Я видел десятки гайдов, которые начинаются со слов «купите сервер с 128 ГБ оперативки». После такого вступления новичок закрывает вкладку, и его путь в пентест откладывается на неопределённый срок. Реальность другая: рабочая домашняя лаборатория для пентеста в 2026 году разворачивается на обычном ноутбуке за один вечер и не стоит ни рубля, если железо уже есть. Я собрал не один десяток таких стендов - себе, студентам, коллегам - и здесь отдаю всю методику целиком: от выбора гипервизора до момента, когда вы получите первый реверс-шелл на уязвимой машине.
Зачем нужна виртуальная лаборатория кибербезопасности
Читать про SQL-инъекции без возможности их выполнить - всё равно что учить плавание по учебнику. Рано или поздно надо лезть в воду. Домашний pentest lab setup решает три задачи разом:Легальная среда для практики. Сканирование чужих систем без разрешения - уголовное преступление. Ваша изолированная сеть для тестирования безопасности снимает этот риск полностью: все машины принадлежат вам, трафик не покидает виртуальный коммутатор.
Повторяемость. Сломали машину - откатили снапшот и пробуете другой вектор. На онлайн-платформах вроде Hack The Box такая роскошь ограничена таймерами и чужими подключениями. В домашней среде Hack The Box-подобные сценарии можно гонять в собственном темпе, хоть до утра.
Привязка к реальным атакам. Каждое упражнение в лаборатории можно сопоставить с конкретной техникой MITRE ATT&CK. Сканирование портов - Network Service Discovery (T1046, Discovery). Эксплуатация веб-приложения - Exploit Public-Facing Application (T1190, Initial Access). Повышение привилегий через дырку в ядре - Exploitation for Privilege Escalation (T1068, Privilege Escalation). Такая привязка формирует мышление пентестера, а не просто «нажимателя кнопок».
По данным ISC2 Cybersecurity Workforce Study 2024, в мире не хватает около 4,8 миллиона специалистов по кибербезопасности, а подавляющее большинство менеджеров при найме ставят практический опыт выше формального образования. Лаборатория - кратчайший способ этот опыт получить.
Железо: три бюджетных уровня для pentest lab setup дома
Русскоязычные гайды обычно ограничиваются фразой «нужен ПК помощнее». Давайте конкретнее.Уровень «бесплатно»: ваш текущий ноутбук
Если у вас машина с 16 ГБ оперативной памяти, процессором Intel i5 / AMD Ryzen 5 (или свежее) и 100 ГБ свободного места на SSD - вы уже можете запустить 3-4 виртуалки одновременно. Это: Kali Linux как атакующая система, одна-две уязвимых цели и, возможно, Windows-эндпоинт. Для начала хватит за глаза - тратить деньги на железо стоит, когда упрётесь в потолок, а не раньше.Уровень 15–25 тысяч рублей: мини-ПК с вторичного рынка
Когда RAM ноутбука станет узким местом, лучшая инвестиция - подержанный мини-ПК. На Avito регулярно появляются HP EliteDesk 800 G4 Mini и Lenovo ThinkCentre M920q с Intel i7, 32 ГБ RAM и NVMe-диском. 32 гигабайта - магическое число: хватает на Kali, Windows Server в роли контроллера домена и ещё 2-3 таргета без постоянного свопа. На российском рынке такие машины уходят за 15–25 тысяч.Уровень 40–60 тысяч рублей: выделенный сервер
Для тех, кто строит полноценный Active Directory-полигон с несколькими лесами: подержанные Dell PowerEdge R720/R730 дают 128 ГБ ECC RAM и два Xeon, но шумят как пылесос и тянут электричество. Компактная альтернатива - Minisforum MS-01 с поддержкой 64 ГБ RAM и двумя портами 2.5GbE. Это уже «взрослая» лаборатория для подготовки к OSCP или PNPT.Главное правило: начинайте с того, что есть. Купить железо никогда не поздно, а вот потерять мотивацию - легко.
Гипервизор для пентеста: VirtualBox, VMware или Proxmox
Выбор гипервизора - первое решение, от которого зависит всё остальное. Вот сравнение трёх вариантов, актуальных в 2026 году.| Критерий | VirtualBox | VMware Workstation Pro | Proxmox VE |
|---|---|---|---|
| Стоимость | Бесплатно | Бесплатно для личного использования (с 2024) | Бесплатно |
| Тип установки | Поверх ОС (Windows/macOS/Linux) | Поверх ОС (Windows/Linux) | На голое железо (bare-metal) |
| Порог входа | Минимальный | Низкий | Средний |
| Производительность | Достаточная | Высокая | Максимальная |
| Сетевые возможности | Базовые | Расширенные | Продвинутые (Open vSwitch) |
| Снапшоты | Да | Да | Да, включая ZFS |
| Контейнеры LXC | Нет | Нет | Нативно |
| Веб-интерфейс | Нет | Нет | Да |
VirtualBox - лучший старт для новичка. Ставится за пять минут, сообщество огромное, все уязвимые машины с VulnHub поставляются в формате OVA, который VirtualBox понимает нативно.
VMware Workstation Pro - мой личный выбор для повседневной работы. Broadcom сделала его бесплатным для личного использования в мае 2024 года (но условия лицензирования менялись - перед установкой проверьте актуальный статус на broadcom.com). Стабильнее VirtualBox при четырёх-пяти одновременных VM, расширенные сетевые режимы, отличная интеграция VMware Tools.
Proxmox VE - идеален, если у вас есть выделенный мини-ПК. Ставится вместо операционной системы, управляется через браузер, запускает и полноценные KVM-машины, и лёгкие LXC-контейнеры. Именно на Proxmox я рекомендую строить proxmox vmware пентест лабораторию, когда вы переросли ноутбук.
Практическая рекомендация: начните с VirtualBox или VMware на текущем компьютере. Когда почувствуете, что ресурсов не хватает - перенесите лабораторию на Proxmox на отдельном железе.
Настройка атакующей машины: Kali Linux
Kali Linux остаётся стандартом для пентеста в 2026 году. Альтернатива - Parrot OS Security Edition, она полегче по ресурсам, но набор инструментов практически идентичен. Мой выбор поставить Kali - привычка и более предсказуемое поведение при обновлениях.Порядок действий:
- Скачайте образ с kali.org/get-kali - для VirtualBox берите готовый OVA, для VMware - VMX-архив, для Proxmox - ISO.
- Создайте виртуальную машину: 4 vCPU, 8 ГБ RAM, 80 ГБ диска. Если RAM впритык - 4 ГБ достаточно для начала, но Burp Suite будет подтормаживать.
- После первого запуска смените пароль по умолчанию (kali/kali) и обновитесь:
sudo apt update && sudo apt full-upgrade -y. - Сделайте снапшот чистой системы - это ваша точка возврата.
Уязвимые машины для практики взлома: что ставить первым
Здесь русскоязычные гайды обычно заканчиваются на Metasploitable 2. Это ошибка: мир уязвимых стендов для обучения в 2026 году куда шире. Я делю цели на три категории.Linux-цели: Metasploitable и VulnHub
Metasploitable 2 - классика. Более 30 намеренно уязвимых сервисов: FTP, SSH, Samba, HTTP, MySQL. Весит мало (512 МБ RAM), разворачивается за минуту. Идеальна как первая жертва: запускаетеnmap -sV <IP> с Kali, видите стену открытых портов и начинаете разбираться, что с каждым из них можно сделать. Скачивается с VulnHub в формате VMDK.Metasploitable 3 - более сложная версия, есть в Linux- и Windows-вариантах, разворачивается через Vagrant.
VulnHub - сотни бесплатных уязвимых машин от сообщества. VulnHub лаборатория настройка предельно проста: скачиваете OVA/VMDK, импортируете в гипервизор, подключаете к изолированной сети. Рекомендую начать с машин категории «Easy»: Kioptrix Level 1, Basic Pentesting, Mr. Robot. К каждой есть публичные writeup, по которым можно проверить свой ход рассуждений.
Windows-цели: Active Directory - обязательный навык
Большинство реальных пентестов происходит в Windows-инфраструктуре. Пропускать этот блок - учиться на половину.Windows 10/11 Evaluation - Microsoft бесплатно раздаёт 90-дневные оценочные ISO на Evaluation Center. Они полностью функциональны. Хитрость: сделайте снапшот до истечения 90 дней и откатывайтесь к нему. Для VM хватит 2 vCPU, 4 ГБ RAM, 60 ГБ диска.
Windows Server 2019/2022 Evaluation - аналогично бесплатен. Промотируйте его до контроллера домена, добавьте Windows-клиент в домен, создайте несколько учёток с разным уровнем привилегий и намеренно допустите ошибки конфигурации: слабые пароли, SPN для Kerberoasting, избыточные права сервисных аккаунтов. Именно так строится домашняя среда Hack The Box-уровня для отработки Pass the Hash (T1550.002, Lateral Movement, Defense Evasion), дампа LSASS Memory (T1003.001, Credential Access) и LLMNR/NBT-NS Poisoning (T1557.001, Credential Access и Collection).
Game of Active Directory (GOAD) - готовый AD-полигон через Vagrant. Несколько доменов с реалистичными мисконфигурациями. Экономит часы ручной настройки и даёт сценарии, близкие к реальным внутренним пентестам. Если лень возиться с ручной настройкой AD (а возиться там есть с чем) - начните с GOAD.
Веб-приложения: Docker вместо полноценных VM
Для практики OWASP Top 10 отдельная виртуалка не нужна. Docker-контейнеры разворачивают уязвимое веб-приложение одной командой и потребляют минимум ресурсов:- DVWA (Damn Vulnerable Web Application) - SQL-инъекции, XSS, Command Injection, File Inclusion. Запуск:
docker run -d -p 80:80 ghcr.io/digininja/dvwa:latest. - OWASP Juice Shop - современное SPA с реалистичными уязвимостями, ближе к настоящим веб-приложениям, чем DVWA.
- WebGoat - обучающая платформа от OWASP с пошаговыми заданиями.
docker rm.Изолированная сеть для тестирования безопасности: настройка без ошибок
Сетевая изоляция - не пожелание, а требование. Уязвимая машина, случайно оказавшаяся в вашей домашней сети, превращает обучение в инцидент. Причём инцидент не учебный.Базовый уровень: Host-Only сеть
Минимально необходимая конфигурация - Host-Only (только хост) сеть в гипервизоре. В VirtualBox: File → Host Network Manager → создаёте адаптер (например, vboxnet0 с подсетью 192.168.56.0/24). В VMware - через Virtual Network Editor, где создаётся VMnet в режиме Host-Only.Все уязвимые VM подключаются только к этой сети. Они видят друг друга и вашу атакующую машину, но не видят домашний роутер и интернет. Проверка изоляции:
ping <IP_вашего_роутера> с уязвимой VM - ответа быть не должно. Если он есть - немедленно лезьте в настройки сетевого адаптера.Продвинутый уровень: несколько подсетей для пивотинга
Когда базовая эксплуатация освоена, добавляем сложность:- Создайте две изолированных сети: 192.168.10.0/24 («офис») и 192.168.20.0/24 («серверы»).
- Контроллер домена Windows - только во второй сети.
- «Промежуточная» машина (jump box) с двумя сетевыми интерфейсами - по одному в каждой сети.
- Kali Linux - только в первой сети.
Опциональный файрвол: pfSense
Если хотите воспроизвести корпоративную архитектуру ещё точнее - поставьте pfSense как виртуальный маршрутизатор между подсетями. Он создаст реалистичные правила фильтрации, которые придётся обходить. pfSense - open-source файрвол на базе FreeBSD с веб-интерфейсом, ему хватит 512 МБ RAM и одного vCPU.Снапшоты: страховка, которая экономит часы
Снапшот - мгновенный снимок состояния виртуальной машины. Три обязательных снапшота для каждой VM:- Чистая установка - сразу после настройки ОС и обновлений. Если что-то пойдёт не так, откат за секунды.
- Перед экспериментом - перед каждой серьёзной атакой. Особенно актуально для Windows: восстанавливать повреждённый реестр вручную - удовольствие ниже среднего.
- Рабочая конфигурация - после настройки Active Directory, создания пользователей и внедрения мисконфигураций. Это ваш «золотой образ» для повторных тренировок.
Чем снапшот не является: это не бэкап. Снапшоты привязаны к виртуальному диску и при его удалении исчезнут. Для важных конфигураций экспортируйте VM целиком в OVA-файл.
Как создать лабораторию для этичного хакинга: пошаговый план на выходные
Ниже - конкретный алгоритм, который я даю своим стажёрам. Всё укладывается в субботу и воскресенье.Суббота: фундамент
Шаг 1. Включите виртуализацию в BIOS/UEFI. Ищите пункт Intel VT-x или AMD-V - он часто отключён по умолчанию. Без него виртуалки либо не запустятся, либо будут невыносимо медленными.Шаг 2. Установите гипервизор. Для первого раза - VirtualBox с virtualbox.org. Установка стандартная, принимайте значения по умолчанию.
Шаг 3. Создайте изолированную сеть Host-Only (описано выше).
Шаг 4. Импортируйте Kali Linux. Скачайте OVA с kali.org, импортируйте через File → Import Appliance. Сетевой адаптер - в Host-Only. Запустите, обновите, сделайте снапшот.
Шаг 5. Импортируйте Metasploitable 2. Скачайте VMDK с VulnHub, создайте VM с 512 МБ RAM, подключите диск, сеть - Host-Only. Логин:
msfadmin / msfadmin.Шаг 6. Проверьте связность: с Kali выполните
ping <IP_Metasploitable>. Ответ есть - лаборатория работает. ping <IP_домашнего_роутера> - ответа нет - изоляция работает. Если наоборот - не продолжайте, пока не почините.Воскресенье: первый взлом
Шаг 7. Запустите разведку:nmap -sV -sC <IP_Metasploitable>. Вы увидите десятки открытых портов с версиями сервисов. Запишите результаты - привычка, которая пригодится на реальных проектах.Шаг 8. Выберите цель. Допустим, Nmap показал vsftpd 2.3.4 на порту 21. Это знаменитый бэкдор: в исходный код этой версии кто-то внедрил закладку, открывающую шелл на порту 6200. История тёмная, но для учёбы - подарок.
Шаг 9. Запустите Metasploit:
msfconsole. Найдите модуль: search vsftpd. Выберите эксплоит: use exploit/unix/ftp/vsftpd_234_backdoor, укажите цель set RHOSTS <IP> и запустите run. Если всё правильно - вы получите командную оболочку на целевой машине.Если вместо сессии видите «Exploit completed, but no session was created» - проверьте доступность порта:
nmap -p 6200 <IP>. Бэкдор открывает bind shell именно на 6200, и если он занят предыдущей попыткой, новая сессия не создастся. Перезагрузите Metasploitable 2 и повторите. Альтернативный первый эксплоит - UnrealIRCd на порту 6667 (exploit/unix/irc/unreal_ircd_3281_backdoor).Шаг 10. Зафиксируйте результат. Запишите: какой порт, какой сервис, какой модуль Metasploit, какую технику MITRE ATT&CK вы использовали (здесь - Exploit Public-Facing Application, T1190). Эта документация - начало вашего портфолио.
Поздравляю: у вас работающая домашняя лаборатория для пентеста, и вы провели первую успешную атаку. На всё ушло менее 48 часов.
Пять упражнений для виртуальной лаборатории кибербезопасности
После первого взлома Metasploitable перед вами открывается целый полигон для практики. Пять упражнений, от простого к сложному.1. Полное сканирование Metasploitable. Пройдите каждый открытый порт, определите сервис и версию, найдите эксплоит в Metasploit или
searchsploit. Цель - не спешка, а понимание, почему конкретная версия уязвима.2. Веб-атаки через DVWA. Разверните DVWA в Docker. Уровень безопасности «Low» - отработайте SQL-инъекцию, XSS, Command Injection. Затем «Medium» и «High» - поймёте, как работают фильтры и почему их недостаточно. На «High» придётся думать, а не копировать пейлоады из гугла.
3. VulnHub-машина уровня Easy. Скачайте Kioptrix Level 1 - она учит полному циклу: разведка, идентификация уязвимости, эксплуатация, повышение привилегий. Пройдите самостоятельно, затем сверьтесь с writeup.
4. Развёртывание мини-AD. Установите Windows Server Evaluation, промотируйте до контроллера домена, присоедините Windows 10. Создайте пользователя с SPN и слабым паролем. С Kali запустите Kerberoasting: нужны учётные данные любого доменного пользователя - создайте обычного (например, john.doe / Password123) и выполните
impacket-GetUserSPNs domain.local/john.doe:Password123 -dc-ip <DC_IP> -request. Полученный TGS-тикет ломайте через hashcat -m 13100 ticket.txt /usr/share/wordlists/rockyou.txt (если rockyou ещё запакован - sudo gunzip /usr/share/wordlists/rockyou.txt.gz). Это техника, с которой вы столкнётесь на большинстве внутренних пентестов.5. Пивотинг между подсетями. Настройте две сети с jump box (описано выше). Скомпрометируйте jump box, поднимите SOCKS-прокси через Chisel и просканируйте вторую подсеть через ProxyChains. Это сочетание Exploitation of Remote Services (T1210, Lateral Movement) и Protocol Tunneling (T1572, Command and Control).
CTF-практика локально: автономная альтернатива онлайн-платформам
Помимо VulnHub, есть целые платформы для CTF, которые разворачиваются локально. GOAD даёт многодоменный AD-полигон, а для blue team практики - Security Onion или Splunk Attack Range (проект DetectionLab архивирован с 2023 года и может не работать с актуальными версиями Vagrant). Оба разворачиваются через Vagrant и Ansible, требуют 16+ ГБ RAM. На выделенном мини-ПК с 32 ГБ работают отлично.Для веб-практики Juice Shop от OWASP предлагает десятки заданий-челленджей с системой очков - по сути, локальный CTF в браузере. Docker-образ весит менее 200 МБ.
Типичные ошибки новичков и как их избежать
«Машины не видят друг друга». В 95% случаев проблема в сетевом адаптере: одна VM в режиме NAT, другая - в Host-Only. Все машины лаборатории должны сидеть в одной и той же изолированной сети. Проверьте - и проблема уйдёт.«Всё жутко тормозит». Первым делом - проверьте, включена ли аппаратная виртуализация (VT-x / AMD-V). В Windows 11 Hyper-V может быть включён неявно через WSL2, Windows Sandbox или Core Isolation (Memory Integrity). VirtualBox 7.x работает поверх Hyper-V, но заметно медленнее. Для максимальной производительности:
bcdedit /set hypervisorlaunchtype off и перезагрузка, либо переходите на VMware Workstation - он лучше дружит с Hyper-V. Ещё вариант - урежьте RAM отдельных VM: Metasploitable живёт на 512 МБ, Kali можно ужать до 4 ГБ.«Уязвимая машина видит интернет». Значит, адаптер в режиме NAT или Bridged. Переключите на Host-Only и перезагрузите VM. Проверьте отсутствие маршрута до шлюза.
«Место на диске закончилось». Снапшоты расходуют пространство при каждом изменении диска. Удаляйте промежуточные, оставляя только «чистый» и «рабочий». Периодически
docker system prune для очистки неиспользуемых контейнеров и образов.От лаборатории к карьере
Домашний стенд - не игрушка. Документируйте каждое пройденное упражнение: какая была цель, какие шаги предприняли, что сработало, что нет, какие техники MITRE ATT&CK задействованы. Ведите записи в Markdown, храните в приватном Git-репозитории.На собеседовании фраза «я развернул AD-полигон, провёл Kerberoasting и Pass the Hash, задокументировал весь kill chain» весит больше, чем строчка «прошёл курс по кибербезопасности». Проверено.
Ваша виртуальная лаборатория кибербезопасности - полигон, который растёт вместе с вами. Kali + Metasploitable на VirtualBox → Active Directory, когда освоите базу → усложнённая сеть для пивотинга → Docker-контейнеры для веб-атак. Через полгода такой практики вы будете увереннее разбираться в реальной инфраструктуре, чем многие кандидаты с формальными сертификатами.
Установите гипервизор прямо сейчас. Остальное приложится со временем.
Последнее редактирование модератором:
