未來安全趨勢基于軟件定義網(wǎng)的移動(dòng)防御

■曾金燕

未來安全趨勢基于軟件定義網(wǎng)的移動(dòng)防御

■曾金燕

如今的企業(yè)內(nèi)網(wǎng)，大多是都是建立在靜態(tài)體系上的，所以那些內(nèi)網(wǎng)攻擊框架，工具，也是為靜態(tài)網(wǎng)絡(luò)度身定做。如Nmap,蠕蟲病毒，DDOS，Cain等。那么如果讓我們的防御體系轉(zhuǎn)向，化靜為動(dòng)，會(huì)為內(nèi)網(wǎng)安全帶來什么呢？

軟件定義網(wǎng)絡(luò)（SDN）是由美國斯坦福大學(xué)clean slate研究組提出的一種新型網(wǎng)絡(luò)架構(gòu)。簡而言之就是，利用SDN技術(shù)將控制邏輯（控制器）從網(wǎng)絡(luò)交換設(shè)備中“分離”了出來。當(dāng)控制器是可編程的時(shí)候，我們就能通過控制器給網(wǎng)絡(luò)設(shè)備的FLOW TABLE(流表)進(jìn)行修改，讓路由設(shè)備靈活地達(dá)到我們的需求。

MTD是MOving Target Defence（移動(dòng)防御技術(shù)）的縮寫。翻譯過來就是基于軟件定義網(wǎng)絡(luò)的移動(dòng)防御技術(shù)。移動(dòng)防御技術(shù)（MTD）是相對于傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)提出的新型防御策略，它的目的在于混淆網(wǎng)絡(luò)環(huán)境，讓內(nèi)網(wǎng)情況“亦真亦假”最后達(dá)到阻止，拖延內(nèi)網(wǎng)中惡意流成員攻擊的目的。

我們來看看一個(gè)攻擊者(小A)是如何一步步走向MTD布下的迷魂陣吧。

下面分成了三個(gè)部分，分別用主機(jī)存活性的隨機(jī)（A），軟件版本信息的隨機(jī)(B)，IP地址的隨機(jī)（C）來保護(hù)這個(gè)SDN控制下的內(nèi)網(wǎng)。

網(wǎng)絡(luò)踩點(diǎn),掃描

在大多數(shù)內(nèi)網(wǎng)滲透過程中，攻擊的第一步就是研究攻擊面，試圖找出弱點(diǎn)和漏洞，這種踩點(diǎn)就包括識別存在已知漏洞的服務(wù)，或是掃描整個(gè)網(wǎng)段來找出同一個(gè)內(nèi)網(wǎng)中的存活主機(jī)（用來傳播蠕蟲），用基于SDN的移動(dòng)防御技術(shù)可以阻止這種踩點(diǎn)掃描讓攻擊成果顯著減少。

大多是網(wǎng)絡(luò)掃描工具都是通過ICMP，TCP或UDP掃描來完成。ICMP包的作用用來確認(rèn)目標(biāo)是否可連接可到達(dá)。TCP,UDP端口掃描能用來識別目標(biāo)上運(yùn)行著哪些服務(wù)

這些掃描行為的應(yīng)答（TCP RST,silent drop或ICMP不可達(dá)）也可能透露哪些服務(wù)被傳輸設(shè)備允許（過濾），另外IP包里面的TTL區(qū)段也被黑客用來識別靶機(jī)和目的地之間的節(jié)點(diǎn)距離。

基于SDN的路由設(shè)備能用來對抗這種網(wǎng)絡(luò)掃描。針對目標(biāo)的非法通信是能夠根據(jù)過濾規(guī)則被SDN設(shè)備發(fā)現(xiàn)并丟棄的，然后SDN設(shè)施還能生成不同的響應(yīng)來迷惑攻擊者，只有當(dāng)通信是符合預(yù)編譯好的過濾策略的時(shí)候，才能暢通無阻地經(jīng)過路由器，要不然，充斥的將是來自SDN的欺騙。

服務(wù)版本和系統(tǒng)指紋掃描

為了能夠在內(nèi)網(wǎng)里面能夠利用一個(gè)已公布的軟件漏洞，小A最開始要做的事情無疑是識別目標(biāo)機(jī)上有哪些缺陷服務(wù)以及他們的版本（當(dāng)然如果小A掌握了通殺的0day那就另當(dāng)別論）。舉個(gè)例子，小A如果想攻擊一個(gè)運(yùn)行這Apache Tomcat 2.x的服務(wù)器，他就會(huì)發(fā)起一個(gè)HTTP GET請求到這個(gè)服務(wù)器的Web端口，然后根據(jù)服務(wù)器的響應(yīng)，他就能判斷服務(wù)器是不是跑著有漏洞的apache組件啦。于是，他執(zhí)行了nmap-A 192.168.1.x。

那么在這種情況下，一旦服務(wù)器的組件版本不可判斷，攻擊面就會(huì)變寬，隨之而來的結(jié)果就是增加攻擊成本和攻擊事件，讓攻擊更容易被（IPS）發(fā)現(xiàn)。

不同的服務(wù)會(huì)有不同的技術(shù)來發(fā)送自己的版本信息，比如HTTP服務(wù)器就會(huì)在HTTP header的HTTP 200 OK響應(yīng)中加入自己的httpd守護(hù)進(jìn)程版本。運(yùn)用基于SDN的MTD技術(shù)，我們能讓SDN設(shè)備防止真實(shí)版本信息的泄露，并且替換其成一個(gè)虛假的version信息發(fā)送給攻擊者。

除此之外，還需要提及的是，TCP,UDP和ICMP的包也總會(huì)泄露對攻擊產(chǎn)生幫助作用的信息。雖然現(xiàn)代操作系統(tǒng)已經(jīng)有產(chǎn)生隨機(jī)響應(yīng)的機(jī)制，但TCP序列號以及針對某些包的TCP ICMP UDP響應(yīng)還是能被識別出目標(biāo)運(yùn)行的是什么操作系統(tǒng)。比如說一個(gè)linux的系統(tǒng)的隨機(jī)TCP序列碼的生成方式是和其他是系統(tǒng)不一樣的。

隨機(jī)主機(jī)變換（RHM）

其實(shí)從上文并不難發(fā)現(xiàn)，隨機(jī)化是移動(dòng)防御技術(shù)一個(gè)主要策略和手段，這是由于如果目標(biāo)的IP在一直變化。或者說目標(biāo)和攻擊者之間的網(wǎng)絡(luò)策略一直在發(fā)生改變，那么攻擊難度實(shí)際上是顯著上升的。所以，我們完全可以把這種隨機(jī)化上升到IP地址這個(gè)層面來看，在這個(gè)層面上進(jìn)行了MTD保護(hù)的網(wǎng)絡(luò)，是可以很好抵御蠕蟲攻擊和DDOS攻擊的。

基于openflow的隨機(jī)主機(jī)變換（OpenFlow Random Host Mutation)下面就簡稱OF-RHM。

OF-RHM機(jī)制說明白一點(diǎn)就是讓后端主機(jī)的IP看起來是隨機(jī)變化的，這個(gè)隨機(jī)包括了地址隨機(jī)和變換間隔隨機(jī)兩個(gè)方面。在這樣的網(wǎng)絡(luò)中，那些假定了內(nèi)網(wǎng)的IP在一段有效時(shí)間（比如一個(gè)月）內(nèi)是靜態(tài)的攻擊程序（絕大多數(shù)蠕蟲病毒，DDOS攻擊）都會(huì)失去作用。

我們來看看SDN實(shí)現(xiàn)ip隨機(jī)的業(yè)務(wù)邏輯是怎樣的

OF-RHM需要兩個(gè)客觀條件：

一，IP變換對于后端主機(jī)應(yīng)該是透明的，也就是說，OF-RHM應(yīng)該讓后端的真實(shí)IP（rIP）保持不變，但是主機(jī)之間的聯(lián)系使用的應(yīng)該是存活期很短的虛擬IP（vIP），vIP在一段間隔時(shí)間內(nèi)就應(yīng)該變化一次。由于由vIP->rIP的轉(zhuǎn)換是在SDN控制器所操縱的流表內(nèi)進(jìn)行的，而流表是完全有能力建立這種對應(yīng)關(guān)系，所以完全不用擔(dān)心內(nèi)網(wǎng)主機(jī)之間不能通信這個(gè)問題。

二，這種IP變換應(yīng)具有高不可預(yù)測性以及頻率，讓攻擊者在摸清網(wǎng)絡(luò)環(huán)境之前就發(fā)生一次變換，使攻擊者始終處于迷惑狀態(tài)。

總而言之，用SDN構(gòu)建出的網(wǎng)絡(luò)是靈活的，目前華為等大廠商也逐漸在高端路線上考慮SDN路由器。盡管SDN路由器動(dòng)輒上千，但是對于大型企業(yè)來說，安全和功能強(qiáng)大顯然更加重要。

傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)已經(jīng)走過從ARPNET到INTERNET走過了屬于它的幾十年，在絕大多數(shù)攻擊模式都是針對靜態(tài)內(nèi)網(wǎng)的今天，擁有創(chuàng)新思維，化靜為動(dòng)地去思考如何保護(hù)內(nèi)網(wǎng)顯得尤為重要和關(guān)鍵。雖然SDN和MTD又都是走在前面的美國人所提出的，但從跟上腳步，也不失一種智慧，中國人的智慧。