茍杰　李春強(qiáng)　丘國(guó)偉

摘 要：FBI和CSI曾對(duì)484家公司進(jìn)行了網(wǎng)絡(luò)安全專項(xiàng)調(diào)查，調(diào)查結(jié)果顯示：超過(guò)85%的安全威脅來(lái)自公司內(nèi)部。隨著時(shí)間的增長(zhǎng)互聯(lián)網(wǎng)技術(shù)愈發(fā)成熟，企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)更加復(fù)雜，這些系統(tǒng)更加頻繁地被曝出漏洞。此外，黑客水平越來(lái)越高，漏洞利用門檻也越來(lái)越低，這些趨勢(shì)使得企業(yè)內(nèi)網(wǎng)安全防御變得十分緊要。此次研究開發(fā)企業(yè)內(nèi)部聯(lián)網(wǎng)設(shè)備安全風(fēng)險(xiǎn)檢測(cè)與防御系統(tǒng)，目的在于探索一種集監(jiān)測(cè)、主動(dòng)發(fā)現(xiàn)、威脅解決為一體的閉環(huán)內(nèi)網(wǎng)安全防御體系。此次研究中，完成了被動(dòng)監(jiān)測(cè)、主動(dòng)發(fā)現(xiàn)、漏洞修復(fù)等模塊的設(shè)計(jì)實(shí)施工作，這些工作使得防御體系，可以克服當(dāng)下安全軟件功能強(qiáng)大但解決問(wèn)題單一、多個(gè)軟件間的協(xié)作困難的問(wèn)題。

關(guān)鍵詞：網(wǎng)絡(luò)安全 ；被動(dòng)防御 ；主動(dòng)防御 ；計(jì)算機(jī)網(wǎng)絡(luò)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：B

Abstract： The FBI and CSI conducted a special survey of network security for 484 companies. The survey results show that more than 85% of the security threats come from inside the company. With the growth of time， Internet technologies have become more mature， and the internal network systems of enterprises have become more complicated. These systems have been exposed to Vulnerability more frequently. In addition， the level of hackers is getting higher and higher， and the threshold for exploitability is getting lower and lower. These trends make intranets Security defense has become very important. Our research and development of enterprise internal networked device security risk detection and defense systems aims to explore a closed-loop internal network security defense system that integrates passive monitoring， active discovery， and active threat resolution. In this study， passive monitoring， active discovery， and bug fixes were implemented. These efforts made it possible for the defense system to overcome the problems of the current security software， which is powerful but just has a single function and the collaboration between multiple softwares is difficult.

Key words： network security； passive defense； active defense； compute network

1 引言

任何內(nèi)網(wǎng)系統(tǒng)都面臨威脅，企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)則是更有價(jià)值的被攻擊對(duì)象，這里可能有企業(yè)商業(yè)機(jī)密，有用戶數(shù)據(jù)，有企業(yè)員工隱私，一旦被攻破必將損失巨大，而且更加令人不寒而栗的情況是黑客拿走了企業(yè)的機(jī)密數(shù)據(jù)企業(yè)卻并不知情，這將使得企業(yè)和用戶，員工都深陷危機(jī)而不自知。

黑客可以有多種手段攻擊企業(yè)內(nèi)網(wǎng)，比如利用惡意軟件、系統(tǒng)漏洞、企業(yè)內(nèi)部系統(tǒng)漏洞等等。為此多數(shù)企業(yè)采用了網(wǎng)段隔離、防火墻等基本手段來(lái)進(jìn)行內(nèi)網(wǎng)邊界防護(hù)安全建設(shè)，這些方法都效果顯著的阻止外部的網(wǎng)絡(luò)入侵，但是一旦有黑客控制了內(nèi)網(wǎng)中的某一臺(tái)機(jī)器，邊界防護(hù)便再也無(wú)法提供有效防護(hù)，很明顯我們需要一套內(nèi)網(wǎng)威脅監(jiān)測(cè)處理的安全解決方案，這也是我們所做工作的目的。

當(dāng)然，市面上有很多安全防護(hù)軟件用以解決上述問(wèn)題，我們所用的開源蜜罐系統(tǒng)MHN用于被動(dòng)監(jiān)測(cè)多種內(nèi)網(wǎng)威脅信息，使用的開源OMP（OpenVAS Management Protocol）協(xié)議來(lái)源的開源漏掃工具Openvas是一款優(yōu)秀的主動(dòng)威脅發(fā)現(xiàn)工具，不過(guò)這些工具不是專門為內(nèi)網(wǎng)設(shè)計(jì)的，在內(nèi)網(wǎng)應(yīng)用中會(huì)有一些不足，并且在軟件之間的配合使用上，需要大量依靠人工處理。因?yàn)樗麄兓ハ嘀g沒(méi)有一個(gè)有效的通信機(jī)制。此外，在市場(chǎng)上未找到優(yōu)秀的網(wǎng)絡(luò)漏洞修復(fù)工具（并非指系統(tǒng)漏洞修工具），因此會(huì)嘗試制作一個(gè)漏洞修復(fù)工具，使得整個(gè)過(guò)程能夠形成閉環(huán)并且盡量減少人工操作。

除了展示如何設(shè)計(jì)實(shí)施內(nèi)網(wǎng)防御系統(tǒng)，本文也將基于局域網(wǎng)搭建的環(huán)境展示如何利用制作的工具進(jìn)行漏洞防御。

2 基于MHN和OMP的企業(yè)內(nèi)網(wǎng)安全防御工具設(shè)計(jì)與實(shí)施

由于目的是要構(gòu)建自動(dòng)化的內(nèi)網(wǎng)安全防御體系，因此需要能夠?qū)?nèi)網(wǎng)網(wǎng)絡(luò)威脅動(dòng)態(tài)實(shí)時(shí)掌控，需要對(duì)內(nèi)網(wǎng)設(shè)備進(jìn)行安全排查以及修復(fù)檢查出來(lái)的威脅。

對(duì)于內(nèi)網(wǎng)威脅動(dòng)態(tài)的掌握我們不能簡(jiǎn)單的采取截獲內(nèi)網(wǎng)流量方式，因?yàn)榻孬@流量之后分析流量將十分困難。蜜罐系統(tǒng)是一個(gè)不錯(cuò)的選擇，由于不同蜜罐可以截獲不同種類的威脅信息而不需要再次處理原始數(shù)據(jù)，因此很適合用作內(nèi)網(wǎng)威脅預(yù)警。

對(duì)于內(nèi)網(wǎng)設(shè)備的安全排查，這是一項(xiàng)工作量很大的工作，因?yàn)槁┒磾?shù)量不斷增加，安全排查的范圍也在不斷增加。不過(guò)幸運(yùn)的是市場(chǎng)上已經(jīng)有成熟的網(wǎng)絡(luò)漏洞掃描器，只需要基于這些掃描器進(jìn)行適當(dāng)?shù)男薷木涂梢杂糜趦?nèi)網(wǎng)安全排查了。

至于威脅修復(fù)目前沒(méi)有找到合適的產(chǎn)品，需要自己實(shí)現(xiàn)。此處，我們面臨最大的問(wèn)題就是漏洞修復(fù)方式：是使用端口屏蔽，還是利用漏洞本身控制設(shè)備進(jìn)行修復(fù)。使用端口屏蔽方式實(shí)現(xiàn)簡(jiǎn)單，但是業(yè)務(wù)端口不適用此方法。使用漏洞本身控制設(shè)備這一方式，可以精準(zhǔn)修復(fù)，但是實(shí)現(xiàn)復(fù)雜（每個(gè)漏洞都有不同的利用方法），并且企業(yè)也不會(huì)希望安全防御軟件利用漏洞控制企業(yè)設(shè)備。最終，決定采用端口屏蔽方式，并且將端口屏蔽無(wú)法處理的業(yè)務(wù)端口漏洞提交給人工修復(fù)。

根據(jù)上述初步系統(tǒng)設(shè)計(jì)之后，系統(tǒng)的基本結(jié)構(gòu)如圖1所示（蜜罐系統(tǒng)選用MHN，掃描器基于Openvas的OMP協(xié)議）。

2.1 MHN蜜罐系統(tǒng)改造

之所以選用MHN蜜罐系統(tǒng)是因?yàn)槠溟_源、成熟，且相比較與其他的蜜罐系統(tǒng)其支持蜜罐種類更加豐富。

首先從github地址github.com/threatstream/mhn處按照說(shuō)明安裝開源MHN系統(tǒng)，此系統(tǒng)僅適用于Linux系統(tǒng)。

MHN系統(tǒng)結(jié)構(gòu)如圖2所示。

由圖2可以看出，MHN系統(tǒng)以mongoDB為中心，以mongoDB為分界左邊是蜜罐數(shù)據(jù)收集部分，右邊是與用戶交互部分，此次要修改的就是其中的Webapp模塊，目標(biāo)是通過(guò)修改使得此系統(tǒng)更加適合內(nèi)網(wǎng)監(jiān)測(cè)，并且可以和后續(xù)的掃描模塊進(jìn)行配合。

MHN的Webapp目錄位于opt/mhn/server下，此Webapp使用flask+python為主要開發(fā)環(huán)境，Webapp使用的非蜜罐信息都存儲(chǔ)于opt/mhn/server/mhn。db中，蜜罐返回信息存儲(chǔ)于mongoDB中。

首先，在首頁(yè)添加了詳細(xì)概覽頁(yè)方便查看攻擊情況，如圖3所示。

然后，添加了基于內(nèi)網(wǎng)IP過(guò)濾的攻擊—網(wǎng)關(guān)—目標(biāo)溯源拓?fù)鋱D展示，并且在檢測(cè)到攻擊節(jié)點(diǎn)之后，將會(huì)調(diào)用SCANNER模塊對(duì)來(lái)源及其進(jìn)行主動(dòng)漏洞發(fā)現(xiàn)，并且掃描結(jié)果會(huì)傳入修復(fù)模塊進(jìn)行可能的修復(fù)，如圖4所示。

添加權(quán)限管理，方便部署在各個(gè)網(wǎng)段的蜜罐有對(duì)應(yīng)人員管理，如圖5所示。

如何修改或添加這些功能，鑒于文章篇幅此處不再細(xì)說(shuō)，使用普通的Web開發(fā)技術(shù)（Python+Flask）即可完成

完成上述工作之后就可以部署自己的蜜罐了。在軟件的部署檢測(cè)器選項(xiàng)卡處可以看到，只需要在蜜罐機(jī)中下載并執(zhí)行本MHN系統(tǒng)中的一個(gè)basn腳本，即可完成蜜罐安裝，十分方便，如圖6所示。

安裝完成之后蜜罐被自動(dòng)添加到，監(jiān)測(cè)器選項(xiàng)卡界面中，如圖7所示。

至此蜜罐系統(tǒng)修改部署完成。

2.2 基于OMP的SCANNER掃描模塊設(shè)計(jì)實(shí)施

在網(wǎng)絡(luò)漏洞掃描器領(lǐng)域做得領(lǐng)先的就屬Nessus了。但是，由于其為商業(yè)軟件，無(wú)法對(duì)其進(jìn)行修改，因此選擇了它的開源分支Openvas。Openvas同樣是一款優(yōu)秀的網(wǎng)絡(luò)漏洞掃描器，它有超過(guò)5萬(wàn)個(gè)插件，并且仍然在持續(xù)增加中。

基于Openvas提供的OMP協(xié)議，我們對(duì)這款開源漏掃工具進(jìn)行了一些定制，使得其能更好地與MHN被動(dòng)監(jiān)測(cè)和漏洞修復(fù)模塊進(jìn)行協(xié)作，以及用戶在使用上更加簡(jiǎn)單。Openvas的架構(gòu)如圖8所示。

在圖8中可以看到，OMP協(xié)議位于Services和Client之間，即Service與Client通信使用的是OMP協(xié)議，因此在這里是使用OMP協(xié)議調(diào)用Openvas底層服務(wù)完成掃描需求，使用Python+Django+MySQL編寫掃描控制。

本文僅以新建任務(wù)為例說(shuō)明實(shí)現(xiàn)原理。

首先，在OMP文檔中找到新建任務(wù)的控制語(yǔ)句：

然后，再在程序中調(diào)用此語(yǔ)句并解析返回XML完成任務(wù)創(chuàng)建，調(diào)用上述XML命令方法為omp–u、用戶名–w、密碼-iX、“XML語(yǔ)句”，實(shí)際代碼實(shí)現(xiàn)，如圖10所示，代碼功能為創(chuàng)建任務(wù)并且獲取返回任務(wù)ID字符串；簡(jiǎn)要展示掃描控制流程。

任務(wù)創(chuàng)建：包含名稱、配置、目標(biāo)以及定時(shí)任務(wù)，如圖11所示。

任務(wù)管理：包含開始、停止、刪除、狀態(tài)、報(bào)告、進(jìn)度等等基本功能，如圖12所示。

2.3自動(dòng)修復(fù)模塊設(shè)計(jì)實(shí)施

為了簡(jiǎn)化工作量，我們?cè)O(shè)計(jì)自動(dòng)修復(fù)模塊只提供修復(fù)相關(guān)功能，與用戶交互部分被整合在掃描控制的Webapp中。在掃描控制的Webapp界面中用來(lái)呈現(xiàn)修復(fù)結(jié)果，也用來(lái)設(shè)置是否開啟自動(dòng)修復(fù)等。

自動(dòng)修復(fù)模塊依賴于SCANNER掃描模塊傳入的掃描結(jié)果信息，修復(fù)模塊進(jìn)行處理之后，存入修復(fù)結(jié)果進(jìn)入數(shù)據(jù)庫(kù)。

該模塊被設(shè)計(jì)成使用Tcp Server接收掃描結(jié)果信息，處理漏洞方式為：調(diào)用漏洞所需的修復(fù)插件（該插件與掃描插對(duì)應(yīng)），或者針對(duì)網(wǎng)絡(luò)端口進(jìn)行屏蔽實(shí)現(xiàn)漏洞緩解，如果當(dāng)前插件和環(huán)節(jié)措施都無(wú)法解決此漏洞就返回?zé)o法修復(fù)結(jié)果至漏洞修復(fù)的交互界面，具體表現(xiàn)為已修復(fù)的漏洞為藍(lán)色條目，需要手動(dòng)修復(fù)的為紅色條目，如圖13所示。

3 防御系統(tǒng)實(shí)例分析

3.1簡(jiǎn)述

本節(jié)將使用一臺(tái)至今已有18個(gè)月未更新過(guò)的Windows虛擬機(jī)作為靶機(jī)，該靶機(jī)含有多個(gè)SMB服務(wù)高危漏洞，我們將詳細(xì)闡述被入侵之后的系統(tǒng)防御以及簡(jiǎn)要介紹未被入侵的的情況下的系統(tǒng)防御（因?yàn)閮煞N方式的防御步驟很相似）。

3.2 SMB服務(wù)簡(jiǎn)述以及SMB漏洞

SMB全稱Server Message Block，是Microsoft基于NetBIOS設(shè)定的一套文件共享協(xié)議應(yīng)用程序可以通過(guò)協(xié)議訪問(wèn)遠(yuǎn)程服務(wù)器端的文件、打印機(jī)、郵件槽（Mailslot）、命名管道（Namedpipe）等資源。

在2017年NSA方程式的工具泄露事件暴露了多個(gè)SMB多個(gè)0day漏洞，這些漏洞產(chǎn)生了很多大規(guī)模的惡劣影響諸如WannaCry、EternalRocks蠕蟲、UIWIX勒索軟等。

具體的SMB高危漏洞可以根據(jù)CVE編號(hào)詳細(xì)了解： CVE-2017-7494、CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147和CVE-2017-0148，這些都是可以造成遠(yuǎn)程代碼執(zhí)行的最近的高危漏洞。可以看出，SMB的漏洞威力巨大，且數(shù)量較多。

3.3實(shí)驗(yàn)環(huán)境

本次實(shí)驗(yàn)環(huán)境由多個(gè)不同系統(tǒng)的虛擬組成，如表1所示。

3.4 防御流程簡(jiǎn)述

被入侵之后的防御流程，如圖14所示。

定期常規(guī)檢測(cè)流程，如圖15所示。

3.5 被入侵之后的防御流程

（1）在靶機(jī)192.168.204.151上使用Nmap掃描蜜罐機(jī)192.168.204.150模擬被入侵之后局域網(wǎng)內(nèi)部感染，此處并不是一定要使用Nmap掃描，因?yàn)榧词故鞘褂煤?jiǎn)單的ping命令也同樣可以被蜜罐捕獲，Nmap掃描命令為： nmap -T4 -A -v 192.168.204.150

（2）掃描信息被蜜罐機(jī)捕獲，將捕獲信息發(fā)送至MHN服務(wù)器192.168.204.200。 MHN服務(wù)器存儲(chǔ)結(jié)果并且溯源攻擊機(jī)器（溯源使用Tracerroute工具），通過(guò)Web界面展示結(jié)果，如圖16所示。

（3）MHN在溯源的同時(shí)訪問(wèn)掃描修復(fù)服務(wù)器192.168.204.152添加掃描任務(wù)開始掃描，掃描結(jié)果如圖17、圖18和圖19所示。

（4）掃描修復(fù)服務(wù)器執(zhí)行完掃描任務(wù)后將執(zhí)行修復(fù)，具體的修復(fù)方式是調(diào)用修復(fù)服務(wù)器下的與NVT掃描插件相對(duì)應(yīng)的修復(fù)插件。此處針對(duì)這兩個(gè)高危SMB漏洞的插件原理是設(shè)置靶機(jī)的防火墻規(guī)則，即屏蔽445端口，由于該機(jī)器已經(jīng)被感染，此機(jī)器會(huì)被注銷。由于修復(fù)機(jī)器本身沒(méi)有權(quán)限在靶機(jī)上執(zhí)行代碼，因此靶機(jī)會(huì)事先打開一個(gè)TCP Server，接收一個(gè)端口參數(shù)，用來(lái)遠(yuǎn)程關(guān)閉端口。

插件核心代碼示意如圖20所示。

靶機(jī)上運(yùn)行的代碼，主要負(fù)責(zé)操作防火墻和注銷機(jī)器。

掃描修復(fù)機(jī)器上運(yùn)行的代碼，主要發(fā)送需要關(guān)閉的端口號(hào)，如圖21所示。修復(fù)后的靶機(jī)防火墻配置，如圖22所示。

這里由于實(shí)驗(yàn)條件限制（沒(méi)有局域網(wǎng)網(wǎng)防火墻），只能操作靶機(jī)防火墻進(jìn)行端口屏蔽，但是實(shí)際中企業(yè)的局域網(wǎng)會(huì)有網(wǎng)段防火墻，只需要操作網(wǎng)段防火墻即可，無(wú)需在靶機(jī)上設(shè)置TCP Server。

修復(fù)結(jié)果（藍(lán)色代已修復(fù)，紅色代表未修復(fù)），如圖23和圖24所示。

4 結(jié)束語(yǔ)

本次研究基本實(shí)現(xiàn)了所希望的閉環(huán)內(nèi)網(wǎng)的安全防護(hù)，即從監(jiān)測(cè)到檢測(cè)到修復(fù)的一個(gè)回路，使得多個(gè)軟件可以互相配合，且讓防御流程盡量實(shí)現(xiàn)自動(dòng)化。實(shí)現(xiàn)防御回路的根本目的就是為了實(shí)現(xiàn)內(nèi)網(wǎng)安全防御的自動(dòng)化，這樣不僅有利于減少人工成本開支，而且重要的是自動(dòng)化的處理比人工處理更加敏捷高效，這對(duì)于控制漏洞造成的損失來(lái)說(shuō)是十分關(guān)鍵的。更高的自動(dòng)化程度，也意味著更低的概率出現(xiàn)，因?yàn)槿说拇笠獠僮鲗?dǎo)致修復(fù)完一個(gè)漏洞卻暴露出其他漏洞的情況。不過(guò)，仍有許多需要完善的部分。

自動(dòng)修復(fù)。整個(gè)系統(tǒng)唯一需要人工處理的部分就是修復(fù)模塊了。當(dāng)前實(shí)現(xiàn)的只能算是半自動(dòng)的修復(fù)，因?yàn)闃I(yè)務(wù)端口的漏洞需要手動(dòng)修復(fù)。需要更加完善的自動(dòng)修復(fù)機(jī)制使得其能夠?qū)I(yè)務(wù)端口漏洞也實(shí)現(xiàn)有效且安全的自動(dòng)修復(fù)。

同時(shí)，還需要進(jìn)行更多的研究和實(shí)驗(yàn)用來(lái)完善不足之處，以應(yīng)付更復(fù)雜的實(shí)際網(wǎng)絡(luò)情況，更大限度地提高內(nèi)網(wǎng)設(shè)備的安全性。

基金項(xiàng)目：

核高基重大專項(xiàng)資助項(xiàng)目（項(xiàng)目編號(hào)：2012ZX01039-004-48），中國(guó)科學(xué)院網(wǎng)絡(luò)測(cè)評(píng)技術(shù)重點(diǎn)實(shí)驗(yàn)室資助。

參考文獻(xiàn)

[1] 王順.Web網(wǎng)站漏洞掃描與滲透攻擊工具揭秘[M].北京：清華大學(xué)出版社，2016.

[2] Greenbone（公司）.OpenVAS Management Protocol （OMP）[EB/OL].2017.

[3] Threatstream（公司）.Modern Honey Network[EB/OL].2017.

[4] 董偉明.Python Web開發(fā)實(shí)戰(zhàn)[M].北京：電子工業(yè)出版社，2016.

[5] 熊華.網(wǎng)絡(luò)安全：取證與蜜罐[M].北京：人民郵電出版社，2003.

[6] 林寬勝.基于企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全研究[J].網(wǎng)絡(luò)空間安全，2016.

[7] 胡國(guó)強(qiáng).從勒索病毒看網(wǎng)絡(luò)信息安全的隱患與對(duì)策[J].網(wǎng)絡(luò)空間安全，2018.

作者簡(jiǎn)介：

茍杰（1995-），男，漢族，四川巴中人，北京信息科技大學(xué)；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)攻防。

李春強(qiáng)（1973-），男，漢族，吉林敦化人，北京理工大學(xué)，計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)，博士；主要研究方向和關(guān)注領(lǐng)域：智能信息處理技術(shù)、網(wǎng)絡(luò)空間安全。

丘國(guó)偉（1987-），男，漢族，福建上杭人，北京信息科技大學(xué)，本科，學(xué)士，高級(jí)工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全技術(shù)、智能信息處理技術(shù)。