基于虛擬網絡的入侵防御系統實驗設計與實現

曹雪峰, 尚宇輝, 傅冬穎

(河北民族師范學院 數學與計算機系, 河北 承德 067000)

基于虛擬網絡的入侵防御系統實驗設計與實現

曹雪峰, 尚宇輝, 傅冬穎

(河北民族師范學院 數學與計算機系, 河北 承德 067000)

利用模擬軟件GNS3中的IPS模擬器、VirtualBox虛擬機以及Nmap軟件的掃描功能,設計了虛擬網絡入侵防御系統的實驗內容和實驗方案,實現了對利用Nmap發起的多種端口掃描方式入侵的防御仿真實驗。驗證了在虛擬網絡環境下網絡安全實驗的可行性,提高了學生綜合運用網絡安全技術的能力,同時也加深了學生對相關理論知識的理解,為網絡安全實踐教學提供了切實可行的解決方案。

入侵防御系統； 網絡安全； 虛擬網路

隨著信息技術的快速發展,網絡服務越來越多地融入各行各業以及人們的日常生活中,計算機網絡安全問題變得越來越重要。計算機網絡安全課程是高校網絡工程、通信工程和信息安全等專業的重要基礎課程,網絡安全實踐教學在加深學生理解計算機網絡安全理論、培養學生實踐動手能力方面有重要作用。但在現實中,由于防火墻和入侵防御系統等實驗教學設備價格昂貴,高校在實驗室搭建網絡安全實踐環境存在一定困難[1-2]。筆者利用開源的網絡模擬軟件GNS3上的IPS模擬器和VirtualBox虛擬機,開發了防御利用Nmap發起的端口掃描入侵的仿真實驗[3-5],達到與真實設備同樣的實驗效果,彌補了由于實驗設備缺乏而影響網絡安全實踐教學的缺憾。

1 入侵防御系統工作原理

入侵防御系統(intrusion prevention system,IPS)是指主動檢測企圖入侵或者正在入侵的行為,并且能夠根據安全策略和通過一定的響應方式(如報警、丟棄、阻斷等),實時監測和中斷入侵行為的發生和發展,保護系統和網絡不受攻擊的安全體系[6-7]。IPS不僅具有防火墻攔截攻擊和阻斷攻擊的能力,而且具有檢測攻擊行為的能力,是防火墻與入侵檢測系統結合的產物。

入侵防御系統采用串聯方式接入網絡,側重于主動防御,其目的是預先對入侵網絡的數據流進行攔截,避免網絡遭到破壞。當數據包從一個網絡接口到達入侵防御系統后,按照包首部的信息進行分類,根據分類結果將數據包送往相應的過濾器中。過濾器利用協議分析、特征匹配、流量分析等技術對數據包進行深層檢測分析。分析結果按安全策略進行具體的防御響應,決定讓數據包通過或丟棄。如果數據包符合過濾規則,則將數據包發送到的另一個網絡接口,傳送到網絡中；如果數據包不符合過濾規則,含有入侵或攻擊特征,則將該數據包丟棄,并將其相關的數據流狀態更新,刪除該數據流的信息,將同一數據流的后續數據包丟棄。

IPS將策略和采取的防御措施提交給日志系統,將工作狀態信息提交給管理控制臺。管理員可以通過它了解系統的狀態以及可能存在的入侵行為。

2 入侵防御系統實驗設計

2.1 軟件介紹

GNS3是一款開源、免費的思科網絡模擬軟件[8],適用于多種操作系統,能夠仿真路由器、交換機、入侵防御、入侵檢測和防火墻等設備,集成了VirtualBox和VMware虛擬機接口,配合虛擬機能夠完成一些復雜網絡環境的仿真配置,還可以利用Wireshark來捕獲虛擬網絡中通過的報文[9],分析網絡協議原理或者網絡入侵、攻擊過程。

Nmap是一款開源、免費的網絡發現和安全審計工具[10],它包含4項基本功能:主機發現、端口掃描、應用與版本偵測和操作系統偵測。端口掃描是其核心的功能,提供了多種探測方式,包括TCP SYN scanning、TCP connect和TCP FIN/Xmas/NULL scanning等。另外Nmap還提供了多種規避防火墻與IDS的技巧,如分片、IP誘騙和掃描延時等。

2.2 實驗場景設計

思科IPS設備支持在線和雜合兩種工作模式[11-12]。

采用在線模式時，有2種流量轉發方式——VLAN對模式和接口對模式。在接口對模式中,數據包從接口對中的第一個接口進入,從接口對中的第二個接口出去。如果沒有特征要拒絕或修改此數據包,它就會被發送到接口對中的第二個接口。需要注意的是,在線模式需要二層網絡分段,也就是說第一個接口和第二個接口在兩個不同的VLAN中,而三層網絡保持不變。

本實驗把IPS配置成在線接口對模式,網絡流量從e1端口進入,從e2端口流出,在主機PC2上運行Nmap對服務器Server所在網絡中主機進行端口掃描,當IPS檢測到進行TCP SYN端口掃描的流量時,就觸發告警并阻塞攻擊源的網絡流量。實驗拓撲結構如圖1所示。

圖1 入侵防御系統實驗網絡拓撲結構

R1、R2是2臺C3640路由器,再用1臺C3640路由器添加NM-16ESW模塊后模擬交換機SW,f0/3和f0/6劃分到vlan10,f0/4和f0/8劃分到vlan20。SW1和SW2是接入交換機。PC1和PC2是安裝了Windows XP操作系統的VirtualBox虛擬機,其中PC1安裝JAVA運行環境,用IDM圖形化配置IPS,PC2安裝Nmap用來進行端口掃描。PC3和PC4是VPCS虛擬機。Server是安裝了Windows 2003 server操作系統的VirtualBox虛擬機,安裝并配置了WWW服務器。各設備端口IP地址分配見表1。

表1 虛擬機及路由器端口IP地址分配表

3 實驗環境配置

3.1 配置路由器

R1路由器主要配置如下[13-14]:

R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface fastEthernet 1/0 R1(config-if)#ip address 192.168.3.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface lookback 0 R1(config-if)#ip address 172.16.0.1 255.255.255.0 R1(config)#interface lookback 1 R1(config-if)#ip address 172.16.1.1 255.255.255.0 R1(config)#interface lookback 2 R1(config-if)#ip address 172.16.2.1 255.255.255.0 R1(config)#interface lookback 3 R1(config-if)#ip address 172.16.3.1 255.255.255.0 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.2

R2路由器主要配置如下:

R2(config)#interface fastEthernet 0/0R2(config-if)#ip address 192.168.0.2 255.255.255.0 R2(config-if)#no shutdown R2(config)#interface fastEthernet 1/0 R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#no shutdown R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

3.2 配置交換機

SW交換機主要配置如下:

SW#vlan database SW(vlan)#vlan 10 SW(vlan)#vlan 20 SW#configure terminal SW(config)#interface range f0/3 ,f0/6 SW(config-if-range)#switchport access vlan 10 SW(config-if-range)#no shutdown SW(config-if-range)#exit SW(config)#interface range f0/4 ,f0/8 SW(config-if-range)#switchport access vlan 20 SW(config-if-range)#no shutdown SW(config-if-range)#exit

3.3 初始化配置IPS

IPS主要初始化配置如下:

IPS# setup Current Configuration: host-ip 192.168.1.8/24,192.168.1.1 !配置管理接口地址和網關 host-name IPS access-list 192.168.1.0/24 !允許192.168.1.0/24網絡內主機訪問IPS time-zone-settings offset 480 standard-time-zone-name GMT+08:00 service web-server port 443 !安全web訪問的默認端口 ? IPS#

4 實驗內容

4.1 基本端口掃描防御

在PC2上運行Nmap,執行命令“nmap -sS -v -F 192.168.3.10,40,60”。此命令采用快速模式對IP地址為192.168.3.10、192.168.3.40和192.168.3.60的目標主機進行主機發現掃描和TCP SYN掃描，并輸出詳細信息,運行結果如下:

Starting Nmap 7.11 ( https://nmap.org ) at 2016-11-15 09:36 ? Initiating Ping Scan at 09:36 Scanning 3 hosts [4 ports/host] Completed Ping Scan at 09:36, 1.76s elapsed (3 total hosts) Nmap scan report for 192.168.3.60 [host down] mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers Initiating SYN Stealth Scan at 09:36 Scanning 2 hosts [100 ports/host] Discovered open port 445/tcp on 192.168.3.10 Discovered open port 139/tcp on 192.168.3.10 Discovered open port 80/tcp on 192.168.3.10 Discovered open port 1025/tcp on 192.168.3.10 Discovered open port 135/tcp on 192.168.3.10 Completed SYN Stealth Scan against 192.168.3.10 in 0.52s (1 host left) Completed SYN Stealth Scan at 09:36, 3.02s elapsed (200 total ports) Nmap scan report for 192.168.3.10 Host is up (0.10s latency). Not shown: 95 closed ports PORT STATE SERVICE 80/tcp open http 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS Nmap scan report for 192.168.3.40 Host is up (0.040s latency). All 100 scanned ports on 192.168.3.40 are filtered Read data files from: C:Program FilesNmap Nmap done: 3 IP addresses (2 hosts up) scanned in 5.35 seconds Raw packets sent: 314 (13.728KB) | Rcvd: 106 (4.236KB)

從以上內容可以看到正在運行的主機Server和PC4。在Server上開放了80、135、139、445和1025號端口,其他端口被過濾；而PC4上所有端口都被過濾。

在執行掃描命令的同時,在R1-SW鏈路上運行Wireshark捕獲報文。從捕獲的報文中可以看到:所有打開的端口都返回了SYN和ACK比特置1的TCP報文,如圖2所示。

圖2 R1-SW鏈路上捕獲的TCP報文

這說明在TCP SYN掃描中判斷端口是否打開的依據，是看對應端口是否返回了SYN和ACK比特置1的TCP報文。如果收到SYN/ACK回復,可以判斷端口是開放的。接下來,在PC1上調整IPS特征集中Sig ID為3002的行為,增加“Deny Attacker Inline”,如圖3所示。

圖3 調整特征的行為參數

應用3002特征對流量進行監控,當檢測到在相同的攻擊源和被攻擊目標之間每秒有5個以上的SYN比特置1而ACK和FIN比特置0的TCP報文時,就發出警告信息并拒絕所有攻擊源的網絡流量。然后在PC2上再次執行命令“nmap -sS -v -F 192.168.3.10,40,60”,結果如下:

Starting Nmap 7.11 ( https://nmap.org ) at 2016-11-15 10:27 ? Initiating Ping Scan at 10:27 Scanning 3 hosts [4 ports/host] Completed Ping Scan at 10:27, 1.70s elapsed (3 total hosts) Nmap scan report for 192.168.3.60 [host down] mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers Initiating SYN Stealth Scan at 10:27 Scanning 2 hosts [100 ports/host] Completed SYN Stealth Scan against 192.168.3.40 in 7.03s (1 host left) Increasing send delay for 192.168.3.10 from 0 to 5 due to 11 out of 15 dropped probes since last increase. Completed SYN Stealth Scan at 10:29, 106.35s elapsed (200 total ports) Nmap scan report for 192.168.3.10 Host is up (0.13s latency). Not shown: 96 filtered ports PORT STATE SERVICE 53/tcp closed domain 111/tcp closed rpcbind 143/tcpclosed imap 993/tcp closedimaps Nmap scan report for 192.168.3.40 Host is up (0.040s latency). All 100 scanned ports on 192.168.3.40 are filtered Read data files from: C:Program FilesNmap Nmap done: 3 IP addresses (2 hosts up) scanned in 109.41 seconds Raw packets sent: 429 (18.780KB) | Rcvd: 9 (336B)

可以看到:發現主機Server和PC4(因為沒有限制ICMP掃描),但是在Server上53、111、143和993號端口被關閉,其他端口被過濾,而PC4上所有端口都被過濾。

在IPS上收到了2個警告信息,其中一個警告信息的內容如下:

evIdsAlert: eventId=1299876074698385058 vendor=Cisco severity=low originator: hostId: IPS appName: sensorApp appInstanceId: 399 time: 2016年11月15日上午02時24分34秒 offset=480 timeZone=GMT+08:00 signature: description=TCP SYN Port Sweep id=3002 version=S2 type=anomaly created=20010202 subsigId: 0 marsCategory: Probe/PortSweep/Non-stealth interfaceGroup: vs0 vlan: 0 participants: attacker: addr: 192.168.2.20 locality=OUT port: 42815 target: addr: 192.168.3.10 locality=OUT port: 443 port: 113 port: 22 port: 80 port: 23 port: 139 os: idSource=unknown type=unknown relevance=relevant actions: deniedAttacker: true riskRatingValue: 52 targetValueRating=medium attackRelevanceRating=relevant threatRatingValue: 7 interface: ge0_0 protocol: tcp

同時在IPS的被拒絕的攻擊源主機列表中增加了PC2。這說明IPS不但可以檢測到Nmap的TCP SYN掃描,還執行了拒絕攻擊源為192.168.2.20的主機的所有流量。而此時正常的WWW訪問服務并沒有受到影響,在PC2上能夠訪問Server的WWW服務器。

4.2 高級端口掃描防御

在PC2的Nmap上執行命令“nmap-sS-v-F-D 172.16.2.1,172.16.3.1,RND:2,ME,192.168.2.30,192.168.2.100 192.168.3.10,40,60”,此命令采用IP誘騙方式對IP地址為192.168.3.10、192.168.3.40和192.168.3.60的目標主機進行主機發現掃描和TCP SYN快速掃描并輸出詳細信息,結果如下:

Starting Nmap 7.11 ( https://nmap.org ) at 2016-11-15 10:51 ? Initiating Ping Scan at 10:51 Scanning 3 hosts [4 ports/host] Completed Ping Scan at 10:51, 2.30s elapsed (3 total hosts) Nmap scan report for 192.168.3.60 [host down] ? Completed SYN Stealth Scan at 10:55, 240.26s elapsed (200 total ports) Nmap scan report for 192.168.3.10 Host is up (0.29s latency). Not shown: 95 filtered ports PORT STATE SERVICE 23/tcp closed telnet 587/tcp closed submission 993/tcp closed imaps 995/tcp closed pop3s 8080/tcp closed http-proxy Nmap scan report for 192.168.3.40 Host is up (0.12s latency). All 100 scanned ports on 192.168.3.40 are filtered ?

可以看到:主機Server和PC4,在Server上5個端口被關閉,其他端口被過濾,而PC4上還是所有端口都被過濾。在IPS上看到了多個警告信息,并在IPS的被拒絕的攻擊源主機列表中增加了多個主機,如圖4所示

圖4 多個攻擊源主機被加入列表

這說明IPS不但可以檢測到Nmap的IP誘騙TCP SYN掃描,還可以及時作出相應的反應。

繼續在PC2上運行Nmap,執行命令“nmap -sS -v -F --scan-delay 300ms -D 172.16.2.1,172.16.3.1, RND:2,ME,192.168.2.30,192.168.2.100 192.168.3.10, 40,60”,此命令功能只是針對每一個目標主機發送探測報文的時間間隔設置為300 ms,其他不變。

可以看到：Nmap通過掃描延時發現了主機Server的部分開放端口,但是在IPS上還是看到了多個警告信息,并拒絕了所有攻擊源主機的網絡流量,起到了入侵防御的作用,同時也說明要真正拒絕所有的端口掃描是很困難的。

5 結語

利用GNS3模擬軟件中的IPS模擬器和VirtualBox虛擬機搭建的虛擬網絡入侵防御系統,實現了對利用Nmap發起的多種端口掃描方式的入侵防御仿真實驗,達到與真實設備同樣的實驗效果,驗證了在虛擬網絡環境下進行網絡安全實驗的可行性。該系統的使用,提高了學生動手能力,同時也加深了學生對相關理論知識的理解。

References)

[1] 周敏.計算機網絡安全實驗教學改革[J].實驗技術與管理,2013,30(6):113-117.

[2] 張旭珍,黃成玉,張志波.基于Snort的入侵檢測系統教學實驗設計與實現[J].實驗室研究與探索,2014,33(4):159-163.

[3] 唐燈平,朱艷琴,楊哲,等.計算機網絡管理仿真平臺防火墻實驗設計[J].實驗技術與管理,2015,32(4):156-160.

[4] 張玲麗.基于GNS3虛擬機的PIX防火墻配置實例[J].數字通信,2014,41(5):78-80.

[5] 曾剛.GNS3在網絡安全實踐教學中的應用[J].網絡安全,2014(4):11-12.

[6] 薛靜鋒,祝烈煌.入侵檢測技術[M].2版.北京:人民郵電出版社,2016.

[7] 李劍.入侵檢測技術[M].北京:高等教育出版社,2008.

[8] Welsh C. GNS3 Network Simulation Guide[M]. Birmingham:Packt Publishing Ltd,2013.

[9] Orebaugh A, Ramirez G, Burke J, et al. Wireshark & Ethereal Network Protocol Analyzer Toolkit[M].Rockland:Syngress Publishing Inc,2007.

[10] Lyon G F. Nmap Network Scanning[M]. Sunnyvale: Insecure. Com LLC, 2008.

[11] Cisco Systems Inc. Cisco Intrusion Prevention System Device Manager Configuration Guide for IPS 6.0 [EB/OL]. http://www.cisco.com/c/en/us/td/docs/security/ips/6-0/configuration/guide/idm/idmguide/dmIntro.html.2016.

[12] Frahim J, Santos O, Ossipov A. Cisco ASA All-in-One Next-Generation Firewall, IPS, and VPN Services[M]. 3rd ed. Indianapolis:Cisco Press,2014.

[13] Lammle T. CCNA學習指南(第7卷)[M].袁國忠,徐宏,譯.北京:人民郵電出版社,2012.

[14] Yusuf Bhaiji.網絡安全技術與解決方案[M].修訂版.田果,劉丹寧,譯.北京:人民郵電出版社,2009.

Design and realization of intrusion prevention system based on virtual network

Cao Xuefeng, Shang Yuhui, Fu Dongying

(Department of Mathematics and Computer, Hebei Normal University for Nationalities, Chengde 067000, China)

By using IPS simulator and and VirtualBox virtual machine in the GNS3 and Nmap software scanning function, the experimental contents and experimental scheme were designed, the devices such as IPS, router, switch and virtual machine were configured. This paper realizes the intrusion prevention simulation experiment by using multiple port scanning methods initiated by Nmap. It proves the feasibility of network security experiment under the virtual network environment, improves the students’ ability of using the network security technology synthetically, at the same time, it also deepens the understanding of theory knowledge and provides practical solution for network security practice teaching.

intrusion prevention system; network security; virtual network

10.16791/j.cnki.sjg.2017.05.027

2016-11-20

國家民委高等教育教學改革研究項目(15114)；河北省高等學校科學技術研究項目(ZC2016116)；河北民族師范學院科研項目(201406)

曹雪峰(1967—),男,河北隆化,碩士,副教授,主要研究方向為計算機網絡技術.

E-mail：cxf_cd@163.com

TP393.08；TP391.9

A

1002-4956(2017)5-0109-06