基于分布式虛擬環境下的IPS實驗設計

范君 韓學洲 季莉

摘要：IPS部署和實施是網絡安全設計中的重要環節之一，是計算機網絡專業安全課程實驗中的重要組成部分。以組建IPS分布式虛擬環境為目標，構建實驗環境，設計實驗拓撲與參數，給出完整的實驗設計與配置流程，并對實驗結果進行驗證與分析。

關鍵詞：分布式虛擬環境;IPS;實驗平臺設計

中圖分類號：了P393.0 文獻標識碼：A

文章編號：1009-3044（2019）33-0017-04

1概述

隨著網絡的應用與普及，網絡安全在網絡工程技術實施中所占比重日益加大，入侵檢測系統在企業網絡中已經成為不可或缺的關鍵設備。入侵檢測產品一般部署在各業務網段，實現對網段內所有設備訪問的流量進行監控和保護。常規的IDS（入侵檢測）平臺能夠在網絡攻擊過程中對在線的攻擊行為進行識別和報警但缺乏主動防御功能，且IDS對DoS一類攻擊缺乏相應防范機制，因此目前企業實際環境中所部署的產品均以主動防御類的IPS（入侵防御）平臺為主。

目前國內計算機網絡工程專業人才培養的課程體系中均包含有網絡安全的類課程并建有相關的安全實驗室，而高校現有網絡安全實驗室中的入侵檢測實驗平臺大多以Snort的開源實驗平臺為基礎構，部分高校的安全實驗室雖購置一定數量的IDS/IPS物理設備，但人手一臺設備規模的實驗教學開展往往因為設備數量不足而受限制，同時網絡攻擊行為往往帶有破壞性，單純依賴物理設備的實驗環境雖然可以縮小與商用產品實際應用環境間的差距，但網絡數據環境的準備與恢復工作的煩瑣使得實驗中的準備與恢復工作占用過多的教學時間。

為解決上述問題，在實際課堂教學過程中，通過基于分布式虛擬化技術構建IPS實驗平臺，使學生在該平臺中能夠直觀的理解入侵防御產品的工作枠陸和部署流程，觀察基于網絡環境下IPS的數據流量處理機制，進而在此基礎上理解并掌握真實環境下IPS系統的規劃與配置的方法。

2實驗技術分析

2.1IPS技術

IPS支持Inline在線部署的方式串聯于網絡中，無須依賴交換機的SPAN端口對流量的鏡像即可對進出網絡的流量進行實時監控，將IDS的單純檢測功能提升為主動防御功能。IPS檢測引擎采用多重檢測機制，使其能對應用層、傳輸層、網絡及數據鏈路層的數據流進行多層面攻擊行為檢測，對于DoS/DDoS、P2P等攻擊行為可以實現精確檢測并實時阻斷，最終實現網絡安全綜合化深度防護。

2.2虛擬化技術

分布式IPS實驗平臺中的主機設備環境將攻擊設備和目標服務器借助于WMWare環境實現，網絡設備環境則借助QEMU平臺的虛擬化技術實現IPS環境的仿真，使用Dynamips平臺實現路由器IOS平臺的仿真，最后運用GNS3平臺進行的完整的拓撲設計，同時借助WinPCAP和Wireshark軟件實現實驗過程中數據包實時捕獲和分析。依賴于虛擬化技術使得系統的攻擊和破壞行為均限制于虛擬設備中，實現了IPS平臺對物理環境下的設備依賴和影響的最小化。

3實驗平臺設計

3.1IPS企業部署

IPS在企業環境中部署一般根據數據區域的安全級別，對源自外網和內網的流量分別進行監控和防護。通過部署IPS在服務器、PC終端等不同的安全區域或網段，可以實現對網絡數據訪問行為進行控制，并對來自外部的攻擊行為進行防范和監控以保護關鍵業務數據的訪問。

3.2 IPS實驗平臺拓撲設計

1）物理拓撲設計

IPS實驗平臺以兩臺PC為驗證工作平臺，其中PC-01作為綜合平臺承載路由器、IPS、目標服務器等功能，PC-02作為攻擊平臺。

實驗平臺的物理拓撲通過交叉線互連兩臺PC的千兆網卡來實現。兩臺PC設備配置CPU均為Intel T6500Du02.10GHz，其中PC-01內存配置均為4G，實驗中所涉及虛擬平臺中的軟硬件類型、版本信息如表1所示。其中Cisco IDS 4235其硬件平臺雖標識為IDS，但該平臺的內核是具備IPS功能的系統軟件，故該平臺實質為IPS。為能夠觀察攻擊后產生的諸如SYN半連接等數據信息，在PC-01中以LinuxServerRedHat5.4為目標服務器平臺。考慮到桌面級操作系統的連接數有限制，故在PC-02中以Windows 2003 Server為攻擊平臺。

2）邏輯拓撲設計

IPS實驗平臺邏輯設計包含拓撲圖規劃、IP規劃、設備接口互連規劃等幾個部分組成。

（1）邏輯拓撲圖規劃

邏輯拓撲規劃設計如圖1所示，網絡整體分為內網、外網兩個部分，其中目標機位于內網，IPS6.0系統以Inline方式位于目標機和路由器之間，實現對來自內外網的流量進行實時監控171，位于外網攻擊設備則處于路由器的另一側。

實驗具體規劃如圖2所示，PC-01機器內部的Cisco 4235IDS設備運行于QEMU環境中，Cisco 3725路由器運行于Dy-namips環境中，上述兩個環境均在GNS3平臺下借助PC-01的Loopback軟環回接口實現互聯。

IPS的流量監控接口及管理端口均需要先行連到GNS3系統自帶的非網管型交換機后方可實現與其他設備間的數據傳輸，PC-01的GNS3平臺使用了SW1、SW2、SW3三臺非網管設備連接IPS與其他設備，具體搭建的拓撲圖如圖3所示。

（2）網卡IP地址規劃

IPS平臺中所涉及的各個網卡、接口地址及用途說明信息見表2。

（3）IPS端口互聯與IP規劃

基于Cisco IDS 4235平臺的IPS設備端口、IP地址及互聯對端設備的規劃如表3所示。

在設備互聯中，Cisco IDS 4235的Managemento/o端口通過SWl交換機與PC-01的軟件環回接口Loopbackl互聯，該端口提供以GUI界面方式實現IPS設備配置、驗證及監控;Gigo/o端口則直接連接到SW3并與3725路由器的Fao/1接口互聯以接受外網流量;Gigo/1端口與PC-01的軟件環回接口Loopback2均接人SW2交換機實現將流量轉發至內網目標機服務器Red-Hat5.4。

（4）路由器端口互聯與IP規劃

路由器基于Cisc03725平臺，其端口、IP及互聯對端設備的規劃如表4所示。

3.3IPS實驗平臺配置步驟

1）IPS平臺初始化配置

步驟1：IPS初始化配置

IPS平臺進行配置前需要進行必要的初始化設置，以實現IPS的進一步配置和管理工作，初始化配置工作如圖4所示。IPS中管理IP地址的配置對應圖4中命令（1），其中194.0.1.11為管理端口登錄IP，194.0.1.1為網段的網關地址，開啟telnet功能對應命令（2）。IPS登錄訪問前需要通過ACL設定允許能夠登錄地址范圍，此部分的地址可以是多組地址網段，具體配置見命令（3）。

步驟2：IPS接口配置

IPS設備的物理端口默認情況下是未啟用狀態，需要激活后方可啟用。平臺中端口配置為全雙工，速率1000Mbps。平臺中默認所有端口均為雜湊模式（promiscuous），該模式僅僅監控實際流量的鏡像，并不能實時阻止攻擊。為能實現對攻擊流量實時阻止，需將實驗中的IPS平臺將端口設置為在線模式（In-line），圖5中定義了接口名稱為pair-01的邏輯接口并根據規劃將物理接口Gigo/o和Gigo/1關聯到pair-01實現在線模式。

步驟3：IPS策略配置

IPS使用前需要定義相關的策略，新定義的策略中應該包含簽名（signatures）、事件響應規則和異常檢測三個功能模塊的配置。

以異常檢測配置為參照，思科IPS將網絡區域劃分為外部、內部和非法三個不同類型，每個區域可針對了CP或UDP特定端口類型的數據單獨設置掃描閾值。以來自外部區域了CP流量的80端口檢測配置為例，圖6中的命令（1）設定的是外部區域中IP地址范圍，命令（3）設定了對源IP地址啟用掃描器（scanner）的參數閾值為150。

步驟4：IPS分析引擎配置

思科IPS分析引擎用于對流經監控端口的數據流量執行數據包的分析和報警監測工作，Cisco IPS6.0借助其系統軟件中傳感器虛擬化的功能可以實現多個虛擬化的IPS，每個虛擬化的IPS可獨立監控分析不同網段的流量。如圖7命令（1）所示分析引擎中所引用的虛擬化感應器為平臺自定義的虛擬傳感器vs-01，該引擎默認為非激活狀態需要通過配置命令（2）激活后啟用。傳感器vs-01中所關聯的異常檢測策略ad-01為步驟3中定義，異常檢測操作狀態模式定義如命令（3）所示。完成上述配置工作后，需將策略先前定義中的規則rule-01和簽名sig-01關聯到vs-01中，最后如圖7命令（4）所示將虛擬傳感器與邏輯接口pair-01進行關聯。

2）路由器及平臺路由配置

路由器配置根據表3進行常規配置即可，因攻擊平臺與路由器外網口處于同一網段故無須配置靜態路由。攻擊設備網段為192.168.1.0/24，為訪問目標機的所在172.16.1.0/24網段需要在PC-02中配置靜態路由指向路由器外網口，Windows環境下配置命令如圖9所示，參數-p是使所配置的靜態路由為永久性路由條目，以滿足教學實驗過程中設備重新啟動后路由條目不會丟失需求。

3）攻擊與目標服務器平臺初始化配置

攻擊平臺因安裝有各類攻擊軟件故需要保持Win-dows2003 Server服務器中防火墻默認的關閉狀態，而對于目標服務器的Linux操作系統則需要在iptables防火墻中添加acl命令以放行ICMP及80端口的tcp和udp數據包叫。

4實驗平臺驗證

IPS平臺設計構建后，需要對平臺進行防御功能的測試和驗證工作。這里以基本安全加固和DoS攻擊測試用例對平臺的防御功能進行驗證。

4.1基本安全防護加固驗證

安全加固驗證以拒絕外網以ICMP數據包訪問目標服務器作為測試用例，通過CLI命令行中啟用簽名ID號為2004的簽名，開啟ICMPEchoRequest阻攔功能，具體命令如圖9所示。

從圖10中可看出，2004的簽名設置后，訪問目標服務器的ICMP均被IPS阻止，在IPS中實現了對內網的設備提供必要的防護功能。

4.2 DoS入侵攻擊驗證

攻擊前需將IPS中基于UDP協議且ID為4608的DoS相關簽名全部激活，激活配置命令參考圖9的配置思路，攻擊平臺使用UDP Flood泛洪工具向目標機發包。從圖11中的IPS監控界面可以看到，攻擊數據包逐步增加。當警告（Alert）基本信息達到64次時，UDP攻擊行為達到防御開啟的閾值，此時IPS識別攻擊并自動激活防御功能阻塞攻擊者數據包。阻塞記錄中的攻擊源IP、目標IP及端口號的信息如圖12所示。同時實驗平臺也支持從IPS監控界面下載捕獲的攻擊包以進一步分析攻擊包中的數據信息。

5結束語

借助分布式虛擬環境的IPS平臺，并通過設計合理的實驗流程與步驟，可以有效促進學生對IPS設備工作原理的理解，增強實驗興趣，提升IPS實際設備的設計、實施部署和監控管理能力。思科IPS基于命令行的配置工作大多基本都能在GUI界面下完成，在實際教學中我們發現GUI界面的配置工作雖然直觀、簡潔，但學生初次接觸IPS配置時往往只記住界面的內容忽略了各個配置內容內在邏輯關聯性，從而導致配置時沒有整體概念，故在教學中以命令行配置為先導，讓學生對IPS配置流程有整體印象并理解配置內在的邏輯性后再介紹GUI界面配置的教學效果會更好。

目前IPS實驗平臺硬件環境是基于兩臺聯想PC來實現，該平臺環境亦能夠適應其他硬件平臺且有著較高的可移植性，同時此平臺也有著極大的可擴展性，即在實驗室條件滿足的情況下，可以將路由器、IPS、目標服務器各自放置到獨立的硬件設備中，以實現更大范圍的分布式虛擬環境的構建，這樣實驗的效果將更加逼近企業實際環境中的部署。平臺中的IPS以混雜模式部署可以完全實現以往安全實驗室中的IDS所有功能，對現有的高校IDS實驗項目有著良好的銜換陸。