Come Costruire un Laboratorio di Cybersecurity in Casa con Qualsiasi Budget

TL;DR

Un laboratorio di cybersecurity in casa è il modo più efficace per sviluppare competenze reali di sicurezza senza rischiare sistemi di produzione. Puoi iniziare gratuitamente usando VirtualBox con Kali Linux e Metasploitable 2 su qualsiasi computer con 8 GB di RAM. Le configurazioni di fascia media aggiungono hardware aziendale usato per il monitoraggio permanente con strumenti come Security Onion. I laboratori avanzati introducono reti segmentate con firewall, sottoreti dedicate di attacco e difesa e integrazione completa con IDS/IPS. Ogni professionista della sicurezza di rete ha sviluppato le proprie competenze rompendo cose in un laboratorio prima di tutto.

Erano le 23 di un martedì quando Elena, una studentessa universitaria a Milano senza alcuna esperienza nella sicurezza, decise che avrebbe imparato la cybersecurity. Aveva letto ogni articolo di blog, guardato ogni tutorial di YouTube e memorizzato acronimi che non aveva mai visto in azione. Ma quando si sedette per candidarsi a uno stage e l'intervistatore le chiese di descrivere un momento in cui aveva identificato una vulnerabilità, si bloccò. Non aveva mai toccato un sistema reale. Aveva la teoria senza la pratica, la conoscenza senza la prova.

Quella sera, Elena scaricò VirtualBox sul suo laptop di cinque anni, installò Kali Linux e avviò Metasploitable 2 come target. La sua prima scansione Nmap restituì un muro di porte aperte che non capiva. Cercò ognuna su Google. Tentò di sfruttare un servizio FTP e mandò in crash la sua macchina virtuale. La ricostruì in quattro minuti. Alle 2 di notte aveva sfruttato con successo la sua prima vulnerabilità, una condivisione Samba mal configurata che le diede accesso remoto alla shell. Non era impressionante secondo gli standard professionali. Ma per la prima volta, capì cosa significa realmente una vulnerabilità nella pratica piuttosto che nella teoria.

Tre mesi dopo, Elena si presentò al colloquio successivo con un portfolio documentato di esercizi di laboratorio, diagrammi di rete che aveva costruito da sola e screenshot di attacchi che aveva eseguito e poi difeso. Ottenne lo stage. Il laboratorio non le era costato nulla se non tempo ed elettricità.

Perché Ogni Carriera nella Cybersecurity Inizia in un Laboratorio

Leggere di penetration testing senza praticarlo è come leggere di nuoto senza entrare in acqua. Capisci la teoria, ma non puoi fare ciò che serve. Un laboratorio domestico ti dà un ambiente sicuro, legale e ripetibile dove gli errori sono gratuiti e la sperimentazione è incoraggiata.

Secondo la ricerca sulla forza lavoro del SANS Institute, il 78% dei candidati assunti nella cybersecurity aveva esperienza pratica di laboratorio nel curriculum o l'ha dimostrata durante i colloqui. I responsabili delle assunzioni classificano costantemente le competenze pratiche al di sopra delle sole certificazioni. Un laboratorio trasforma la conoscenza astratta in capacità dimostrabile.

L'altro vantaggio è la velocità di iterazione. Quando configuri male una regola del firewall in produzione, le conseguenze sono reali. Quando la configuri male nel tuo laboratorio, fai uno snapshot, ripristini e riprovi. Puoi rompere lo stesso sistema cinquanta volte in un pomeriggio, imparando ogni volta qualcosa di nuovo su come falliscono le difese e come ragionano gli attaccanti.

Il Livello Gratuito: Il Tuo Primo Laboratorio a 0 €

Non hai bisogno di spendere un solo euro per costruire un laboratorio di cybersecurity funzionale. Se hai un computer con 8 GB di RAM, un processore quad-core e 100 GB di spazio libero su disco, hai già tutto ciò che ti serve.

Passo 1: Installare un Hypervisor

Scarica e installa VirtualBox da Oracle. È gratuito, open source e funziona su Windows, macOS e Linux. VirtualBox supporta fino a 32 CPU virtuali per VM e gestisce le configurazioni di rete richieste dai laboratori di sicurezza, comprese le reti interne completamente isolate dalla rete domestica.

VMware Workstation Player è un'alternativa gratuita su Windows e Linux, ma ti limita all'esecuzione di una VM alla volta a meno che non passi alla versione Pro a pagamento. Per un laboratorio di sicurezza dove hai bisogno di una macchina d'attacco e un target in esecuzione simultanea, VirtualBox è la migliore opzione gratuita.

Passo 2: Configurare la Tua Macchina d'Attacco (Kali Linux)

Kali Linux è il sistema operativo standard per il penetration testing e la ricerca sulla sicurezza. Viene fornito con oltre 600 strumenti di sicurezza preinstallati, tra cui Nmap, Metasploit, Burp Suite, Wireshark e John the Ripper. Scarica l'immagine VirtualBox direttamente dal sito di Kali. L'importazione richiede meno di cinque minuti.

Assegna almeno 2 GB di RAM e 2 core CPU alla tua VM Kali. Le credenziali predefinite sono kali / kali. Cambia la password immediatamente dopo il primo avvio. Aggiorna il sistema con sudo apt update && sudo apt upgrade prima di fare qualsiasi altra cosa.

Passo 3: Distribuire il Tuo Primo Target (Metasploitable 2)

Metasploitable 2 è una macchina virtuale Linux intenzionalmente vulnerabile creata dal team di OffSec. Contiene oltre 30 servizi vulnerabili, tra cui servizi FTP, SSH, Samba, HTTP e database mal configurati. È specificamente progettata per essere attaccata.

Scarica Metasploitable 2 da VulnHub. Importa il file VMDK in VirtualBox. Assegna 512 MB di RAM. Questa macchina è leggera per design.

Passo 4: Aggiungere un Target di Applicazione Web (DVWA)

La Damn Vulnerable Web Application (DVWA) funziona in un semplice stack Apache/PHP/MySQL e fornisce un'interfaccia browser per praticare attacchi web. Copre SQL injection, cross-site scripting (XSS), file inclusion, command injection e altro. Puoi installare DVWA sulla tua VM Metasploitable o distribuirla come VM leggera separata usando l'immagine Docker ufficiale.

Passo 5: Configurare la Rete

Qui è dove la maggior parte dei principianti commette errori. In VirtualBox, configura una rete «Host-Only». Vai su File, poi Gestione rete host, e crea un nuovo adattatore host-only (es. vboxnet0). Assegna l'adattatore di rete di ogni VM a questa rete host-only. Questo crea una sottorete isolata dove le tue VM possono comunicare tra loro e con la tua macchina host, ma non possono raggiungere internet né la tua rete domestica.

La topologia di rete del tuo livello gratuito è questa:

Host Machine (your laptop)
  │
  └── vboxnet0 (Host-Only Network: 192.168.56.0/24)
        │
        ├── Kali Linux (Attacker)     → 192.168.56.101
        ├── Metasploitable 2 (Target) → 192.168.56.102
        └── DVWA (Web Target)         → 192.168.56.103

Verifica la connettività facendo ping tra le VM. Da Kali, esegui ping 192.168.56.102. Se risponde, il tuo laboratorio è operativo.

Il Livello Intermedio: Hardware Dedicato (da 100 a 300 €)

Una volta superati i limiti delle macchine virtuali sul tuo laptop, l'hardware aziendale usato sblocca capacità che il solo software non può fornire. Il livello intermedio aggiunge persistenza (il tuo laboratorio funziona 24/7), più RAM per scenari complessi e la capacità di monitorare traffico di rete reale.

Hardware Aziendale Usato

Cerca su eBay, annunci locali o rivenditori IT ricondizionati:

Mini desktop Dell OptiPlex o HP EliteDesk (da 40 a 80 € ciascuno). I modelli dal 2018 al 2020 con processori Intel i5, da 8 a 16 GB di RAM e SSD da 256 GB sono comuni. Sono eccellenti server always-on per ospitare VM vulnerabili, eseguire Security Onion o fungere da macchine target dedicate.

Switch di rete managed (da 20 a 40 €). Un Cisco Catalyst 2960 o switch managed TP-Link usato ti dà supporto VLAN, port mirroring (per la cattura del traffico) ed esperienza reale di configurazione degli switch che la rete interna di VirtualBox non può replicare.

Raspberry Pi 4 (da 35 a 55 €). Utile come server DNS leggero (Pi-hole), sonda di monitoraggio di rete o target che esegue firmware IoT vulnerabile.

Security Onion: Il Tuo SOC Gratuito in Scatola

Security Onion è una distribuzione Linux gratuita costruita per il monitoraggio della sicurezza di rete, il rilevamento delle intrusioni e la gestione dei log. Raggruppa Suricata (IDS/IPS), Zeek (analisi di rete) e l'Elastic Stack (archiviazione e visualizzazione dei log) in un'unica piattaforma distribuibile.

Installa Security Onion su uno dei tuoi desktop usati con almeno 12 GB di RAM (16 GB raccomandati). Configuralo in modalità «standalone» per un laboratorio domestico. Punta la porta mirror di uno switch managed alla macchina Security Onion perché possa ispezionare tutto il traffico che scorre tra le tue VM di attacco e target.

Con Security Onion in esecuzione, ogni scansione Nmap, ogni tentativo di exploit, ogni attacco brute force che lanci da Kali genera veri alert nella dashboard IDS. Vedi ciò che vedono i difensori. Questo è il ponte tra le competenze offensive e difensive.

Topologia di Rete del Livello Intermedio

Internet
  │
  └── Home Router (192.168.1.0/24)
        │
        └── Managed Switch (VLANs)
              │
              ├── VLAN 10 (Attack)     → Kali Linux: 10.0.10.101
              ├── VLAN 20 (Targets)    → Metasploitable: 10.0.20.101
              │                         → DVWA: 10.0.20.102
              │                         → Windows VM: 10.0.20.103
              ├── VLAN 30 (Monitoring) → Security Onion: 10.0.30.101
              └── Mirror Port          → Copies all VLAN traffic to Security Onion

Il Livello Avanzato: Un Ecosistema di Sicurezza Completo (500 € e Oltre)

Il livello avanzato replica una piccola rete aziendale. Introduce un firewall dedicato, segmentazione di rete, un domain controller e abbastanza target per simulare scenari di attacco realistici.

pfSense: Il Tuo Firewall e Router di Laboratorio

pfSense è una piattaforma firewall e router gratuita e open source basata su FreeBSD. Installalo su un piccolo desktop o thin client con due o più interfacce di rete. pfSense gestisce il routing tra le VLAN del tuo laboratorio, applica le regole firewall tra i segmenti, esegue Snort o Suricata come IDS/IPS inline e registra tutto il traffico per l'analisi forense.

pfSense può funzionare su hardware con appena 512 MB di RAM, rendendo i thin client usati da 15 € validi dispositivi firewall. Per un laboratorio con più VLAN e IDS abilitato, assegna da 2 a 4 GB di RAM.

Costruire una Rete Target Realistica

Oltre Metasploitable e DVWA, il livello avanzato aggiunge:

Windows Server (copia di valutazione, gratuita per 180 giorni da Microsoft). Configura Active Directory, crea account utente, configura Group Policy e pratica attacchi ad ambienti di dominio. La maggior parte delle reti aziendali funziona su Active Directory, rendendo questa una pratica essenziale.

Ubuntu Server che esegue applicazioni web vulnerabili da OWASP (WebGoat, Juice Shop). Queste simulano vulnerabilità reali delle applicazioni in uno stack moderno.

Target aggiuntivi da VulnHub. VulnHub ospita centinaia di VM vulnerabili gratuite con livelli di difficoltà variabili. Scaricane una nuova ogni settimana, attaccala senza leggere i walkthrough, poi confronta il tuo approccio con le soluzioni pubblicate.

Topologia di Rete Avanzata

Internet
  │
  └── pfSense Firewall/Router
        │
        ├── WAN (Home Router)
        ├── LAN 1 — Attack Subnet (10.10.1.0/24)
        │     ├── Kali Linux
        │     └── Parrot Security OS
        ├── LAN 2 — Target Subnet (10.10.2.0/24)
        │     ├── Metasploitable 2/3
        │     ├── DVWA
        │     ├── Windows Server (AD)
        │     ├── WebGoat / Juice Shop
        │     └── VulnHub VMs (rotating)
        ├── LAN 3 — Monitoring Subnet (10.10.3.0/24)
        │     ├── Security Onion
        │     └── Wazuh (host-based IDS)
        └── DMZ (10.10.4.0/24)
              └── Honeypot (optional)

Le regole firewall di pfSense controllano quali sottoreti possono comunicare. La sottorete di attacco può raggiungere i target ma non il monitoraggio. La sottorete di monitoraggio vede tutto il traffico tramite le porte mirror ma non inizia connessioni. Questo rispecchia il modo in cui le reti di produzione segmentano le zone di fiducia.

Cosa Praticare nel Tuo Laboratorio

Costruire il laboratorio è solo il primo passo. Il valore viene dalla pratica strutturata. Ecco una progressione che sviluppa competenze spendibili:

Settimane 1 e 2: Ricognizione e Scansione. Usa Nmap da Kali per enumerare ogni servizio su Metasploitable. Documenta ogni porta aperta, il servizio in esecuzione e il suo numero di versione. Impara a leggere l'output di Nmap come una storia sul sistema target.

Settimane 3 e 4: Exploitation delle Vulnerabilità. Usa Metasploit Framework per sfruttare i servizi vulnerabili che hai scoperto. Inizia con i target più facili (backdoor vsftpd 2.3.4, backdoor UnrealIRCd) e procedi verso quelli più complessi (Java RMI, Tomcat manager).

Settimane 5 e 6: Attacchi alle Applicazioni Web. Passa a DVWA e pratica SQL injection, XSS e vulnerabilità di upload di file a livelli di difficoltà crescenti. Capisci non solo come sfruttarle, ma anche come rilevare payload di malware e input malevoli al livello applicativo.

Settimane 7 e 8: Analisi del Traffico di Rete. Cattura il traffico con Wireshark durante i tuoi attacchi. Impara a identificare pattern di scansione, payload di exploit e traffico di comando e controllo nelle catture di pacchetti. Abbina questo al nostro tutorial su Wireshark per una pratica strutturata.

Settimane 9 e 10: Difesa e Rilevamento. Passa al lato blue team. Esamina gli alert di Security Onion generati dai tuoi attacchi. Scrivi regole Suricata personalizzate per rilevare pattern di attacco specifici. Costruisci dashboard che evidenzino gli indicatori di compromissione che ora sai come generare.

Settimane 11 e 12: Documentazione e Reporting. Scrivi report di penetration test per ogni target che hai compromesso. Includi risultati, prove, valutazioni di rischio e raccomandazioni di remediation. Questo è il deliverable a cui clienti e datori di lavoro tengono davvero.

Errori Comuni da Evitare

Comprare hardware prima di sviluppare competenze. Inizia con il livello gratuito. Dedica tre mesi alla pratica prima di investire denaro. Molte persone comprano 500 € di hardware, lo configurano una volta e non lo usano mai più. Dimostra a te stesso che userai il laboratorio prima di scalarlo.

Saltare i fondamenti di rete. Se non capisci il subnetting, TCP/IP e DNS, il tuo laboratorio ti confonderà costantemente. Dedica tempo a imparare i comandi Linux per la cybersecurity e le basi del networking prima di tuffarti nell'exploitation.

Dimenticare gli snapshot. Prima di ogni cambiamento importante o attacco, fai uno snapshot della VM. Quando qualcosa si rompe (e succederà), ripristinare uno snapshot pulito richiede secondi. Ricostruire da zero richiede ore.

Non passare mai alla difesa. Attaccare i sistemi è entusiasmante. Difenderli è dove ci sono i lavori. Costringiti a dedicare tempo uguale a entrambi i lati. Configura Security Onion, esamina gli alert, scrivi regole di rilevamento e pratica le procedure di incident response.

Dal Laboratorio alla Carriera

Un laboratorio domestico ben documentato è uno degli asset più forti in un curriculum di cybersecurity. Dimostra iniziativa, capacità tecnica e l'apprendimento autodiretto che questo campo richiede. Quando puoi guidare un intervistatore attraverso la tua topologia di rete, spiegare perché hai segmentato le tue VLAN in quel modo, e mostrare regole di rilevamento che hai scritto per catturare i tuoi stessi attacchi, ti distingui dai candidati che hanno solo certificazioni.

Il percorso da zero esperienza alla gestione di un laboratorio di sicurezza multi-sottorete è completamente raggiungibile con qualsiasi budget. Elena è partita con un laptop di cinque anni e VirtualBox un martedì sera. In tre mesi, aveva un portfolio documentato che le ha fatto ottenere uno stage. Gli strumenti sono gratuiti. La conoscenza è gratuita. L'unico investimento è il tuo tempo e la volontà di rompere le cose, imparare dal fallimento e riprovare.

Se fai sul serio riguardo a una carriera nella cybersecurity senza laurea, un laboratorio domestico è la tua prova più forte di competenza. Inizia stasera. Scarica VirtualBox. Installa Kali. Avvia Metasploitable. Esegui la tua prima scansione. Tutto il resto segue da lì.