enterprise-security-home-lab/IT-analyst-home-lab

# 企业网络安全家庭实验室 **Active Directory · SIEM 监控 · 网络隔离 · 漏洞管理 · 攻击模拟** 一个自建的企业级安全实验室，在 3 个隔离网络区域中运行 7 台虚拟机。旨在模拟真实的企业基础设施，并实践威胁检测、事件调查、攻击模拟和漏洞管理——完整的 SOC 分析师工作流程。 ## 架构  | 组件 | 详情 | |---|---| | 宿主机 | Dell OptiPlex 7050 (i7, 32GB RAM) — 无头模式，远程管理 | | Hypervisor | VMware Workstation Pro 17 | | 防火墙 | pfSense 2.7.2 — 3 区域隔离 | | SIEM | Wazuh 4.7.5 — 5 个 agent，8 条自定义规则 | | 外部攻击机 | MacBook M1 Pro — Kali Linux UTM 虚拟机 (ARM64) | | 虚拟机总数 | 7 | ### 网络区域 | 区域 | 子网 | VMnet | 用途 | |---|---|---|---| | 服务器 (LAN) | 10.10.10.0/24 | VMnet10 | DC, SIEM, DB | | 客户端 (OPT1) | 10.10.20.0/24 | VMnet11 | Windows 11 工作站 | | 攻击 / DMZ (OPT2) | 10.10.30.0/24 | VMnet19 | Kali Linux + Metasploitable 2 | ### 虚拟机清单 | 主机名 | 操作系统 | IP | 角色 | |---|---|---|---| | SRV-FW01 | pfSense 2.7.2 | 10.10.10.1 | 防火墙 / 网关 | | SRV-DC01 | Windows Server 2022 | 10.10.10.133 | Active Directory / DNS | | SRV-SIEM01 | Ubuntu 24.04 | 10.10.10.135 | Wazuh SIEM 管理器 | | SRV-DB01 | Ubuntu / MySQL | 10.10.10.128 | MySQL + Apache + phpMyAdmin | | CLI-WIN11-01 | Windows 11 | 10.10.20.134 | 加入域的工作站 | | ATT-KALI01 | Kali Linux 2024.4 | 10.10.30.130 | 攻击虚拟机 + Nessus 扫描器 | | DMZ-VULN01 | Metasploitable 2 | 10.10.30.101 | 蓄意设置漏洞的靶机 | ## 使用的技术 **虚拟化** - VMware Workstation Pro 17 — 7 虚拟机企业实验室，通过 SSH + RDP 进行无头模式操作 **安全监控** - Wazuh 4.7.5 — SIEM，5 个 agent，8 条自定义检测规则，映射了 12+ 种 MITRE ATT&CK 技术 **基础设施** - Windows Server 2022 — Active Directory 域服务、DNS、组策略 - Ubuntu Server 24.04 — Wazuh 管理器、MySQL、Apache - Windows 11 Pro — 加入域的工作站 **网络** - pfSense CE 2.7.2 — 状态检测防火墙，3 区域隔离，VLAN 间访问控制 - VMware 虚拟网络 — VMnet10/11/19 仅主机适配器，netsh portproxy 端口转发 **攻击与漏洞工具** - Kali Linux — Metasploit 6.4、Nmap、Hydra、NetExec、Netcat - Nessus Essentials 10.11.2 — 漏洞扫描与修复验证 - MacBook M1 Pro (UTM/ARM64 Kali) — 通过 Dell 端口转发进行外部攻击的机器 ## 安全监控 Wazuh 收集并关联所有 5 个 agent 的日志。MacBook 上的 agent 通过 Dell 宿主机上的 Windows 端口代理报告（端口 1514/1515 → 10.10.10.135）。 **监控的日志来源：** - Windows 安全事件日志 (4624, 4625, 4720, 4728, 4688, 4698) - Active Directory 身份验证和账户更改 - PowerShell 脚本执行和编码命令日志 - Linux 身份验证日志和系统活动 - 备份文件访问和修改事件 **自定义 Wazuh 规则 (local_rules.xml)：** | 规则 ID | MITRE | 检测内容 | |---|---|---| | 100001 | T1110 | 暴力破解 — 2 分钟内 5 次以上登录失败 | | 100002 | T1110 | 暴力破解成功（失败后紧接着成功） | | 100003 | T1136 | 创建了新的 Windows 用户账户 | | 100004 | T1136 | 账户被添加到 Administrators 组 | | 100005 | T1027 | 执行了 PowerShell 编码命令 | | 100006 | T1059.001 | 执行了 PowerShell 脚本文件 | | 100007 | T1490 | 访问或修改了备份文件 | | 100008 | T1053.005 | 创建了计划任务 | ## Active Directory 与 RBAC 通过组策略强制执行层级管理员模型——任何账户都不能登录到其不属于的层级。 | 层级 | 账户 | 访问范围 | |---|---|---| | Tier 0 | tier0admin | 仅限域控制器 | | Tier 1 | tier1admin | 仅限服务器（拒绝 DC + 工作站登录） | | Tier 2 | tier2support | 仅限工作站（拒绝 DC 登录） | | 角色 | hr.user01 | HR_Department OU | | 角色 | finance.user01 | Standard_Users OU | **强化的 GPO：** 密码复杂性、账户锁定（5 次尝试 / 15 分钟）、高级审计日志、PowerShell 脚本块日志记录、基于层级的 AppLocker 风格限制。 ## 防火墙规则 pfSense 强制执行严格的区域间策略。所有规则均已通过跨区域攻击流量进行了实时验证。 | 接口 | 源 | 目标 | 动作 | 目的 | |---|---|---|---|---| | OPT2 | 攻击区 | 仅限 10.10.30.101 | PASS (允许) | 仅允许发往 DMZ 靶机的攻击流量 | | OPT2 | 攻击区 | 10.10.10.0/24 | BLOCK (拒绝) | 阻止向服务器的横向移动 | | OPT2 | 攻击区 | 10.10.20.0/24 | BLOCK (拒绝) | 阻止向客户端的横向移动 | | OPT1 | 客户端区 | 10.10.10.0/24 (AD 端口) | PASS (允许) | 域身份验证 | | OPT1 | 客户端区 | 10.10.30.0/24 | BLOCK (拒绝) | 将客户端与攻击区隔离 | | LAN | 服务器 | 10.10.30.0/24 | BLOCK (拒绝) | 将服务器与攻击区隔离 | | WAN | 任意 | 任意 | BLOCK (拒绝) | 默认拒绝入站流量 | ## 攻击模拟 所有攻击均从 ATT-KALI01（内部）和 MacBook Kali（通过端口转发的外部）执行。所有检测均在 Wazuh 仪表板中进行了验证。 **模拟的技术：** | 技术 | 工具 | 检测 | |---|---|---| | T1110 — 暴力破解 (SSH/RDP) | Hydra | 规则 100001/100002 | | T1021 — 横向移动 (SMB) | NetExec | 规则 92657 | | T1550.002 — 哈希传递 | NetExec | 规则 92657 — 最佳告警 | | T1059.001 — PowerShell 执行 | 手动 | 规则 100005/100006 | | T1136 — 账户创建 | PowerShell | 规则 100003/100004 | | T1053.005 — 计划任务 | schtasks | 规则 100008 | | T1190 — 利用公开应用程序 | Metasploit | 控制台输出 | **已确认的 Metasploitable 2 漏洞利用：** - 端口 1524 bind shell → root（无需认证） - vsftpd 2.3.4 后门 (CVE-2011-2523) → root - UnrealIRCd 后门 (CVE-2010-2075) → shell ## 漏洞管理 在隔离的攻击虚拟机上使用 Nessus Essentials 执行了完整的生命周期。 | 阶段 | 详情 | |---|---| | 扫描器 | ATT-KALI01 上的 Nessus Essentials 10.11.2 | | 目标 | DMZ-VULN01 (Metasploitable 2) | | 初始扫描 | 178 个发现 — 8 个严重，6 个高危，23 个中危 | | 已修复 | VNC 默认密码 (CVSS 10.0)、bind shell 后门 (CVSS 9.8)、未加密的 Telnet (CVSS 6.5) | | 重新扫描 | 174 个发现 — 所有 3 个已修复项确认已关闭 | | 报告 | VMR-2026-001 — 记录了完整的漏洞管理报告 | ## 无头与远程操作 Dell 宿主机完全以无头模式运行——初始设置完成后无需显示器。 - **SSH 访问：** 从 Lenovo 笔记本或任何局域网设备通过 `ssh sshuser@192.168.0.150` 访问 - **RDP 访问：** Lenovo → Dell → 通过 RDP 连接到各个虚拟机 - **自动启动：** 注册表自动登录 + shell:startup 批处理文件在每次启动时按顺序启动 FW01 → DC01 → SIEM01 - **端口转发 (netsh portproxy)：** - `0.0.0.0:1514 → 10.10.10.135:1514` — 来自 MacBook 的 Wazuh agent 流量 - `0.0.0.0:1515 → 10.10.10.135:1515` — 来自 MacBook 的 Wazuh 注册流量 - `0.0.0.0:8080 → 10.10.30.101:80` — 来自 MacBook Kali 的 Metasploitable HTTP 流量 ## PowerShell 自动化 在 SRV-DC01 上运行四个自动化脚本，将带有时间戳的 CSV 报告输出到 `C:\Lab-Scripts\`。 | 脚本 | 用途 | |---|---| | AD-HealthCheck.ps1 | AD 服务、复制状态、SYSVOL/NETLOGON 共享可用性 | | Security-Audit.ps1 | 锁定的账户、Domain Admin 成员身份、已禁用的用户 | | WazuhAgent-Check.ps1 | 所有域机器上的 Wazuh agent 服务状态 | | Backup-Status.ps1 | 备份文件的存在时间、期限以及 wbadmin 上次运行时间 | ## MITRE ATT&CK 覆盖范围 在检测和模拟阶段映射了 12+ 种技术。 `T1110` `T1021` `T1550.002` `T1059.001` `T1027` `T1136` `T1053.005` `T1490` `T1190` `T1078` `T1098` `T1562` ## 项目状态 | 阶段 | 描述 | 状态 | |---|---|---| | 阶段 9 | 网络隔离 — 7 台虚拟机，3 个区域 | ✅ 完成 | | 阶段 10 | 防火墙强化 — 所有 3 个区域，已实时验证 | ✅ 完成 | | 阶段 11 | RBAC 层级管理员模型 + GPO 强制执行 | ✅ 完成 | | 阶段 12 | 专业文档示例 | ✅ 完成 | | 阶段 13 | 漏洞管理 — Nessus 生命周期 | ✅ 完成 | | 阶段 14 | 无头操作、PowerShell 自动化、自定义 Wazuh 规则、备份模拟 | ✅ 完成 | | 阶段 16 | DMZ 网络重建，MacBook Kali 外部攻击路径 | ✅ 完成 | | 阶段 17 | 从 MacBook Kali 对 DMZ-VULN01 的攻击演练 | 🔄 进行中 | | 阶段 15 | 物理 VLAN — TP-Link TL-SG108E | ⏳ 已计划 |

标签：Active Directory, AI合规, AMSI绕过, CISA项目, Cloudflare, GPT, IT安全, Metasploitable, MITRE ATT&CK, Mr. Robot, Nessus漏洞扫描, OPA, PB级数据处理, PE 加载器, pfSense防火墙, Plaso, SOC分析师, SOC实验室, Terraform 安全, VMware虚拟化, Wazuh, Web报告查看器, Windows 11, Windows Server, 企业安全架构, 企业级实验室, 后渗透, 后端开发, 威胁检测, 安全规则编写, 安全运维, 安全运营中心, 家庭实验室, 开源软件, 插件系统, 攻击模拟, 数据包嗅探, 数据展示, 无线安全, 活动目录, 流量嗅探, 漏洞管理, 红队, 网络分段, 网络安全, 网络安全实验, 网络安全审计, 网络映射, 网络架构, 虚拟化环境, 蜜罐, 证书利用, 隐私保护, 靶场, 驱动签名利用