2.4m望遠(yuǎn)鏡網(wǎng)絡(luò)安全初步設(shè)計(jì)

蘇少敏，陳 東，羅國權(quán)

(中國科學(xué)院國家天文臺(tái)云南天文臺(tái)，云南 昆明 650011)

為了提高觀測(cè)效率，節(jié)約運(yùn)行成本，云南天文臺(tái)將在2.4m望遠(yuǎn)鏡建立一套遠(yuǎn)程觀測(cè)系統(tǒng)[1]。在這個(gè)系統(tǒng)的觀測(cè)流程中，實(shí)際觀測(cè)中的每一步都可以在線完成。包括提交觀測(cè)申請(qǐng)，觀測(cè)計(jì)劃，在線觀測(cè)，觀測(cè)后處理。并且在在線觀測(cè)過程中，觀測(cè)者可以監(jiān)測(cè)望遠(yuǎn)鏡及儀器設(shè)備的工作狀態(tài),并可根據(jù)實(shí)際情況, 在自己觀測(cè)時(shí)間內(nèi)修改觀測(cè)計(jì)劃，觀測(cè)后還要進(jìn)行數(shù)據(jù)的下載[2]。

傳統(tǒng)的觀測(cè)模式并沒有通過網(wǎng)絡(luò)的交互及操作，甚至沒有接入任何的網(wǎng)絡(luò)，所以不需要考慮網(wǎng)絡(luò)安全方面的問題。而遠(yuǎn)程觀測(cè)模式是基于網(wǎng)絡(luò)技術(shù)，所以對(duì)網(wǎng)絡(luò)安全方面有更高的要求。如果給每一個(gè)用戶都提供一條專用線當(dāng)然能夠保證可靠和安全的訪問通道，但是這樣支持一個(gè)分布廣泛的用戶群恐怕是無法負(fù)擔(dān)的。那么使用公共的網(wǎng)絡(luò)就必然會(huì)面臨網(wǎng)絡(luò)威脅的問題。

1 網(wǎng)絡(luò)安全目標(biāo)

目前在網(wǎng)絡(luò)上存在許多威脅系統(tǒng)安全的因素。首先網(wǎng)絡(luò)上存在著各種各樣的病毒，如果系統(tǒng)感染了這些病毒，會(huì)造成或大或小的問題，嚴(yán)重的會(huì)造成整個(gè)系統(tǒng)的崩潰。其次與病毒同時(shí)存在的還有各種類型的攻擊行為，網(wǎng)絡(luò)攻擊主要有以下幾類：拒絕服務(wù)、緩沖區(qū)溢出、SYN攻擊、淚珠攻擊、侵入攻擊、信息竊取等。無論系統(tǒng)遇到了哪一類攻擊，都必然帶來相應(yīng)的損失。這不僅會(huì)給系統(tǒng)本身帶來問題，還有可能泄露應(yīng)該保密的數(shù)據(jù)信息。

鑒于現(xiàn)今網(wǎng)絡(luò)環(huán)境的不安全因素較多，網(wǎng)絡(luò)中計(jì)算機(jī)及各個(gè)相關(guān)設(shè)備的安全防護(hù)是一項(xiàng)極其重要的工作。第一，要保護(hù)各個(gè)網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、望遠(yuǎn)鏡相關(guān)的一些硬件設(shè)施的安全；第二，要保證各種數(shù)據(jù)及信息的安全，防止被篡改或竊??；第三，整個(gè)系統(tǒng)是為觀測(cè)者服務(wù)的，所以要保證對(duì)觀測(cè)者的服務(wù)質(zhì)量，保障其工作的順利進(jìn)行，不受任何安全問題的妨礙。也就是系統(tǒng)能夠安全穩(wěn)定地運(yùn)行，不受任何不安全因素的影響；第四，整個(gè)系統(tǒng)的安全問題解決后，也必然能夠解決由不安全地因素及事件帶來的相關(guān)聲譽(yù)和信任的問題。

通過安全防護(hù)工作希望對(duì)網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)病毒、非法存取、拒絕服務(wù)、網(wǎng)絡(luò)資源非法占用和非法控制等威脅，能夠制止和防御黑客的攻擊行為。

尤其需要指出的是，有人會(huì)認(rèn)為沒有黑客會(huì)對(duì)望遠(yuǎn)鏡感興趣，所以就不會(huì)遭受攻擊，數(shù)據(jù)也會(huì)很安全?？墒乾F(xiàn)在的網(wǎng)絡(luò)環(huán)境中，系統(tǒng)是否感染病毒，是否會(huì)遭到攻擊與系統(tǒng)本身是否重要，是否有某些特殊的原因會(huì)引起黑客的興趣毫無關(guān)系。很多攻擊行為是沒有任何道理可講的。只要是接入網(wǎng)絡(luò)的計(jì)算機(jī)或局域網(wǎng)網(wǎng)絡(luò)都會(huì)受到病毒及攻擊和各種不安全因素的影響。所以，為了防止由網(wǎng)絡(luò)帶來的威脅造成的各類損失，必須重視安全防護(hù)體系的建設(shè)，只有做好安防工作，才有可能抵御病毒及網(wǎng)絡(luò)攻擊，使損失減少到最小。

2 網(wǎng)絡(luò)分析及設(shè)計(jì)

2.4m望遠(yuǎn)鏡的網(wǎng)絡(luò)目前是由光纜通過交換機(jī)與外界相連。共有4臺(tái)服務(wù)器。建筑物有2.4m望遠(yuǎn)鏡圓頂、綜合樓、鍍膜機(jī)房、專家樓。望遠(yuǎn)鏡圓頂內(nèi)網(wǎng)絡(luò)分為氣象站、辦公網(wǎng)絡(luò)和望遠(yuǎn)鏡網(wǎng)絡(luò)。各建筑及各子網(wǎng)間以光纖或電纜通過交換機(jī)連接。內(nèi)外網(wǎng)分開，具備監(jiān)控報(bào)警系統(tǒng)。

在這個(gè)網(wǎng)絡(luò)中沒有路由器，沒有專用的防火墻，網(wǎng)絡(luò)結(jié)構(gòu)也沒有考慮安全問題。出于建筑及工程方面的原因，目前的情況只是提供了最基礎(chǔ)的一些安全保障措施，并沒有制定全面系統(tǒng)的策略章程，所以很多細(xì)節(jié)問題沒有注意到?，F(xiàn)在望遠(yuǎn)鏡已投入使用，即將建成遠(yuǎn)程觀測(cè)系統(tǒng)，必須做好安全工作，為整個(gè)網(wǎng)絡(luò)提供安全保護(hù)。圖1為目前的望遠(yuǎn)鏡網(wǎng)絡(luò)結(jié)構(gòu)。

圖1 麗江目前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)Fig.1 Current network structure at the Lijiang Station

圖1中，服務(wù)器1是Web服務(wù)器；服務(wù)器2是DNS服務(wù)器；服務(wù)器3是辦公網(wǎng)代理服務(wù)器/軟件防火墻/PPTP VPN；服務(wù)器4是望遠(yuǎn)鏡網(wǎng)代理服務(wù)器/L2TP VPN。由圖1可以看出，目前的網(wǎng)絡(luò)只有兩臺(tái)代理服務(wù)器VPN和軟件防火墻作為安全防護(hù)，在網(wǎng)絡(luò)結(jié)構(gòu)方面也沒有體現(xiàn)安全性。

圖2 Web服務(wù)器掃描結(jié)果Fig.2 Scan results of the Web server

圖3 Web服務(wù)器分析結(jié)果Fig.3 Analysis results of the Web server

圖4 網(wǎng)關(guān)掃描結(jié)果Fig.4 Scan results of the gateway

圖5 網(wǎng)關(guān)分析結(jié)果Fig.5 Analysis results of the gateway

圖6 公網(wǎng)代理服務(wù)器掃描結(jié)果Fig.6 Scan results of the network proxy server

圖7 公網(wǎng)代理服務(wù)器分析結(jié)果Fig.7 Analysis results of the network proxy server

通過對(duì)現(xiàn)在麗江網(wǎng)絡(luò)的掃描可以發(fā)現(xiàn)，各主要服務(wù)器的安全防護(hù)措施已經(jīng)做得比較好了，沒有已知安全漏洞，沒有任何安全警告，對(duì)外開放的端口也很有限。Web服務(wù)器的SSH端口是用來做遠(yuǎn)程維護(hù)與調(diào)試的，也是必不可少的。而且SSH本身也是安全的連接，不會(huì)帶來太大的安全隱患。ftp端口的具體解釋是“可能”開放，用專用端口掃描工具掃描后發(fā)現(xiàn)并沒有開放ftp端口。

目前由Internet對(duì)望遠(yuǎn)鏡網(wǎng)絡(luò)的訪問是雙重VPN方式：園區(qū)網(wǎng)對(duì)望遠(yuǎn)鏡網(wǎng)內(nèi)計(jì)算機(jī)不能直接訪問，需要撥入VPN，才可獲得訪問權(quán)限；Internet對(duì)望遠(yuǎn)鏡網(wǎng)的訪問，需撥入園區(qū)網(wǎng)VPN，先獲得園區(qū)網(wǎng)訪問權(quán)限后，再撥入望遠(yuǎn)鏡網(wǎng)VPN。望遠(yuǎn)鏡對(duì)外部，可以直接訪問。

目前望遠(yuǎn)鏡并沒有使用遠(yuǎn)程觀測(cè)，使用VPN，再加上對(duì)各個(gè)服務(wù)器的安全配置，做好每個(gè)服務(wù)器本身的安全防護(hù)，應(yīng)該可以基本保證網(wǎng)絡(luò)的安全?？墒菍?duì)于以后要建成的遠(yuǎn)程觀測(cè)系統(tǒng)，這樣的防護(hù)措施顯然是不夠的。

代理服務(wù)器VPN的確可以在一定程度上保護(hù)網(wǎng)絡(luò)，但是作為今后遠(yuǎn)程觀測(cè)系統(tǒng)的保護(hù)就顯得單薄了。其存在的安全隱患為：

(1)VPN的賬號(hào)密碼有可能被破解，VPN就失去了防護(hù)作用，網(wǎng)絡(luò)攻擊就有可能發(fā)生；

(2)內(nèi)網(wǎng)對(duì)外網(wǎng)的直接訪問也有可能感染到病毒；

(3)遠(yuǎn)程觀測(cè)是要通過網(wǎng)絡(luò)來完成所有的工作，任何小的危險(xiǎn)都有可能對(duì)系統(tǒng)、數(shù)據(jù)，甚至是望遠(yuǎn)鏡等硬件造成損壞；

(4)代理服務(wù)器VPN應(yīng)該只是安全防護(hù)的一個(gè)環(huán)節(jié)，還應(yīng)該逐步完善其它各項(xiàng)措施；

(5)只有一個(gè)軟件防火墻來作為整個(gè)局域網(wǎng)的防火墻，也是不行的。

考慮到今后網(wǎng)絡(luò)的需求，以及目前還比較薄弱的網(wǎng)絡(luò)防護(hù)措施，首先對(duì)網(wǎng)絡(luò)的整體結(jié)構(gòu)進(jìn)行了重新設(shè)計(jì)。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)會(huì)直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其它系統(tǒng)。自己數(shù)據(jù)庫內(nèi)的資料、數(shù)據(jù)信息也有可能遭到破壞或被盜取。正在通過遠(yuǎn)程觀測(cè)系統(tǒng)進(jìn)行的工作也有可能被中斷或受到影響。進(jìn)一步通過網(wǎng)絡(luò)的傳播，還會(huì)影響到連上 Internet的其它網(wǎng)絡(luò)；影響所及，還可能涉及安全敏感領(lǐng)域。造成的影響將會(huì)不堪設(shè)想。所以必須要有一個(gè)安全合理的網(wǎng)絡(luò)結(jié)構(gòu)，這樣拓?fù)浣Y(jié)構(gòu)本身就可以防止對(duì)網(wǎng)絡(luò)進(jìn)一步的破壞行為。

圖8和圖9為經(jīng)過重新設(shè)計(jì)改進(jìn)后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。其中，服務(wù)器1和服務(wù)器2仍為原網(wǎng)絡(luò)的2臺(tái)服務(wù)器，除在拓?fù)渲形恢糜凶兓獠o其它改變。

辦公網(wǎng)絡(luò)包括原網(wǎng)絡(luò)中的綜合樓、專家樓、鍍膜機(jī)房、氣象站以及2.4m圓頂內(nèi)的辦公網(wǎng)絡(luò)，由交換機(jī)進(jìn)行連接。

望遠(yuǎn)鏡網(wǎng)絡(luò)包括原網(wǎng)絡(luò)中的望遠(yuǎn)鏡網(wǎng)絡(luò)以及一些今后將要建成的遠(yuǎn)程觀測(cè)系統(tǒng)的服務(wù)器，并且這些服務(wù)器不對(duì)外提供服務(wù)。

DMZ區(qū)包括了需要與外界聯(lián)系的服務(wù)器，遠(yuǎn)程觀測(cè)系統(tǒng)涉及到對(duì)外服務(wù)的服務(wù)器。由于需要為觀測(cè)者提供數(shù)據(jù)下載服務(wù)，所以數(shù)據(jù)庫服務(wù)器也在DMZ區(qū)，同時(shí)又添加一道防火墻作為保護(hù)，以確保數(shù)據(jù)庫的安全。也可以在DMZ區(qū)設(shè)置堡壘主機(jī)(圖中沒有顯示)，可用于進(jìn)一步保護(hù)DMZ區(qū)的安全。

圖8 設(shè)計(jì)后的網(wǎng)絡(luò)系統(tǒng)整體拓?fù)浣Y(jié)構(gòu)Fig.8 The overall structure of the entire network system

圖9 DMZ區(qū)拓?fù)浣Y(jié)構(gòu)Fig.9 Structure of the DMZ area

由圖中可以看出，在設(shè)計(jì)圖中首先保留了原來網(wǎng)絡(luò)的結(jié)構(gòu)及基本的防護(hù)措施。這樣在重新建設(shè)中就不需要改動(dòng)以前的網(wǎng)路，方便今后的工作。在此基礎(chǔ)上，對(duì)需要公開的服務(wù)器與網(wǎng)絡(luò)的其它部分進(jìn)行了隔離，采用了DMZ區(qū)的設(shè)計(jì)。在與外網(wǎng)的連接中也添加了路由器，采用包過濾路由器，可以對(duì)網(wǎng)絡(luò)中的包進(jìn)行最基本的過濾，以減輕防火墻的負(fù)擔(dān)，提高防火墻的工作效率。

同時(shí)在網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，即連接DMZ區(qū)和內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)的一點(diǎn)，添加了防火墻。這個(gè)防火墻并不是普通意義上的防火墻，在其中集成了入侵檢測(cè)系統(tǒng)。因?yàn)槠胀ǖ姆阑饓χ皇菍?duì)數(shù)據(jù)包的包頭部分進(jìn)行檢查，來決定是否放行或丟棄。而入侵檢測(cè)的功能就要全面的多。入侵檢測(cè)不僅檢查數(shù)據(jù)包的包頭部分，還會(huì)檢查數(shù)據(jù)部分，發(fā)現(xiàn)有惡意攻擊的內(nèi)容就會(huì)發(fā)出報(bào)警。不僅如此，入侵檢測(cè)還可以通過收集分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。更重要的是入侵檢測(cè)不僅檢測(cè)來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。這一點(diǎn)非常重要，因?yàn)橛纱罅块L期的統(tǒng)計(jì)表明，大部分的惡意行為來自內(nèi)部。隨著網(wǎng)絡(luò)的發(fā)展，內(nèi)部用戶會(huì)增加，各種工作人員的情況也會(huì)復(fù)雜起來，人為的失誤，甚至故意的破壞都有可能發(fā)生。所以入侵檢測(cè)對(duì)內(nèi)部用戶的檢測(cè)這項(xiàng)功能起到了尤其重要的防范作用。

由于今后網(wǎng)絡(luò)必然會(huì)發(fā)展成比較大型的，功能很全面的網(wǎng)絡(luò)格局，所以必須要有入侵檢測(cè)系統(tǒng)才能實(shí)現(xiàn)全方位的安全保護(hù)。并且入侵檢測(cè)記錄的信息也可以作為違法行為的證據(jù)，來進(jìn)一步跟蹤追查。如果破壞行為對(duì)系統(tǒng)、服務(wù)或望遠(yuǎn)鏡造成損壞也可以追究法律責(zé)任來減輕損失。

3 防火墻的實(shí)現(xiàn)

在整個(gè)的防護(hù)措施中，核心的技術(shù)設(shè)施就是集成了入侵檢測(cè)系統(tǒng)的防火墻。采用的是Snort+Guardian的主動(dòng)防火墻。主要由Snort、Guardian與Iptables組成。Snort是一個(gè)開源的輕量級(jí)入侵檢測(cè)系統(tǒng)，可以監(jiān)測(cè)網(wǎng)絡(luò)上的異常情況，并給出報(bào)告；Guardian 是基于Snort和Iptables的一個(gè)主動(dòng)防火墻，它分析Snort的日志文件，根據(jù)一定的判據(jù)自動(dòng)將某些惡意的IP加入Iptables的輸入鏈，并將其數(shù)據(jù)報(bào)丟棄[3]。

圖10 防火墻邏輯結(jié)構(gòu)圖Fig.10 Logical structure of the firewall

防火墻的邏輯結(jié)構(gòu)如圖10，其核心為Snort，Snort與Guardian聯(lián)動(dòng)，Guardian控制Iptables實(shí)現(xiàn)防御。Snort又需要其它的軟件、插件來配合工作。PCRE、Libpcap、Oinkmaster對(duì)Snort的安裝運(yùn)行是必不可少的，數(shù)據(jù)庫及其它插件可以使Snort更加簡(jiǎn)便易用。

Snort并不是安裝好了就可以使用的簡(jiǎn)單的軟件。必須進(jìn)行合理的配置，制定符合實(shí)際情況的使用方法及策略，使其按照需要來運(yùn)轉(zhuǎn)。

Snort的配置文件snort.conf起到非常關(guān)鍵的作用，這個(gè)配置文件對(duì)Snort的各項(xiàng)功能及運(yùn)行方式等進(jìn)行配置。主要包括以下幾部分[4]：(1)網(wǎng)絡(luò)變量的設(shè)置;(2)動(dòng)態(tài)裝載庫;(3)預(yù)處理器;(4)輸出模塊;(5)運(yùn)行時(shí)指令;(6)規(guī)則的制定。其中預(yù)處理器部分，針對(duì)目前網(wǎng)絡(luò)中ARP攻擊頻繁發(fā)生的情況，增加了ARP Spoof Preprocessor預(yù)處理器。

輸出模塊采用默認(rèn)路徑及格式和Mysql數(shù)據(jù)庫兩種方式。采用兩種方式并行，防止由于某方面出了問題而漏掉報(bào)警信息和日志。Mysql數(shù)據(jù)庫也與遠(yuǎn)程觀測(cè)系統(tǒng)的其它數(shù)據(jù)庫一致，方便交互，同時(shí)又為Snort其它眾多插件所支持，使功能的進(jìn)一步擴(kuò)展變得更容易。

Guardian用來給操作系統(tǒng)發(fā)出指令，封鎖可能產(chǎn)生攻擊的源IP地址。Guardian必須與入侵檢測(cè)系統(tǒng)Snort協(xié)同工作[5]。

Iptables是與Linux內(nèi)核集成的IP信息包過濾系統(tǒng)。由netfilter和iptables兩個(gè)組件組成。Netfilter也稱為內(nèi)核空間，屬于內(nèi)核的一部分，由信息包過濾表組成，這些表是用來控制處理過濾的信息包的規(guī)則集。Iptables也稱為用戶空間，用來插入、修改和刪除信息包過濾表中的規(guī)則，以方便其管理。

4 未來的工作

未來的工作中，需要對(duì)安全防護(hù)系統(tǒng)及各軟件不斷地進(jìn)行升級(jí)更新，針對(duì)網(wǎng)絡(luò)情況的改變對(duì)防火墻及入侵檢測(cè)的各項(xiàng)設(shè)置以及安防策略進(jìn)行相應(yīng)的調(diào)整。安全防護(hù)是一個(gè)需要不斷完善的過程。

[1] 韋卡寧.2.4米望遠(yuǎn)鏡遠(yuǎn)程觀測(cè)系統(tǒng)——設(shè)計(jì)及部分實(shí)現(xiàn)[D].中國科學(xué)院研究生院碩士學(xué)位論文,2005.

[2] 陳東,韋卡寧, 諶俊毅,等.2.4m望遠(yuǎn)鏡遠(yuǎn)程觀測(cè)系統(tǒng)的初步系統(tǒng)設(shè)計(jì)[J].天文研究與技術(shù)(國家天文臺(tái)臺(tái)刊)，2006,3(4):394-400.

CHEN Dong,WEI Ka-ning,CHEN Jun-yi,et al.Preliminary System Design of the Remote Observing System for 2.4m Telescope[J].Astronomical Research & Technology,2006,3(4):394-400.

[3] http://www.chinaunix.net/jh/29/484898.html

[4] http://www.snort.org/

[5] http://www.chaotic.org/guardian/