가상화된 사이버보안 실험실 구축: Kali Linux로 적대자 도입

Source: Dev.to

랩 아키텍처 요약

요약하면, 이 가상화된 사이버 보안 랩은 다음으로 구성됩니다:

• 라우터, DHCP 서버 및 DNS 포워더 역할을 하는 pfSense 방화벽
• Lab‑NAT 및 Lab‑LAN 가상 네트워크
• Windows Server 2022 (Active Directory 도메인 컨트롤러)
• Windows 11 도메인에 가입된 워크스테이션
• Ubuntu Desktop (Splunk SIEM)
• Ubuntu Server (인프라 서비스)
• Kali Linux 공격 VM (내부 적)

이 단계에서는 환경이 중앙 집중식 아이덴티티, 로깅 및 분할 라우팅을 갖춘 소규모 기업 네트워크를 그대로 모방합니다.

내부 적으로서 Kali 소개

이 단계의 목표는 랩‑LAN 내부에 완전히 존재하고 호스트 시스템이나 외부 네트워크에 노출되지 않은 제어된 공격 시스템을 배포하여 관찰 가능한 활동을 생성하는 것입니다.

단계 1 — Kali Linux VM 생성

Kali Linux VM은 랩 전반에 걸쳐 사용한 동일한 virt-install / Virt‑Manager 워크플로를 사용해 배포합니다:

sudo virt-install \
  --name kali \
  --ram 4096 \
  --vcpus 2 \
  --disk path=/var/lib/libvirt/images/kali.qcow2,size=20,format=qcow2 \
  --cdrom /var/lib/libvirt/boot/kali-linux.iso \
  --network network=lab-lan,model=virtio \
  --os-variant ubuntu22.04 \
  --graphics spice \
  --boot uefi

참고

• Kali VM은 lab‑LAN에만 연결되어 호스트와 인터넷으로부터 격리됩니다.
• 반복 가능한 공격 시뮬레이션과 예측 가능한 로깅을 위해 정적 IP를 권장합니다.

단계 2 — 정적 IP 구성 (선택 사항이지만 권장)

정적 IP를 수동으로 할당하면 Splunk 검색 및 탐지 로직이 단순해집니다.

단계 3 — Kali를 Splunk와 통합

이미 중앙 로깅이 구축되어 있으므로, 이제 Kali에서 생성된 활동이 관찰 가능하도록 합니다.

sudo apt install rsyslog
echo '*.* @10.0.0.52:514' | sudo tee /etc/rsyslog.d/60-splunk.conf
sudo systemctl restart rsyslog

로그는 기존 Ubuntu 및 pfSense 로그 수집 파이프라인과 일관성을 유지하기 위해 UDP syslog를 통해 전달됩니다.

실제 환경에서는 공격 시스템에서 로그를 전달하는 범위를 신중히 제한합니다. 이 랩에서는 학습 및 탐지 검증을 지원하기 위해 전체 가시성을 의도적으로 제공합니다.

네트워크 연결성 및 라우팅 검증

A. Kali에서 전체 네트워크 탐색

ip a
ip route
nmap -sn 10.0.0.0/24

증명 내용

• Kali가 lab‑LAN에 올바르게 연결됨을 확인.
• pfSense가 설계대로 트래픽을 라우팅함을 확인.
• 모든 도메인 멤버에 접근 가능함을 확인.

SOC 렌즈: 내부 호스트 탐색은 흔한 정찰 기법이며, 비정상적인 스캔 동작 때문에 조사 트리거가 될 수 있습니다.

B. 제어된 포트 스캔

nmap -sS -p 1-1024 10.0.0.25

스캔 후 Splunk에서 검색:

index=* host=winserver*

증명 내용

• 공격 트래픽이 성공적으로 생성됨을 확인.
• 호스트 방화벽 동작이 가시화됨을 확인.
• 텔레메트리가 중앙에 수집됨을 확인.

아이덴티티 및 인증 활동 관찰

A. Kerberos 인증 검증

kinit administrator@LAB.LOCAL
klist