《网络攻防实验教学云平台v1.1》由会员分享,可在线阅读,更多相关《网络攻防实验教学云平台v1.1(8页珍藏版)》请在金锄头文库上搜索。
1、成都国腾实业集团成都国腾实业集团“十三五十三五”项目建议书项目建议书项目名称:基于云平台的网络攻防实验教学系统项目名称:基于云平台的网络攻防实验教学系统网络攻防环境难以构建和管理是一个普遍性的难题。信息安全实验教学具有很强的实践性。由于互联网庞大的规模、复杂的结构使其无法在实验室里搭建,为实验教学而设置网络安全漏洞会产生巨大风险,在真实的网络中开展网络攻击、病毒注入等实验,将酿成灾难性后果。因此,信息安全类课程的实验教学难以在真实的网络环境中完成。云计算为信息安全实验教学的开展提供了新的思路,即利用虚拟仿真技术开展信息安全的实验教学。一、一、网络攻防实验教学云平台概述网络攻防实验教学云平台概述
2、1.11.1 背景背景基于云平台的网络攻防实验教学系统(以下简称实验平台)遵循信息安全类专业指导性专业规范和电子科大成都学院信息安全专业培养方案定义的知识体系及实践能力要求,拟基于 OpenStack 云平台开源技术实施网络攻防实验教学系统开发和网络攻防实验教学内容建设;实验平台的课程体系包括10 个实验模块,近 100 个实验类别,在开源软件 OpenStack 和相应组件的基础上,利用虚拟化技术,可以在实验室中构建出虚拟攻击机、虚拟靶机和多样化的网络结构开展攻防实验。基于云计算的网络攻防实验教学系统可以显著降低管理和实验成本,提高学习效率;实验平台拟首先满足电子科大成都学院信息安全专业学生
3、专业实践课的教学需求,经过本校应用验证后再迁移到云服务商平台上为更多学生提供网络攻防实训服务。1.21.2 前景前景据调查全国设有信息安全专业的高等院校 77 所(2014 年数据) ,其在校学生安平均 1200 人/校(如成都信息工程大学信息安全工程学院现有学生 1500 人)计算共计 92400 人,加上社会其他行业的需求,估计总数在十五万人左右。因此,本系统有一定的市场前景。二、基于云平台的网络攻防实验教学系统需求分析二、基于云平台的网络攻防实验教学系统需求分析随着中央成立网络安全与信息化领导小组以来,网络安全成为当前技术研究热点,网络安全课程和网络安全竞赛也得到了更多的重视。我们在网络
4、安全课程的教学和网络安全竞赛的训练过程中,做了大量网络攻防方面的实验,比较深切地感受到现有的网络攻防实验手段的不足。网络攻防相关实验往往都带有一定的破坏性,在真实网络环境里进行攻防实验还会遇到法律授权方面的麻烦,一般都是通过安装 VMware、Virtualbox 等模拟软件构建虚拟网络环境去进行攻防实验,为此,我们借助云计算技术来构建网络攻防实验教学系统。云计算技术可以灵活地按需提供虚拟化、并行计算、网络存储和负载均衡等服务,因此如果能把网络攻防所需的各种工具软件、攻击机和靶机镜像、操作指南等文档资料统一安放到云平台中,则可以极大地改进管理工作。例如,可以省去本地安装配置工作,只要有网络随时
5、能用注册账号登录到云平台上做有操作权限的网络攻防实验;所有的技术文档、操作指南等统一存储在云平台,非常容易检索;在攻防实验平台的存储空间、CPU 性能出现瓶颈时,也非常容易进行扩充升级。这种基于云计算的网络攻防系统可以著降低管理和实验成本,提高学习效率。三、基于三、基于 OpenStackOpenStack 云平台的设计和实现云平台的设计和实现OpenStack 是一个美国国家航空航天局和 RackSpace 合作研发的,旨在为公共及私有云的建设与管理提供软件的开源项目。OpenStack 正处于高速发展和推广应用过程中,目前已经是各种公有云和私有云建设的主流方案。3.13.1 实验平台硬件结
6、构实验平台硬件结构本文设计的基于云平台的网络攻防实验教学系统拓扑结构如图 1 所示。其中应用服务器分别连接到交换机、第一网络云存储和第二网络云存储。第一网络云存储通过防火墙连接到交换机。防火墙是可选的网络防护设备,可以用其他网络防护设备替代,或者直接连接交换机。使用防火墙是为了配置多样化的网络防护环境。第一网络云存储中保存着具有操作系统漏洞和应用软件漏洞的操作系统镜像文件,可以用来创建 Windows 或 Linux 虚拟靶机实例。第二网络云存储直接连接到交换机,保存着已安装攻击工具的操作系统镜像文件,利用这些镜像文件可以创建出 Windows 或 Linux 虚拟攻击机实例。互联网用户通过
7、VPN 网关、局域网用户通过交换机连接到该云平台。图 1:实验平台的硬件结构3.23.2 实验平台系统架构实验平台系统架构实验平台是在云计算开源项目 OpenStack 基础上构建(见图 2) 。构建云平台主要用到 OpenStack 以下模块的服务:(1) Nova:调派资源实例化虚拟机;(2) Glance:提供虚拟机实例化时需要的镜像;(3) Network:提供网络连接;(4) Cinder:提供外接的块存储服务;(5) Ceilometer:从以上与虚拟机相关的几个服务中收集数据用于统计、监控、计费、报警等;(6) Swift:可以为 Glance 提供镜像的存储服务,可以为 Cin
8、der 提供卷的备份服务。图 2:实验平台系统架构控制服务器和服务器节点安装 Ubuntu 操作系统;其中控制服务器还需安装Network 模块,服务器节点安装 Nova 和 Swift,其他几个模块也在平台中得到了应用。实验平台利用控制服务器管理各个服务器节点,根据第一网络云存储和第二网络云存储中的镜像,建立虚拟靶机和虚拟攻击机。虚拟靶机和虚拟攻击机之间可以通过虚拟网络连接,也可以通过网络安全设备和网络连接设备连接,以此构建出多样化的网络环境。3.33.3 实验平台维护和实验过程实验平台维护和实验过程实验平台维护和实验过程如图 3 所示。图 3:实验平台维护和实验过程实验平台初始化时,管理员
9、维护账号信息库,包括用户名、口令和可以操作的实验类别,为账号在第一和第二网络云存储中分配磁盘空间,指定用户可以操作的实验类别。管理员维护第一网络云存储中的虚拟靶机 Windows 和 Linux 操作系统镜像文件库,维护第二网络云存储中的虚拟攻击机 Windows 和 Linux 操作系统镜像文件库,同时维护在虚拟攻击机实例上使用的攻击工具和虚拟靶机实例上使用的漏洞库资源。局域网用户提供正确的用户名和口令后直接连接到该虚拟仿真系统;互联网用户通过 VPN 建立与实验平台的连接。当局域网用户和互联网用户连接到该平台后,可以使用管理员预先为其分配好的位于第一网络云存储和第二网络云存储上的磁盘空间。
10、用户根据实验类别,选择虚拟攻击机和虚拟靶机的镜像文件,在属于自己的磁盘空间内创建虚拟攻击机实例和虚拟靶机实例,配置虚拟攻击机实例和虚拟靶机实例的 IP 地址、子网掩码、默认网关和 DNS 服务连接,然后登录到自己创建的虚拟靶机实例内,利用第一网络云存储上提供的具有安全漏洞的软件配置虚拟靶机实例,使其具备被攻击的条件。用户登录到自己创建的虚拟攻击机实例内,利用第二网络云存储上提供的攻击工具配置虚拟攻击机实例使其具备攻击能力。用户可以自行在虚拟攻击机实例上安装其他攻击工具,在虚拟靶机实例上安装其他防护工具。为了真实地模拟复杂的网络环境,用户可以为虚拟靶机实例配置防火墙,将虚拟靶机实例纳入防火墙的安
11、全防护范围内。用户登录到虚拟攻击机防火墙的安全防护范围内和虚拟攻击机实例内,利用所配置的攻击工具对虚拟靶机实例发动网络攻击。监控中心模块捕获流经虚拟攻击机实例和虚拟靶机实例的网络数据包,保存虚拟攻击机实例和虚拟靶机实例的操作系统日志和相关软件工具的日志。网络用户可随时下载由监控中心模块捕获的网络数据包,以分析实验结果。3.43.4 攻击机和靶机的配置攻击机和靶机的配置攻击机配置:首先制作基于 Windows 操作系统的攻击机镜像,在系统中封装大量网络安全渗透测试用工具,包括各种扫描工具、嗅探工具、加解密工具、远程渗透攻击测试工具、动态调试工具、静态反编译工具等等。其中最常见最有用的一些工具包括
12、 Metasploit 开源安全漏洞测试工具、Nmap 扫描器、Wireshark 嗅探器、burpsuite 集成 Web 渗透测试工具集、sqlmap 注入工具、Ollydbg 动态调试器、IDA 反编译工具等。靶机配置:靶机配置不是简单安装好操作系统和软件就行了,还经常需要在靶机上挖掘出或人为生成需要的某种安全漏洞以供攻击机做网络攻击实验。首先要制作一些基于 Windows 2000、Windows XP、Windows 2003、Windows7 等操作系统的镜像,都是没有打足补丁留下系统漏洞用于系统攻击测试,然后在一些 Windows 镜像中创建各种基于 ASP、ASP.NET、PH
13、P 和 JSP 技术的有已知漏洞的 Web 网站用于 Web 渗透测试;另外,还可以下载了一些开源免费靶机资源,例如 OWASP 组织发布的一些靶机镜像资源。四、网络攻防实验教学体系四、网络攻防实验教学体系建设一个高水平的网络攻防实验室,使其成为计算机网络与安全技术实验基地和人才培养基地,有利于促进网络安全的理论和实践教学,提升学生的实践创新能力。基于云平台的网络攻防实验教学系统以“有线网络攻防、病毒攻防、网络渗透攻击、网络安全加固、个人防火墙开发、动态网站安全、电子商务安全、无线网络攻击、虚拟路由器模拟和 Internet 协议分析”个信息安全与网络攻防实验模块,近个实验题目(见图 4)组成了网络攻防实验教学体系,可为多门信息安全专业课程开设实验。图 4:网络攻防实验教学体系五、研究结论五、研究结论用基于 Openstack 技术构建的云平台可以显著提高网络安全,尤其是网络攻防操作的学习效率,可以作为课程学习及竞赛培训的有益助手。当然,目前云平台上的网络攻防实验教学系统远不够成熟,存在标准不统一、界面不够友好、制作繁琐,很难支持大规模应用等缺点,有待技术的进一步发展和更多的开发工作。
