园区网络安全架构及威胁分析

何 星,张 霞

(莆田学院信息工程学院, 福建 莆田 351100)

斯诺登事件发生后,网络安全问题引发社会各界广泛关注.近年来,党政机关、事业单位域名被劫持、网站被攻击、内容被篡改等事件屡见不鲜.国家互联网应急中心提供的监测数据显示,2019年上半年,CNCERT新增捕获计算机恶意程序样本数量约3 200万个,我国境内感染计算机恶意程序的主机数量约240万台,以移动互联网为载体的虚假贷款APP或网站达1.5万个,在此类虚假贷款APP或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户数量超过90万.2017年5月12日起爆发的WannaCry勒索蠕虫全球攻击事件,对国内政企机构的影响巨大,暴露出众多机构网络存在安全问题,研究网络安全问题具有重要的实际意义.本文主要从园区网络安全架构和网络安全分析两个方面展开:网络架构采用分层结构,接入层部署动态地址解析协议(address resolution protocol, ARP)检测、端口安全以及通过编程语言实现威胁情报推送等安全技术;安全分析主要阐述内网ARP攻击和操作系统漏洞等安全威胁,以及园区网络遭到入侵之后的防范措施,并结合时代发展需求,拟定科学合理的安全防护对策.

1 网络仿真平台

目前网络仿真主要使用虚拟机、GNS3、EVE-ng等.虚拟机模拟各种操作系统设备,比如Windows、Linux、MacOS等,结合硬件成本来看,使用虚拟机需要消耗大量的物理主机资源,但是并不能很好地模拟出网中的效果,所以使用虚拟机不是很理想的解决方案;GNS3虚拟仿真环境可以模拟很多的网络设备[1],但不能仿真各种终端设备,不能用于搭建网络安全实战平台;EVE-ng可以通过浏览器建立仿真环境,不用安装客户端,简单易用,且支持各种仿真过程中使用的设备镜像.本设计以Windows 10操作系统为宿主机,使用EVE-ng模拟器作为网络仿真平台配置内部环境和外部环境,通过业务模拟和应用运行模拟最大程度地反映园区网络实际特点,包括服务性能和安全要求.

2 仿真网络搭建

2.1 网络拓扑结构设计

以某企业园区网为例,构建一个企业园区网如图1所示.园区网络大多数是三层的交换网络,分别为接入层、汇聚层和核心层[2].交换机一般具有三层功能,各楼层和各楼之间的交换设备直接上连到核心设备,节省成本且简化组网的结构,同时采用模块化设计,可根据园区网的发展进行灵活扩展.

图1 园区网整体拓扑结构

园区网络内网拓扑结构如图2所示,接入层由二层交换机和终端设备组成,接入层终端设备IP地址全部由DHCP服务器分配;核心层由两台负载均衡器和两台核心网关组成,两台负载均衡器避免单链路负载过高的情况发生;汇聚层由两台三层交换机组成,主要负责汇聚流量和充当终端设备的虚拟网关,将汇聚的流量通过两条链路发送到上连的负载均衡设备,方便网关的透明切换[3].

图2 园区网络内网拓扑结构

DMZ区域称为非军事化区,它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题[4].DMZ区域拓扑结构如图3所示.在DMZ区域中经常会放置一些必须公开的服务器设施,如学校的Web服务器、Mail服务器等.Web服务器中部署一个园区网的Web应用服务,保证终端用户使用浏览器访问网页服务的流畅度;Mail服务器为所有的终端设备提供邮件服务;AD域控制器提供内网用户接入该域的认证;在园区网络出口处采用双出口NAT,模拟现网中园区边界网关可能连接多个运营商的网络,防止某一外网接口故障.双出口NAT结合路由图可实现流量主备切换,既能保证用户感知为零,又能保证网络的可靠性.

图3 DMZ区域拓扑结构

2.2 网络优化方案

安全性是园区网络建设中的关键,它包括物理空间的安全控制和网络的安全控制[5],需要有完整的安全策略控制体系和安全设备来保障园区网络安全.

随着互联网的不断发展,TCP/IP协议族成为最广泛的网络互联协议,但是在协议设计之初对安全考虑不足,易导致协议存在一些安全风险.在TCP/IP协议中绝大多数协议没有提供必要的安全机制,数据明文传输、不提供保密性服务、不提供数据完整性保护.例如,ARP协议可导致网络监听和信息窃取的风险,HTTP协议明文提交用户上传的凭证信息等.

传统网络安全架构是基于各种安全设备串行堆叠思路建设的,是一种被动式的防御模式.它主要通过匹配特征、设置规则对每个数据包进行层层检测处理,在一定程度上不但影响用户的访问体验,而且不能有效防御新型威胁,往往是被攻击造成损失后才发现威胁,缺乏主动、快速的发现手段.某些漏洞具有很强的隐蔽性,可能隐藏几年都发现不了.云计算、VPN远程接入办公等新业务兴起,网络边界渐趋模糊,传统网络基于边界的防御日益不足,像0day、APT等新型攻击不断出现,可以轻易突破传统的防御.

基于以上传统网络的缺点,本文在网络建设中采用主动防御的安全建设思路,构建一个立体、主动防御的安全解决方案：

1) 园区网网络架构划分为接入层、汇聚层及核心层,各个工作层运行于OSI模型的不同层次上,分别使用对应安全技术保障运行协议安全.接入层采用VLAN(虚拟局域网),对接入层设备进行逻辑划分,减小广播域,有利于快速定位故障位置,增强接入层网络安全,有效抑制广播风暴、防止病毒的大范围扩散,使用BPDU过滤、DAI等安全技术,保护不安全的二层网络协议免受攻击威胁.在汇聚层和核心层之间架设两层防火墙,一是保护内网的安全,二是架设一个更加安全的DMZ区域.园区网络存在一些Web服务器和其他用途的服务器,但是不能保证这些服务器是绝对安全的,攻击者很有可能通过攻破Web服务器进入园区网络内网,进而漫游内网造成更大的网络威胁.在两层防火墙之间设置DMZ区域,对来自外网的攻击者多设置一道关卡,即使网站服务器被攻破,内网防火墙上的连接规则也可以防止攻击者内网漫游.在核心层网关路由器连接处也设置防火墙,用于审计和控制非法连接等[6].

2) 对园区内网所有资产进行梳理.传统安全架构只注重边界防御,一旦边界安全设备被突破,黑客可以任意获取内网资源.要建立园区内网立体防御,需要对园区内网所有资产进行梳理,在内网服务器上调用软件Goby,定义各种协议以及服务对应的默认端口,添加各种硬件设备和软件业务的特征关键字和规则,设置需要进行资产识别的内网网段,再进行严格的区域划分,缩小攻击面,严格区分各种区域间访问的权限,尽量做到最小化权限访问.这样即使某一系统被黑客攻破,由于该区域不具备其他区域的访问权限,黑客便无法进行更为深入的攻击.

从图4的资产梳理中可以看出,识别到的硬件和软件组件总和为54个,根据内置的规则识别引擎识别出硬件和软件的具体应用和版本信息以及每个信息的占比情况,梳理园区网络中现在正在使用的IP地址为45个、开放的端口76个、漏洞数3个.通过资产梳理可以清晰看到内网的资产,方便管理员下一步对区域的划分以及区域间权限的精细化管控.

定时通过邮件给管理员推送园区网络资产相关的最新漏洞情报.园区网络需要主动防御、快速响应网络威胁的手段.在设计中,通过获取最新漏洞CVE编号,使用Python脚本结合Linux计划任务工具Crontab,推送园区网络漏洞资讯.根据已经梳理出来的内网资产,完善脚本中关键字,有针对性地定时通过邮件给管理员推送园区网络资产相关的最新漏洞情报,如图5所示.内网资产梳理、区域和权限划分，再结合邮件，向网络管理员推送最新安全情报，建立立体化的主动防御.

图4 资产梳理

图5 推送安全情报

3 网络威胁分析

网络攻击大致分为内部网络攻击和外部网络攻击两类.内部网络攻击主要有ARP攻击;外部网络攻击主要利用木马和系统漏洞进行攻击.本文重点分析内网ARP和系统漏洞攻击.

3.1 内网ARP威胁

内部的网络攻击比外网攻击难度低,且危害程度更大,内网ARP攻击可使受害者主机断网,甚至窃取网站登录账号密码.

ARP用于实现从IP地址到MAC地址的映射,即询问目标IP对应的MAC地址,然后存储到本地ARP缓存表,后续需要的话,就到该缓存表中查找.缓存表有时效性,如果电脑重启或者超过ARP缓存时间,这张表就会清空,下次通信时需要重新进行ARP请求.ARP攻击的关键点就在于通过虚假的ARP请求控制对方主机上的这张表,使其将流量发往错误的对端.在Windows系统下,可以通过命令行arp-a查看具体信息.

在没有受到攻击的情况下,受害者主机可以正常使用浏览器访问网页服务.攻击者在PC1上通过网络扫描器确认局域网中存活机器,确认受害者主机PC2的IP地址,进行ARP攻击.使用arpspoof工具进行ARP欺骗攻击需要当前的网关设备IP地址和受害者主机地址,对于攻击者而言,这些信息都可以轻而易举地获得.当ARP欺骗命令成功执行后,攻击机不断向受害者机器发送虚假的ARP请求,替换受害者主机上ARP表中网关IP地址对应的MAC地址,同时向网关设备发送虚假的ARP请求,替换网关设备上受害者主机对应的MAC地址,欺骗网关设备攻击机才是真正的接收者,实现双向欺骗,如图6所示.

图6 ARP攻击

受害者主机PC2断网,在PC2上使用ping协议检测是否断网,如图7所示显示超时,使用浏览器访问目标网站无法访问,说明攻击生效.

图7 ping情况

如图8所示,从受害者PC2主机上的ARP表项可以看到网关和攻击者的MAC地址是一样的,这是断网攻击的关键所在,将数据包发送到不可到达或者是无响应的主机上,即可实现断网攻击.

图8 受害者ARP表

对于ARP攻击,可以根据其原理进行防御.ARP断网攻击的原理是对原来主机中的ARP表项进行重复覆盖,即不断更新ARP表项,但是更新表项是错误的,对于该攻击可以在组网过程中采用DAI动态ARP检测来避免.在DAI中有信任端口和非信任端口两种端口角色,从信任端口收到ARP报文时,不做检测;从非信任端口接收到ARP报文时,要进行检测,检测一致就放行,若检测不一致,则进行丢包.同时还可以规定非信任端口的ARP速率,禁止该端口发送免费ARP请求,默认情况下所有的端口角色均是非信任端口.

通过这种方法可以限制ARP相应的速率,从而避免ARP断网攻击.部署该安全技术后再次尝试ARP攻击,发现攻击前后受害者主机的ARP表并没有发生变化,说明ARP攻击没有生效.

对ARP攻击的防御还可以通过组网过程中划分更小的VLAN、减小广播域、关闭不必要的端口等措施,从根源上防止攻击者与受害者主机处于同一局域网,切断ARP断网攻击的基础条件,避免ARP断网攻击的发生.

3.2 系统漏洞威胁

永恒之蓝(EternalBlue)是美国国家安全局开发的漏洞利用程序,于2017年3月14日被黑客组织泄漏.该工具利用TCP445端口的文件分享协议漏洞进行散播,被影响的Windows版本不计其数,该漏洞可以不需要受害者执行任何操作,永恒之蓝利用Windows系统的SMB漏洞可以获取系统的最高权限[7].

为了避免误报,网络管理员对资产梳理显示的相关漏洞进行安全威胁分析.图9的漏洞是使用了不安全协议SMBv1,利用该关键信息查询可利用的漏洞信息,使用攻击机内置数据库查询searchsploit进行搜索.查询到该服务有个名为“远程命令执行”的漏洞,微软漏洞编号为MS17-010,通过msf利用该服务进行攻击,查看该攻击模块相对应的参数信息,设置参数RHOSTS,将其设置为有漏洞的服务主机的IP地址.配置完参数之后,开始攻击,看到meterpreter会话打开,可以查看获取会话的权限.

图9 漏洞相关信息

确定了漏洞的存在,管理员可以很快通过图9解决方案中提供的微软官网链接下载针对该漏洞的补丁包修补该漏洞,避免被黑客恶意利用.对于系统漏洞修补,最有效的方法就是尽快打补丁.补丁一般可以在软件或者是操作系统的官网获取,具有修复漏洞的重要功能,防止病毒、木马及恶意软件的攻击,是保障电脑安全不可或缺的部分.除了打补丁外,还需要及时修改一些常用服务的弱口令密码,防止密码被暴力破解.密码位数大于8位小于16位,字母和数字、字母和特殊符号、数字和特殊符号组合判断为一般安全密码[8].

4 结语

园区网络的攻击类型多种多样,传播速度快,给网络带来不同程度的危害.针对TCP/IP协议栈的缺点以及传统网络被动防御的不足,文中使用EVE-ng快速搭建了企业园区网络,提出立体化、主动防护网络安全架构.使用EVE-ng进行网络仿真,模拟现实网络以及可能存在的网络攻击，并提出可行性防御方案.在网络建设中采用扁平化三层网络安全设计架构,在网络维护中定期对园区网络资产进行梳理,及时获取新型安全威胁情报.同时需要用户养成良好的上网习惯,确保园区网络安全、稳定运行.自从网络安全等级保护制度2.0国家标准实施以来,用户面临着更严格的监管,新标准下的园区网络安全建设需要逐步变成主动防御安全体系,在区域与区域之间安装防火墙,严格控制访问并记录行为,直观呈现网络中的潜在危险和业务资产信息等有价值的数据,便于管理园区网络和处理园区网络中的威胁.