范君 韓學(xué)洲 季莉

摘要：IPS部署和實施是網(wǎng)絡(luò)安全設(shè)計中的重要環(huán)節(jié)之一，是計算機(jī)網(wǎng)絡(luò)專業(yè)安全課程實驗中的重要組成部分。以組建IPS分布式虛擬環(huán)境為目標(biāo)，構(gòu)建實驗環(huán)境，設(shè)計實驗拓?fù)渑c參數(shù)，給出完整的實驗設(shè)計與配置流程，并對實驗結(jié)果進(jìn)行驗證與分析。

關(guān)鍵詞：分布式虛擬環(huán)境;IPS;實驗平臺設(shè)計

中圖分類號：了P393.0 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）33-0017-04

1概述

隨著網(wǎng)絡(luò)的應(yīng)用與普及，網(wǎng)絡(luò)安全在網(wǎng)絡(luò)工程技術(shù)實施中所占比重日益加大，入侵檢測系統(tǒng)在企業(yè)網(wǎng)絡(luò)中已經(jīng)成為不可或缺的關(guān)鍵設(shè)備。入侵檢測產(chǎn)品一般部署在各業(yè)務(wù)網(wǎng)段，實現(xiàn)對網(wǎng)段內(nèi)所有設(shè)備訪問的流量進(jìn)行監(jiān)控和保護(hù)。常規(guī)的IDS（入侵檢測）平臺能夠在網(wǎng)絡(luò)攻擊過程中對在線的攻擊行為進(jìn)行識別和報警但缺乏主動防御功能，且IDS對DoS一類攻擊缺乏相應(yīng)防范機(jī)制，因此目前企業(yè)實際環(huán)境中所部署的產(chǎn)品均以主動防御類的IPS（入侵防御）平臺為主。

目前國內(nèi)計算機(jī)網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)的課程體系中均包含有網(wǎng)絡(luò)安全的類課程并建有相關(guān)的安全實驗室，而高?，F(xiàn)有網(wǎng)絡(luò)安全實驗室中的入侵檢測實驗平臺大多以Snort的開源實驗平臺為基礎(chǔ)構(gòu)，部分高校的安全實驗室雖購置一定數(shù)量的IDS/IPS物理設(shè)備，但人手一臺設(shè)備規(guī)模的實驗教學(xué)開展往往因為設(shè)備數(shù)量不足而受限制，同時網(wǎng)絡(luò)攻擊行為往往帶有破壞性，單純依賴物理設(shè)備的實驗環(huán)境雖然可以縮小與商用產(chǎn)品實際應(yīng)用環(huán)境間的差距，但網(wǎng)絡(luò)數(shù)據(jù)環(huán)境的準(zhǔn)備與恢復(fù)工作的煩瑣使得實驗中的準(zhǔn)備與恢復(fù)工作占用過多的教學(xué)時間。

為解決上述問題，在實際課堂教學(xué)過程中，通過基于分布式虛擬化技術(shù)構(gòu)建IPS實驗平臺，使學(xué)生在該平臺中能夠直觀的理解入侵防御產(chǎn)品的工作枠陸和部署流程，觀察基于網(wǎng)絡(luò)環(huán)境下IPS的數(shù)據(jù)流量處理機(jī)制，進(jìn)而在此基礎(chǔ)上理解并掌握真實環(huán)境下IPS系統(tǒng)的規(guī)劃與配置的方法。

2實驗技術(shù)分析

2.1IPS技術(shù)

IPS支持Inline在線部署的方式串聯(lián)于網(wǎng)絡(luò)中，無須依賴交換機(jī)的SPAN端口對流量的鏡像即可對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行實時監(jiān)控，將IDS的單純檢測功能提升為主動防御功能。IPS檢測引擎采用多重檢測機(jī)制，使其能對應(yīng)用層、傳輸層、網(wǎng)絡(luò)及數(shù)據(jù)鏈路層的數(shù)據(jù)流進(jìn)行多層面攻擊行為檢測，對于DoS/DDoS、P2P等攻擊行為可以實現(xiàn)精確檢測并實時阻斷，最終實現(xiàn)網(wǎng)絡(luò)安全綜合化深度防護(hù)。

2.2虛擬化技術(shù)

分布式IPS實驗平臺中的主機(jī)設(shè)備環(huán)境將攻擊設(shè)備和目標(biāo)服務(wù)器借助于WMWare環(huán)境實現(xiàn)，網(wǎng)絡(luò)設(shè)備環(huán)境則借助QEMU平臺的虛擬化技術(shù)實現(xiàn)IPS環(huán)境的仿真，使用Dynamips平臺實現(xiàn)路由器IOS平臺的仿真，最后運(yùn)用GNS3平臺進(jìn)行的完整的拓?fù)湓O(shè)計，同時借助WinPCAP和Wireshark軟件實現(xiàn)實驗過程中數(shù)據(jù)包實時捕獲和分析。依賴于虛擬化技術(shù)使得系統(tǒng)的攻擊和破壞行為均限制于虛擬設(shè)備中，實現(xiàn)了IPS平臺對物理環(huán)境下的設(shè)備依賴和影響的最小化。

3實驗平臺設(shè)計

3.1IPS企業(yè)部署

IPS在企業(yè)環(huán)境中部署一般根據(jù)數(shù)據(jù)區(qū)域的安全級別，對源自外網(wǎng)和內(nèi)網(wǎng)的流量分別進(jìn)行監(jiān)控和防護(hù)。通過部署IPS在服務(wù)器、PC終端等不同的安全區(qū)域或網(wǎng)段，可以實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)訪問行為進(jìn)行控制，并對來自外部的攻擊行為進(jìn)行防范和監(jiān)控以保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的訪問。

3.2 IPS實驗平臺拓?fù)湓O(shè)計

1）物理拓?fù)湓O(shè)計

IPS實驗平臺以兩臺PC為驗證工作平臺，其中PC-01作為綜合平臺承載路由器、IPS、目標(biāo)服務(wù)器等功能，PC-02作為攻擊平臺。

實驗平臺的物理拓?fù)渫ㄟ^交叉線互連兩臺PC的千兆網(wǎng)卡來實現(xiàn)。兩臺PC設(shè)備配置CPU均為Intel T6500Du02.10GHz，其中PC-01內(nèi)存配置均為4G，實驗中所涉及虛擬平臺中的軟硬件類型、版本信息如表1所示。其中Cisco IDS 4235其硬件平臺雖標(biāo)識為IDS，但該平臺的內(nèi)核是具備IPS功能的系統(tǒng)軟件，故該平臺實質(zhì)為IPS。為能夠觀察攻擊后產(chǎn)生的諸如SYN半連接等數(shù)據(jù)信息，在PC-01中以LinuxServerRedHat5.4為目標(biāo)服務(wù)器平臺?？紤]到桌面級操作系統(tǒng)的連接數(shù)有限制，故在PC-02中以Windows 2003 Server為攻擊平臺。

2）邏輯拓?fù)湓O(shè)計

IPS實驗平臺邏輯設(shè)計包含拓?fù)鋱D規(guī)劃、IP規(guī)劃、設(shè)備接口互連規(guī)劃等幾個部分組成。

（1）邏輯拓?fù)鋱D規(guī)劃

邏輯拓?fù)湟?guī)劃設(shè)計如圖1所示，網(wǎng)絡(luò)整體分為內(nèi)網(wǎng)、外網(wǎng)兩個部分，其中目標(biāo)機(jī)位于內(nèi)網(wǎng)，IPS6.0系統(tǒng)以Inline方式位于目標(biāo)機(jī)和路由器之間，實現(xiàn)對來自內(nèi)外網(wǎng)的流量進(jìn)行實時監(jiān)控171，位于外網(wǎng)攻擊設(shè)備則處于路由器的另一側(cè)。

實驗具體規(guī)劃如圖2所示，PC-01機(jī)器內(nèi)部的Cisco 4235IDS設(shè)備運(yùn)行于QEMU環(huán)境中，Cisco 3725路由器運(yùn)行于Dy-namips環(huán)境中，上述兩個環(huán)境均在GNS3平臺下借助PC-01的Loopback軟環(huán)回接口實現(xiàn)互聯(lián)。

IPS的流量監(jiān)控接口及管理端口均需要先行連到GNS3系統(tǒng)自帶的非網(wǎng)管型交換機(jī)后方可實現(xiàn)與其他設(shè)備間的數(shù)據(jù)傳輸，PC-01的GNS3平臺使用了SW1、SW2、SW3三臺非網(wǎng)管設(shè)備連接IPS與其他設(shè)備，具體搭建的拓?fù)鋱D如圖3所示。

（2）網(wǎng)卡IP地址規(guī)劃

IPS平臺中所涉及的各個網(wǎng)卡、接口地址及用途說明信息見表2。

（3）IPS端口互聯(lián)與IP規(guī)劃

基于Cisco IDS 4235平臺的IPS設(shè)備端口、IP地址及互聯(lián)對端設(shè)備的規(guī)劃如表3所示。

在設(shè)備互聯(lián)中，Cisco IDS 4235的Managemento/o端口通過SWl交換機(jī)與PC-01的軟件環(huán)回接口Loopbackl互聯(lián)，該端口提供以GUI界面方式實現(xiàn)IPS設(shè)備配置、驗證及監(jiān)控;Gigo/o端口則直接連接到SW3并與3725路由器的Fao/1接口互聯(lián)以接受外網(wǎng)流量;Gigo/1端口與PC-01的軟件環(huán)回接口Loopback2均接人SW2交換機(jī)實現(xiàn)將流量轉(zhuǎn)發(fā)至內(nèi)網(wǎng)目標(biāo)機(jī)服務(wù)器Red-Hat5.4。

（4）路由器端口互聯(lián)與IP規(guī)劃

路由器基于Cisc03725平臺，其端口、IP及互聯(lián)對端設(shè)備的規(guī)劃如表4所示。

3.3IPS實驗平臺配置步驟

1）IPS平臺初始化配置

步驟1：IPS初始化配置

IPS平臺進(jìn)行配置前需要進(jìn)行必要的初始化設(shè)置，以實現(xiàn)IPS的進(jìn)一步配置和管理工作，初始化配置工作如圖4所示。IPS中管理IP地址的配置對應(yīng)圖4中命令（1），其中194.0.1.11為管理端口登錄IP，194.0.1.1為網(wǎng)段的網(wǎng)關(guān)地址，開啟telnet功能對應(yīng)命令（2）。IPS登錄訪問前需要通過ACL設(shè)定允許能夠登錄地址范圍，此部分的地址可以是多組地址網(wǎng)段，具體配置見命令（3）。

步驟2：IPS接口配置

IPS設(shè)備的物理端口默認(rèn)情況下是未啟用狀態(tài)，需要激活后方可啟用。平臺中端口配置為全雙工，速率1000Mbps。平臺中默認(rèn)所有端口均為雜湊模式（promiscuous），該模式僅僅監(jiān)控實際流量的鏡像，并不能實時阻止攻擊。為能實現(xiàn)對攻擊流量實時阻止，需將實驗中的IPS平臺將端口設(shè)置為在線模式（In-line），圖5中定義了接口名稱為pair-01的邏輯接口并根據(jù)規(guī)劃將物理接口Gigo/o和Gigo/1關(guān)聯(lián)到pair-01實現(xiàn)在線模式。

步驟3：IPS策略配置

IPS使用前需要定義相關(guān)的策略，新定義的策略中應(yīng)該包含簽名（signatures）、事件響應(yīng)規(guī)則和異常檢測三個功能模塊的配置。

以異常檢測配置為參照，思科IPS將網(wǎng)絡(luò)區(qū)域劃分為外部、內(nèi)部和非法三個不同類型，每個區(qū)域可針對了CP或UDP特定端口類型的數(shù)據(jù)單獨(dú)設(shè)置掃描閾值。以來自外部區(qū)域了CP流量的80端口檢測配置為例，圖6中的命令（1）設(shè)定的是外部區(qū)域中IP地址范圍，命令（3）設(shè)定了對源IP地址啟用掃描器（scanner）的參數(shù)閾值為150。

步驟4：IPS分析引擎配置

思科IPS分析引擎用于對流經(jīng)監(jiān)控端口的數(shù)據(jù)流量執(zhí)行數(shù)據(jù)包的分析和報警監(jiān)測工作，Cisco IPS6.0借助其系統(tǒng)軟件中傳感器虛擬化的功能可以實現(xiàn)多個虛擬化的IPS，每個虛擬化的IPS可獨(dú)立監(jiān)控分析不同網(wǎng)段的流量。如圖7命令（1）所示分析引擎中所引用的虛擬化感應(yīng)器為平臺自定義的虛擬傳感器vs-01，該引擎默認(rèn)為非激活狀態(tài)需要通過配置命令（2）激活后啟用。傳感器vs-01中所關(guān)聯(lián)的異常檢測策略ad-01為步驟3中定義，異常檢測操作狀態(tài)模式定義如命令（3）所示。完成上述配置工作后，需將策略先前定義中的規(guī)則rule-01和簽名sig-01關(guān)聯(lián)到vs-01中，最后如圖7命令（4）所示將虛擬傳感器與邏輯接口pair-01進(jìn)行關(guān)聯(lián)。

2）路由器及平臺路由配置

路由器配置根據(jù)表3進(jìn)行常規(guī)配置即可，因攻擊平臺與路由器外網(wǎng)口處于同一網(wǎng)段故無須配置靜態(tài)路由。攻擊設(shè)備網(wǎng)段為192.168.1.0/24，為訪問目標(biāo)機(jī)的所在172.16.1.0/24網(wǎng)段需要在PC-02中配置靜態(tài)路由指向路由器外網(wǎng)口，Windows環(huán)境下配置命令如圖9所示，參數(shù)-p是使所配置的靜態(tài)路由為永久性路由條目，以滿足教學(xué)實驗過程中設(shè)備重新啟動后路由條目不會丟失需求。

3）攻擊與目標(biāo)服務(wù)器平臺初始化配置

攻擊平臺因安裝有各類攻擊軟件故需要保持Win-dows2003 Server服務(wù)器中防火墻默認(rèn)的關(guān)閉狀態(tài)，而對于目標(biāo)服務(wù)器的Linux操作系統(tǒng)則需要在iptables防火墻中添加acl命令以放行ICMP及80端口的tcp和udp數(shù)據(jù)包叫。

4實驗平臺驗證

IPS平臺設(shè)計構(gòu)建后，需要對平臺進(jìn)行防御功能的測試和驗證工作。這里以基本安全加固和DoS攻擊測試用例對平臺的防御功能進(jìn)行驗證。

4.1基本安全防護(hù)加固驗證

安全加固驗證以拒絕外網(wǎng)以ICMP數(shù)據(jù)包訪問目標(biāo)服務(wù)器作為測試用例，通過CLI命令行中啟用簽名ID號為2004的簽名，開啟ICMPEchoRequest阻攔功能，具體命令如圖9所示。

從圖10中可看出，2004的簽名設(shè)置后，訪問目標(biāo)服務(wù)器的ICMP均被IPS阻止，在IPS中實現(xiàn)了對內(nèi)網(wǎng)的設(shè)備提供必要的防護(hù)功能。

4.2 DoS入侵攻擊驗證

攻擊前需將IPS中基于UDP協(xié)議且ID為4608的DoS相關(guān)簽名全部激活，激活配置命令參考圖9的配置思路，攻擊平臺使用UDP Flood泛洪工具向目標(biāo)機(jī)發(fā)包。從圖11中的IPS監(jiān)控界面可以看到，攻擊數(shù)據(jù)包逐步增加。當(dāng)警告（Alert）基本信息達(dá)到64次時，UDP攻擊行為達(dá)到防御開啟的閾值，此時IPS識別攻擊并自動激活防御功能阻塞攻擊者數(shù)據(jù)包。阻塞記錄中的攻擊源IP、目標(biāo)IP及端口號的信息如圖12所示。同時實驗平臺也支持從IPS監(jiān)控界面下載捕獲的攻擊包以進(jìn)一步分析攻擊包中的數(shù)據(jù)信息。

5結(jié)束語

借助分布式虛擬環(huán)境的IPS平臺，并通過設(shè)計合理的實驗流程與步驟，可以有效促進(jìn)學(xué)生對IPS設(shè)備工作原理的理解，增強(qiáng)實驗興趣，提升IPS實際設(shè)備的設(shè)計、實施部署和監(jiān)控管理能力。思科IPS基于命令行的配置工作大多基本都能在GUI界面下完成，在實際教學(xué)中我們發(fā)現(xiàn)GUI界面的配置工作雖然直觀、簡潔，但學(xué)生初次接觸IPS配置時往往只記住界面的內(nèi)容忽略了各個配置內(nèi)容內(nèi)在邏輯關(guān)聯(lián)性，從而導(dǎo)致配置時沒有整體概念，故在教學(xué)中以命令行配置為先導(dǎo)，讓學(xué)生對IPS配置流程有整體印象并理解配置內(nèi)在的邏輯性后再介紹GUI界面配置的教學(xué)效果會更好。

目前IPS實驗平臺硬件環(huán)境是基于兩臺聯(lián)想PC來實現(xiàn)，該平臺環(huán)境亦能夠適應(yīng)其他硬件平臺且有著較高的可移植性，同時此平臺也有著極大的可擴(kuò)展性，即在實驗室條件滿足的情況下，可以將路由器、IPS、目標(biāo)服務(wù)器各自放置到獨(dú)立的硬件設(shè)備中，以實現(xiàn)更大范圍的分布式虛擬環(huán)境的構(gòu)建，這樣實驗的效果將更加逼近企業(yè)實際環(huán)境中的部署。平臺中的IPS以混雜模式部署可以完全實現(xiàn)以往安全實驗室中的IDS所有功能，對現(xiàn)有的高校IDS實驗項目有著良好的銜換陸。