未來安全趨勢基于軟件定義網(wǎng)的移動防御

■曾金燕

未來安全趨勢基于軟件定義網(wǎng)的移動防御

■曾金燕

如今的企業(yè)內(nèi)網(wǎng)，大多是都是建立在靜態(tài)體系上的，所以那些內(nèi)網(wǎng)攻擊框架，工具，也是為靜態(tài)網(wǎng)絡(luò)度身定做。如Nmap,蠕蟲病毒，DDOS，Cain等。那么如果讓我們的防御體系轉(zhuǎn)向，化靜為動，會為內(nèi)網(wǎng)安全帶來什么呢？

軟件定義網(wǎng)絡(luò)（SDN）是由美國斯坦福大學(xué)clean slate研究組提出的一種新型網(wǎng)絡(luò)架構(gòu)。簡而言之就是，利用SDN技術(shù)將控制邏輯（控制器）從網(wǎng)絡(luò)交換設(shè)備中“分離”了出來。當控制器是可編程的時候，我們就能通過控制器給網(wǎng)絡(luò)設(shè)備的FLOW TABLE(流表)進行修改，讓路由設(shè)備靈活地達到我們的需求。

MTD是MOving Target Defence（移動防御技術(shù)）的縮寫。翻譯過來就是基于軟件定義網(wǎng)絡(luò)的移動防御技術(shù)。移動防御技術(shù)（MTD）是相對于傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)提出的新型防御策略，它的目的在于混淆網(wǎng)絡(luò)環(huán)境，讓內(nèi)網(wǎng)情況“亦真亦假”最后達到阻止，拖延內(nèi)網(wǎng)中惡意流成員攻擊的目的。

我們來看看一個攻擊者(小A)是如何一步步走向MTD布下的迷魂陣吧。

下面分成了三個部分，分別用主機存活性的隨機（A），軟件版本信息的隨機(B)，IP地址的隨機（C）來保護這個SDN控制下的內(nèi)網(wǎng)。

網(wǎng)絡(luò)踩點,掃描

在大多數(shù)內(nèi)網(wǎng)滲透過程中，攻擊的第一步就是研究攻擊面，試圖找出弱點和漏洞，這種踩點就包括識別存在已知漏洞的服務(wù)，或是掃描整個網(wǎng)段來找出同一個內(nèi)網(wǎng)中的存活主機（用來傳播蠕蟲），用基于SDN的移動防御技術(shù)可以阻止這種踩點掃描讓攻擊成果顯著減少。

大多是網(wǎng)絡(luò)掃描工具都是通過ICMP，TCP或UDP掃描來完成。ICMP包的作用用來確認目標是否可連接可到達。TCP,UDP端口掃描能用來識別目標上運行著哪些服務(wù)

這些掃描行為的應(yīng)答（TCP RST,silent drop或ICMP不可達）也可能透露哪些服務(wù)被傳輸設(shè)備允許（過濾），另外IP包里面的TTL區(qū)段也被黑客用來識別靶機和目的地之間的節(jié)點距離。

基于SDN的路由設(shè)備能用來對抗這種網(wǎng)絡(luò)掃描。針對目標的非法通信是能夠根據(jù)過濾規(guī)則被SDN設(shè)備發(fā)現(xiàn)并丟棄的，然后SDN設(shè)施還能生成不同的響應(yīng)來迷惑攻擊者，只有當通信是符合預(yù)編譯好的過濾策略的時候，才能暢通無阻地經(jīng)過路由器，要不然，充斥的將是來自SDN的欺騙。

服務(wù)版本和系統(tǒng)指紋掃描

為了能夠在內(nèi)網(wǎng)里面能夠利用一個已公布的軟件漏洞，小A最開始要做的事情無疑是識別目標機上有哪些缺陷服務(wù)以及他們的版本（當然如果小A掌握了通殺的0day那就另當別論）。舉個例子，小A如果想攻擊一個運行這Apache Tomcat 2.x的服務(wù)器，他就會發(fā)起一個HTTP GET請求到這個服務(wù)器的Web端口，然后根據(jù)服務(wù)器的響應(yīng)，他就能判斷服務(wù)器是不是跑著有漏洞的apache組件啦。于是，他執(zhí)行了nmap-A 192.168.1.x。

那么在這種情況下，一旦服務(wù)器的組件版本不可判斷，攻擊面就會變寬，隨之而來的結(jié)果就是增加攻擊成本和攻擊事件，讓攻擊更容易被（IPS）發(fā)現(xiàn)。

不同的服務(wù)會有不同的技術(shù)來發(fā)送自己的版本信息，比如HTTP服務(wù)器就會在HTTP header的HTTP 200 OK響應(yīng)中加入自己的httpd守護進程版本。運用基于SDN的MTD技術(shù)，我們能讓SDN設(shè)備防止真實版本信息的泄露，并且替換其成一個虛假的version信息發(fā)送給攻擊者。

除此之外，還需要提及的是，TCP,UDP和ICMP的包也總會泄露對攻擊產(chǎn)生幫助作用的信息。雖然現(xiàn)代操作系統(tǒng)已經(jīng)有產(chǎn)生隨機響應(yīng)的機制，但TCP序列號以及針對某些包的TCP ICMP UDP響應(yīng)還是能被識別出目標運行的是什么操作系統(tǒng)。比如說一個linux的系統(tǒng)的隨機TCP序列碼的生成方式是和其他是系統(tǒng)不一樣的。

隨機主機變換（RHM）

其實從上文并不難發(fā)現(xiàn)，隨機化是移動防御技術(shù)一個主要策略和手段，這是由于如果目標的IP在一直變化。或者說目標和攻擊者之間的網(wǎng)絡(luò)策略一直在發(fā)生改變，那么攻擊難度實際上是顯著上升的。所以，我們完全可以把這種隨機化上升到IP地址這個層面來看，在這個層面上進行了MTD保護的網(wǎng)絡(luò)，是可以很好抵御蠕蟲攻擊和DDOS攻擊的。

基于openflow的隨機主機變換（OpenFlow Random Host Mutation)下面就簡稱OF-RHM。

OF-RHM機制說明白一點就是讓后端主機的IP看起來是隨機變化的，這個隨機包括了地址隨機和變換間隔隨機兩個方面。在這樣的網(wǎng)絡(luò)中，那些假定了內(nèi)網(wǎng)的IP在一段有效時間（比如一個月）內(nèi)是靜態(tài)的攻擊程序（絕大多數(shù)蠕蟲病毒，DDOS攻擊）都會失去作用。

我們來看看SDN實現(xiàn)ip隨機的業(yè)務(wù)邏輯是怎樣的

OF-RHM需要兩個客觀條件：

一，IP變換對于后端主機應(yīng)該是透明的，也就是說，OF-RHM應(yīng)該讓后端的真實IP（rIP）保持不變，但是主機之間的聯(lián)系使用的應(yīng)該是存活期很短的虛擬IP（vIP），vIP在一段間隔時間內(nèi)就應(yīng)該變化一次。由于由vIP->rIP的轉(zhuǎn)換是在SDN控制器所操縱的流表內(nèi)進行的，而流表是完全有能力建立這種對應(yīng)關(guān)系，所以完全不用擔心內(nèi)網(wǎng)主機之間不能通信這個問題。

二，這種IP變換應(yīng)具有高不可預(yù)測性以及頻率，讓攻擊者在摸清網(wǎng)絡(luò)環(huán)境之前就發(fā)生一次變換，使攻擊者始終處于迷惑狀態(tài)。

總而言之，用SDN構(gòu)建出的網(wǎng)絡(luò)是靈活的，目前華為等大廠商也逐漸在高端路線上考慮SDN路由器。盡管SDN路由器動輒上千，但是對于大型企業(yè)來說，安全和功能強大顯然更加重要。

傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)已經(jīng)走過從ARPNET到INTERNET走過了屬于它的幾十年，在絕大多數(shù)攻擊模式都是針對靜態(tài)內(nèi)網(wǎng)的今天，擁有創(chuàng)新思維，化靜為動地去思考如何保護內(nèi)網(wǎng)顯得尤為重要和關(guān)鍵。雖然SDN和MTD又都是走在前面的美國人所提出的，但從跟上腳步，也不失一種智慧，中國人的智慧。