基于虛擬化技術(shù)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建研究①

陳棟偉 李燕 李光 楊林

(1.66018部隊(duì) 天津 300380;2.石家莊學(xué)院 河北石家莊 050035)

網(wǎng)絡(luò)攻防環(huán)境是組織網(wǎng)絡(luò)空間安全相關(guān)的實(shí)驗(yàn)、訓(xùn)練、測(cè)試等活動(dòng)重要物質(zhì)基礎(chǔ)，真實(shí)、復(fù)雜的網(wǎng)絡(luò)攻防環(huán)境對(duì)提高從業(yè)人員的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御水平，具有十分重要的作用。在缺少公共網(wǎng)絡(luò)靶場(chǎng)環(huán)境的情況下，如何立足現(xiàn)有條件，通過較少投入構(gòu)建符合要求的網(wǎng)絡(luò)攻防小規(guī)模適用性環(huán)境，一直是亟需解決的問題。

利用真實(shí)物理設(shè)備構(gòu)建網(wǎng)絡(luò)攻防環(huán)境，如設(shè)備數(shù)量過少，實(shí)現(xiàn)場(chǎng)景有限，無法真實(shí)模擬實(shí)際網(wǎng)絡(luò)環(huán)境；設(shè)備數(shù)量多則需要投入大量費(fèi)用，設(shè)備利用率不高，難以實(shí)現(xiàn)不同網(wǎng)絡(luò)攻防環(huán)境的靈活切換，還有可能引起設(shè)備的物理損壞[1]。若使用互聯(lián)網(wǎng)環(huán)境進(jìn)行網(wǎng)絡(luò)空間安全相關(guān)的相關(guān)活動(dòng)，一方面滿足實(shí)驗(yàn)要求的目標(biāo)網(wǎng)絡(luò)難以尋找，另一方面直接在互聯(lián)網(wǎng)上進(jìn)行網(wǎng)絡(luò)攻擊測(cè)試與實(shí)驗(yàn)，會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)造成一定危害且容易涉及法律問題。

因此，本文提出一種運(yùn)用虛擬化技術(shù)，以現(xiàn)有設(shè)備和已有計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)，通過少量投入即可構(gòu)建出的小規(guī)模網(wǎng)絡(luò)攻防環(huán)境的構(gòu)建方法，可提供網(wǎng)絡(luò)仿真、靶場(chǎng)環(huán)境模擬、漏洞庫管理、攻防工具管理等功能。

1 運(yùn)用的主要技術(shù)

隨著計(jì)算機(jī)虛擬化技術(shù)的不斷創(chuàng)新和發(fā)展，近年來出現(xiàn)了多種不同的虛擬化技術(shù)，從應(yīng)用的角度講，主要有服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、主機(jī)虛擬化和應(yīng)用虛擬化等多個(gè)方面。

在虛擬軟件方面，主要有VMware、Hyper-V、KVM、XenServer等多種虛擬軟件，通過橫向?qū)Ρ龋琕Mware系列軟件具有更強(qiáng)大的功能和明顯的易用性，豐富的功能和組件完全可以滿足系統(tǒng)構(gòu)建需要[2]。其VMware vSphere產(chǎn)品與VMware WorkStation產(chǎn)品之間可以很方便的實(shí)現(xiàn)交互和遷移，高版本W(wǎng)orkStation甚至可以直接連接到vSphere，保證了整個(gè)環(huán)境構(gòu)設(shè)的兼容性和一致性[3]。在虛擬網(wǎng)絡(luò)方面，可以采取在VMware中運(yùn)行軟路由來的方式來構(gòu)建虛擬化路由的方式實(shí)現(xiàn)，例如使用vSphere Standard switch和Distributed Switch功能，在VMware vSphere Client中建立虛擬交換機(jī)。在虛擬主機(jī)方面，可以運(yùn)用VMware WorkStation來虛擬各種類型、各種操作系統(tǒng)的主機(jī)，能夠最大化模擬真實(shí)的網(wǎng)絡(luò)情況，提供逼真的網(wǎng)絡(luò)攻防環(huán)境[4]。

2 總體架構(gòu)

在確定網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境構(gòu)建的主要技術(shù)路線后，即可對(duì)系統(tǒng)進(jìn)行規(guī)劃和設(shè)計(jì)，主要包括網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的總體功能設(shè)計(jì)和總體結(jié)構(gòu)設(shè)計(jì)。

2.1 總體功能設(shè)計(jì)

網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境主要實(shí)現(xiàn)以下功能：攻防實(shí)驗(yàn)主機(jī)環(huán)境和網(wǎng)絡(luò)環(huán)境，漏洞、補(bǔ)丁庫，網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防護(hù)工具庫，網(wǎng)絡(luò)安全知識(shí)庫等4項(xiàng)內(nèi)容。攻防實(shí)驗(yàn)環(huán)境主要實(shí)現(xiàn)在一個(gè)可控的網(wǎng)絡(luò)環(huán)境中對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境的模擬，盡可能包含主流操作系統(tǒng)和服務(wù)漏洞，并能夠進(jìn)行靈活轉(zhuǎn)換。漏洞和補(bǔ)丁庫主要實(shí)現(xiàn)典型Web應(yīng)用安全漏洞以及相對(duì)應(yīng)的漏洞防護(hù)補(bǔ)丁的搜集、整理和入庫；網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防護(hù)工具庫主要提供主流網(wǎng)絡(luò)攻防軟件和工具，用于攻防演練中供演練人員選用；網(wǎng)絡(luò)安全知識(shí)庫主要是將網(wǎng)絡(luò)攻防教學(xué)資料和視頻、技術(shù)文檔、滲透測(cè)試報(bào)告、漏洞分析報(bào)告等網(wǎng)絡(luò)攻防技術(shù)資料進(jìn)行整理和入庫，便于隨時(shí)查閱[5]。

2.2 總體結(jié)構(gòu)設(shè)計(jì)

實(shí)驗(yàn)環(huán)境在總體結(jié)構(gòu)上可劃分為基礎(chǔ)設(shè)備和虛擬環(huán)境兩個(gè)主要部分。

基礎(chǔ)設(shè)備是部署整個(gè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的硬件基礎(chǔ)，主要包括服務(wù)器、路由器、交換機(jī)、防火墻以及必要的基礎(chǔ)網(wǎng)絡(luò)設(shè)施等?；A(chǔ)設(shè)備既可以按照需求購置新設(shè)備，也可以利用符合條件的非關(guān)鍵業(yè)務(wù)的現(xiàn)有局域網(wǎng)絡(luò)實(shí)施，充分利用現(xiàn)有資源，減少投入。

虛擬環(huán)境是通過虛擬化技術(shù)，使用相應(yīng)的虛擬化軟件，對(duì)基礎(chǔ)設(shè)備中的硬件和軟件資源進(jìn)行管理和控制，構(gòu)建出符合要求的網(wǎng)絡(luò)攻防目標(biāo)環(huán)境，實(shí)現(xiàn)環(huán)境構(gòu)設(shè)的目的。虛擬環(huán)境主要包括服務(wù)器虛擬化、主機(jī)虛擬化、主機(jī)內(nèi)部網(wǎng)絡(luò)虛擬化以及網(wǎng)絡(luò)設(shè)備虛擬化。

服務(wù)器虛擬化是指可在一臺(tái)物理服務(wù)器上同時(shí)運(yùn)行多臺(tái)虛擬服務(wù)器的技術(shù)，從用戶的角度來看，這些虛擬服務(wù)器與真實(shí)的物理服務(wù)器是沒有任何區(qū)別的，并且可以在多個(gè)虛擬服務(wù)器上安裝完全不同的操作系統(tǒng)和完全不同的應(yīng)用軟件，多個(gè)虛擬服務(wù)器之間數(shù)據(jù)隔離，互不影響。主機(jī)虛擬化和服務(wù)器虛擬化基本相同，可在一臺(tái)物理主機(jī)上安裝和運(yùn)行多臺(tái)不同系統(tǒng)的主機(jī)。運(yùn)用網(wǎng)絡(luò)虛擬化技術(shù)，可以實(shí)現(xiàn)主機(jī)內(nèi)部網(wǎng)絡(luò)虛擬化，以及路由器、交換機(jī)、防火墻等設(shè)備的虛擬化，建立實(shí)驗(yàn)環(huán)境所需的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并可以輕松實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)環(huán)境以及網(wǎng)絡(luò)配置的變更[6]。

3 網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的實(shí)現(xiàn)

本環(huán)境利用已有局域網(wǎng)絡(luò)實(shí)現(xiàn)，共設(shè)置路由器（華為AR111-S）1臺(tái)，防火墻（華為Secospace USG6000）1臺(tái)，交換機(jī)（華為Qudiway S5700）1臺(tái)，交換機(jī)（華為S5720-32C-HI-24S）1臺(tái)，虛擬主機(jī)服務(wù)器2臺(tái)，存儲(chǔ)服務(wù)器1臺(tái)，pc機(jī)18臺(tái)，構(gòu)建一個(gè)小規(guī)模的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境。主機(jī)服務(wù)器為聯(lián)想thinkserver TS560，該服務(wù)器采用XeonE3-1220 v6 CPU，8GB內(nèi)存、1TB硬盤的基本配置，由于該服務(wù)器作為虛擬服務(wù)器配置較低，因此將2臺(tái)虛擬主機(jī)服務(wù)器升級(jí)至64GB內(nèi)存、8TB硬盤。存儲(chǔ)服務(wù)器可單獨(dú)設(shè)置一臺(tái)NAS服務(wù)器，選用一臺(tái)小型服務(wù)器或者PC機(jī)搭建即可，硬盤容量根據(jù)需要進(jìn)行配置，本環(huán)境所采用的存儲(chǔ)服務(wù)器為HP ProLiant MicroServer Gen8，該服務(wù)器采用Inter Pentium G2020T CPU，升級(jí)至16G內(nèi)存、32TB硬盤。該環(huán)境可以滿足10余臺(tái)攻擊PC機(jī)同時(shí)實(shí)施網(wǎng)絡(luò)攻擊的實(shí)驗(yàn)要求，其配置方式及物理拓?fù)淙鐖D1所示。

圖1 網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境配置方式及物理拓?fù)?/p>

2臺(tái)虛擬主機(jī)服務(wù)器分別安裝VMware ESXi，形成兩臺(tái)虛擬主機(jī)服務(wù)器，在資源管理上，主要利用vSphere中的vCenter對(duì)環(huán)境中的硬件資源和軟件資源進(jìn)行管理和調(diào)度。在1臺(tái)PC機(jī)中安裝vSphere Client作為管理PC機(jī)，可對(duì)虛擬服務(wù)器和實(shí)體服務(wù)器進(jìn)行監(jiān)控、調(diào)整、創(chuàng)建、遷移等管理操作。存儲(chǔ)服務(wù)器可安裝FreeNAS、NAS4Free、Open-E等操作系統(tǒng)，這些操作系統(tǒng)支持Hyper-V和Xen等虛擬技術(shù)，并通過VMware認(rèn)證，可直接在硬件上安裝，也可以在虛擬機(jī)中安裝，進(jìn)行基本配置后，即可作為NAS服務(wù)器使用。通過在現(xiàn)有PC機(jī)上安裝VMware WorkStation，而后在虛擬機(jī)中運(yùn)行Windows、Linux或Kali等操作系統(tǒng)，作為網(wǎng)絡(luò)攻防實(shí)驗(yàn)的攻擊平臺(tái)，不會(huì)對(duì)物理機(jī)和原有軟硬件環(huán)境產(chǎn)生任何影響[7]。

4 應(yīng)用優(yōu)勢(shì)

4.1 可大幅節(jié)約經(jīng)費(fèi)投入

該網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)硬件要求不高，可完全依托現(xiàn)有辦公局域網(wǎng)絡(luò)或機(jī)房網(wǎng)絡(luò)進(jìn)行建設(shè)，幾乎沒有硬件成本投入。如需要構(gòu)建的虛擬網(wǎng)絡(luò)較為復(fù)雜，在攻擊機(jī)配置較低的情況下，采用加大內(nèi)存的方式就可以解決，一般攻擊PC機(jī)配置16G內(nèi)存已經(jīng)足夠使用。運(yùn)用該環(huán)境構(gòu)建方法可大幅降低建設(shè)成本，基本不影響原有網(wǎng)絡(luò)業(yè)務(wù)和功能，設(shè)備利用率明顯提高。

4.2 可構(gòu)建豐富的目標(biāo)環(huán)境

該環(huán)境使用VMware系列軟件作為網(wǎng)絡(luò)攻防環(huán)境的基礎(chǔ)平臺(tái)，支持虛擬包括Windows、Linux、Apple Mac OS、Solaris、FreeBSD等在內(nèi)的多種類型和版本的操作系統(tǒng)，通過安裝不同時(shí)期和版本的操作系統(tǒng)，可基本囊括所有已知操作系統(tǒng)漏洞，并進(jìn)行有針對(duì)性的實(shí)驗(yàn)；在此基礎(chǔ)上可以安裝網(wǎng)絡(luò)瀏覽器、數(shù)據(jù)庫、文字處理等各類應(yīng)用軟件，進(jìn)行應(yīng)用程序漏洞利用實(shí)驗(yàn)；通過安裝軟路由、虛擬交換機(jī)的方式，靈活配置網(wǎng)絡(luò)環(huán)境，進(jìn)行綜合性網(wǎng)絡(luò)攻防練習(xí)。為保持復(fù)雜性和真實(shí)性，還可以安裝honeyd虛擬蜜罐系統(tǒng)、沙箱和入侵監(jiān)測(cè)系統(tǒng)，進(jìn)一步提高網(wǎng)絡(luò)攻防的難度。

4.3 可快速恢復(fù)環(huán)境狀態(tài)

網(wǎng)絡(luò)攻防環(huán)境構(gòu)建時(shí)，可利用虛擬機(jī)的快照功能，建立多個(gè)不同的狀態(tài)快照，在需要切換狀態(tài)或改變環(huán)境時(shí)，可以利用“恢復(fù)到快照”功能，迅速切換到另一狀態(tài)。在網(wǎng)絡(luò)攻防實(shí)驗(yàn)中，很多實(shí)驗(yàn)操作對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)來說都是具有較大危險(xiǎn)性的，某些操作可對(duì)磁盤的固件，操作系統(tǒng)的引導(dǎo)區(qū)，文件管理功能造成嚴(yán)重影響和破壞。采用虛擬化技術(shù)則不需要擔(dān)心此類問題，可利用虛擬機(jī)的快照功能隨時(shí)恢復(fù)系統(tǒng)。

雖然該系統(tǒng)具備構(gòu)建快捷、靈活多變、功能強(qiáng)大等特點(diǎn)，但仍然存在缺乏統(tǒng)一管理，缺少檢驗(yàn)評(píng)估等問題?？稍诖嘶A(chǔ)上進(jìn)行深入開發(fā)和研究，使用PHP或其他語言構(gòu)建Web服務(wù)器，建立基于B/S架構(gòu)的Web可視化平臺(tái)，將環(huán)境整合成為一個(gè)具備用戶管理、實(shí)驗(yàn)管理、工具下載、效果評(píng)估等多種功能于一身的統(tǒng)一平臺(tái)，進(jìn)一步提高虛擬化網(wǎng)絡(luò)攻防環(huán)境的應(yīng)用功能和使用效益。