrazione/sviluppo software/editing multimediale/tuttofare! Ciò che è iniziato due anni fa è un vecchio e scadente switch e router Cisco, con un economico r610 e nessuna rete Gigabit in vista (brividi), è cresciuto fino a diventare un piccolo laboratorio abbastanza decente.
Inizierò con il mio ragazzone nell'angolo, la mia workstation Threadripper. Con Threadripper 3960x, 128 GB di RAM, un AMD 5700xt, una Quadro RTX 4000 e una dimensione di archiviazione combinata di 8 TB. È il mio principale cavallo di battaglia per tutto ciò che richiede una notevole potenza. Per le applicazioni temporanee basate sulla CPU, avvierò una macchina virtuale in VMware Workstation 20H2 e lascerò che i miei cicli masticano qualsiasi lavoro che deve essere svolto.
Recentemente ho compilato i file binari per un'appliance di sicurezza su cui sto lavorando. Le applicazioni guidate dalla GPU (siamo sinceri e chiamiamole applicazioni guidate da CUDA) vengono tutte lanciate sul mio RTX 4000.
Ciò ha incluso alcune applicazioni di machine learning, rendering di Blender e una NVIDIA RTX Voice sempre in esecuzione (è stata una manna dal cielo, dato che la mia sala server è il mio ufficio). Oh sì, e il povero piccolo 5700XT è per i giochi. Quando ci riesco.
Ora allo stack del rack! Permettimi di essere il primo a darti il benvenuto nell'Habitual Lab! Lavoriamo dal basso verso l’alto! In fondo abbiamo Ye Olde Workhorses, (2) Poweredge 2950, con ESXi 6.5, con un totale di 64 GB di RAM tra i due, le loro CPU E5410 di solito si bloccano in qualsiasi applicazione contenitore che sto testando. Non sono un grande sostenitore della containerizzazione di tutto, ma visto il modo in cui sta andando il settore, è necessario sapere cosa succede. Attualmente utilizza il VIC di VMware, ma giocherò con i k8 e i docker sciameranno quando ne avrò voglia.
Salendo abbiamo il nucleo del mio laboratorio. Ancora una volta, lavorando dal basso verso l'alto, abbiamo il mio r420, installato con ESXi 6.7. Con 64 GB di RAM, E5-2407 abbinato e spazio di archiviazione totale di 6 TB. Supporta una parte considerevole di alcune delle mie VM Linux più leggere e metà del mio dominio Windows. Supporta anche il mio router periferico, una fidata VM PFsense.
Sopra c'è il mio switch WAN. È lì solo per supportare un sensore Security Onion che sto costruendo, così ottengo una migliore copertura di tutto il mio traffico in uscita tramite le porte SPAN. Almeno finché non riesco finalmente a comprare un rubinetto.
E poi arriviamo a Ol’ Faithful, il mio r720. Dotato di un paio di fidati E5-2640, 192 GB di RAM e altri 6 TB di spazio di archiviazione e con ESXi 6.7, è il mio principale cavallo di battaglia del laboratorio. Gestisce una rete di penetrazione completamente separata, la mia rete di sviluppo, la mia rete principale e le parti rimanenti del mio dominio Windows, è una macchina impegnata.
Dove sarebbe una rete senza spazio di archiviazione di rete? Successivamente abbiamo il mio NAS whitebox (ovvero messo insieme da pezzi di ricambio). Con un totale di 5 TB di spazio di archiviazione, potrebbe non essere grande quanto lo spazio di archiviazione di alcuni dei miei host ESXi, ma compensa con un collegamento aggregato a 4 NIC, che supporta facilmente il traffico proveniente da tutto il mio laboratorio.
In combinazione con un array RAID 5, ciò significa che qualsiasi cosa servita dal mio NAS (di solito) non scenderà mai al di sotto di 90-100 MBps, non importa quante cose vengono trascinate. Esegue un'installazione bare metal di Server 2016, principalmente perché la facile integrazione con il mio dominio rende una soluzione SSO semplice per qualsiasi accesso tramite rete.
Ora, a causa di alcune stranezze nel mettere un controller raid h610 aziendale con una scheda madre consumer che non sa cosa fare con i dispositivi PCIe dotati di ROM indipendenti, il processo di avvio è... Interessante. Per farla breve, il NAS è acceso e, a metà del POST, collego il controller raid. Non ne parliamo più.
Infine in cima c'è la macchina da gioco che è stata messa al pascolo. Con un i7-4770k, 24 GB di RAM e una R9 390, all'epoca era piuttosto l'impianto di gioco. Ma il tempo di eseguire titoli AAA è finito e, dopo essere stato fornito con un disco rigido da 500 GB, funge da desktop di backup, oltre a far funzionare alcuni dei monitor nel mio laboratorio. Dispone inoltre di un host ESXi in esecuzione su VMware Workstation, quindi posso migrare i miei servizi critici su di esso nel caso in cui debba eseguire la manutenzione sui miei server "reali".
Per necessità, il mio ambiente è estremamente misto, circa il 35% di host Windows in produzione e il resto host Linux di qualche tipo. In passato, utilizzavo per impostazione predefinita Redhat 8 per i miei host Linux, ma recentemente ho iniziato a utilizzare Ubuntu 18.04 e 20.04. La transizione non è avvenuta per un motivo specifico, ma è stato più comodo ogni volta che ho creato un nuovo host per non dover allegare un abbonamento. Per quanto riguarda il lato Windows, ho la fortuna di avere una chiave KMS valida per Server 2016 e versioni precedenti. Sebbene ciò significhi che posso avere essenzialmente tutte le macchine Windows che desidero, mi impedisce di aggiungere un Server 2019 alla mia rete di produzione.
Cosa faccio con questo laboratorio? Qualunque cosa. Per impiego, lavoro come analista di sicurezza informatica/ingegnere della sicurezza. Ma il mio lavoro di solito mi porta a toccare ogni aspetto del mondo informatico, dal networking all'infrastruttura, alle applicazioni, all'analisi host/malware. Avere un laboratorio competente mi ha permesso di rimanere flessibile e di poter testare e provare ogni scenario a cui riesco a pensare, e quindi testare ciò che effettivamente trovo sulla rete di un cliente, senza dovermi preoccupare di rompere i suoi dati.
C’è anche una “rete sporca” isolata all’interno. Cosa c'è qui, chiedi? Malware, virus e molte pratiche pessime. Separato da tutto e mai connesso a Internet, è qui che eseguo alcune semplici analisi del malware. Monitorando sia l'host che la rete quando viene eseguito un particolare malware, mi aiuta a sviluppare metodologie per trovare le "cose cattive" in circolazione. Non dichiarerò di essere un esperto di malware, ma anche una semplice analisi dinamica dell'esecuzione di malware insieme al software di monitoraggio spesso fornisce modi semplici ma efficaci per identificarlo.
Ho anche un’intera rete che funge da laboratorio di test di penetrazione, e non è solo per me! Invito regolarmente sia i colleghi che gli allievi a partecipare, dove ognuno fa a turno il team blu e il team rosso, per completare le conoscenze di ogni persona. La rete stessa è modellata su una rete aziendale ridotta al minimo, completa di foresta e domini Windows Active Directory, host Linux che servono contenuti, host deliberatamente vulnerabili e un sacco di barzellette interne sparse in giro. Ogni utente ha una casella di salto Kali Linux come attaccante e una casella di amministrazione di Windows 10 come difensore. È stato un ottimo modo per mantenere affinate le mie capacità in un ambiente più organico di quello che potresti trovare in molti corsi di formazione.
–Corbett F.
