基于Openstack的網(wǎng)絡(luò)攻防實訓(xùn)平臺設(shè)計與構(gòu)建

葉建鋒, 張平安, 高月芳

(1. 深圳信息職業(yè)技術(shù)學(xué)院 軟件學(xué)院, 廣東 深圳　518172;2. 深圳信息職業(yè)技術(shù)學(xué)院 計算機學(xué)院, 廣東 深圳　518172)

?

基于Openstack的網(wǎng)絡(luò)攻防實訓(xùn)平臺設(shè)計與構(gòu)建

葉建鋒1, 張平安2, 高月芳2

(1. 深圳信息職業(yè)技術(shù)學(xué)院 軟件學(xué)院, 廣東 深圳518172;2. 深圳信息職業(yè)技術(shù)學(xué)院 計算機學(xué)院, 廣東 深圳518172)

基于開源云計算Openstack技術(shù),在開放式的網(wǎng)絡(luò)環(huán)境下設(shè)計并構(gòu)建一個面向?qū)崙?zhàn)演練的網(wǎng)絡(luò)攻防實訓(xùn)平臺,實例結(jié)合常用探測與入侵工具,給出了針對FTP服務(wù)器緩沖區(qū)溢出漏洞的入侵過程和相應(yīng)的防御實施。通過實例驗證了利用Openstack技術(shù)構(gòu)建網(wǎng)絡(luò)攻防實訓(xùn)平臺的可行性和有效性,在開放式的網(wǎng)絡(luò)環(huán)境下為信息安全專業(yè)的學(xué)生開展網(wǎng)絡(luò)攻防實踐提供了一個有效的實戰(zhàn)演練環(huán)境。

網(wǎng)絡(luò)攻防； 實訓(xùn)平臺; Openstack； 云計算

高校網(wǎng)絡(luò)攻防環(huán)境的構(gòu)建受資金、場地等制約,同時考慮到其本身實驗的破壞性,很難在開放式的環(huán)境下有效部署[1]。部分高校引入了神州數(shù)碼等信息安全的沙盒主機,但設(shè)備不斷升級帶來的成本需求和平臺實訓(xùn)人數(shù)的限制已無法滿足高校人才培養(yǎng)的需求[2]。許多高校針對實驗手段進行了積極有效的探索,如在單機環(huán)境下利用虛擬技術(shù)搭建實驗平臺[3],基于云計算平臺的網(wǎng)絡(luò)攻防實驗平臺及相關(guān)的課程建設(shè)案例[4-5],雖然其在某種程度上實現(xiàn)了對實驗手段補充,但其過多地強調(diào)網(wǎng)絡(luò)及安全配置,且實驗環(huán)境封閉,無法實現(xiàn)網(wǎng)絡(luò)攻防的多樣性和開放性要求。如何在開放式的網(wǎng)絡(luò)環(huán)境下提供一種行之有效的方法、能夠彈性地滿足實訓(xùn)人數(shù)需要同時能有效還原網(wǎng)絡(luò)入侵發(fā)生的過程并進行有效防御顯得尤為重要。

本文基于Openstack的開源云計算技術(shù),在開放式的網(wǎng)絡(luò)環(huán)境中搭建網(wǎng)絡(luò)攻防平臺,突破了傳統(tǒng)實驗平臺不能實時在線、不能安全隔離、實訓(xùn)人數(shù)受限的瓶頸,為網(wǎng)絡(luò)攻防實戰(zhàn)提供了一種有效的方法。利用平臺優(yōu)勢，結(jié)合常用系統(tǒng)以及典型網(wǎng)絡(luò)攻防工具使用、系統(tǒng)加固及入侵防御方法構(gòu)建實訓(xùn)場景,給出了利用Windows下FTP服務(wù)器緩沖區(qū)溢出漏洞進行入侵提權(quán)的實例并給出了加固的主要策略,通過平臺實例使用戶掌握典型入侵過程,樹立信息系統(tǒng)安全加固的意識,實現(xiàn)理論與實踐結(jié)合進行攻防演練的目的。通過典型網(wǎng)絡(luò)攻防案例測試驗證了本文所提出的攻防演練實訓(xùn)環(huán)境的有效性,進一步提升了本實訓(xùn)平臺的推廣應(yīng)用價值。

1　網(wǎng)絡(luò)攻防平臺的設(shè)計

云計算是一種基于互聯(lián)網(wǎng)的計算方式，它具有靈活動態(tài)分配資源、統(tǒng)一管理、有效降低IT成本等特點。隨著分布式系統(tǒng)的逐漸成熟及開源軟件的免費提供,使得高校實驗室在資金有限的情況下,能利用云計算技術(shù)搭建實訓(xùn)平臺。而私有云“提供對數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制”[6],同時鑒于OpenStack 是完全開放源碼,同時考慮到其強大的社區(qū)開發(fā)模式,在綜合考慮性價比、二次開發(fā)的難易程度等多方面因素后,本文選擇OpenStack作為私有云的基礎(chǔ)平臺進行網(wǎng)絡(luò)攻防平臺的搭建。

1.1網(wǎng)絡(luò)攻防實訓(xùn)平臺邏輯拓撲設(shè)計

本平臺設(shè)計結(jié)合網(wǎng)絡(luò)攻防實驗特點,依據(jù)既滿足內(nèi)網(wǎng)用戶使用,也滿足外網(wǎng)用戶的使用原則進行規(guī)劃設(shè)計,平臺邏輯拓撲結(jié)構(gòu)見圖1。內(nèi)網(wǎng)用戶可直接利用本地主機對靶場目標主機發(fā)起攻擊和實施防御,外網(wǎng)用戶需經(jīng)認證后經(jīng)接入集群主機對靶場目標主機發(fā)起攻擊和實施防御,管理員可在內(nèi)網(wǎng)認證后或在外網(wǎng)通過VPN服務(wù)接入后對平臺進行管理。

圖1　網(wǎng)絡(luò)攻防實訓(xùn)平臺邏輯拓撲結(jié)構(gòu)

本平臺基于模塊化設(shè)計思路,充分利用Openstack技術(shù):利用Nova(openStack compute計算服務(wù))實現(xiàn)網(wǎng)絡(luò)攻防平臺中接入集群和靶場集群的構(gòu)建，利用Swift(openStack object storage 存儲服務(wù))實現(xiàn)場景的及相應(yīng)的存儲功能，利用Glance(openStack image service 鏡像服務(wù))實現(xiàn)攻防平臺中場景的快速切換,網(wǎng)絡(luò)攻防實訓(xùn)平臺模塊間邏輯關(guān)系見圖2。

圖2　網(wǎng)絡(luò)攻防平臺模塊間邏輯關(guān)系

1.2網(wǎng)絡(luò)攻防實訓(xùn)平臺的物理平臺設(shè)計

本平臺計劃滿足60個接入實例(攻擊組和加固組每組30個接入主機)和30個靶場主機實例(每個攻擊者和防御者共享一個靶場主機),考慮到存儲要求較低,本平臺中無專門的存儲服務(wù)器,采用共享服務(wù)器本地硬盤的存儲方式。搭建該環(huán)境的硬件平臺見表1。

表1　平臺搭建所需軟硬件一覽表

1.3網(wǎng)絡(luò)攻防實訓(xùn)平臺網(wǎng)絡(luò)規(guī)劃設(shè)計

根據(jù)本平臺構(gòu)建的需要,需構(gòu)建5個網(wǎng)絡(luò),其中存儲網(wǎng)絡(luò)在本平臺搭建中可選,網(wǎng)絡(luò)類型及功能見表2。

表2　平臺網(wǎng)絡(luò)類型及功能描述

結(jié)合本平臺場景的搭建給出網(wǎng)絡(luò)的IP及VLAN規(guī)劃見表3。

表3　網(wǎng)絡(luò)IP地址、VLAN規(guī)劃表

2　網(wǎng)絡(luò)攻防平臺的部署與實現(xiàn)

2.1物理平臺的互聯(lián)

考慮到服務(wù)器網(wǎng)絡(luò)接口的限制,實施中需對交換機進行VLAN的劃分,平臺構(gòu)建中管理網(wǎng)絡(luò)、外部網(wǎng)絡(luò)單獨使用服務(wù)器網(wǎng)絡(luò)接口,內(nèi)部網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)共享服務(wù)網(wǎng)絡(luò)接口。物理設(shè)備互聯(lián)邏輯拓撲結(jié)構(gòu)見圖3。

圖3　物理設(shè)備互聯(lián)邏輯拓撲結(jié)構(gòu)

2.2軟件的安裝及平臺的部署

按照圖3完成服務(wù)器和交換機互聯(lián),并對交換機按照表3進行VLAN信息配置后,使用軟件MirantisOpenStack-5.1.1對管理服務(wù)器安裝,安裝完成后利用其發(fā)現(xiàn)其他服務(wù)器節(jié)點并對節(jié)點完成角色的分配,按照表3進行IP地址設(shè)置,在網(wǎng)絡(luò)地址驗證正確后,進行Openstack平臺部署,部署流程見圖4。

圖4　攻防實訓(xùn)平臺部署流程圖

隨著互聯(lián)網(wǎng)的發(fā)展,攻擊與防御技術(shù)的此消彼長,以及網(wǎng)絡(luò)入侵和攻擊的工具多樣化使得實施網(wǎng)絡(luò)攻擊的門檻越來越低,平臺的有效部署進一步地貼近了實際,弱化網(wǎng)絡(luò)環(huán)境搭建的過程,使平臺的使用者更加專注網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的原理、手段、技術(shù)和方法的開發(fā)與實踐,不斷提高學(xué)習(xí)者信息安全素養(yǎng)。

3　網(wǎng)絡(luò)攻防平臺的實驗實例測試

3.1實驗實例的場景管理

實例中主要針對FTP服務(wù)器緩沖區(qū)溢出漏洞進行入侵提權(quán),首先需登錄管理平臺手動或通過腳本控制加載攻防場景(見圖5)的鏡像或快照文件。

圖5　基于Openstack的私有云加載網(wǎng)絡(luò)攻防場景

利用場景中鏡像文件或快照啟動接入和靶場集群中實例如圖6所示。根據(jù)考慮到攻防平臺的實驗特性,默認接入和靶場集群主機是與公網(wǎng)完全隔離,為了滿足開放環(huán)境的實驗需求,管理員通過浮動IP綁定接入集群主機的同時,需設(shè)置防火墻過濾規(guī)則,滿足外網(wǎng)及實訓(xùn)操作的需求,如本實驗中是通過VNC連接接入集群主機,同時考慮到連通性測試,設(shè)置規(guī)則如表4所示,創(chuàng)建防火墻過濾規(guī)則界面見圖7。

圖6　創(chuàng)建攻防實訓(xùn)的網(wǎng)絡(luò)、接入和靶場集群實例

流量方向輸入類型IP協(xié)議端口范圍遠程地址入口IPv4ICMP-0.0.0.0(CIDR)出口IPv4ICMP-0.0.0.0(CIDR)入口IPv4TCP59010.0.0.0(CIDR)

圖7　創(chuàng)建防火墻過濾規(guī)則界面

3.2實訓(xùn)中網(wǎng)絡(luò)滲透及入侵過程

3.2.1網(wǎng)絡(luò)滲透及入侵過程

用戶從外網(wǎng)利用客戶端連接工具(VNC等)連接平臺、接入集群中分配給用戶的實例,從平臺云硬盤獲取實驗工具,比如本實例中需獲取探測類掃描工具X-Scan,利用掃描工具對指定的靶場集群網(wǎng)段進行掃描,掃描到存活主機及主機漏洞如圖8所示。

圖8　登錄接入集群實例探測靶場主機實例界面

由圖8可知，靶場存活主機192.168.111.88中有較多安全漏洞,比如采用Server-U搭建的FTP服務(wù)存在弱口令且該FTP服務(wù)存在緩沖溢出漏洞,入侵者可利用該漏洞進行緩存溢出攻擊,如圖9所示。本文針對該漏洞采用常用SV工具進行緩沖區(qū)溢出攻擊,攻擊成功后,可以返回待連接的端口。

圖9　針對探測到靶場主機的溢出攻擊界面

根據(jù)返回的端口號,采用nc工具進行端口連接,連接成功后即可獲取靶場主機192.168.111.88的控制權(quán)限,成功實施入侵。入侵結(jié)果如圖10所示。

3.2.2網(wǎng)絡(luò)防御及加固過程

針對靶場主機的安全防御加固,可以根據(jù)掃描到信息直接加固,如屏蔽危險端口、更改弱口令等,也可以登錄接入集群中特定的評估系統(tǒng)實例,利用MBSA或Nessus等評估工具評測加固主機風險值,根據(jù)安全評估報告進一步加固主機。

4　網(wǎng)絡(luò)攻防平臺的管理

4.1實訓(xùn)測試場景的切換

根據(jù)不同的攻防測試實例制作成不同的QCOW2或VDI等文件的場景鏡像文件[7],由管理員將該文件以分類的形式載入平臺,根據(jù)用戶的攻防實訓(xùn)側(cè)重或?qū)嵱?xùn)的復(fù)雜程度載入1個或多個場景,滿足用戶需求。目前，我們根據(jù)攻防實踐的實訓(xùn)項目需求,已經(jīng)完成部分場景的制作,場景清單見表5。

表5　平臺部分攻防實訓(xùn)場景清單

4.2平臺承載能力擴容

本平臺的負載會造成性能瓶頸[8],網(wǎng)絡(luò)攻防實訓(xùn)平臺的負載能力主要取決于平臺實訓(xùn)使用人的數(shù)量，即實訓(xùn)平臺中集群實例主機的數(shù)量,而主機的數(shù)量的多少及性能主要靠計算節(jié)點服務(wù)器的性能,例如本實例中主要滿足60人實訓(xùn)(接入單個實例為4 GB內(nèi)存/50G硬盤、靶場單個實例為8 GB內(nèi)存/100 GB硬盤),如需滿足120人實訓(xùn)則需增加同性能2個計算節(jié)點,利用管理服務(wù)器基于將其加入集群計算節(jié)點完成底層的安裝、部署后實現(xiàn)實例數(shù)量的增加,必要時可增加一個控制節(jié)點進行控制節(jié)點的冗余，保證平臺的可靠性。

5　結(jié)語

基于Openstack技術(shù)的云計算平臺搭建了網(wǎng)絡(luò)攻防實訓(xùn)平臺,該平臺屏蔽了傳統(tǒng)實驗環(huán)境中對網(wǎng)絡(luò)技術(shù)的依賴,同時突破了以往平臺不能實時在線、封閉環(huán)境、場景單一的瓶頸。既實現(xiàn)了實訓(xùn)平臺承載能力的彈性擴展,又突破了實驗場景在時間和空間上的限制,開拓了網(wǎng)絡(luò)攻防實訓(xùn)手段的新思路,有利于提升學(xué)生信息安全網(wǎng)絡(luò)攻防的實踐能力。

References)

[1] 翟繼強,陳宜冬. 虛擬網(wǎng)絡(luò)安全實驗平臺[J]. 實驗室研究與探索,2009,28(6):79-82.

[2] 神州數(shù)碼網(wǎng)絡(luò)有限公司.DCST-6000信息安全實訓(xùn)平臺[EB/OL].(2014-11-02).http://www.dcnetworks.com.cn/index.php?m=content&c=index&a=show&catid=163&id=159.

[3] 張梁斌,俞華豐,高昆. 單機環(huán)境中網(wǎng)絡(luò)攻防實戰(zhàn)演練平臺的設(shè)計與研究[J].實驗技術(shù)與管理,2014,31(10):144-147.

[4] 康辰,朱志祥. 基于云計算平臺的網(wǎng)絡(luò)攻防實驗平臺[J].西安郵電大學(xué)學(xué)報,2013,18(3): 87-91.

[5] 胡曉玲,強桂. 基于云計算的教育技術(shù)實驗平臺構(gòu)建：以3DMAX課程為例[J]. 實驗技術(shù)與管理,2012,29(8):88-91.

[6] 劉鵬. 云計算[M]. 北京: 電子工業(yè)出版社, 2010.

[7] 廣小明. 虛擬化技術(shù)原理與實現(xiàn)[M]. 北京:機械工業(yè)出版社, 2012.

[8] 相方莉. 云計算基礎(chǔ)設(shè)施中的性能瓶頸的識別和優(yōu)化[J]. 計算機系統(tǒng)應(yīng)用, 2013,22(12):168-172.

Design and construction of a network attack and defense combat training platform based on Openstack

Ye Jianfeng1， Zhang Ping’an2， Gao Yuefang2

(1. School of Software Engineering, Shenzhen Institute of Information Technology, Shenzhen 518172,China;2. School of computer, Shenzhen Institute of Information Technology, Shenzhen 518172,China)

The design and construction of a network attack and defense combat training platform based on Openstack is proposed under an open network environment. The demo example of the process of FTP server based on Windows invaded because of the buffer overflow vulnerability and the implementation of appropriate defense will be given by the tools of detection, which verifies feasibility and effectiveness of the platform. and then provides an effective combat training environment for information security professional students in the open network environment.

network attack and defense; training platform; Openstack; cloud computing

10.16791/j.cnki.sjg.2016.03.023

2015- 09- 18

2014年度廣東省教學(xué)成果獎(高等教育)培養(yǎng)項目“高職校內(nèi)實訓(xùn)基地及管理模式探索與實踐”；深圳市教育科學(xué)規(guī)劃2014年度重大招標課題“面向高職校企共建共享資源中心建構(gòu)的探索與實踐”(ybzz4070);廣東省高職教育信息類“基于工作過程系統(tǒng)化的信息安全技術(shù)專業(yè)課程體系改革”(xxjs-2013-1069)

葉建鋒(1978—),男,河南鞏義,碩士,高級工程師,研究方向為云計算和信息安全.

E-mail:yejf@sziit.edu.cn

TP393.08G484

A

1002-4956(2016)3- 0086- 04