基于分布式虛擬環(huán)境下的IPS實(shí)驗(yàn)設(shè)計(jì)

范君 韓學(xué)洲 季莉

摘要：IPS部署和實(shí)施是網(wǎng)絡(luò)安全設(shè)計(jì)中的重要環(huán)節(jié)之一，是計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)安全課程實(shí)驗(yàn)中的重要組成部分。以組建IPS分布式虛擬環(huán)境為目標(biāo)，構(gòu)建實(shí)驗(yàn)環(huán)境，設(shè)計(jì)實(shí)驗(yàn)拓?fù)渑c參數(shù)，給出完整的實(shí)驗(yàn)設(shè)計(jì)與配置流程，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行驗(yàn)證與分析。

關(guān)鍵詞：分布式虛擬環(huán)境;IPS;實(shí)驗(yàn)平臺(tái)設(shè)計(jì)

中圖分類號(hào)：了P393.0 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）33-0017-04

1概述

隨著網(wǎng)絡(luò)的應(yīng)用與普及，網(wǎng)絡(luò)安全在網(wǎng)絡(luò)工程技術(shù)實(shí)施中所占比重日益加大，入侵檢測(cè)系統(tǒng)在企業(yè)網(wǎng)絡(luò)中已經(jīng)成為不可或缺的關(guān)鍵設(shè)備。入侵檢測(cè)產(chǎn)品一般部署在各業(yè)務(wù)網(wǎng)段，實(shí)現(xiàn)對(duì)網(wǎng)段內(nèi)所有設(shè)備訪問(wèn)的流量進(jìn)行監(jiān)控和保護(hù)。常規(guī)的IDS（入侵檢測(cè)）平臺(tái)能夠在網(wǎng)絡(luò)攻擊過(guò)程中對(duì)在線的攻擊行為進(jìn)行識(shí)別和報(bào)警但缺乏主動(dòng)防御功能，且IDS對(duì)DoS一類攻擊缺乏相應(yīng)防范機(jī)制，因此目前企業(yè)實(shí)際環(huán)境中所部署的產(chǎn)品均以主動(dòng)防御類的IPS（入侵防御）平臺(tái)為主。

目前國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)的課程體系中均包含有網(wǎng)絡(luò)安全的類課程并建有相關(guān)的安全實(shí)驗(yàn)室，而高?，F(xiàn)有網(wǎng)絡(luò)安全實(shí)驗(yàn)室中的入侵檢測(cè)實(shí)驗(yàn)平臺(tái)大多以Snort的開(kāi)源實(shí)驗(yàn)平臺(tái)為基礎(chǔ)構(gòu)，部分高校的安全實(shí)驗(yàn)室雖購(gòu)置一定數(shù)量的IDS/IPS物理設(shè)備，但人手一臺(tái)設(shè)備規(guī)模的實(shí)驗(yàn)教學(xué)開(kāi)展往往因?yàn)樵O(shè)備數(shù)量不足而受限制，同時(shí)網(wǎng)絡(luò)攻擊行為往往帶有破壞性，單純依賴物理設(shè)備的實(shí)驗(yàn)環(huán)境雖然可以縮小與商用產(chǎn)品實(shí)際應(yīng)用環(huán)境間的差距，但網(wǎng)絡(luò)數(shù)據(jù)環(huán)境的準(zhǔn)備與恢復(fù)工作的煩瑣使得實(shí)驗(yàn)中的準(zhǔn)備與恢復(fù)工作占用過(guò)多的教學(xué)時(shí)間。

為解決上述問(wèn)題，在實(shí)際課堂教學(xué)過(guò)程中，通過(guò)基于分布式虛擬化技術(shù)構(gòu)建IPS實(shí)驗(yàn)平臺(tái)，使學(xué)生在該平臺(tái)中能夠直觀的理解入侵防御產(chǎn)品的工作枠陸和部署流程，觀察基于網(wǎng)絡(luò)環(huán)境下IPS的數(shù)據(jù)流量處理機(jī)制，進(jìn)而在此基礎(chǔ)上理解并掌握真實(shí)環(huán)境下IPS系統(tǒng)的規(guī)劃與配置的方法。

2實(shí)驗(yàn)技術(shù)分析

2.1IPS技術(shù)

IPS支持Inline在線部署的方式串聯(lián)于網(wǎng)絡(luò)中，無(wú)須依賴交換機(jī)的SPAN端口對(duì)流量的鏡像即可對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控，將IDS的單純檢測(cè)功能提升為主動(dòng)防御功能。IPS檢測(cè)引擎采用多重檢測(cè)機(jī)制，使其能對(duì)應(yīng)用層、傳輸層、網(wǎng)絡(luò)及數(shù)據(jù)鏈路層的數(shù)據(jù)流進(jìn)行多層面攻擊行為檢測(cè)，對(duì)于DoS/DDoS、P2P等攻擊行為可以實(shí)現(xiàn)精確檢測(cè)并實(shí)時(shí)阻斷，最終實(shí)現(xiàn)網(wǎng)絡(luò)安全綜合化深度防護(hù)。

2.2虛擬化技術(shù)

分布式IPS實(shí)驗(yàn)平臺(tái)中的主機(jī)設(shè)備環(huán)境將攻擊設(shè)備和目標(biāo)服務(wù)器借助于WMWare環(huán)境實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備環(huán)境則借助QEMU平臺(tái)的虛擬化技術(shù)實(shí)現(xiàn)IPS環(huán)境的仿真，使用Dynamips平臺(tái)實(shí)現(xiàn)路由器IOS平臺(tái)的仿真，最后運(yùn)用GNS3平臺(tái)進(jìn)行的完整的拓?fù)湓O(shè)計(jì)，同時(shí)借助WinPCAP和Wireshark軟件實(shí)現(xiàn)實(shí)驗(yàn)過(guò)程中數(shù)據(jù)包實(shí)時(shí)捕獲和分析。依賴于虛擬化技術(shù)使得系統(tǒng)的攻擊和破壞行為均限制于虛擬設(shè)備中，實(shí)現(xiàn)了IPS平臺(tái)對(duì)物理環(huán)境下的設(shè)備依賴和影響的最小化。

3實(shí)驗(yàn)平臺(tái)設(shè)計(jì)

3.1IPS企業(yè)部署

IPS在企業(yè)環(huán)境中部署一般根據(jù)數(shù)據(jù)區(qū)域的安全級(jí)別，對(duì)源自外網(wǎng)和內(nèi)網(wǎng)的流量分別進(jìn)行監(jiān)控和防護(hù)。通過(guò)部署IPS在服務(wù)器、PC終端等不同的安全區(qū)域或網(wǎng)段，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)訪問(wèn)行為進(jìn)行控制，并對(duì)來(lái)自外部的攻擊行為進(jìn)行防范和監(jiān)控以保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的訪問(wèn)。

3.2 IPS實(shí)驗(yàn)平臺(tái)拓?fù)湓O(shè)計(jì)

1）物理拓?fù)湓O(shè)計(jì)

IPS實(shí)驗(yàn)平臺(tái)以兩臺(tái)PC為驗(yàn)證工作平臺(tái)，其中PC-01作為綜合平臺(tái)承載路由器、IPS、目標(biāo)服務(wù)器等功能，PC-02作為攻擊平臺(tái)。

實(shí)驗(yàn)平臺(tái)的物理拓?fù)渫ㄟ^(guò)交叉線互連兩臺(tái)PC的千兆網(wǎng)卡來(lái)實(shí)現(xiàn)。兩臺(tái)PC設(shè)備配置CPU均為Intel T6500Du02.10GHz，其中PC-01內(nèi)存配置均為4G，實(shí)驗(yàn)中所涉及虛擬平臺(tái)中的軟硬件類型、版本信息如表1所示。其中Cisco IDS 4235其硬件平臺(tái)雖標(biāo)識(shí)為IDS，但該平臺(tái)的內(nèi)核是具備IPS功能的系統(tǒng)軟件，故該平臺(tái)實(shí)質(zhì)為IPS。為能夠觀察攻擊后產(chǎn)生的諸如SYN半連接等數(shù)據(jù)信息，在PC-01中以LinuxServerRedHat5.4為目標(biāo)服務(wù)器平臺(tái)?？紤]到桌面級(jí)操作系統(tǒng)的連接數(shù)有限制，故在PC-02中以Windows 2003 Server為攻擊平臺(tái)。

2）邏輯拓?fù)湓O(shè)計(jì)

IPS實(shí)驗(yàn)平臺(tái)邏輯設(shè)計(jì)包含拓?fù)鋱D規(guī)劃、IP規(guī)劃、設(shè)備接口互連規(guī)劃等幾個(gè)部分組成。

（1）邏輯拓?fù)鋱D規(guī)劃

邏輯拓?fù)湟?guī)劃設(shè)計(jì)如圖1所示，網(wǎng)絡(luò)整體分為內(nèi)網(wǎng)、外網(wǎng)兩個(gè)部分，其中目標(biāo)機(jī)位于內(nèi)網(wǎng)，IPS6.0系統(tǒng)以Inline方式位于目標(biāo)機(jī)和路由器之間，實(shí)現(xiàn)對(duì)來(lái)自內(nèi)外網(wǎng)的流量進(jìn)行實(shí)時(shí)監(jiān)控171，位于外網(wǎng)攻擊設(shè)備則處于路由器的另一側(cè)。

實(shí)驗(yàn)具體規(guī)劃如圖2所示，PC-01機(jī)器內(nèi)部的Cisco 4235IDS設(shè)備運(yùn)行于QEMU環(huán)境中，Cisco 3725路由器運(yùn)行于Dy-namips環(huán)境中，上述兩個(gè)環(huán)境均在GNS3平臺(tái)下借助PC-01的Loopback軟環(huán)回接口實(shí)現(xiàn)互聯(lián)。

IPS的流量監(jiān)控接口及管理端口均需要先行連到GNS3系統(tǒng)自帶的非網(wǎng)管型交換機(jī)后方可實(shí)現(xiàn)與其他設(shè)備間的數(shù)據(jù)傳輸，PC-01的GNS3平臺(tái)使用了SW1、SW2、SW3三臺(tái)非網(wǎng)管設(shè)備連接IPS與其他設(shè)備，具體搭建的拓?fù)鋱D如圖3所示。

（2）網(wǎng)卡IP地址規(guī)劃

IPS平臺(tái)中所涉及的各個(gè)網(wǎng)卡、接口地址及用途說(shuō)明信息見(jiàn)表2。

（3）IPS端口互聯(lián)與IP規(guī)劃

基于Cisco IDS 4235平臺(tái)的IPS設(shè)備端口、IP地址及互聯(lián)對(duì)端設(shè)備的規(guī)劃如表3所示。

在設(shè)備互聯(lián)中，Cisco IDS 4235的Managemento/o端口通過(guò)SWl交換機(jī)與PC-01的軟件環(huán)回接口Loopbackl互聯(lián)，該端口提供以GUI界面方式實(shí)現(xiàn)IPS設(shè)備配置、驗(yàn)證及監(jiān)控;Gigo/o端口則直接連接到SW3并與3725路由器的Fao/1接口互聯(lián)以接受外網(wǎng)流量;Gigo/1端口與PC-01的軟件環(huán)回接口Loopback2均接人SW2交換機(jī)實(shí)現(xiàn)將流量轉(zhuǎn)發(fā)至內(nèi)網(wǎng)目標(biāo)機(jī)服務(wù)器Red-Hat5.4。

（4）路由器端口互聯(lián)與IP規(guī)劃

路由器基于Cisc03725平臺(tái)，其端口、IP及互聯(lián)對(duì)端設(shè)備的規(guī)劃如表4所示。

3.3IPS實(shí)驗(yàn)平臺(tái)配置步驟

1）IPS平臺(tái)初始化配置

步驟1：IPS初始化配置

IPS平臺(tái)進(jìn)行配置前需要進(jìn)行必要的初始化設(shè)置，以實(shí)現(xiàn)IPS的進(jìn)一步配置和管理工作，初始化配置工作如圖4所示。IPS中管理IP地址的配置對(duì)應(yīng)圖4中命令（1），其中194.0.1.11為管理端口登錄IP，194.0.1.1為網(wǎng)段的網(wǎng)關(guān)地址，開(kāi)啟telnet功能對(duì)應(yīng)命令（2）。IPS登錄訪問(wèn)前需要通過(guò)ACL設(shè)定允許能夠登錄地址范圍，此部分的地址可以是多組地址網(wǎng)段，具體配置見(jiàn)命令（3）。

步驟2：IPS接口配置

IPS設(shè)備的物理端口默認(rèn)情況下是未啟用狀態(tài)，需要激活后方可啟用。平臺(tái)中端口配置為全雙工，速率1000Mbps。平臺(tái)中默認(rèn)所有端口均為雜湊模式（promiscuous），該模式僅僅監(jiān)控實(shí)際流量的鏡像，并不能實(shí)時(shí)阻止攻擊。為能實(shí)現(xiàn)對(duì)攻擊流量實(shí)時(shí)阻止，需將實(shí)驗(yàn)中的IPS平臺(tái)將端口設(shè)置為在線模式（In-line），圖5中定義了接口名稱為pair-01的邏輯接口并根據(jù)規(guī)劃將物理接口Gigo/o和Gigo/1關(guān)聯(lián)到pair-01實(shí)現(xiàn)在線模式。

步驟3：IPS策略配置

IPS使用前需要定義相關(guān)的策略，新定義的策略中應(yīng)該包含簽名（signatures）、事件響應(yīng)規(guī)則和異常檢測(cè)三個(gè)功能模塊的配置。

以異常檢測(cè)配置為參照，思科IPS將網(wǎng)絡(luò)區(qū)域劃分為外部、內(nèi)部和非法三個(gè)不同類型，每個(gè)區(qū)域可針對(duì)了CP或UDP特定端口類型的數(shù)據(jù)單獨(dú)設(shè)置掃描閾值。以來(lái)自外部區(qū)域了CP流量的80端口檢測(cè)配置為例，圖6中的命令（1）設(shè)定的是外部區(qū)域中IP地址范圍，命令（3）設(shè)定了對(duì)源IP地址啟用掃描器（scanner）的參數(shù)閾值為150。

步驟4：IPS分析引擎配置

思科IPS分析引擎用于對(duì)流經(jīng)監(jiān)控端口的數(shù)據(jù)流量執(zhí)行數(shù)據(jù)包的分析和報(bào)警監(jiān)測(cè)工作，Cisco IPS6.0借助其系統(tǒng)軟件中傳感器虛擬化的功能可以實(shí)現(xiàn)多個(gè)虛擬化的IPS，每個(gè)虛擬化的IPS可獨(dú)立監(jiān)控分析不同網(wǎng)段的流量。如圖7命令（1）所示分析引擎中所引用的虛擬化感應(yīng)器為平臺(tái)自定義的虛擬傳感器vs-01，該引擎默認(rèn)為非激活狀態(tài)需要通過(guò)配置命令（2）激活后啟用。傳感器vs-01中所關(guān)聯(lián)的異常檢測(cè)策略ad-01為步驟3中定義，異常檢測(cè)操作狀態(tài)模式定義如命令（3）所示。完成上述配置工作后，需將策略先前定義中的規(guī)則rule-01和簽名sig-01關(guān)聯(lián)到vs-01中，最后如圖7命令（4）所示將虛擬傳感器與邏輯接口pair-01進(jìn)行關(guān)聯(lián)。

2）路由器及平臺(tái)路由配置

路由器配置根據(jù)表3進(jìn)行常規(guī)配置即可，因攻擊平臺(tái)與路由器外網(wǎng)口處于同一網(wǎng)段故無(wú)須配置靜態(tài)路由。攻擊設(shè)備網(wǎng)段為192.168.1.0/24，為訪問(wèn)目標(biāo)機(jī)的所在172.16.1.0/24網(wǎng)段需要在PC-02中配置靜態(tài)路由指向路由器外網(wǎng)口，Windows環(huán)境下配置命令如圖9所示，參數(shù)-p是使所配置的靜態(tài)路由為永久性路由條目，以滿足教學(xué)實(shí)驗(yàn)過(guò)程中設(shè)備重新啟動(dòng)后路由條目不會(huì)丟失需求。

3）攻擊與目標(biāo)服務(wù)器平臺(tái)初始化配置

攻擊平臺(tái)因安裝有各類攻擊軟件故需要保持Win-dows2003 Server服務(wù)器中防火墻默認(rèn)的關(guān)閉狀態(tài)，而對(duì)于目標(biāo)服務(wù)器的Linux操作系統(tǒng)則需要在iptables防火墻中添加acl命令以放行ICMP及80端口的tcp和udp數(shù)據(jù)包叫。

4實(shí)驗(yàn)平臺(tái)驗(yàn)證

IPS平臺(tái)設(shè)計(jì)構(gòu)建后，需要對(duì)平臺(tái)進(jìn)行防御功能的測(cè)試和驗(yàn)證工作。這里以基本安全加固和DoS攻擊測(cè)試用例對(duì)平臺(tái)的防御功能進(jìn)行驗(yàn)證。

4.1基本安全防護(hù)加固驗(yàn)證

安全加固驗(yàn)證以拒絕外網(wǎng)以ICMP數(shù)據(jù)包訪問(wèn)目標(biāo)服務(wù)器作為測(cè)試用例，通過(guò)CLI命令行中啟用簽名ID號(hào)為2004的簽名，開(kāi)啟ICMPEchoRequest阻攔功能，具體命令如圖9所示。

從圖10中可看出，2004的簽名設(shè)置后，訪問(wèn)目標(biāo)服務(wù)器的ICMP均被IPS阻止，在IPS中實(shí)現(xiàn)了對(duì)內(nèi)網(wǎng)的設(shè)備提供必要的防護(hù)功能。

4.2 DoS入侵攻擊驗(yàn)證

攻擊前需將IPS中基于UDP協(xié)議且ID為4608的DoS相關(guān)簽名全部激活，激活配置命令參考圖9的配置思路，攻擊平臺(tái)使用UDP Flood泛洪工具向目標(biāo)機(jī)發(fā)包。從圖11中的IPS監(jiān)控界面可以看到，攻擊數(shù)據(jù)包逐步增加。當(dāng)警告（Alert）基本信息達(dá)到64次時(shí)，UDP攻擊行為達(dá)到防御開(kāi)啟的閾值，此時(shí)IPS識(shí)別攻擊并自動(dòng)激活防御功能阻塞攻擊者數(shù)據(jù)包。阻塞記錄中的攻擊源IP、目標(biāo)IP及端口號(hào)的信息如圖12所示。同時(shí)實(shí)驗(yàn)平臺(tái)也支持從IPS監(jiān)控界面下載捕獲的攻擊包以進(jìn)一步分析攻擊包中的數(shù)據(jù)信息。

5結(jié)束語(yǔ)

借助分布式虛擬環(huán)境的IPS平臺(tái)，并通過(guò)設(shè)計(jì)合理的實(shí)驗(yàn)流程與步驟，可以有效促進(jìn)學(xué)生對(duì)IPS設(shè)備工作原理的理解，增強(qiáng)實(shí)驗(yàn)興趣，提升IPS實(shí)際設(shè)備的設(shè)計(jì)、實(shí)施部署和監(jiān)控管理能力。思科IPS基于命令行的配置工作大多基本都能在GUI界面下完成，在實(shí)際教學(xué)中我們發(fā)現(xiàn)GUI界面的配置工作雖然直觀、簡(jiǎn)潔，但學(xué)生初次接觸IPS配置時(shí)往往只記住界面的內(nèi)容忽略了各個(gè)配置內(nèi)容內(nèi)在邏輯關(guān)聯(lián)性，從而導(dǎo)致配置時(shí)沒(méi)有整體概念，故在教學(xué)中以命令行配置為先導(dǎo)，讓學(xué)生對(duì)IPS配置流程有整體印象并理解配置內(nèi)在的邏輯性后再介紹GUI界面配置的教學(xué)效果會(huì)更好。

目前IPS實(shí)驗(yàn)平臺(tái)硬件環(huán)境是基于兩臺(tái)聯(lián)想PC來(lái)實(shí)現(xiàn)，該平臺(tái)環(huán)境亦能夠適應(yīng)其他硬件平臺(tái)且有著較高的可移植性，同時(shí)此平臺(tái)也有著極大的可擴(kuò)展性，即在實(shí)驗(yàn)室條件滿足的情況下，可以將路由器、IPS、目標(biāo)服務(wù)器各自放置到獨(dú)立的硬件設(shè)備中，以實(shí)現(xiàn)更大范圍的分布式虛擬環(huán)境的構(gòu)建，這樣實(shí)驗(yàn)的效果將更加逼近企業(yè)實(shí)際環(huán)境中的部署。平臺(tái)中的IPS以混雜模式部署可以完全實(shí)現(xiàn)以往安全實(shí)驗(yàn)室中的IDS所有功能，對(duì)現(xiàn)有的高校IDS實(shí)驗(yàn)項(xiàng)目有著良好的銜換陸。