私の侵入テスト/ソフトウェア開発/メディア編集/何でも屋のラボへようこそ! 610 年前に始まったものは、安物の rXNUMX を搭載した、ギガビット ネットワークなど存在しない、くどい古い Cisco スイッチとルータでしたが、今ではかなり立派な小さな研究室に成長しました。
私の侵入テスト/ソフトウェア開発/メディア編集/何でも屋のラボへようこそ! 610 年前に始まったものは、安物の rXNUMX を搭載した、ギガビット ネットワークなど存在しない、くどい古い Cisco スイッチとルータでしたが、今ではかなり立派な小さな研究室に成長しました。
まず、部屋の隅にある私の大きな男の子、Threadripper ワークステーションから始めます。 Threadripper 3960x、128 GB の RAM、AMD 5700xt、Quadro RTX 4000 を搭載し、合計ストレージ サイズは 8 TB です。彼女は、本格的なパワーを必要とするあらゆる作業において、私の主力馬です。一時的な CPU 駆動のアプリケーションの場合は、VMware Workstation 20H2 で仮想マシンを起動し、実行する必要がある作業をサイクルに実行させます。
最近、これは私が取り組んでいるセキュリティ アプライアンスのバイナリをコンパイルしています。 GPU 駆動のアプリケーション (実際に CUDA 駆動のアプリケーションと呼びましょう) はすべて、私の RTX 4000 に投げ込まれます。
これには、いくつかの機械学習アプリケーション、ブレンダー レンダリング、および永続的に実行される NVIDIA RTX Voice が含まれています (サーバー ルームがオフィスなので、これは天の恵みでした)。そうそう、かわいそうな小さな 5700XT はゲーム用です。近づいてきたら。
さあ、ラックスタックへ!まずは習慣ラボへようこそ!底辺から頑張っていきましょう!一番下には Ye Olde Workhorses (2) Poweredge 2950 があり、ESXi 6.5 を実行しています。これら 64 台の合計 5410 GB の RAM を搭載しており、それらの E8 CPU は通常、私がテストしているコンテナ アプリケーションでバリバリ動作しています。私はあらゆるものをコンテナ化することがあまり好きではありませんが、業界の動向を考えると、何が起こっているのかを知る必要があります。今はVMwareのVICを使っていますが、気が向いたらkXNUMXsやdocker swarmもいじってみます。
上に進むと、私の研究室の中核部分があります。繰り返しますが、ボトムアップで作業すると、ESXi 420 がインストールされた r6.7 があります。 64 GB の RAM、スポーツ ペアリングの E5-2407、合計 6 TB のストレージを搭載。これは、私の軽量 Linux VM のかなりの部分と Windows ドメインの半分をサポートします。また、信頼できる PFsense VM であるエッジ ルーターもサポートしています。
その上に WAN スイッチがあります。これは、私が構築中の Security Onion センサーをサポートするためにあるので、SPAN ポート経由のすべての送信トラフィックをより適切にカバーできるようになります。少なくとも、ついにタップを買うまでは。
そして、私たちのr720、オール・フェイスフルに行きます。信頼できる E5-2640 のペア、192 GB の RAM、さらに 6 TB のストレージを搭載し、ESXi 6.7 を実行するこのマシンは、私のラボの主力製品です。このマシンは、完全に分離された侵入ネットワーク、開発ネットワーク、コア ネットワーク、および Windows ドメインの残りの部分を実行しており、多忙なマシンです。
ネットワーク ストレージがなければ、ネットワークはどこにあるでしょうか?次に、ホワイトボックス (スペアパーツを組み合わせたもの) NAS があります。合計 5 TB のストレージを搭載しており、一部の ESXi ホストのストレージほど大きくないかもしれませんが、4 つの NIC 集約リンクによってそれを補っており、ラボ全体からのトラフィックを簡単にサポートできます。
RAID 5 アレイと組み合わせると、NAS から提供されるものは (通常は) どれだけ多くのものをドラッグしても、90 ~ 100 MBps を下回ることはありません。 Server 2016 のベアメタル インストールを実行します。これは主に、ドメインと簡単に統合できるため、ネットワーク経由のアクセスに対する SSO ソリューションが容易になるためです。
さて、独立した ROM を備えた PCIe デバイスをどう処理するかわからないコンシューマー向けマザーボードにエンタープライズ h610 RAID コントローラーを搭載するのは奇妙なことなので、ブート プロセスは次のようになります。面白い。簡単に言うと、NAS の電源がオンになり、POST の途中で RAID コントローラーを接続します。これについてはもう話さないようにしましょう。
最後にトップは放牧に出されたゲーム機です。 i7-4770k、24GB RAM、R9 390 を搭載した、当時としてはかなりのゲーム機でした。しかし、AAA タイトルを実行する時代は終わりました。500 GB のハード ドライブが付属してからは、バックアップ デスクトップとして機能するだけでなく、私の研究室のモニターの一部を実行することもできます。また、VMware Workstation 上で実行されている ESXi ホストも備えているため、「実際の」サーバーでメンテナンスを行う必要がある場合に備えて、重要なサービスを ESXi ホストに移行できます。
必然的に、私の環境は非常に混合した環境になっており、約 35% が本番環境の Windows ホストで、残りは何らかの種類の Linux ホストです。以前は、Linux ホストにデフォルトで Redhat 8 を使用していましたが、最近では Ubuntu 18.04 および 20.04 を使用し始めました。この移行に特別な理由はありませんでしたが、新しいホストを起動するときはいつでも、サブスクリプションをアタッチする必要がないため、より便利になりました。 Windows 側については、幸運なことに、Server 2016 以前に適した KMS キーを持っています。これは、基本的に必要な数の Windows ボックスを使用できることを意味しますが、実稼働ネットワークに Server 2019 を追加することはできません。
このラボでは何をするのですか?すべて。職業的には、サイバーセキュリティ アナリスト/セキュリティ エンジニアとして働いています。しかし、私の仕事は通常、ネットワークからインフラストラクチャ、アプリケーション、ホスト/マルウェア分析に至るまで、サイバー世界のあらゆる側面に触れることで終わります。有能なラボがあることで、柔軟性を保つことができ、考えられるすべてのシナリオをテストして試し、顧客のネットワーク上で実際に見つけたものを、顧客のものを壊すことを心配することなくテストすることができました。
中には隔離された「汚いネット」もあります。ここには何があるのですか?マルウェア、ウイルス、そして多くの非常に悪い習慣。すべてから隔離され、インターネットには決して接続されていないので、ここで簡単なマルウェア分析を行います。特定のマルウェアが実行されるときにホストとネットワークの両方を監視することで、世の中に存在する「悪いもの」を見つける方法論の開発に役立ちます。私はマルウェアの専門家であるとは公言しませんが、監視ソフトウェアと実行中のマルウェアからの単純な動的分析でも、マルウェアを識別するためのシンプルかつ効果的な方法が得られることがよくあります。
また、私は侵入テスト ラボとして機能するネットワーク全体を持っていますが、それは私だけのものではありません。私は定期的に、同僚とメンティーの両方にこのプログラムに参加するよう勧めています。そこでは、全員が交代で青チームと赤チームを組んで、各人の知識を充実させます。ネットワーク自体は、必要最低限の機能を備えた企業ネットワークをモデルにしており、独自の Windows Active Directory フォレストとドメイン、コンテンツを提供する Linux ホスト、意図的に脆弱なホスト、そして多くの内部ジョークが広まっています。各ユーザーは、攻撃者として Kali Linux ジャンプ ボックスを持ち、防御者として Windows 10 管理ボックスを持ちます。これは、多くのトレーニングやコースよりも有機的な環境で自分のスキルを磨き続けるための素晴らしい方法です。
– コーベット F.
