Olen kolme viikkoa tuherrellut ja kaapeloinut, ihmetellyt sekä uudelleen tehnyt intrasuunnitelmaani. Tällä hetkellä intrani näyttää mielestäni hyvältä. Pääasiallinen ongelma on tekemisen priorisointi. Hacklabin kanssa tekisi mieli leikkiä, hakkerointihan oli se mitä haluan seuraavaksi opetella. Matka sinne on kuitenkin pitkä ja täynnä opettelemista – hirveästi opettelemista. Miksi? Koska ajatteluni menee suurinpiirtein näin:
– Haluan lisätä powershell skriptillä sisäiset CA:ni luotetuiksi Firefoxiin. Mitä tarvitaan?
1) Selvästi alempi ympäristö, sillä käytössä olevia “tuotantokoneita” ei sotketa harjoittelulla.
Mitä alempaan ympäristöön tarvitaan?
1.1) Tarvitaan ainakin testiAD ja ainakin yksi testityöasema. En oikeastaan haluaisi testiAD:ta intraan pyörimään, se ei vaan ole siistiä rakenteellisesti.Tarvitaan siis testiverkko.
Mitä testiverkkoon tarvitaan?
1.1.1) Testiverkon voisi tehdä täysin virtuaalisesti ja sitä varten rakentaa erillinen virtuaalinen reititin, jotta intrasta pääsee näppärästi kyseiseen verkkoon. Toisaalta VLAN:t on “aina” kiinnostanut minua ja nyt kun kerran verkkoa tarvii taas segmentoida miksi en samantein opettelisi sitä? Tehdään osittain fyysinen verkko, joka erotetaan VLAN:n avulla omaksi segmentiksi. Tästä on sitten riemua kun Wiresharkin kanssa ihmettelen verkkoliikennettä – minulla on VLAN liikennettä sitten katsottavana.
Paria viikkoa myöhemmin olen saanut rakennettua testiympäristön, joka on oman VLAN takana ja reititys toimii hienosti. Nyt itse powershell –skriptin tekoon? Näemmä ei. Windows ei lähtökohtaisesti aja allekirjoittamattomia powershell skriptejä. En halua rikkoa turvallisuusasetuksia joten, opetellaan allekirjoittaminen. Mitä allekirjoittamiseen tarvitaan?
2) Selvästi varmenne/varmenteita, mikä itsessään tarkoittaa CA:ta. Koska kyseessä on kehitysympäristö, tuotannon CA:t ei käy. Mitä tarvitaan CA:n luomiseen?
2.1) Luonnollisesti testi root CA tarvitaan, koska homma tehdään oikein.
2.2) Uusi Windows pohjainen Sub-CA, joka olisi rajattu ja tehty oikein sopivilla profiileilla. Tähän löytyykin jo pikkasen kokemusta, mutta homma on ISO.
2.3) Jos kerran vaivaudun skriptit allekirjoittamaan, samantein voisin opetella vähän versionhallintaa. GIT on kuulemma kova juttu…
Näin äkkiseltään nähdään, että tehdäkseni skripti, jolla saan Firefoxiin CA:n luotetuksi olen suunnitellut ja vain osin toteuttanut helvetin koneen, kuluttanut aikaa viikkoja, enkä ole vielä lähelläkään skriptiä. Mutta kun tämä on valmis moisen skriptin tekeminen, testaaminen ja käyttöönotto pitäisi olla helppoa. Isoa kuvaa ajatellen koko tämä paketti tietenkin antaa siihen tulevaan hacklabiin lisää sillä esimerkiksi VLAN-liikenteen tarkkaileminen on nyt mahdollista. Osaan tehdä alkeellisia VLAN konfiguraatioita reitityksellä ja kaikkea :-).