ГрамотаИБ ГрамотаИБ

Домашняя лаборатория для обучения информационной безопасности

Редакция ГрамотаИБ · Опубликовано 30.06.2026

Как собрать домашнюю лабораторию для безопасной и легальной практики по ИБ: зачем она нужна, какие требования к железу, из каких компонентов состоит (атакующая машина, уязвимые учебные цели, средства защиты и мониторинга), как изолировать лабораторию от домашней сети, что отрабатывать и какие бесплатные ресурсы использовать. Тренироваться можно только на своих системах — чужие тестировать нельзя.

Лучший способ освоить информационную безопасность — практика. Но тренироваться на чужих системах нельзя: без разрешения это преступление (статья 272 УК РФ). Выход — домашняя лаборатория: изолированная среда, которую вы полностью контролируете и где можно безопасно и законно атаковать и защищать собственные учебные системы. Разберём, зачем она нужна, что для неё требуется, как собрать и что отрабатывать.

Зачем нужна домашняя лаборатория

  • Практика без юридических рисков. Вы экспериментируете только на своих изолированных системах. Чужие системы тестировать нельзя даже «для тренировки» — об ответственности и правилах см. статью «Как стать пентестером».
  • Можно ломать и чинить. Ошибки не страшны: откат из снапшота — и пробуете снова.
  • Теория закрепляется практикой. Требования нормативки и меры защиты гораздо понятнее, когда вы их сами настроили и проверили.

Минимальные требования к железу

  • Компьютер с оперативной памятью от 8 ГБ (комфортнее 16–32 ГБ) и SSD — чтобы держать несколько виртуальных машин одновременно.
  • Гипервизор для виртуализации: бесплатный VirtualBox для старта, KVM или Proxmox — для более серьёзной лаборатории.
  • Изолированная виртуальная сеть (host-only или internal), чтобы лабораторный трафик не уходил в домашнюю сеть и интернет.

Из чего собрать лабораторию

  • Атакующая машина — Kali Linux или обычный Linux с набором инструментов (сканеры, прокси для веб, фреймворки эксплуатации).
  • Уязвимые учебные цели — специально созданные для обучения образы: DVWA и OWASP Juice Shop (веб-уязвимости), Metasploitable, учебные образы с VulnHub. Это легальные тренировочные мишени.
  • «Жертвы»-ОС — Windows (для лаборатории с Active Directory: контроллер домена и клиенты) и Linux-серверы.
  • Сетевые компоненты — виртуальный маршрутизатор и межсетевой экран (pfSense, OPNsense) для отработки сегментации.
  • Сторона защиты (blue team) — сбор и анализ логов и системы мониторинга (open-source SIEMСистема управления событиями информационной безопасности — Класс решений для сбора и корреляции событий ИБ (Security Information and Event Management).), системы обнаружения вторжений (Suricata, Snort), чтобы учиться не только атаковать, но и обнаруживать атаки и реагировать.

Безопасность самой лаборатории

Лаборатория не должна навредить вашей основной системе:

  • держите её изолированной от рабочей и домашней сети и интернета — особенно при работе с вредоносным ПО, только в отдельном сегменте;
  • делайте снапшоты виртуальных машин и откатывайтесь после рискованных экспериментов;
  • не запускайте реальное вредоносное ПО на основной системе и не храните в лаборатории чужие или реальные персональные данные;
  • следите за лицензионной чистотой — для Windows подойдут официальные пробные (Evaluation) версии.

Что отрабатывать

  • Атака (red). Разведка и сканирование, эксплуатация уязвимостей на учебных целях, веб-уязвимости из списка типовых, атаки на Active Directory.
  • Защита (blue). Настройка средств защиты, сегментация сети, сбор и анализ логов, обнаружение атак в SIEM и системах обнаружения вторжений, реагирование на инциденты.
  • Комплаенс-практика. Примените меры приказа ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21 к учебной ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. — разграничение доступа, журналирование, антивирусная защита: так теория из плана изучения нормативки ложится на практику.

Бесплатные и доступные ресурсы

Собрать лабораторию можно почти бесплатно:

  • бесплатные гипервизоры (VirtualBox, KVM, Proxmox);
  • бесплатные уязвимые образы (DVWA, OWASP Juice Shop, Metasploitable, образы с VulnHub);
  • если не хочется поднимать всё локально — онлайн-полигоны и CTF, а также программы багбаунти как источник легальных целей (подробнее — в статье «Как стать пентестером»);
  • для изучения реальных угроз и уязвимостей — банк данных угроз (БДУ) ФСТЭК.

С чего начать: пошагово

  • поставить гипервизор и создать изолированную виртуальную сеть;
  • развернуть атакующую машину и одну уязвимую цель (например, DVWA);
  • пройти базовый сценарий: разведка, поиск уязвимости, эксплуатация, фиксация результата;
  • добавить сторону защиты — логи и мониторинг — и посмотреть на свою же атаку глазами защитника;
  • наращивать сложность: Windows и Active Directory, сегментация, средства защиты;
  • делать снапшоты и вести заметки по каждому сценарию.

Главное

Домашняя лаборатория — безопасный и законный способ практиковать информационную безопасность: изолированная виртуальная среда, где можно атаковать и защищать собственные учебные системы. Нужны компьютер с виртуализацией, изолированная сеть, атакующая машина и уязвимые учебные цели; для отработки защиты добавляют мониторинг и средства обнаружения атак. Чужие системы тестировать нельзя — только свои. Лаборатория связывает теорию (нормативку и меры защиты) с практикой и готовит к CTF, багбаунти и работе. С чего начать путь в профессию — в статьях «Как перейти в ИБ из другой ИТ-специальности» и «Как стать пентестером».

Частые вопросы

Что нужно для домашней лаборатории по ИБ?

Компьютер с оперативной памятью от 8 ГБ (комфортнее 16–32) и SSD, бесплатный гипервизор (VirtualBox, KVM или Proxmox), изолированная виртуальная сеть, атакующая машина (например, Kali Linux) и уязвимые учебные образы (DVWA, OWASP Juice Shop, Metasploitable).

Законно ли тренироваться в домашней лаборатории?

Да, если вы тестируете собственные изолированные учебные системы. Чужие системы без разрешения тестировать нельзя — это преступление (статья 272 УК РФ и смежные).

Можно ли учиться без своей лаборатории?

Да. Соревнования CTF, тренировочные онлайн-полигоны и программы багбаунти дают легальные цели для практики, не требуя поднимать всю инфраструктуру локально.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Читайте также

Все по теме «Организация и комплаенс» →

План самостоятельного изучения нормативной базы по ИБ

Программа самостоятельного изучения нормативки по информационной безопасности в логичном порядке: от базовых понятий (триада CIA) к персональным данным (152-ФЗ, ПП-1119), модели угроз и мерам (приказ ФСТЭК №21), затем по применимости — ГИС (приказ №117), СКЗИ (ФАПСИ №152, ФСБ №378) и КИИ (187-ФЗ, приказы №235 и №239, Указ №250), и наконец организация, документы и контроль. Со ссылками на разборы и первоисточники.

Как стать пентестером (специалистом по тестированию на проникновение)

Как войти в профессию пентестера: что такое тестирование на проникновение и почему оно законно только с разрешения, какой минимальный набор знаний нужен (сети, Linux, Windows, веб, скрипты), какие инструменты и направления бывают, где практиковаться легально (CTF, киберполигоны, багбаунти), какие сертификации и переподготовку пройти и как пентест встроен в российские требования по защите информации.

Как перейти в информационную безопасность из другой ИТ-специальности

Как войти в информационную безопасность из смежной ИТ-области (администрирование, разработка, сети, DevOps): какой минимальный набор знаний нужен, какие направления ИБ выбрать под свой бэкграунд, какое переобучение и переподготовку пройти (ДПО и программы, согласованные с ФСТЭК) и какие основные требования предъявляют к специалистам по ИБ — профстандарты, приказ ФСТЭК №235, Указ №250, лицензионные требования.

Триада CIA: конфиденциальность, целостность, доступность

Триада CIA (по-русски КЦД) — три базовых свойства безопасности информации: конфиденциальность, целостность и доступность. Объясняем, что означает каждое свойство, почему важен баланс между ними и как использовать триаду при построении системы защиты информации: от оценки ущерба по каждому свойству до подбора мер. С практическим примером для малого бизнеса.