Donal-duck/cyber-range-lab

# 实战范围实验室    ## 项目目标 构建并运行一个自包含的对手模拟范围，镜像一个小型企业网络。该实验室支持对故意配置错误的 Active Directory 林进行受控的进攻操作，所有活动均可通过生产级检测堆栈进行观察。 目标不是“拥有一个实验室”——而是开发、记录和验证针对现实防御遥测的进攻技艺，生成展示攻击执行和防御者意识的组合工件。 ## 架构概述 通过 pfSense 状态防火墙实施四区域网络分段，遵循零信任原则： | 区域 | 子网 | 用途 | 可信级别 | |------|--------|---------|-------------| | **WAN** | `192.168.0.99` | 互联网上行 | 不可信 | | **LAN** | `10.10.10.0/24` | 红队工作站（Kali、Windows 11） | 操作员 | | **OPT1** | `10.10.1.0/24` | 管理平面（Proxmox、pfSense） | 受限制 | | **OPT2** | `10.10.20.0/24` | 受害者区域（Active Directory、Juice Shop） | 敌对 | | **OPT3** | `10.10.30.0/24` | *(规划中)* 监控平面（Wazuh SIEM） | 保护 | ## 硬件清单 | 节点 | 角色 | 规格 | 操作系统 | |------|------|-------|-----| | 节点 1 | 虚拟机管理程序 | Dell OptiPlex，32 GB 内存，2 TB 存储，5× 以太网 | Proxmox VE | | 节点 2 | 红队工作站 | Lenovo ThinkPad | Kali Linux | | 节点 3 | 用户端点 / 受害者 | Gigabyte PC | Windows 11 | | 交换机 | 二层连接 | Netgear 8 端口非网管 | — | ### 节点 1 上的虚拟化工作负载 - **pfSense** — 边界防火墙、跨 VLAN 路由 - **Windows Server (AD DS)** — `corp.lab` 域控制器 - **Windows Enterprise** × 2 — 加入域的工作站 - **Ubuntu** — OWASP Juice Shop（Web 应用攻击面） ## 展示的技能 ### 网络与基础设施安全 - 使用零信任跨区域策略进行网络分段设计 - 有状态防火墙规则编写与审计（pfSense） - 基于虚拟机管理程序的实验室虚拟化（Proxmox VE） - 管理平面与生产工作负载隔离 ### 进攻安全 *(进行中)* - Active Directory 枚举与利用 - Kerberoasting、AS-REP Roasting、ACL 滥用 - 命令与控制操作（Sliver） - 与 MITRE ATT&CK 对齐的对手模拟 ### 检测工程 *(规划中)* - SIEM 部署与日志管道设计（Wazuh） - 通过 Sysmon 的端点遥测 - 网络 IDS/IPS（pfSense 上的 Suricata） - Sigma 规则编写 ### 工程规范 - 架构决策记录（ADR） - 基础设施即代码（规划中：Ansible，当前为 Bash） - 变更管理与备份/回滚规范 ## 构建进度 - [x] 硬件采购与物理布线 - [x] Proxmox 安装与存储配置 - [x] pfSense 部署与接口分配 - [x] 初始虚拟机部署（AD、Win11、Juice Shop、Kali） - [x] 组合仓库初始化 - [ ] **防火墙规则加固** *(进行中 — 参见 [ADR-001](docs/decisions/ADR-001-network-segmentation.md))* - [ ] 使用真实误配置的 Active Directory 林填充 - [ ] 用于安全远程访问的 WireGuard VPN（取代当前临时方案） - [ ] 专用监控 VLAN 上的 Wazuh SIEM 部署 - [ ] Sysmon + Windows 事件转发 - [ ] 首个端到端攻击链与检测验证 - [ ] Suricata IDS 部署 ## 已知限制与技术债务 诚实地记录当前限制是一种有意的工程实践。这些项已被跟踪以进行修复： | 项目 | 当前状态 | 计划修复 | |------|---------------|---------------------| | 远程访问方法 | Chrome Remote Desktop（出站隧道、第三方代理） | 终止在 pfSense 上的 WireGuard VPN | | 防火墙规则 | 宽松的默认规则 | 零信任显式允许（ADR-001） | | 自动化 | 手动 GUI 配置 | 用于 VM 配置的 Ansible Playbook | | 监控 | 无 | 隔离 VLAN 上的 Wazuh SIEM | ## 仓库结构 ``` . ├── README.md # This file ├── docs/ │ ├── 01-network-architecture.md │ ├── 02-firewall-rules.md # Before/after rule analysis │ └── decisions/ # Architecture Decision Records ├── diagrams/ # Network topology, data flow diagrams ├── scripts/ # Bash automation (IaC) ├── attack-playbooks/ # MITRE ATT&CK-mapped attack chains └── detections/ # Sigma rules, Wazuh custom rules ``` ## 作者 攻读安全攻防方向的学生。该实验室是一个持续构建中的项目 —— 提交反映项目的实际进展，而非回顾性总结。 ## 许可证 MIT — 参见 [许可证](LICENSE)

标签：AD森林, AMSI绕过, CTF学习, FTP漏洞扫描, HTTP/HTTPS抓包, JSONLines, Metaprompt, pfSense, Proxmox, Terraform 安全, TGT, Wazuh, 企业网络安全演练场, 内网渗透, 威胁检测, 安全编排, 安全运营, 态势感知, 扫描框架, 攻击模拟, 攻防演练, 数据展示, 活动目录, 流量监控, 端口转发, 管理员页面发现, 红队, 网络分段, 网络可见性, 虚拟化安全测试, 蜜罐, 证书利用, 跨区域通信, 进程隐藏, 防守态势监控, 防火墙策略, 零信任, 驱动签名利用