◆赖河蒗
基于服务器的网络安全实训平台构建与分析
◆赖河蒗
(广东司法警官职业学院 广东 510520)
本文提出基于物理服务器的实训平台构建方法,在实验室现有提供的硬件基础上,针对网络安全相关专业的教学与研究,构建了具有灵活性和分组协作性的实验环境,解决了以前教学实验环境的虚拟性、统一性分配以及资源有限性等问题。通过分析,该平台可以有效提高教学的效果,激发学生的潜力,并能为相关科研提供真实环境平台。
服务器; 网络安全; 实训平台; 构建; 实验环境
随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分,但网络信息的飞速发展在推动社会发展的同时,也产生了许多网络信息安全问题。从防范的角度考虑,在影响计算机安全的诸多因素中,人的因素还是第一位的。因此,所有计算机相关人员,包括用户、系统管理员以及超级管理员,都需要努力提高对计算机网络安全的认识。然而,在网络信息安全方面,专业技术人员整体能力相对较低,人才培养与社会需求脱节,技能型人才严重紧缺。在即将走向社会的大学生群体中,理论强、实操弱、经验不足等情况尤其严重。加强网络安全人才的培养已经刻不容缓,推动计算机网络信息安全教学发展,帮助学习者切实把握其中的知识内涵及理论与实践水平,是高校教学的重任,也是社会的迫切需求。
当前大部分教学实验环境的构建是基于虚拟机平台[1-4],如文献[1-4],或云计算平台,如文献[5-7]。为了增强教学实验的真实性和灵活性等,尤其对于网络安全相关的专业来说,有针对性地构建一个基于物理服务器的网络安全实训平台,可以提高教学效果,促进学生的技能发展。此外,教师可以在平台上进行相关的教学以及课题研究,具有较高的实用性。
(1)网络信息安全涉及的内容涵盖Web浸透、系统漏洞挖掘利用、密码分析与破解、逆向分析、安全编程等等。虚拟机环境或云计算环境通常是统一部署,分配的资源有限,在网络安全实训的教学当中,可能会缺乏一定的灵活性和真实性。
(2)实验的所用环境、直观性、灵活性、操作方便性、响应速度、分组对抗竞比等均是影响实验最终效果的重要因素。
(3)实训的内容和教学设计往往要求贴近学生的实际能力水平。
(4)教师可以方便灵活地对学生进行分组,学生既可以自主学习又可以完成课堂实验任务,形成组内相互合作、组间对抗竞比。
(5)机器性能方面要稳定,响应速度快,所用系统环境和网络结构要尽可能简单、真实,包括系统环境,命令操作界面,对抗环境以及最终的实训效果。
(6)构建的平台需要有较强的承载能力,满足搭载更多数量和更高复杂度的实验环境的要求,具有较好的兼容性。各种网络信息安全相关的教学任务可以被轻松地部署、管理和维护。
(7)通过引导学生积极参与实训平台的构建,使其掌握或了解网络安全方面重要的相关知识。既可以理论联系实践,让实验结果更直接明了,教学效果更显著,又可以为学生的毕业论文以及教师的教学与科研提供真实的实训平台。
机房已购置足够相关设备,包括主机、服务器、防火墙、入侵检测系统、应用防护系统、路由器以及交换机等重要网络硬件设备。机器数量、配置、性能等满足平台构建需求。主机、服务器安装了系统还原,开机运行在影子模式,对操作系统和软件基本不会有影响。构建以多个小组为单位的攻防环境,能营造小团队之间相互隔离、相互竞争、相互促进的效果。
基于物理服务器的实训平台拓扑结构如图1。
图1 基于物理服务器的实训平台拓扑结构图
该实训平台共有9个小组。每个小组的实验环境、操作系统及参数配置均相同,主要涉及设备包括有服务器1台,用户主机6台,交换机1台,路由器1台,防火墙及相关安全检测设备(图中略)。其中服务器用于部署web网站以及网络安全相关的应用,交换机用于连接6台用户主机和服务器,路由器用于连接组外的总线。每个组的服务器和用户主机处于同一个网段,部署方案为:第一个小组处于192.168.10.0/24网段,第二小组处于192.168.20.0/24网段,……依次类推。各个组汇聚到总线,总线处于172.16.0.0/16网段,第一个小组的路由器出口地址是172.16.0.1/16,第二小组的路由器出口地址是172.16.0.2/16,……依次类推。
在该结构中,每个小组以服务器为中心,把相关教学实验部署在服务器上,通过在服务器和主机安装所用到的攻防工具以及相关教学案例,小组成员之间可以相互协作。
例如在SQL注入和Cookies注入的教学实验中,利用服务器提供Web服务,并作为靶机,用户主机端则作为攻击方。每组服务器可以设置不同的Web网站服务,并设置不同的后台管理及密码,在攻击实验中显得直接、灵活。在DDos攻击中,通过对物理机服务器的洪水攻击,使服务器从响应速度变慢到死机,可以让实验更直观。在Windows密码破解以及IPC攻击与远程控制的实验中,用户主机通过扫描得到了服务器管理员账号和密码后,可以接着建立IPC$连接,开启telnet服务,上传和运行程序,进行远程注册表配置,建立一个隐藏的管理员用户,实现对服务器的完全控制。整个实验过程清晰明了,并可以分组隔离操控,组内成员需要充分协作,既提供了真实的入侵浸透环境,又提供了团队相互磨合与切磋的机会。在防火墙策略配置实验中,充分利用实验室实训平台中已有设备与架构,灵活地实现内外网之间进出规则的配置,对某一个IP地址或某IP地址范围(IP地址段)的允许访问或拒绝访问、流量控制以及虚拟专用网VPN的搭建等。
实例:利用物理服务器的平台进行手工SQL注入实验的竞比。
教师把存在SQL漏洞的成绩查询系统发布在各个组的服务器上,以服务器作为靶机,用户主机作为攻击机器。要求每个组以最快的速度通过手工注入的方式获取网站的管理员登录密码,并以管理员身份登录后修改自己的成绩。各个组之间是相互隔离,互不影响,组间是竞比的。组内是相互合作的,每个组的成员可以分工合作,相互配合,争取在最短的时间内完成任务。为了简化实验流程,假设该成绩查询系统的表名是admin,列名分别是username和password,管理员账号是Administrator,管理员登录密码的位数是12位,以上信息公开给各组成员。管理员登录的具体密码则需要每个组成员通过手工SQL注入的方法获取。每组有6个组员,如果某小组A的成员相互配合相互协助,通过分工,每个组员只需猜测其中2位的密码,在A组的所有组员都猜测完成之后进行汇总,将获得管理员密码。但是,如果某小组B缺乏合作,组内的每个成员都只是单独自己完成,那么每个组员都需要猜测12位的密码。在不考虑其它因素的情况下,组B花费的时间是组A的6倍。
在该手工SQL注入的实验中,学生可用以下步骤:
(1)SQL注入一般存在于形如http://xxxx.xxxx.xxxx.xxxx/ index.asp?p=YY的网站中。假设第一个小组的服务器IP为192.168.10.254,用户主机的IP分别是192.168.10.101~192.168.10.106。部署成绩查询系统,令学号为1号的学生查询个人成绩的访问网址是http:// 192.168.10.254/Index.asp? xuehao=1,学号为2号的学生查询个人成绩的访问网址是http://192.168.10.254/ Index.asp?xuehao=2,……依次类推。
(2)在(1)的访问网址后面追加and 1=1,访问该网址,若与访问原地址得到的结果相同,则将and 1=1更改为追加and 1=2,并发现访问该网址与访问原地址得到的结果不同了,则可SQL注入。
(3)由于数据库的表名、列名以及管理员的账号已告知学生,则现只需进行管理员密码的猜测,以第一组的组员进行注入为例,其它组的类同。那么访问网址为:
http://192.168.10.254/Index.asp?xuehao=? and (select top 1 asc (mid(password,?,1)) from admin)>?
上面网址中第二代表学号,第三个代表密码password从左边开始的第位,第四个代表ASCII码对应的值。先查询管理员密码的第位对应ASCII码的值是多少,再根据ASCII码的值,对照ASCII码表查出是什么字符。由于ASCII码对应的在0~126这个范围之内,所以在假设第四个时也在0~126的范围内假设就可以。
(4)利用得到的管理员密码,以及相关已知信息,登录网站管理后台,修改相应信息,完全掌控该网站。
在利用物理服务器平台进行网络信息安全实训的过程中,各组之间是隔离的,教学安排也是灵活的。相比实验室以前的教学实验环境,该平台让实验在真实环境中得到展示,实验操作速度更快,相关操作更易于在实践中应用,教学知识点更易于学生掌握,更有利于让学生体验比赛的过程,更能充分发挥学生的积极性和主动性。学生在实训过程中可以分工合作,在更短时间内实现攻击入侵行为,激发了学生的兴趣和斗志。此外,对教师来说,除了可以使得教学设计更加灵活、丰富,也能更好地提升自身在网络安全方面的水平与科研能力。
针对网络安全专业实训,在实验室的其它平台上进行了教学实验的比较,难以有以上效果。虚拟机平台或云平台通常是统一管理,统一部署,统一操作,资源有限,速度相对较慢,缺乏让学生分工合作,缺乏隔离,教学内容和相关实验难以在真实环境中操作。
本文重点围绕如何更适合教学与研究,建立了一个针对网络安全相关专业的物理服务器实训平台,为教学提供了真实的实验环境。通过分析可知,该平台可以让教学取得更好的效果,也为相关研究提供物理环境支持。
[1]罗婕,宁天桥.基于虚拟化技术建设高效绿色计算机实验教学平台[J].计算机与现代化,2013.
[2]董焱.基于虚拟化技术的实验教学中心环境构建[J].实验技术与管理,2011.
[3]姜莉.基于虚拟机的计算机公共机房多系统实验环境的构建[J].中国现代教育装备, 2009.
[4]宋蕾.虚拟技术在高校计算机机房实验室中的应用[J].实验室研究与探索,2013.
[5]董尚燕.应用云计算构建高校计算机课程实验教学环境[J].电脑知识与技术,2016.
[6]朱文普.基于云平台下的计算机实验室建设与管理[J]. 数字技术与应用,2016.
[7]陈钦荣.基于云计算的虚拟计算机实验室构建与研究[J].网络空间安全,2015.