基于Openstack的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺設(shè)計(jì)與構(gòu)建

葉建鋒, 張平安, 高月芳

(1. 深圳信息職業(yè)技術(shù)學(xué)院 軟件學(xué)院, 廣東 深圳　518172;2. 深圳信息職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)學(xué)院, 廣東 深圳　518172)

?

基于Openstack的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺設(shè)計(jì)與構(gòu)建

葉建鋒1, 張平安2, 高月芳2

(1. 深圳信息職業(yè)技術(shù)學(xué)院 軟件學(xué)院, 廣東 深圳518172;2. 深圳信息職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)學(xué)院, 廣東 深圳518172)

基于開源云計(jì)算Openstack技術(shù),在開放式的網(wǎng)絡(luò)環(huán)境下設(shè)計(jì)并構(gòu)建一個面向?qū)崙?zhàn)演練的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺,實(shí)例結(jié)合常用探測與入侵工具,給出了針對FTP服務(wù)器緩沖區(qū)溢出漏洞的入侵過程和相應(yīng)的防御實(shí)施。通過實(shí)例驗(yàn)證了利用Openstack技術(shù)構(gòu)建網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺的可行性和有效性,在開放式的網(wǎng)絡(luò)環(huán)境下為信息安全專業(yè)的學(xué)生開展網(wǎng)絡(luò)攻防實(shí)踐提供了一個有效的實(shí)戰(zhàn)演練環(huán)境。

網(wǎng)絡(luò)攻防； 實(shí)訓(xùn)平臺; Openstack； 云計(jì)算

高校網(wǎng)絡(luò)攻防環(huán)境的構(gòu)建受資金、場地等制約,同時(shí)考慮到其本身實(shí)驗(yàn)的破壞性,很難在開放式的環(huán)境下有效部署[1]。部分高校引入了神州數(shù)碼等信息安全的沙盒主機(jī),但設(shè)備不斷升級帶來的成本需求和平臺實(shí)訓(xùn)人數(shù)的限制已無法滿足高校人才培養(yǎng)的需求[2]。許多高校針對實(shí)驗(yàn)手段進(jìn)行了積極有效的探索,如在單機(jī)環(huán)境下利用虛擬技術(shù)搭建實(shí)驗(yàn)平臺[3],基于云計(jì)算平臺的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺及相關(guān)的課程建設(shè)案例[4-5],雖然其在某種程度上實(shí)現(xiàn)了對實(shí)驗(yàn)手段補(bǔ)充,但其過多地強(qiáng)調(diào)網(wǎng)絡(luò)及安全配置,且實(shí)驗(yàn)環(huán)境封閉,無法實(shí)現(xiàn)網(wǎng)絡(luò)攻防的多樣性和開放性要求。如何在開放式的網(wǎng)絡(luò)環(huán)境下提供一種行之有效的方法、能夠彈性地滿足實(shí)訓(xùn)人數(shù)需要同時(shí)能有效還原網(wǎng)絡(luò)入侵發(fā)生的過程并進(jìn)行有效防御顯得尤為重要。

本文基于Openstack的開源云計(jì)算技術(shù),在開放式的網(wǎng)絡(luò)環(huán)境中搭建網(wǎng)絡(luò)攻防平臺,突破了傳統(tǒng)實(shí)驗(yàn)平臺不能實(shí)時(shí)在線、不能安全隔離、實(shí)訓(xùn)人數(shù)受限的瓶頸,為網(wǎng)絡(luò)攻防實(shí)戰(zhàn)提供了一種有效的方法。利用平臺優(yōu)勢，結(jié)合常用系統(tǒng)以及典型網(wǎng)絡(luò)攻防工具使用、系統(tǒng)加固及入侵防御方法構(gòu)建實(shí)訓(xùn)場景,給出了利用Windows下FTP服務(wù)器緩沖區(qū)溢出漏洞進(jìn)行入侵提權(quán)的實(shí)例并給出了加固的主要策略,通過平臺實(shí)例使用戶掌握典型入侵過程,樹立信息系統(tǒng)安全加固的意識,實(shí)現(xiàn)理論與實(shí)踐結(jié)合進(jìn)行攻防演練的目的。通過典型網(wǎng)絡(luò)攻防案例測試驗(yàn)證了本文所提出的攻防演練實(shí)訓(xùn)環(huán)境的有效性,進(jìn)一步提升了本實(shí)訓(xùn)平臺的推廣應(yīng)用價(jià)值。

1　網(wǎng)絡(luò)攻防平臺的設(shè)計(jì)

云計(jì)算是一種基于互聯(lián)網(wǎng)的計(jì)算方式，它具有靈活動態(tài)分配資源、統(tǒng)一管理、有效降低IT成本等特點(diǎn)。隨著分布式系統(tǒng)的逐漸成熟及開源軟件的免費(fèi)提供,使得高校實(shí)驗(yàn)室在資金有限的情況下,能利用云計(jì)算技術(shù)搭建實(shí)訓(xùn)平臺。而私有云“提供對數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制”[6],同時(shí)鑒于OpenStack 是完全開放源碼,同時(shí)考慮到其強(qiáng)大的社區(qū)開發(fā)模式,在綜合考慮性價(jià)比、二次開發(fā)的難易程度等多方面因素后,本文選擇OpenStack作為私有云的基礎(chǔ)平臺進(jìn)行網(wǎng)絡(luò)攻防平臺的搭建。

1.1網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺邏輯拓?fù)湓O(shè)計(jì)

本平臺設(shè)計(jì)結(jié)合網(wǎng)絡(luò)攻防實(shí)驗(yàn)特點(diǎn),依據(jù)既滿足內(nèi)網(wǎng)用戶使用,也滿足外網(wǎng)用戶的使用原則進(jìn)行規(guī)劃設(shè)計(jì),平臺邏輯拓?fù)浣Y(jié)構(gòu)見圖1。內(nèi)網(wǎng)用戶可直接利用本地主機(jī)對靶場目標(biāo)主機(jī)發(fā)起攻擊和實(shí)施防御,外網(wǎng)用戶需經(jīng)認(rèn)證后經(jīng)接入集群主機(jī)對靶場目標(biāo)主機(jī)發(fā)起攻擊和實(shí)施防御,管理員可在內(nèi)網(wǎng)認(rèn)證后或在外網(wǎng)通過VPN服務(wù)接入后對平臺進(jìn)行管理。

圖1　網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺邏輯拓?fù)浣Y(jié)構(gòu)

本平臺基于模塊化設(shè)計(jì)思路,充分利用Openstack技術(shù):利用Nova(openStack compute計(jì)算服務(wù))實(shí)現(xiàn)網(wǎng)絡(luò)攻防平臺中接入集群和靶場集群的構(gòu)建，利用Swift(openStack object storage 存儲服務(wù))實(shí)現(xiàn)場景的及相應(yīng)的存儲功能，利用Glance(openStack image service 鏡像服務(wù))實(shí)現(xiàn)攻防平臺中場景的快速切換,網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺模塊間邏輯關(guān)系見圖2。

圖2　網(wǎng)絡(luò)攻防平臺模塊間邏輯關(guān)系

1.2網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺的物理平臺設(shè)計(jì)

本平臺計(jì)劃滿足60個接入實(shí)例(攻擊組和加固組每組30個接入主機(jī))和30個靶場主機(jī)實(shí)例(每個攻擊者和防御者共享一個靶場主機(jī)),考慮到存儲要求較低,本平臺中無專門的存儲服務(wù)器,采用共享服務(wù)器本地硬盤的存儲方式。搭建該環(huán)境的硬件平臺見表1。

表1　平臺搭建所需軟硬件一覽表

1.3網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

根據(jù)本平臺構(gòu)建的需要,需構(gòu)建5個網(wǎng)絡(luò),其中存儲網(wǎng)絡(luò)在本平臺搭建中可選,網(wǎng)絡(luò)類型及功能見表2。

表2　平臺網(wǎng)絡(luò)類型及功能描述

結(jié)合本平臺場景的搭建給出網(wǎng)絡(luò)的IP及VLAN規(guī)劃見表3。

表3　網(wǎng)絡(luò)IP地址、VLAN規(guī)劃表

2　網(wǎng)絡(luò)攻防平臺的部署與實(shí)現(xiàn)

2.1物理平臺的互聯(lián)

考慮到服務(wù)器網(wǎng)絡(luò)接口的限制,實(shí)施中需對交換機(jī)進(jìn)行VLAN的劃分,平臺構(gòu)建中管理網(wǎng)絡(luò)、外部網(wǎng)絡(luò)單獨(dú)使用服務(wù)器網(wǎng)絡(luò)接口,內(nèi)部網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)共享服務(wù)網(wǎng)絡(luò)接口。物理設(shè)備互聯(lián)邏輯拓?fù)浣Y(jié)構(gòu)見圖3。

圖3　物理設(shè)備互聯(lián)邏輯拓?fù)浣Y(jié)構(gòu)

2.2軟件的安裝及平臺的部署

按照圖3完成服務(wù)器和交換機(jī)互聯(lián),并對交換機(jī)按照表3進(jìn)行VLAN信息配置后,使用軟件MirantisOpenStack-5.1.1對管理服務(wù)器安裝,安裝完成后利用其發(fā)現(xiàn)其他服務(wù)器節(jié)點(diǎn)并對節(jié)點(diǎn)完成角色的分配,按照表3進(jìn)行IP地址設(shè)置,在網(wǎng)絡(luò)地址驗(yàn)證正確后,進(jìn)行Openstack平臺部署,部署流程見圖4。

圖4　攻防實(shí)訓(xùn)平臺部署流程圖

隨著互聯(lián)網(wǎng)的發(fā)展,攻擊與防御技術(shù)的此消彼長,以及網(wǎng)絡(luò)入侵和攻擊的工具多樣化使得實(shí)施網(wǎng)絡(luò)攻擊的門檻越來越低,平臺的有效部署進(jìn)一步地貼近了實(shí)際,弱化網(wǎng)絡(luò)環(huán)境搭建的過程,使平臺的使用者更加專注網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的原理、手段、技術(shù)和方法的開發(fā)與實(shí)踐,不斷提高學(xué)習(xí)者信息安全素養(yǎng)。

3　網(wǎng)絡(luò)攻防平臺的實(shí)驗(yàn)實(shí)例測試

3.1實(shí)驗(yàn)實(shí)例的場景管理

實(shí)例中主要針對FTP服務(wù)器緩沖區(qū)溢出漏洞進(jìn)行入侵提權(quán),首先需登錄管理平臺手動或通過腳本控制加載攻防場景(見圖5)的鏡像或快照文件。

圖5　基于Openstack的私有云加載網(wǎng)絡(luò)攻防場景

利用場景中鏡像文件或快照啟動接入和靶場集群中實(shí)例如圖6所示。根據(jù)考慮到攻防平臺的實(shí)驗(yàn)特性,默認(rèn)接入和靶場集群主機(jī)是與公網(wǎng)完全隔離,為了滿足開放環(huán)境的實(shí)驗(yàn)需求,管理員通過浮動IP綁定接入集群主機(jī)的同時(shí),需設(shè)置防火墻過濾規(guī)則,滿足外網(wǎng)及實(shí)訓(xùn)操作的需求,如本實(shí)驗(yàn)中是通過VNC連接接入集群主機(jī),同時(shí)考慮到連通性測試,設(shè)置規(guī)則如表4所示,創(chuàng)建防火墻過濾規(guī)則界面見圖7。

圖6　創(chuàng)建攻防實(shí)訓(xùn)的網(wǎng)絡(luò)、接入和靶場集群實(shí)例

流量方向輸入類型IP協(xié)議端口范圍遠(yuǎn)程地址入口IPv4ICMP-0.0.0.0(CIDR)出口IPv4ICMP-0.0.0.0(CIDR)入口IPv4TCP59010.0.0.0(CIDR)

圖7　創(chuàng)建防火墻過濾規(guī)則界面

3.2實(shí)訓(xùn)中網(wǎng)絡(luò)滲透及入侵過程

3.2.1網(wǎng)絡(luò)滲透及入侵過程

用戶從外網(wǎng)利用客戶端連接工具(VNC等)連接平臺、接入集群中分配給用戶的實(shí)例,從平臺云硬盤獲取實(shí)驗(yàn)工具,比如本實(shí)例中需獲取探測類掃描工具X-Scan,利用掃描工具對指定的靶場集群網(wǎng)段進(jìn)行掃描,掃描到存活主機(jī)及主機(jī)漏洞如圖8所示。

圖8　登錄接入集群實(shí)例探測靶場主機(jī)實(shí)例界面

由圖8可知，靶場存活主機(jī)192.168.111.88中有較多安全漏洞,比如采用Server-U搭建的FTP服務(wù)存在弱口令且該FTP服務(wù)存在緩沖溢出漏洞,入侵者可利用該漏洞進(jìn)行緩存溢出攻擊,如圖9所示。本文針對該漏洞采用常用SV工具進(jìn)行緩沖區(qū)溢出攻擊,攻擊成功后,可以返回待連接的端口。

圖9　針對探測到靶場主機(jī)的溢出攻擊界面

根據(jù)返回的端口號,采用nc工具進(jìn)行端口連接,連接成功后即可獲取靶場主機(jī)192.168.111.88的控制權(quán)限,成功實(shí)施入侵。入侵結(jié)果如圖10所示。

3.2.2網(wǎng)絡(luò)防御及加固過程

針對靶場主機(jī)的安全防御加固,可以根據(jù)掃描到信息直接加固,如屏蔽危險(xiǎn)端口、更改弱口令等,也可以登錄接入集群中特定的評估系統(tǒng)實(shí)例,利用MBSA或Nessus等評估工具評測加固主機(jī)風(fēng)險(xiǎn)值,根據(jù)安全評估報(bào)告進(jìn)一步加固主機(jī)。

4　網(wǎng)絡(luò)攻防平臺的管理

4.1實(shí)訓(xùn)測試場景的切換

根據(jù)不同的攻防測試實(shí)例制作成不同的QCOW2或VDI等文件的場景鏡像文件[7],由管理員將該文件以分類的形式載入平臺,根據(jù)用戶的攻防實(shí)訓(xùn)側(cè)重或?qū)嵱?xùn)的復(fù)雜程度載入1個或多個場景,滿足用戶需求。目前，我們根據(jù)攻防實(shí)踐的實(shí)訓(xùn)項(xiàng)目需求,已經(jīng)完成部分場景的制作,場景清單見表5。

表5　平臺部分攻防實(shí)訓(xùn)場景清單

4.2平臺承載能力擴(kuò)容

本平臺的負(fù)載會造成性能瓶頸[8],網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺的負(fù)載能力主要取決于平臺實(shí)訓(xùn)使用人的數(shù)量，即實(shí)訓(xùn)平臺中集群實(shí)例主機(jī)的數(shù)量,而主機(jī)的數(shù)量的多少及性能主要靠計(jì)算節(jié)點(diǎn)服務(wù)器的性能,例如本實(shí)例中主要滿足60人實(shí)訓(xùn)(接入單個實(shí)例為4 GB內(nèi)存/50G硬盤、靶場單個實(shí)例為8 GB內(nèi)存/100 GB硬盤),如需滿足120人實(shí)訓(xùn)則需增加同性能2個計(jì)算節(jié)點(diǎn),利用管理服務(wù)器基于將其加入集群計(jì)算節(jié)點(diǎn)完成底層的安裝、部署后實(shí)現(xiàn)實(shí)例數(shù)量的增加,必要時(shí)可增加一個控制節(jié)點(diǎn)進(jìn)行控制節(jié)點(diǎn)的冗余，保證平臺的可靠性。

5　結(jié)語

基于Openstack技術(shù)的云計(jì)算平臺搭建了網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺,該平臺屏蔽了傳統(tǒng)實(shí)驗(yàn)環(huán)境中對網(wǎng)絡(luò)技術(shù)的依賴,同時(shí)突破了以往平臺不能實(shí)時(shí)在線、封閉環(huán)境、場景單一的瓶頸。既實(shí)現(xiàn)了實(shí)訓(xùn)平臺承載能力的彈性擴(kuò)展,又突破了實(shí)驗(yàn)場景在時(shí)間和空間上的限制,開拓了網(wǎng)絡(luò)攻防實(shí)訓(xùn)手段的新思路,有利于提升學(xué)生信息安全網(wǎng)絡(luò)攻防的實(shí)踐能力。

References)

[1] 翟繼強(qiáng),陳宜冬. 虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺[J]. 實(shí)驗(yàn)室研究與探索,2009,28(6):79-82.

[2] 神州數(shù)碼網(wǎng)絡(luò)有限公司.DCST-6000信息安全實(shí)訓(xùn)平臺[EB/OL].(2014-11-02).http://www.dcnetworks.com.cn/index.php?m=content&c=index&a=show&catid=163&id=159.

[3] 張梁斌,俞華豐,高昆. 單機(jī)環(huán)境中網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練平臺的設(shè)計(jì)與研究[J].實(shí)驗(yàn)技術(shù)與管理,2014,31(10):144-147.

[4] 康辰,朱志祥. 基于云計(jì)算平臺的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺[J].西安郵電大學(xué)學(xué)報(bào),2013,18(3): 87-91.

[5] 胡曉玲,強(qiáng)桂. 基于云計(jì)算的教育技術(shù)實(shí)驗(yàn)平臺構(gòu)建：以3DMAX課程為例[J]. 實(shí)驗(yàn)技術(shù)與管理,2012,29(8):88-91.

[6] 劉鵬. 云計(jì)算[M]. 北京: 電子工業(yè)出版社, 2010.

[7] 廣小明. 虛擬化技術(shù)原理與實(shí)現(xiàn)[M]. 北京:機(jī)械工業(yè)出版社, 2012.

[8] 相方莉. 云計(jì)算基礎(chǔ)設(shè)施中的性能瓶頸的識別和優(yōu)化[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用, 2013,22(12):168-172.

Design and construction of a network attack and defense combat training platform based on Openstack

Ye Jianfeng1， Zhang Ping’an2， Gao Yuefang2

(1. School of Software Engineering, Shenzhen Institute of Information Technology, Shenzhen 518172,China;2. School of computer, Shenzhen Institute of Information Technology, Shenzhen 518172,China)

The design and construction of a network attack and defense combat training platform based on Openstack is proposed under an open network environment. The demo example of the process of FTP server based on Windows invaded because of the buffer overflow vulnerability and the implementation of appropriate defense will be given by the tools of detection, which verifies feasibility and effectiveness of the platform. and then provides an effective combat training environment for information security professional students in the open network environment.

network attack and defense; training platform; Openstack; cloud computing

10.16791/j.cnki.sjg.2016.03.023

2015- 09- 18

2014年度廣東省教學(xué)成果獎(高等教育)培養(yǎng)項(xiàng)目“高職校內(nèi)實(shí)訓(xùn)基地及管理模式探索與實(shí)踐”；深圳市教育科學(xué)規(guī)劃2014年度重大招標(biāo)課題“面向高職校企共建共享資源中心建構(gòu)的探索與實(shí)踐”(ybzz4070);廣東省高職教育信息類“基于工作過程系統(tǒng)化的信息安全技術(shù)專業(yè)課程體系改革”(xxjs-2013-1069)

葉建鋒(1978—),男,河南鞏義,碩士,高級工程師,研究方向?yàn)樵朴?jì)算和信息安全.

E-mail:yejf@sziit.edu.cn

TP393.08G484

A

1002-4956(2016)3- 0086- 04