叶建锋, 张平安, 高月芳

(1. 深圳信息职业技术学院 软件学院, 广东 深圳　518172;2. 深圳信息职业技术学院 计算机学院, 广东 深圳　518172)



基于Openstack的网络攻防实训平台设计与构建

叶建锋1, 张平安2, 高月芳2

(1. 深圳信息职业技术学院 软件学院, 广东 深圳518172;2. 深圳信息职业技术学院 计算机学院, 广东 深圳518172)

基于开源云计算Openstack技术,在开放式的网络环境下设计并构建一个面向实战演练的网络攻防实训平台,实例结合常用探测与入侵工具,给出了针对FTP服务器缓冲区溢出漏洞的入侵过程和相应的防御实施。通过实例验证了利用Openstack技术构建网络攻防实训平台的可行性和有效性,在开放式的网络环境下为信息安全专业的学生开展网络攻防实践提供了一个有效的实战演练环境。

网络攻防； 实训平台; Openstack； 云计算

高校网络攻防环境的构建受资金、场地等制约,同时考虑到其本身实验的破坏性,很难在开放式的环境下有效部署[1]。部分高校引入了神州数码等信息安全的沙盒主机,但设备不断升级带来的成本需求和平台实训人数的限制已无法满足高校人才培养的需求[2]。许多高校针对实验手段进行了积极有效的探索,如在单机环境下利用虚拟技术搭建实验平台[3],基于云计算平台的网络攻防实验平台及相关的课程建设案例[4-5],虽然其在某种程度上实现了对实验手段补充,但其过多地强调网络及安全配置,且实验环境封闭,无法实现网络攻防的多样性和开放性要求。如何在开放式的网络环境下提供一种行之有效的方法、能够弹性地满足实训人数需要同时能有效还原网络入侵发生的过程并进行有效防御显得尤为重要。

本文基于Openstack的开源云计算技术,在开放式的网络环境中搭建网络攻防平台,突破了传统实验平台不能实时在线、不能安全隔离、实训人数受限的瓶颈,为网络攻防实战提供了一种有效的方法。利用平台优势，结合常用系统以及典型网络攻防工具使用、系统加固及入侵防御方法构建实训场景,给出了利用Windows下FTP服务器缓冲区溢出漏洞进行入侵提权的实例并给出了加固的主要策略,通过平台实例使用户掌握典型入侵过程,树立信息系统安全加固的意识,实现理论与实践结合进行攻防演练的目的。通过典型网络攻防案例测试验证了本文所提出的攻防演练实训环境的有效性,进一步提升了本实训平台的推广应用价值。

1　网络攻防平台的设计

云计算是一种基于互联网的计算方式，它具有灵活动态分配资源、统一管理、有效降低IT成本等特点。随着分布式系统的逐渐成熟及开源软件的免费提供,使得高校实验室在资金有限的情况下,能利用云计算技术搭建实训平台。而私有云“提供对数据、安全性和服务质量的最有效控制”[6],同时鉴于OpenStack 是完全开放源码,同时考虑到其强大的社区开发模式,在综合考虑性价比、二次开发的难易程度等多方面因素后,本文选择OpenStack作为私有云的基础平台进行网络攻防平台的搭建。

1.1网络攻防实训平台逻辑拓扑设计

本平台设计结合网络攻防实验特点,依据既满足内网用户使用,也满足外网用户的使用原则进行规划设计,平台逻辑拓扑结构见图1。内网用户可直接利用本地主机对靶场目标主机发起攻击和实施防御,外网用户需经认证后经接入集群主机对靶场目标主机发起攻击和实施防御,管理员可在内网认证后或在外网通过VPN服务接入后对平台进行管理。

图1　网络攻防实训平台逻辑拓扑结构

本平台基于模块化设计思路,充分利用Openstack技术:利用Nova(openStack compute计算服务)实现网络攻防平台中接入集群和靶场集群的构建，利用Swift(openStack object storage 存储服务)实现场景的及相应的存储功能，利用Glance(openStack image service 镜像服务)实现攻防平台中场景的快速切换,网络攻防实训平台模块间逻辑关系见图2。

图2　网络攻防平台模块间逻辑关系

1.2网络攻防实训平台的物理平台设计

本平台计划满足60个接入实例(攻击组和加固组每组30个接入主机)和30个靶场主机实例(每个攻击者和防御者共享一个靶场主机),考虑到存储要求较低,本平台中无专门的存储服务器,采用共享服务器本地硬盘的存储方式。搭建该环境的硬件平台见表1。

表1　平台搭建所需软硬件一览表

1.3网络攻防实训平台网络规划设计

根据本平台构建的需要,需构建5个网络,其中存储网络在本平台搭建中可选,网络类型及功能见表2。

表2　平台网络类型及功能描述

结合本平台场景的搭建给出网络的IP及VLAN规划见表3。

表3　网络IP地址、VLAN规划表

2　网络攻防平台的部署与实现

2.1物理平台的互联

考虑到服务器网络接口的限制,实施中需对交换机进行VLAN的划分,平台构建中管理网络、外部网络单独使用服务器网络接口,内部网络、存储网络、业务网络共享服务网络接口。物理设备互联逻辑拓扑结构见图3。

图3　物理设备互联逻辑拓扑结构

2.2软件的安装及平台的部署

按照图3完成服务器和交换机互联,并对交换机按照表3进行VLAN信息配置后,使用软件MirantisOpenStack-5.1.1对管理服务器安装,安装完成后利用其发现其他服务器节点并对节点完成角色的分配,按照表3进行IP地址设置,在网络地址验证正确后,进行Openstack平台部署,部署流程见图4。

图4　攻防实训平台部署流程图

随着互联网的发展,攻击与防御技术的此消彼长,以及网络入侵和攻击的工具多样化使得实施网络攻击的门槛越来越低,平台的有效部署进一步地贴近了实际,弱化网络环境搭建的过程,使平台的使用者更加专注网络攻击和网络防御的原理、手段、技术和方法的开发与实践,不断提高学习者信息安全素养。

3　网络攻防平台的实验实例测试

3.1实验实例的场景管理

实例中主要针对FTP服务器缓冲区溢出漏洞进行入侵提权,首先需登录管理平台手动或通过脚本控制加载攻防场景(见图5)的镜像或快照文件。

图5　基于Openstack的私有云加载网络攻防场景

利用场景中镜像文件或快照启动接入和靶场集群中实例如图6所示。根据考虑到攻防平台的实验特性,默认接入和靶场集群主机是与公网完全隔离,为了满足开放环境的实验需求,管理员通过浮动IP绑定接入集群主机的同时,需设置防火墙过滤规则,满足外网及实训操作的需求,如本实验中是通过VNC连接接入集群主机,同时考虑到连通性测试,设置规则如表4所示,创建防火墙过滤规则界面见图7。

图6　创建攻防实训的网络、接入和靶场集群实例

流量方向输入类型IP协议端口范围远程地址入口IPv4ICMP-0.0.0.0(CIDR)出口IPv4ICMP-0.0.0.0(CIDR)入口IPv4TCP59010.0.0.0(CIDR)

图7　创建防火墙过滤规则界面

3.2实训中网络渗透及入侵过程

3.2.1网络渗透及入侵过程

用户从外网利用客户端连接工具(VNC等)连接平台、接入集群中分配给用户的实例,从平台云硬盘获取实验工具,比如本实例中需获取探测类扫描工具X-Scan,利用扫描工具对指定的靶场集群网段进行扫描,扫描到存活主机及主机漏洞如图8所示。

图8　登录接入集群实例探测靶场主机实例界面

由图8可知，靶场存活主机192.168.111.88中有较多安全漏洞,比如采用Server-U搭建的FTP服务存在弱口令且该FTP服务存在缓冲溢出漏洞,入侵者可利用该漏洞进行缓存溢出攻击,如图9所示。本文针对该漏洞采用常用SV工具进行缓冲区溢出攻击,攻击成功后,可以返回待连接的端口。

图9　针对探测到靶场主机的溢出攻击界面

根据返回的端口号,采用nc工具进行端口连接,连接成功后即可获取靶场主机192.168.111.88的控制权限,成功实施入侵。入侵结果如图10所示。

3.2.2网络防御及加固过程

针对靶场主机的安全防御加固,可以根据扫描到信息直接加固,如屏蔽危险端口、更改弱口令等,也可以登录接入集群中特定的评估系统实例,利用MBSA或Nessus等评估工具评测加固主机风险值,根据安全评估报告进一步加固主机。

4　网络攻防平台的管理

4.1实训测试场景的切换

根据不同的攻防测试实例制作成不同的QCOW2或VDI等文件的场景镜像文件[7],由管理员将该文件以分类的形式载入平台,根据用户的攻防实训侧重或实训的复杂程度载入1个或多个场景,满足用户需求。目前，我们根据攻防实践的实训项目需求,已经完成部分场景的制作,场景清单见表5。

表5　平台部分攻防实训场景清单

4.2平台承载能力扩容

本平台的负载会造成性能瓶颈[8],网络攻防实训平台的负载能力主要取决于平台实训使用人的数量，即实训平台中集群实例主机的数量,而主机的数量的多少及性能主要靠计算节点服务器的性能,例如本实例中主要满足60人实训(接入单个实例为4 GB内存/50G硬盘、靶场单个实例为8 GB内存/100 GB硬盘),如需满足120人实训则需增加同性能2个计算节点,利用管理服务器基于将其加入集群计算节点完成底层的安装、部署后实现实例数量的增加,必要时可增加一个控制节点进行控制节点的冗余，保证平台的可靠性。

5　结语

基于Openstack技术的云计算平台搭建了网络攻防实训平台,该平台屏蔽了传统实验环境中对网络技术的依赖,同时突破了以往平台不能实时在线、封闭环境、场景单一的瓶颈。既实现了实训平台承载能力的弹性扩展,又突破了实验场景在时间和空间上的限制,开拓了网络攻防实训手段的新思路,有利于提升学生信息安全网络攻防的实践能力。

References)

[1] 翟继强,陈宜冬. 虚拟网络安全实验平台[J]. 实验室研究与探索,2009,28(6):79-82.

[2] 神州数码网络有限公司.DCST-6000信息安全实训平台[EB/OL].(2014-11-02).http://www.dcnetworks.com.cn/index.php?m=content&c=index&a=show&catid=163&id=159.

[3] 张梁斌,俞华丰,高昆. 单机环境中网络攻防实战演练平台的设计与研究[J].实验技术与管理,2014,31(10):144-147.

[4] 康辰,朱志祥. 基于云计算平台的网络攻防实验平台[J].西安邮电大学学报,2013,18(3): 87-91.

[5] 胡晓玲,强桂. 基于云计算的教育技术实验平台构建：以3DMAX课程为例[J]. 实验技术与管理,2012,29(8):88-91.

[6] 刘鹏. 云计算[M]. 北京: 电子工业出版社, 2010.

[7] 广小明. 虚拟化技术原理与实现[M]. 北京:机械工业出版社, 2012.

[8] 相方莉. 云计算基础设施中的性能瓶颈的识别和优化[J]. 计算机系统应用, 2013,22(12):168-172.

Design and construction of a network attack and defense combat training platform based on Openstack

Ye Jianfeng1， Zhang Ping’an2， Gao Yuefang2

(1. School of Software Engineering, Shenzhen Institute of Information Technology, Shenzhen 518172,China;2. School of computer, Shenzhen Institute of Information Technology, Shenzhen 518172,China)

The design and construction of a network attack and defense combat training platform based on Openstack is proposed under an open network environment. The demo example of the process of FTP server based on Windows invaded because of the buffer overflow vulnerability and the implementation of appropriate defense will be given by the tools of detection, which verifies feasibility and effectiveness of the platform. and then provides an effective combat training environment for information security professional students in the open network environment.

network attack and defense; training platform; Openstack; cloud computing

10.16791/j.cnki.sjg.2016.03.023

2015- 09- 18

2014年度广东省教学成果奖(高等教育)培养项目“高职校内实训基地及管理模式探索与实践”；深圳市教育科学规划2014年度重大招标课题“面向高职校企共建共享资源中心建构的探索与实践”(ybzz4070);广东省高职教育信息类“基于工作过程系统化的信息安全技术专业课程体系改革”(xxjs-2013-1069)

叶建锋(1978—),男,河南巩义,硕士,高级工程师,研究方向为云计算和信息安全.

E-mail:yejf@sziit.edu.cn

TP393.08G484

A

1002-4956(2016)3- 0086- 04