未来安全趋势基于软件定义网的移动防御

■曾金燕

未来安全趋势基于软件定义网的移动防御

■曾金燕

如今的企业内网，大多是都是建立在静态体系上的，所以那些内网攻击框架，工具，也是为静态网络度身定做。如Nmap,蠕虫病毒，DDOS，Cain等。那么如果让我们的防御体系转向，化静为动，会为内网安全带来什么呢？

软件定义网络（SDN）是由美国斯坦福大学clean slate研究组提出的一种新型网络架构。简而言之就是，利用SDN技术将控制逻辑（控制器）从网络交换设备中“分离”了出来。当控制器是可编程的时候，我们就能通过控制器给网络设备的FLOW TABLE(流表)进行修改，让路由设备灵活地达到我们的需求。

MTD是MOving Target Defence（移动防御技术）的缩写。翻译过来就是基于软件定义网络的移动防御技术。移动防御技术（MTD）是相对于传统的静态网络提出的新型防御策略，它的目的在于混淆网络环境，让内网情况“亦真亦假”最后达到阻止，拖延内网中恶意流成员攻击的目的。

我们来看看一个攻击者(小A)是如何一步步走向MTD布下的迷魂阵吧。

下面分成了三个部分，分别用主机存活性的随机（A），软件版本信息的随机(B)，IP地址的随机（C）来保护这个SDN控制下的内网。

网络踩点,扫描

在大多数内网渗透过程中，攻击的第一步就是研究攻击面，试图找出弱点和漏洞，这种踩点就包括识别存在已知漏洞的服务，或是扫描整个网段来找出同一个内网中的存活主机（用来传播蠕虫），用基于SDN的移动防御技术可以阻止这种踩点扫描让攻击成果显著减少。

大多是网络扫描工具都是通过ICMP，TCP或UDP扫描来完成。ICMP包的作用用来确认目标是否可连接可到达。TCP,UDP端口扫描能用来识别目标上运行着哪些服务

这些扫描行为的应答（TCP RST,silent drop或ICMP不可达）也可能透露哪些服务被传输设备允许（过滤），另外IP包里面的TTL区段也被黑客用来识别靶机和目的地之间的节点距离。

基于SDN的路由设备能用来对抗这种网络扫描。针对目标的非法通信是能够根据过滤规则被SDN设备发现并丢弃的，然后SDN设施还能生成不同的响应来迷惑攻击者，只有当通信是符合预编译好的过滤策略的时候，才能畅通无阻地经过路由器，要不然，充斥的将是来自SDN的欺骗。

服务版本和系统指纹扫描

为了能够在内网里面能够利用一个已公布的软件漏洞，小A最开始要做的事情无疑是识别目标机上有哪些缺陷服务以及他们的版本（当然如果小A掌握了通杀的0day那就另当别论）。举个例子，小A如果想攻击一个运行这Apache Tomcat 2.x的服务器，他就会发起一个HTTP GET请求到这个服务器的Web端口，然后根据服务器的响应，他就能判断服务器是不是跑着有漏洞的apache组件啦。于是，他执行了nmap-A 192.168.1.x。

那么在这种情况下，一旦服务器的组件版本不可判断，攻击面就会变宽，随之而来的结果就是增加攻击成本和攻击事件，让攻击更容易被（IPS）发现。

不同的服务会有不同的技术来发送自己的版本信息，比如HTTP服务器就会在HTTP header的HTTP 200 OK响应中加入自己的httpd守护进程版本。运用基于SDN的MTD技术，我们能让SDN设备防止真实版本信息的泄露，并且替换其成一个虚假的version信息发送给攻击者。

除此之外，还需要提及的是，TCP,UDP和ICMP的包也总会泄露对攻击产生帮助作用的信息。虽然现代操作系统已经有产生随机响应的机制，但TCP序列号以及针对某些包的TCP ICMP UDP响应还是能被识别出目标运行的是什么操作系统。比如说一个linux的系统的随机TCP序列码的生成方式是和其他是系统不一样的。

随机主机变换（RHM）

其实从上文并不难发现，随机化是移动防御技术一个主要策略和手段，这是由于如果目标的IP在一直变化。或者说目标和攻击者之间的网络策略一直在发生改变，那么攻击难度实际上是显著上升的。所以，我们完全可以把这种随机化上升到IP地址这个层面来看，在这个层面上进行了MTD保护的网络，是可以很好抵御蠕虫攻击和DDOS攻击的。

基于openflow的随机主机变换（OpenFlow Random Host Mutation)下面就简称OF-RHM。

OF-RHM机制说明白一点就是让后端主机的IP看起来是随机变化的，这个随机包括了地址随机和变换间隔随机两个方面。在这样的网络中，那些假定了内网的IP在一段有效时间（比如一个月）内是静态的攻击程序（绝大多数蠕虫病毒，DDOS攻击）都会失去作用。

我们来看看SDN实现ip随机的业务逻辑是怎样的

OF-RHM需要两个客观条件：

一，IP变换对于后端主机应该是透明的，也就是说，OF-RHM应该让后端的真实IP（rIP）保持不变，但是主机之间的联系使用的应该是存活期很短的虚拟IP（vIP），vIP在一段间隔时间内就应该变化一次。由于由vIP->rIP的转换是在SDN控制器所操纵的流表内进行的，而流表是完全有能力建立这种对应关系，所以完全不用担心内网主机之间不能通信这个问题。

二，这种IP变换应具有高不可预测性以及频率，让攻击者在摸清网络环境之前就发生一次变换，使攻击者始终处于迷惑状态。

总而言之，用SDN构建出的网络是灵活的，目前华为等大厂商也逐渐在高端路线上考虑SDN路由器。尽管SDN路由器动辄上千，但是对于大型企业来说，安全和功能强大显然更加重要。

传统的静态网络已经走过从ARPNET到INTERNET走过了属于它的几十年，在绝大多数攻击模式都是针对静态内网的今天，拥有创新思维，化静为动地去思考如何保护内网显得尤为重要和关键。虽然SDN和MTD又都是走在前面的美国人所提出的，但从跟上脚步，也不失一种智慧，中国人的智慧。