Qwortie/SOC-Home-Lab
GitHub: Qwortie/SOC-Home-Lab
一个基于 VirtualBox 的六段隔离 SOC 家庭实验室,集成 Splunk、pfSense 与 AD 环境,用于攻防演练与 DFIR 训练。
Stars: 0 | Forks: 0
# 🔬 SOC 家庭实验室
一个基于 VirtualBox 的全虚拟化安全运营中心环境。实验室跨越六个隔离的网络段,涵盖企业网络模拟、活动目录攻防、恶意软件分析、DFIR 和 SIEM 操作——全部通过 pfSense 防火墙路由。
## 🗺️ 网络拓扑
```
┌──────────────────────────────────┐
│ pfSense Firewall │
│ Gateway + Segmentation │
│ vtnet0 = WAN (NAT) │
└────┬──────┬──────┬──────┬────┬───┘
│ │ │ │ │
┌────────────────┘ │ │ │ └──────────────────┐
│ │ │ │ │
┌─────────▼──────┐ ┌────────────▼──┐ │ ┌──▼───────────┐ ┌────────▼───────────┐
│ LAN (vtnet1) │ │CYBER_RANGE │ │ │ AD_LAB │ │ ISOLATED │
│ 10.0.0.0/24 │ │(vtnet2) │ │ │ (vtnet3) │ │ (vtnet4) │
│ │ │10.6.6.0/24 │ │ │ 10.80.80.0/24│ │ 10.99.99.0/24 │
│ Kali Linux │ │ │ │ │ │ │ │
│ 10.0.0.2 (Mgmt)│ │ Metasploitable│ │ │ Win Server │ │ FLARE VM │
│ │ │ Chronos │ │ │ 2019 (DC) │ │ REMnux │
└────────────────┘ │ (CTF VMs) │ │ │ Win 10 x2 │ └────────────────────┘
└───────────────┘ │ └──────────────┘
┌──────────▼─────────┐
│ SECURITY (vtnet5) │
│ 10.10.10.0/24 │
│ │
│ Tsurugi (DFIR) │
│ 10.10.10.2 │
│ Ubuntu/Splunk │
│ 10.10.10.13 │
└────────────────────┘
```
## 📦 网络分段
| 接口 | 名称 | 子网 | 用途 |
|---|---|---|---|
| vtnet0 | WAN | NAT (VirtualBox) | 通过主机访问互联网 |
| vtnet1 | LAN | 10.0.0.0/24 | 管理 — Kali Linux |
| vtnet2 | CYBER_RANGE | 10.6.6.0/24 | 用于 CTF/攻击练习的易受攻击虚拟机 |
| vtnet3 | AD_LAB | 10.80.80.0/24 | Active Directory 域环境 |
| vtnet4 | ISOLATED | 10.99.99.0/24 | 空气隔离的恶意软件分析实验室 |
| vtnet5 | SECURITY | 10.10.10.0/24 | DFIR 与 SIEM 工具 |
## 🖥️ 虚拟机
### 管理
| 虚拟机 | 操作系统 | IP | 角色 |
|---|---|---|---|
| pfSense | pfSense CE 2.7.2 | 10.0.0.1 (网关) | 防火墙、路由器、DHCP/DNS |
| Kali Linux | Kali 2023.4 | 10.0.0.2 (静态) | 管理、攻击虚拟机、pfSense 管理 |
### 网络范围 (CYBER_RANGE — 10.6.6.0/24)
| 虚拟机 | IP | 用途 |
|---|---|---|
| Metasploitable 2 | 10.6.6.12 | 故意易受攻击的 Linux 目标 |
| Chronos | 10.6.6.13 | CTF 风格的易受攻击虚拟机 |
### 活动目录实验室 (AD_LAB — 10.80.80.0/24)
| 虚拟机 | 操作系统 | IP | 角色 |
|---|---|---|---|
| DC1 | Windows Server 2019 | 10.80.80.2 (静态) | 域控制器、DNS、DHCP、CA |
| Win10-User1 | Windows 10 Enterprise | DHCP (10.80.80.11+) | 域客户端 — John |
| Win10-User2 | Windows 10 Enterprise | DHCP (10.80.80.11+) | 域客户端 — Jane |
**域:** `ad.lab`
### 恶意软件分析实验室 (ISOLATED — 10.99.99.0/24)
| 虚拟机 | 操作系统 | IP | 用途 |
|---|---|---|---|
| FLARE VM | Windows 10 Enterprise | 10.99.99.11 | Windows 恶意软件分析 |
| REMnux | REMnux 7 | 10.99.99.12 | Linux 恶意软件分析 |
### 安全 (SECURITY — 10.10.10.0/24)
| 虚拟机 | 操作系统 | IP | 用途 |
|---|---|---|---|
| Tsurugi Linux | Tsurugi 2023.2 | 10.10.10.2 (静态) | DFIR — 取证与应急响应工具 |
| Ubuntu/Splunk | Ubuntu 22.04 LTS | 10.10.10.13 | SIEM — Splunk Enterprise 10.0.5 |
## 🔥 pfSense 防火墙规则摘要
### LAN (10.0.0.0/24)
| 操作 | 源 | 目标 | 备注 |
|---|---|---|---|
| 阻止 | LAN 子网 | WAN 子网 | 防止访问 VirtualBox 主机服务 |
| 允许 | LAN 子网 | 任意 | 完全出站访问用于管理 |
### CYBER_RANGE (10.6.6.0/24)
| 操作 | 源 | 目标 | 备注 |
|---|---|---|---|
| 允许 | CYBER_RANGE | CYBER_RANGE | 内部段流量 |
| 允许 | CYBER_RANGE | 10.0.0.2 | 仅允许访问 Kali Linux |
| 允许 | CYBER_RANGE | 非 RFC1918 | CTF 挑战的互联网访问 |
| 阻止 | CYBER_RANGE | 任意 | 默认拒绝其余所有流量 |
### AD_LAB (10.80.80.0/24)
| 操作 | 源 | 目标 | 备注 |
|---|---|---|---|
| 阻止 | AD_LAB | WAN 子网 | 禁止访问主机服务 |
| 阻止 | AD_LAB | CYBER_RANGE | 防止交叉污染 |
| 允许 | AD_LAB | 任意 | 访问 LAN、SECURITY 和互联网 |
### ISOLATED (10.99.99.0/24)
| 操作 | 源 | 目标 | 备注 |
|---|---|---|---|
| 允许 | ISOLATED | 10.10.10.2 端口 22 | 仅文件传输的 SSH 到 Tsurugi |
| 阻止 | ISOLATED | 任意 | 完全网络隔离 — 无互联网 |
### SECURITY (10.10.10.0/24)
| 操作 | 源 | 目标 | 备注 |
|---|---|---|---|
| 阻止 | SECURITY | WAN 子网 | 禁止访问主机服务 |
| 阻止 | SECURITY | LAN 子网 | 与管理网络隔离 |
| 允许 | SECURITY | 任意 | 访问 AD_LAB、ISOLATED 和互联网 |
## 🎯 Active Directory — 攻击场景
| 编号 | 场景 | MITRE 战术 | 技巧 ID |
|---|---|---|---|
| 1 | 通过 SMB 的密码喷洒 | 凭据访问 | [T1110.003](https://attack.mitre.org/techniques/T1110/003/) |
| 2 | GPO 权限提升 | 权限提升 | [T1484.001](https://attack.mitre.org/techniques/T1484/001/) |
| 3 | Pass-the-Hash 横向移动 | 横向移动 | [T1550.002](https://attack.mitre.org/techniques/T1550/002/) |
| 4 | 计划任务持久化 | 持久化 | [T1053.005](https://attack.mitre.org/techniques/T1053/005/) |
| 5 | Kerberoasting | 凭据访问 | [T1558.003](https://attack.mitre.org/techniques/T1558/003/) |
AD 环境故意设计为可被利用,使用 [vulnerable-AD-plus](https://github.com/WaterExecution/vulnerable-AD-plus) 脚本。GPO 配置用于禁用 Windows Defender、启用 WinRM、RDP 和跨所有域机器的 RPC。
## 🦠 恶意分析工作流程
文件通过 SCP 从 Tsurugi Linux(SECURITY 子网)传输到空气隔离的 ISOLATED 子网。Tsurugi 是唯一允许 SSH 访问 ISOLATED 的机器(根据防火墙规则)。
```
Internet → Tsurugi Linux (10.10.10.2) → SCP → FLARE VM / REMnux (10.99.99.x)
```
参见: [`/malware-analysis/file-transfer-workflow.md`](./malware-analysis/file-transfer-workflow.md)
## 📁 仓库结构
```
soc-home-lab/
├── README.md
├── network/
│ └── pfsense-config.md # Interface config, subnets, and all firewall rules
├── active-directory/
│ └── ad-setup.md # DC build, DHCP, DNS, GPOs, attack simulations
├── malware-analysis/
│ └── file-transfer-workflow.md # SCP workflow from SECURITY to ISOLATED
├── dfir/
│ └── tsurugi-setup.md # Tsurugi Linux DFIR environment and tool inventory
└── splunk/
└── splunk-setup.md # Splunk install, Universal Forwarder, detection rules
```
## 完整工具与软件清单
| 类别 | 工具 | 版本 | 段 |
|---|---|---|---|
| 虚拟机监控程序 | Oracle VirtualBox | 7.x | 主机 |
| 防火墙 | pfSense CE | 2.7.2 | WAN/全部 |
| 管理/攻击 | Kali Linux | 2023.4 | LAN |
| CTF 目标 | Metasploitable 2 | — | CYBER_RANGE |
| CTF 目标 | Chronos | — | CYBER_RANGE |
| 域控制器 | Windows Server 2019 | — | AD_LAB |
| AD 客户端 | Windows 10 Enterprise | 22H2 | AD_LAB |
| Windows 恶意软件分析 | FLARE VM | 最新 | ISOLATED |
| Linux 恶意软件分析 | REMnux | 7 | ISOLATED |
| DFIR | Tsurugi Linux | 2023.2 | SECURITY |
| SIEM | Splunk Enterprise | 10.0.5 | SECURITY |
| SIEM 主机 | Ubuntu | 22.04 LTS | SECURITY |
## 🔗 相关仓库
- [incident-response-reports](https://github.com/Qwortie/SOC-Home-Lab/blob/main/docs/incident-reports/README.md) - 完整的 IR 报告
标签:Active Directory, AD, ATT&CK框架, Cloudflare, DAST, MITRE ATT&CK, pfSense, Plaso, Terraform 安全, VirtualBox, 企业网络模拟, 六段网络, 子域枚举, 安全运营中心, 家庭实验室, 恶意软件分析, 数字取证, 网络安全实验, 网络映射, 网络隔离, 自动化脚本, 虚拟化实验室, 防火墙