내 침투 테스트/소프트웨어 개발/미디어 편집/재능 있는 연구실에 오신 것을 환영합니다! 610년 전에 시작한 것은 싸구려 rXNUMX을 사용하고 기가비트 네트워킹이 보이지 않는 형편없는 구형 Cisco 스위치 및 라우터로 꽤 괜찮은 작은 연구실로 성장했습니다.
내 침투 테스트/소프트웨어 개발/미디어 편집/재능 있는 연구실에 오신 것을 환영합니다! 610년 전에 시작한 것은 싸구려 rXNUMX을 사용하고 기가비트 네트워킹이 보이지 않는 형편없는 구형 Cisco 스위치 및 라우터로 꽤 괜찮은 작은 연구실로 성장했습니다.
구석에 있는 큰 아들인 Threadripper 워크스테이션부터 시작하겠습니다. Threadripper 3960x, 128GB RAM, AMD 5700xt, Quadro RTX 4000 및 총 스토리지 크기 8TB. 그녀는 그것에 던져진 심각한 힘이 필요한 모든 일에 대한 나의 주요 일꾼입니다. 임시 CPU 기반 애플리케이션의 경우 VMware Workstation 20H2에서 가상 머신을 가동하고 수행해야 하는 모든 작업을 시간을 들여 처리할 것입니다.
최근에 이것은 내가 작업해 온 보안 어플라이언스용 바이너리를 컴파일하고 있습니다. GPU 기반 애플리케이션(실제로 CUDA 기반 애플리케이션이라고 부름)은 모두 내 RTX 4000에 던져집니다.
여기에는 일부 기계 학습 애플리케이션, 블렌더 렌더링 및 영구적으로 실행되는 NVIDIA RTX Voice가 포함됩니다(내 서버 룸이 내 사무실이기 때문에 신의 선물이었습니다). 아, 그리고 불쌍한 작은 5700XT는 게임용입니다. 내가 그것에 접근할 때.
이제 랙 스택으로! Habitual Lab에 오신 것을 가장 먼저 환영합니다! 아래에서 위로 작업합시다! 맨 아래에는 Ye Olde Workhorses, (2) ESXi 2950를 실행하는 Poweredge 6.5이 있으며 두 제품 사이에 64GB의 RAM이 결합되어 있으며 E5410 CPU는 일반적으로 내가 테스트하는 모든 컨테이너 애플리케이션에서 잘 작동합니다. 나는 모든 것을 컨테이너화하는 것을 가장 좋아하지는 않지만 업계가 진행되는 방식에 따라 그들에게 무슨 일이 일어나고 있는지 알아야 합니다. 현재는 VMware의 VIC를 사용하고 있는데, k8s도 가지고 놀고, 기분이 좋을 때 docker swarm을 사용하기도 합니다.
위로 이동하면 내 연구실의 핵심이 있습니다. 다시 상향식으로 작업하면 ESXi 420과 함께 설치된 r6.7이 있습니다. 64GB RAM, 스포츠 페어링 E5-2407, 총 저장 용량 6TB. 가벼운 무게의 일부 Linux VM과 Windows 도메인의 절반을 상당 부분 지원합니다. 또한 신뢰할 수 있는 PFsense VM인 내 에지 라우터를 지원합니다.
그 위에 내 WAN 스위치가 있습니다. 제가 구축 중인 Security Onion 센서를 지원하기 위한 것이므로 SPAN 포트를 통해 나가는 모든 트래픽을 더 잘 커버할 수 있습니다. 적어도 내가 마침내 수돗물을 살 때까지.
그런 다음 내 r720인 Ol' Faithful로 이동합니다. 신뢰할 수 있는 한 쌍의 E5-2640, 192GB RAM, 또 다른 6TB 스토리지를 자랑하며 ESXi 6.7을 실행하는 것은 저의 주요 실험실 작업입니다. 그것은 완전히 분리된 침투 네트워크, 내 개발 네트워크, 내 핵심 네트워크 및 내 Windows 도메인의 나머지 부분을 실행하는 바쁜 시스템입니다.
네트워크 저장소가 없는 네트워크는 어디에 있습니까? 다음으로 우리는 내 화이트박스(일명 예비 부품에서 함께 두드림) NAS가 있습니다. 총 5TB의 스토리지를 자랑하는 이 스토리지는 일부 ESXi 호스트의 스토리지만큼 크지 않을 수 있지만 4개의 NIC 집계 링크를 사용하여 연구실 전체의 트래픽을 쉽게 지원함으로써 이를 보완합니다.
RAID 5 어레이와 결합하면 NAS에서 제공되는 모든 항목(일반적으로)이 얼마나 많은 항목을 드래그하더라도 90-100MBps 아래로 떨어지지 않습니다. Server 2016의 베어메탈 설치를 실행하는데, 주로 내 도메인과의 쉬운 통합으로 네트워크 액세스를 통해 쉽게 SSO 솔루션을 만들 수 있기 때문입니다.
이제 독립 ROM이 있는 PCIe 장치로 무엇을 해야할지 모르는 소비자 마더보드와 함께 엔터프라이즈 h610 RAID 컨트롤러를 배치하는 것이 이상하기 때문에 부팅 프로세스는… 흥미로운. 간단히 말해서 NAS가 켜져 있고 POST 중간에 RAID 컨트롤러를 연결합니다. 더 이상 이야기하지 않겠습니다.
마지막으로 맨 위에는 풀밭에 놓인 게임기가 있습니다. i7-4770k, 24GB RAM, R9 390을 탑재한 이 제품은 당시에는 상당한 게임 장비였습니다. 그러나 AAA 타이틀을 실행하는 시간은 끝났고 500GB 하드 드라이브가 제공되고 나면 백업 데스크톱 역할을 할 뿐만 아니라 내 연구실의 일부 모니터를 실행합니다. 또한 VMware Workstation에서 실행되는 ESXi 호스트가 있으므로 "실제" 서버에서 유지 관리를 수행해야 하는 경우 중요한 서비스를 마이그레이션할 수 있습니다.
필요에 따라 내 환경은 극도로 혼합된 환경입니다. 약 35%의 Windows 호스트가 프로덕션 환경에 있고 나머지 Linux 호스트는 약간의 풍미가 있습니다. 과거에는 Linux 호스트에 Redhat 8을 기본적으로 사용했지만 최근에는 Ubuntu 18.04 및 20.04를 사용하기 시작했습니다. 특별한 이유가 있는 것은 아니지만 구독을 연결할 필요가 없도록 새 호스트를 가동할 때마다 더 편리해졌습니다. 집안의 Windows 측에서는 운 좋게도 Server 2016 이하에 적합한 KMS 키가 있습니다. 즉, 기본적으로 원하는 만큼의 Windows 상자를 가질 수 있지만 생산 네트워크에 Server 2019를 추가할 수는 없습니다.
이 실습으로 무엇을 합니까? 모든 것. 취업을 통해 저는 사이버 보안 분석가/보안 엔지니어로 일하고 있습니다. 하지만 내 일은 대개 네트워킹에서 인프라, 애플리케이션, 호스트/맬웨어 분석에 이르기까지 사이버 세계의 모든 측면을 다루는 것으로 끝납니다. 유능한 랩을 통해 저는 유연성을 유지하고 제가 생각할 수 있는 모든 시나리오를 테스트하고 시도한 다음 고객의 네트워크 손상에 대해 걱정할 필요 없이 고객의 네트워크에서 실제로 찾은 것을 테스트할 수 있었습니다.
내부에는 "더러운 그물"도 격리되어 있습니다. 여기에 무엇이 있습니까? 맬웨어, 바이러스 및 매우 나쁜 관행이 많이 있습니다. 모든 것과 분리되고 인터넷에 연결되지 않은 이곳에서 간단한 맬웨어 분석을 수행합니다. 특정 맬웨어가 실행될 때 호스트와 네트워크를 모두 모니터링함으로써 야생에서 "나쁜 것"을 찾는 방법론을 개발하는 데 도움이 됩니다. 나는 맬웨어 전문가라고 공언하지는 않겠지만, 모니터링 소프트웨어와 함께 맬웨어를 실행하는 단순한 동적 분석조차도 종종 이를 식별하는 간단하지만 효과적인 방법을 제공합니다.
나는 또한 침투 테스트 연구소 역할을 하는 전체 네트워크를 가지고 있는데 그것은 나만을 위한 것이 아닙니다! 나는 정기적으로 동료와 멘티 모두를 초대하여 모두가 파란색 팀과 빨간색 팀을 번갈아 가며 각 사람의 지식을 완성합니다. 네트워크 자체는 자체 Windows Active Directory 포리스트 및 도메인, 컨텐츠를 제공하는 Linux 호스트, 고의적으로 취약한 호스트 및 많은 내부 농담이 퍼진 회사 네트워크를 기반으로 합니다. 각 사용자는 공격자로서 Kali Linux 점프 박스를, 방어자로서 Windows 10 Admin 박스를 가지고 있습니다. 많은 교육/과정에서 찾을 수 있는 것보다 더 유기적인 환경에서 제 기술을 날카롭게 유지할 수 있는 좋은 방법이었습니다.
– 코베트 F.
