VictorHackingEtico/laboratorio-seguridad-red-corporativa

# 🛡️ 企业网络安全实验室与 SIEM 监控 部署并加固一个分段式企业网络边界环境，重点进行流量分析、系统审计以及通过家庭 SOC（Wazuh SIEM/XDR）实现实时威胁检测。 ## 🎯 本仓库目标 以真实、实践、渐进的方式，记录以下关键技能的培养过程： - **网络与边界防御：** 防火墙规则及跨网段流量检查。 - **Linux 系统管理：** 服务加固、守护进程管理及日志文件取证分析。 - **威胁检测（SOC）：** 通过 Syslog 实现无代理事件采集、解析与集中管理。 - **受控渗透测试：** 模拟攻击向量以验证检测规则。 所有内容均基于在自有实验室中的真实执行，附带可审计的技术证据。 ## 🧭 学习路径与项目状态 `Security+` → `SOC / Blue Team` → `PNPT` → `CPTS` → `OSCP` ### 📈 当前进度 - [x] **阶段 1 — 基础设施基础** - [x] 边界实验室的配置与互联（VMware + pfSense） - [x] Linux 系统基础管理（通过 CLI 进行服务审核与日志检查） - [x] 核心 SIEM/XDR 部署（Wazuh Manager、Indexer 与 Dashboard） - [x] **阶段 2 — SOC 安全运营** 🚀 *（进行中）* - [x] 通过 Syslog（UDP/514）实现无代理远程事件采集 → [查看详细实验](./screenshots/alerta-de-logs-wazuh/README.md) - [ ] 协议分析与网络扫描检测（Nmap） - [ ] 在 Wazuh 中创建自定义规则与解码器 - [ ] **阶段 3 — 受控渗透测试** *（即将开始）* - [ ] 利用内网脆弱服务（Metasploitable） - [ ] 端到端验证：模拟攻击 → SIEM 告警 → 取证分析 ## 🧪 实验室架构 实验室以 **pfSense** 为核心，对独立的各安全区域进行流量分段，将 SOC 关键资产与攻击面隔离： | 区域 | 子网 | VM 接口 | 功能 | |---------|---------------------|-----------|----------------------| | WAN | `192.168.80.X` | VMnet8 (NAT) | 外网出口 | | LAN | `192.168.10.0/24` | VMnet4 | 内部用户 | | DMZ | `192.168.20.0/24` | VMnet3 | 公开服务器 | | ATTACK | `10.20.20.0/24` | VMnet6 | 审计机器 | | SOC | `10.30.30.0/24` | VMnet7 | 监控与 SIEM | ``` INTERNET │ [ pfSense FW ] ┌──────────────┼──────────────┬──────────────┐ │ │ │ │ [LAN] [DMZ] [ATTACK] [SOC] 192.168.10.0 192.168.20.0 10.20.20.0 10.30.30.0 ``` ## 🛠️ 技术与工具 | 类别 | 工具 | |------------------|------------------------------------------| | 虚拟化 | VMware Workstation Pro 17 | | 系统 | Debian、Kali Linux、Metasploitable | | 防火墙/网络 | pfSense、nmap、tcpdump、Wireshark | | 防御/SIEM | Wazuh（Manager、Indexer、Dashboard） | ## ⚙️ 已解决的技术难题（基础设施加固） 在网络组件集成过程中，发现并解决了以下问题： ### 1. pfSense 中的严格主机过滤 - **问题：** 来自外部区域（ATTACK/DMZ）的 Syslog 事件（`UDP/514`）被默认防火墙策略丢弃。 - **解决：** 在 pfSense 中实施一条显式放行规则，通过 `Single Host（单一主机）` 策略限制目标，直接映射 Wazuh Manager 的静态 IP（`10.30.30.10`）。 ### 2. 在 Wazuh Manager 上开启远程 Socket - **问题：** 由于 `` 块中配置限制，Wazuh 守护进程无法处理外部数据包。 - **解决：** 编辑 `/var/ossec/etc/ossec.conf`，将 `` 参数修改为 `0.0.0.0/0` 范围，正确启用 UDP 监听 socket。 ### 3. 通过历史日志进行取证调试 - **问题：** 与现有签名不匹配的事件会被引擎丢弃，且不留索引记录。 - **解决：** 启用 `yes` 指令，将所有原始事件存储在 `/var/ossec/logs/archives/archives.log` 中，从而可以通过 CLI（`tail -f`）验证远程主机的 Syslog 帧是否正确到达后端。 ## 🔬 用例：SSH 攻击模拟与索引 为验证完整流程（攻击主机 → pfSense → Wazuh SIEM → Dashboard），执行了一次远程注入，模拟 SSH 暴力破解攻击： ``` # 来自攻击主机（Kali Linux）的 Syslog 帧注入 echo "<13> May 23 23:58:00 kali-soc sshd[12345]: Failed password for invalid user root from 10.20.20.50 port 4444 ssh2" | nc -u 10.30.30.10 514 ``` **结果：** 事件被实时接收、处理并显示在 Wazuh Dashboard 中，确认整个检测链路正常运行。 📸 [查看含截图的证据](./screenshots/alerta-de-logs-wazuh/README.md) ## 📁 仓库结构 ``` laboratorio-seguridad-red-corporativa/ ├── fase-1-fundamentos/ # Configuración inicial de infraestructura ├── laboratorio/ # Archivos de configuración y scripts del lab ├── screenshots/ │ └── alerta-de-logs-wazuh/ # Evidencia técnica: ingesta Syslog en Wazuh └── README.md ``` ## 📬 联系方式 - 🔗 **LinkedIn：** [Victor Enrique Molina](https://www.linkedin.com/in/victor-enrique-molina-b534ba3a6/) - 📧 **电子邮件：** molinavictor_03@yahoo.com.ar

标签：AMSI绕过, CISA项目, Linux加固, Metasploitable, Nmap, pfSense, Syslog, TGT, VMware, Wazuh, XXE攻击, 企业网络, 威胁检测, 安全实验室, 安全运营中心, 插件系统, 攻防演练, 模拟攻击, 网络分段, 网络安全, 网络映射, 虚拟驱动器, 防火墙, 隐私保护