未來安全趨勢基于軟件定義網的移動防御

■曾金燕

未來安全趨勢基于軟件定義網的移動防御

■曾金燕

如今的企業內網，大多是都是建立在靜態體系上的，所以那些內網攻擊框架，工具，也是為靜態網絡度身定做。如Nmap,蠕蟲病毒，DDOS，Cain等。那么如果讓我們的防御體系轉向，化靜為動，會為內網安全帶來什么呢？

軟件定義網絡（SDN）是由美國斯坦福大學clean slate研究組提出的一種新型網絡架構。簡而言之就是，利用SDN技術將控制邏輯（控制器）從網絡交換設備中“分離”了出來。當控制器是可編程的時候，我們就能通過控制器給網絡設備的FLOW TABLE(流表)進行修改，讓路由設備靈活地達到我們的需求。

MTD是MOving Target Defence（移動防御技術）的縮寫。翻譯過來就是基于軟件定義網絡的移動防御技術。移動防御技術（MTD）是相對于傳統的靜態網絡提出的新型防御策略，它的目的在于混淆網絡環境，讓內網情況“亦真亦假”最后達到阻止，拖延內網中惡意流成員攻擊的目的。

我們來看看一個攻擊者(小A)是如何一步步走向MTD布下的迷魂陣吧。

下面分成了三個部分，分別用主機存活性的隨機（A），軟件版本信息的隨機(B)，IP地址的隨機（C）來保護這個SDN控制下的內網。

網絡踩點,掃描

在大多數內網滲透過程中，攻擊的第一步就是研究攻擊面，試圖找出弱點和漏洞，這種踩點就包括識別存在已知漏洞的服務，或是掃描整個網段來找出同一個內網中的存活主機（用來傳播蠕蟲），用基于SDN的移動防御技術可以阻止這種踩點掃描讓攻擊成果顯著減少。

大多是網絡掃描工具都是通過ICMP，TCP或UDP掃描來完成。……