基于Openstack的网络攻防实验平台设计与实现

2015-07-26崔阳华延边大学工学院吉林延边133002

山东工业技术 2015年4期

关键词：靶机攻击机镜像

崔阳华（延边大学工学院,吉林　延边　133002）

崔阳华
（延边大学工学院,吉林延边133002）

网络攻防环境难以构建和管理是一个普遍性的难题，本文介绍了一个使用开源的Openstack技术构建网络攻防实验平台的设计方案。在校园网中的运行测试结果显示，这种基于云计算的网络攻防平台可以显著降低管理和实验成本，提高学习效率。

网络攻防；云计算；Openstack

1　云平台网络攻防实验平台需求

近年来，随着多起安全相关事件在互联网上曝光，网络安全成为当前技术研究热点，网络安全课程和网络安全竞赛也得到了更多的重视。

我们在网络安全课程的学习和网络安全竞赛的训练过程中，做了大量网络攻防方面的实验，比较深切地感受到现有的网络攻防实验手段的不足。

考虑到网络攻防相关实验往往都带有一定的破坏性，在真实网络环境里进行攻防实验还会遇到法律授权方面的麻烦，一般都是通过安装VMware、Virtualbox等模拟软件构建虚拟网络环境去进行攻防实验。

经考虑，我们准备借助云计算技术来构建网络攻防实验平台。云计算技术可以灵活地按需提供虚拟化、并行计算、网络存储和负载均衡等服务，因此如果能把网络攻防所需的各种工具软件、攻击机和靶机镜像、操作指南等文档资料统一安放到云平台中，则可以极大地改进管理工作。例如，可以省去本地安装配置工作，只要有网络随时能用注册账号登录到云平台上做有操作权限的网络攻防实验；所有的技术文档、操作指南等统一存储在云平台，非常容易检索；在攻防实验平台的存储空间、CPU性能出现瓶颈时，也非常容易进行扩充升级。

2　基于Openstack云平台的设计和实现

Openstack是一个美国国家航空航天局和Rackspace合作研发的，旨在为公共及私有云的建设与管理提供软件的开源项目。Openstack正处于高速发展和推广应用过程中，目前已经是各种公有云和私有云建设的主流方案。

基于Openstack的云平台部署非常灵活，既可以只装在单节点服务器上，也可以部署到大规模集群服务器组，经综合考量，我们使用两台服务器去实现网络攻防实验用云平台，其中一台服务器部署为控制节点，另一台部署为计算节点，这也是目前广泛使用的方案，足以应付通常的实验，以后如果有需求，可以再添加计算节点以提高性能。服务器可以只放在私有局域网中，也可以接入校园网提高公开服务，因此每台服务器都装上双网卡，一块连接到外网，另一块连接内网。（如图所示）

设计的云平台服务器使用操作系统CentOSLinux6.4版，下载OpenStack的Icehouse版本进行安装配置，根据Openstack的官方安装指导，在控制节点先后安装并配置Mysql、RabbitMQ、keystone、 Nova、Neutron、Cinder、Glance、Horizon和Apache等服务项目，而在计算节点上只需安装配置Nova和Neutron。

Openstack安装完成后，借助Dashboard服务可以通过Web界面登录后进行管理。

登录进入云平台管理页面后，即可非常便捷地进行各种虚拟机镜像的创建、上传、配置、运行、删除等配置工作。这些虚拟机镜像运行后，借助VNC等远程控制工具，可以让多人同时通过网络访问，从而充分发挥云平台的作用。

3　攻击机和靶机的配置

攻击机的镜像相对比较容易解决，我们首先制作了基于Windows操作系统的攻击机镜像，在系统中事先封装了大量网络安全渗透测试用工具，包括各种扫描工具、嗅探工具、加解密工具、远程渗透攻击测试工具、动态调试工具、静态反编译工具等等。其中最常见最有用的一些工具包括Metasp loit开源安全漏洞测试工具、Nmap扫描器、W ireshark嗅探器、burpsuite集成Web渗透测试工具集、sqlmap注入工具、O llydbg动态调试器、IDA反编译工具等。

靶机的制作则相对比较麻烦，因为这不是简单安装好操作系统和软件就行了，还经常需要自己在靶机上挖掘出或人为生成需要的某种安全漏洞以供攻击机做网络攻击实验。我们首先自己制作了一些基于Windows2000、WindowsXP、Windows2003、Windows2003、Windows7等操作系统的镜像，都是没有打足补丁留下系统漏洞用于系统攻击测试，然后我们还在一些Windows镜像中创建了各种基于ASP、ASP. NET、PHP和JSP技术的有已知漏洞的Web网站用于Web渗透测试。另外，我们下载了一些开源免费靶机资源，例如OWASP组织发布的一些靶机镜像资源。