林玉梅 吳宗波
(泉州信息工程學(xué)院 福建泉州 362000)
自中國(guó)在2015年出臺(tái)《網(wǎng)絡(luò)安全法》之后,在應(yīng)對(duì)網(wǎng)絡(luò)安全方面有極大的推進(jìn)一步。但是當(dāng)前的攻防平臺(tái)不僅需要良好的設(shè)備,而且在日漸復(fù)雜的環(huán)境下,網(wǎng)絡(luò)安全中的實(shí)驗(yàn)室建設(shè)沒有取得良好的效果,難以充分保障網(wǎng)絡(luò)安全性。基于云計(jì)算技術(shù),文章分析和闡述了網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)的構(gòu)建、實(shí)際應(yīng)用及相關(guān)測(cè)試情況,以期進(jìn)一步提升網(wǎng)絡(luò)安全。
目前,云計(jì)算作為一個(gè)擁有良好管理型以及高度擴(kuò)展性技術(shù),可以針對(duì)用戶終端中的運(yùn)用軟件而構(gòu)建良好的系統(tǒng),然而對(duì)其含義概述并沒有統(tǒng)一,而結(jié)合當(dāng)前的運(yùn)營(yíng)情況,可以有效掌握云計(jì)算本質(zhì),集中概括如下:存儲(chǔ)特性、分布式計(jì)算、用戶友好性、高擴(kuò)展性以及良好管理性[1]。在實(shí)際運(yùn)用方面,云計(jì)算技術(shù)還存在如下的特點(diǎn):①云計(jì)算系統(tǒng)可針對(duì)用戶不同的機(jī)制而實(shí)施透明化處理,用戶就不用掌握云計(jì)算實(shí)際運(yùn)用情況,就可以獲得對(duì)應(yīng)的服務(wù)需要。②通過(guò)冗余方式而有效為云計(jì)算提供良好的可靠性,因?yàn)樵朴?jì)算系統(tǒng)中不需要專門的硬件支持,所以在軟件處理方面就可以結(jié)合數(shù)據(jù)冗余以及分布式存儲(chǔ)的方式而有效為數(shù)據(jù)提供較高的可靠性。③高可用性。此系統(tǒng)可以將集成海量的數(shù)據(jù)信息存儲(chǔ)在一起,這就可以提升計(jì)算機(jī)的高性能性,從而有效提升云計(jì)算服務(wù)的滿意度,但是云計(jì)算系統(tǒng)中存在的自動(dòng)檢測(cè)發(fā)生失效的情況,則可以自動(dòng)排除,也不會(huì)對(duì)云計(jì)算系統(tǒng)帶來(lái)影響。④高層次的編程模型中能夠通過(guò)用戶簡(jiǎn)單學(xué)習(xí)進(jìn)而掌握計(jì)算程序[2],進(jìn)而可以通過(guò)“云”系統(tǒng)而完成相關(guān)的執(zhí)行。⑤經(jīng)濟(jì)性。在組建完成之后,如果運(yùn)用在商業(yè)中就可以減少小型機(jī)所耗費(fèi)資金,達(dá)到節(jié)約投入成本的目的。
在實(shí)際減少實(shí)驗(yàn)平臺(tái)方面,為了能夠有效降低成本以及提升部署能力,同時(shí)還能夠保障計(jì)算機(jī)網(wǎng)絡(luò)不會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)影響。因此,在構(gòu)建平臺(tái)方面就可以參照VMqrevSphere的云平臺(tái)而構(gòu)架一個(gè)良好的框架,在實(shí)際計(jì)算過(guò)程中可以通過(guò)虛擬化的技術(shù)以及云計(jì)算相結(jié)合的方式而提升云計(jì)算技術(shù)服務(wù)網(wǎng)絡(luò)的效果,同時(shí)也可以有效構(gòu)建對(duì)應(yīng)網(wǎng)絡(luò)的攻防實(shí)驗(yàn)平臺(tái),具體可參照?qǐng)D1。在構(gòu)建完成之后,此虛擬的攻防實(shí)驗(yàn)平臺(tái)主要構(gòu)成3個(gè)不同的部分,分別是計(jì)算節(jié)點(diǎn)、控制節(jié)點(diǎn)以及存儲(chǔ)節(jié)點(diǎn)。
圖1 構(gòu)建平臺(tái)的框架
2.1.1分析計(jì)算節(jié)點(diǎn) 在此平臺(tái)建設(shè)過(guò)程中,其基礎(chǔ)的控件主要通過(guò)支持 技術(shù),然后結(jié)合物理機(jī)的組成情況而有效為虛擬性的攻防實(shí)驗(yàn)提供計(jì)算和服務(wù)。
2.1.2分析控制節(jié)點(diǎn) 這部分屬于平臺(tái)核心,主要負(fù)責(zé)的是收集計(jì)算信息以及各個(gè)節(jié)點(diǎn)所具有的計(jì)算資源,然后通過(guò)計(jì)算節(jié)點(diǎn)中的資源情況而實(shí)施調(diào)度;同時(shí)還可以加強(qiáng)地此網(wǎng)絡(luò)段實(shí)施管理,這就可以有效控制平臺(tái)中的虛擬機(jī)生命周期。此外,存儲(chǔ)攻防的實(shí)驗(yàn)中,其主機(jī)的模板鏡就可以對(duì)數(shù)據(jù)文件實(shí)施快照或者是備份處理,通過(guò)此虛擬攻防的功能就是完成對(duì)整個(gè)平臺(tái)的啟動(dòng)、終止以及重啟[3]。
2.1.3分析存儲(chǔ)節(jié)點(diǎn) 構(gòu)建平臺(tái)過(guò)程中還需要為數(shù)據(jù)提供對(duì)應(yīng)的存儲(chǔ)服務(wù),使得用戶可以通過(guò)虛擬的攻防實(shí)驗(yàn)而完成對(duì)數(shù)據(jù)處理,其中部分節(jié)點(diǎn)可以選為實(shí)際的運(yùn)用,這就使得平臺(tái)能夠通過(guò)計(jì)算節(jié)點(diǎn)而做好對(duì)應(yīng)的存儲(chǔ)服務(wù)工作。
由于各個(gè)計(jì)算節(jié)點(diǎn)之間有需要的主機(jī)類型,第一種是攻擊型的主機(jī),其主要的作用是針對(duì)網(wǎng)絡(luò)中的攻防實(shí)驗(yàn)實(shí)施進(jìn)攻;第二種是防火墻型的主機(jī),其主要通過(guò)防火墻而配置對(duì)應(yīng)的實(shí)驗(yàn)主機(jī);第三種是目標(biāo)主機(jī),即通過(guò)被攻擊目標(biāo)中的主機(jī)實(shí)施控制;第四種是入侵檢測(cè)的主機(jī),采用的是Snort而提供攻擊者的入侵檢測(cè)作用,防止受到不良攻擊;第五種是編譯系統(tǒng)所支持下的主機(jī),主要通過(guò)Python、C/C++以及Java而完成編譯以及執(zhí)行環(huán)境,從而可以得到二進(jìn)制的攻擊程序。在完成安裝工作之后,此時(shí)的攻防主機(jī)群就可以在vSphere Client的左側(cè)列表呈現(xiàn)出來(lái),詳見圖2。
圖2攻防主機(jī)群
DDos中的攻擊主要采用的是多臺(tái)計(jì)算機(jī)進(jìn)行聯(lián)合攻擊,從而可以實(shí)現(xiàn)一對(duì)一或者是一對(duì)多的方式對(duì)目標(biāo)發(fā)動(dòng)對(duì)應(yīng)的攻擊,這就可以有效降低被攻擊者系統(tǒng)資源的消耗,或是對(duì)網(wǎng)絡(luò)帶寬的控制情況,進(jìn)而可以防止網(wǎng)絡(luò)系統(tǒng)難以承擔(dān)負(fù)擔(dān),進(jìn)而導(dǎo)致其出現(xiàn)癱瘓的情況。此外,參照DDos的攻擊特性可以對(duì)多臺(tái)的DDos實(shí)施測(cè)試,然后通過(guò)此平臺(tái)能夠完成創(chuàng)建對(duì)應(yīng)的虛擬系統(tǒng),主機(jī)在接收信息請(qǐng)求之后就可以防止其出現(xiàn)癱瘓的情況。
通過(guò)虛擬攻防的方式就可以對(duì)實(shí)驗(yàn)平臺(tái)中的主機(jī)啟動(dòng)對(duì)應(yīng)的打開終端,同時(shí)還需要運(yùn)行對(duì)應(yīng)的端口進(jìn)行掃描,即Nmap工具;同時(shí)也能夠減少虛擬攻防中的實(shí)驗(yàn)靶機(jī)對(duì)端口進(jìn)行掃描中出現(xiàn)漏洞的情況。
在當(dāng)前的環(huán)境下采用的是網(wǎng)絡(luò)嗅探方式,主要運(yùn)用的工具是TSPDUMP,由此掌握大量的網(wǎng)絡(luò)信息,同時(shí)也可以加強(qiáng)對(duì)網(wǎng)絡(luò)管理。除此之外,在實(shí)際運(yùn)用過(guò)程中還可以查看對(duì)應(yīng)的流量情況以及功能,這就可以有效解決當(dāng)前網(wǎng)絡(luò)在傳輸方面所出現(xiàn)的質(zhì)量問(wèn)題。在完成嗅探測(cè)試之后,可以更好地掌握網(wǎng)絡(luò)安全以及具體的工作原理,同時(shí)采用嗅探網(wǎng)絡(luò)信息就可以完成對(duì)應(yīng)的安裝以及運(yùn)用。
在構(gòu)建對(duì)應(yīng)的攻防平臺(tái)中,主要采用的是兩臺(tái)虛擬性的實(shí)驗(yàn)主機(jī)進(jìn)行測(cè)試,其中一臺(tái)將其作為對(duì)應(yīng)的攻擊機(jī),而另一臺(tái)則作為靶機(jī)。第一,在實(shí)施攻擊方面,可以在運(yùn)行方面加強(qiáng)對(duì)遠(yuǎn)程軟件的控制,并能夠防止其生成對(duì)應(yīng)的木馬程序,同時(shí)還可以將此程序上傳至對(duì)應(yīng)的目標(biāo)上;第二,如果目標(biāo)靶機(jī)中需要執(zhí)行木馬程序,此時(shí)攻擊機(jī)中的遠(yuǎn)程控制就可以對(duì)攻擊軟件進(jìn)行信息系統(tǒng)的處理;第三,針對(duì)攻擊機(jī)中出現(xiàn)靶機(jī)的情況,則能夠及時(shí)掌握其中存在的文件信息,并且可以完成對(duì)應(yīng)文件的上傳下載等,同時(shí)還可以加強(qiáng)對(duì)相關(guān)文件的管理以及監(jiān)視。
在執(zhí)行遠(yuǎn)程命令過(guò)程中需要防止其出現(xiàn)漏洞的情況,此時(shí),用戶就可以通過(guò)對(duì)應(yīng)的瀏覽器而完成相關(guān)命令的提交以及處理。由于服務(wù)器中并未對(duì)其中的執(zhí)行函數(shù)實(shí)施過(guò)濾,這就會(huì)導(dǎo)致指定的路徑發(fā)生變化,例如出現(xiàn)允許攻擊者的情況,此時(shí)就可以對(duì)執(zhí)行程序或者是$PATH而出現(xiàn)的惡意代碼進(jìn)行監(jiān)測(cè),有效防止其受到惡意攻擊。
在實(shí)驗(yàn)過(guò)程中,IDS具體的原理以及工作方式就需要結(jié)合熟悉的路徑進(jìn)行檢測(cè),尤其是處理入侵工具中,如AIDE通過(guò)Linux的操作系統(tǒng)就可以完成對(duì)應(yīng)的配置以及安裝工作。在AIDE中就可以通過(guò)Centos的系統(tǒng)而完成對(duì)應(yīng)監(jiān)測(cè)工作,主要是保障相關(guān)文檔的完整性。此外,AIDE還可以針對(duì)指定的文檔數(shù)據(jù)庫(kù)進(jìn)行監(jiān)視,尤其是處理經(jīng)常發(fā)生變動(dòng)中的文檔,例如郵件以及日志文檔等,能夠讓用戶及時(shí)掌握對(duì)應(yīng)的目錄信息。
在防火墻實(shí)際的配置方面,iptables中的系統(tǒng)操作情況采用的是Linux所提供的防護(hù)墻系統(tǒng),此系統(tǒng)在實(shí)驗(yàn)操作方面就需要提升防護(hù)的功能,在配置方面,主要通過(guò)防火墻中的SYNF而防止其受到攻擊,此防止攻擊的系統(tǒng)在實(shí)踐運(yùn)用方面也非常廣泛。在iptables中所需要配置的防火墻十分復(fù)雜,需要執(zhí)行眾多命令,用戶實(shí)際掌握具有一定的難度,此時(shí)在設(shè)計(jì)方面就需要配置對(duì)應(yīng)的Web頁(yè)面,即可提升用戶掌握實(shí)際操作的能力。
當(dāng)前,攻防平臺(tái)不僅需要良好的設(shè)備,而且在日漸復(fù)雜的環(huán)境下難以充分保障網(wǎng)絡(luò)安全性。將云計(jì)算技術(shù)運(yùn)用在網(wǎng)絡(luò)攻防平臺(tái)中,可以有效掌握數(shù)據(jù)管理以及實(shí)驗(yàn)數(shù)據(jù)情況,二者實(shí)施隔離而使得實(shí)驗(yàn)數(shù)據(jù)可以通過(guò)云平臺(tái)而有效傳輸,這就可以充分保障信息安全。此外,實(shí)驗(yàn)數(shù)據(jù)也難以對(duì)外部的網(wǎng)絡(luò)環(huán)境帶來(lái)任何影響,即采用虛擬化的技術(shù)可以構(gòu)建良好的結(jié)構(gòu),進(jìn)而能夠生成構(gòu)不同的操作系統(tǒng)、應(yīng)用環(huán)境以及硬件需求(如內(nèi)存、網(wǎng)卡數(shù)以及CPU)虛擬的環(huán)境,在虛擬交換機(jī)中就可以完成自動(dòng)匹配,這就可以為讓研究者在真實(shí)環(huán)境中進(jìn)行實(shí)驗(yàn),進(jìn)而找到良好的方式提升網(wǎng)絡(luò)安全性。