红亚科技网络攻防实验室解决方案

一、网络攻防实验室建设背景1.1市场人才需求分析网络技术的发展在创造了便捷性的同时，也把数以十亿计的用户带入了一个两难的境地，一方面，国家和政府依赖网络维持政治、经济、文化、军事等各项活动的正常运转，企业用户依赖网络进行技术创新和市场拓展，个人用户依赖网络进行信息交互；另一方面，网络中存储、处理和传输的都是事关国家安全、企业及个人的机密信息或是敏感信息，因此成为敌对势力、不法分子的攻击目标。这种不安全的态势在可见的未来绝对不会平息，而是会持续发展，逐渐渗透到物联网、智能移动网、云网络等新兴的网络空间。网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学，覆盖了计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等，是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。所以，网络安全是一项复杂且艰巨的任务，需要相关从业人员具备相对较高的素质，既要能高瞻远瞩，对各种威胁做到防患于未然，又要能对各种突发安全事件做出应急响应，把影响和危害减到最小。针对国外的敌对势力及技术封锁，如何建立基于网络安全、自主知识产权下的网络有效管理，也是我国面临的重要课题。培养高精尖信息安全人才对于维护我国的信息主权、全面参与全球经济竞争及经济安全和国家安全至关重要。在我国，高等院校及各类高职高专是网络安全专业人才的培养基地。网络攻击与防护是网络安全的核心内容，也是国内外各个高校信息安全相关专业的重点教学内容。网络攻击与防护具有工程性、实践性的特点，对课程设计和综合实训提出了更高的实验环境要求。1.2建设网络安全实验室必要性学校如果只开设了网络安全方面的专业课程的学习，而没有网络安全实验室作为实习场所，那么学习理论化的知识，犹如纸上谈兵，严重影响人才培养的质量。建设网络安全实验室，不但能为学生提供良好的硬件资源，而且能大大提高科学研究及学科建设水平，提高办学层次，为培养信息安全高级人才提供有力保证，所以我院非常有必要建设一个现代化，真实化的网络安全实验室。网络攻防是网络安全相关专业教学体系中的核心部分。网络攻防课程是网络安全相关专业的核心课程和主干课程。网络攻防课程在总体上的特点是技术性和实践性强。坚持理论联系实际，才能真正掌握这些知识。通过学习网络攻防，学生将可以了解网络安全的威胁，掌握入侵检测技术、安全防护技术以及应急响应机制等基本安全技术，可以为信息系统的设计和实现提供网络安全防御机制，从系统的整个生命周期考虑网络安全问题。目前，我国大部分高校开设的网络攻防课程（或相关课程）的主要内容包括：网络应用服务安全、防火墙、入侵检测、虚拟专用网、网络攻击与防护等，其中网络攻击与防护是应用性、实践性、综合性最强的一部分核心内容。学生要很好地掌握这些内容，除了课堂学习，主要通过实验的实际操作来加深理解和掌握工程性技能。然而仅仅使用个别的、松散的、不连贯的实验在特定环境下来验证所学知识、掌握工具的使用技能，是显然无法满足我国高校网络安全教学中突出综合性、真实性、实用性、开放性及实践性的需求，还需要通过综合型的网络攻防实训来将零散的知识应用到实际的渗透测试当中，已达到真正的发散性、创新性及学以致用的实训目的。因此，引入专业的网络攻防实战系统是十分重要和必要的。二、网络攻防实验室设计思路2.1实验室建设难点网络攻防在信息安全教学当中占据相当重要的地位，但作为教学者来看，开展相关的实验却遇到了很多难点，只要我想法克服相关的困难才能使们实验教学更上一个层次，目前主要面临的问题如下：1、网络攻防实验需要真实的环境，开展实验需要大量的网络设备及服务器，在国内目前形成一个大规模的真实的实验室，付出的成本是非常的昂贵，所以经费是目前网络攻防实验室第一个难点；2、网络攻防实验，是一个不太容易被可视化的实验，往往在做实验当中难以评估学生的学习情况，攻防分析及相关的评估对一个教学者来说，是非常的重要，攻防的效果评估，分析也成为了一个实验难点；2.2实验室总体思路实验建设思路一方面要考虑建设成本，另一方面更要考虑攻击评估；我们通过多年的调研建议学校采用软硬件结合的方式，来建设性价比相对合理的实验平台；在硬件方面，采用可大规模生成网络设备及目标主机的设备，一方面提升了网络环境的复杂性，使实验环境更加的真实，另一方面采用后台有着强大分析功能的系统，可对攻防过程，攻击结果、攻防次数、攻防的手段进行实时的分析，并可以以图表形式展现出来，并对现有的服务器环境进行评估，评估网络环境安全性能；从实验层面考虑，最好以循序渐进方法来进行实验，从练兵，到任务，到真实演练，至最后的网络对抗，从入门到深入，从攻到防，从防到科研的方式来进行实验，具体如下图：网络攻防平台总体架构2.3实验室布置设计在如今发达的网络环境当中，单兵作战已经无法达到预计的目的，所以很多时候都是一个团队一起发起攻击，并有分工，有计划性的攻击，所以在建设实验环境是也应结合真实的情况，建议采用分组的方式进行建设，一个标准的实验室如：一个实验班级有42个学生，可分为7个实验组，每组分别有一套VPN、防火墙、IDS、交换机、路由器；每组可安排6个学生进行实验，这样可同时安排42个学生进行网络相关的实验课程，以小组的形式，可培养学生的团队合作能力；对于大三大四学生，可以小组合作方式，进行网络对抗实验。如下图：实验室平面布置图实验室效果图三、推荐系统“红亚科技ReaDeTack”3.1系统结构网络攻防实验平台RealDeTack是红亚科技和北京邮电大学信息安全中心多年积累的教学实践和科研成果为基础开发而成，网络攻击实验系统是大多数学生都感兴趣的内容，RealDeTack系统支持的实验内容时充分反映了网络攻击技术的最新技术水平和成果。同时，基于RealDeTack系统构建的网络具备相当的灵活性，既可满足多人同时独立攻击的需要，也便于实验老师根据教学的需要随时改变配置。网络攻防RealDeTack平台包括硬件和软件两大部分：①硬件设备：攻防平台管理控制器、数据管理设备、智能网关生成器、目标主机生成器、物理蜜罐。②软件平台：网络攻防任务生成系统、网络攻防靶场系统、网络攻击分析系统、网络攻防评估系统、实验客户端、网络攻防实验工具箱、CVE标准的安全漏洞库。系统架构图3.2系统拓扑结构本方案的实验系统拓扑架构如图4.1所示。这种拓扑设计利用一个宽带路由器把若干个局域网连接起来，构建了一个真实的广域网（WAN）。每个学生组拥有相对独立、完整的网络安全设备，所以基础实验可以在局域网（学生组）内完成。同时，由于局域网设备选用可配置的智能交换机，在组内甚至全网内进行VLAN划分实验、可以对防火墙配置安全策略；可观察IDS来分入侵情况。当学生的水平积累到一定程度时，可以在组与组之间开展分组攻防对抗实验，要求攻击方和防守方都要自己设计技术方案，从而充分调动学生的学习积极性和创造力。实验系统拓扑3.3网络攻防平台系统组成RealDeTack由硬件系统、软件系统组成，实施部署简便，既支持部分模块的独立操作，也支持实验分组和角色分配。3.3.1RealDeTack硬件平台RealDeTack标配一台管理控制器、一台数据管理设备、一台网关生成器、一台物理蜜罐，为实验系统的实验数据、实验管理、实验控制、生成大量的网络设备及网络攻击分析等服务提供安全可靠的硬件支持，为实验资源提供统一的数据存储与维护管理。同时RealDeTack根据实验室规模配置多台目标主机生成器，为各类攻防实验提供大量的主机服务器，并且用户可以对每台主机进行模块化的服务设置，可以选择操作系统、可以选择服务类型、可以设置开放漏洞等。实验所需的网络交换机、路由器、防火墙等网络硬件，可在实验室原有的基础上进行扩展或重复利用，有效降低成本。3.3.2RealDeTack软件组成3.3.2.1实验客户端RealDeTack系统采用C/S模式，为教师和学生提供了访问接口，并提供了实验指导书及相关的实验工具方便学生和老师进行使用。登陆界面3.3.2.2实验管理端RealDeTack为攻防实验系统教学系统提供管理功能，实验管理端可以设计网络拓扑结构和各类主机，并提供配置主机环境及服务、配置漏洞、新建实验、学生管理、攻击结果查看、学生在线情况分析等功能。学生管理攻防结果查看评估报告3.4系统基本功能3.4.1智能网络拓扑生成功能系统允许用户通过图形拖放的形式，配置任意的网络拓扑。能够对网络拓扑中各种设备（如路由器、交互机、链路）的参数进行配置，比如路由器的网络地址、端口、链路的带宽等。自动对用户绘制的网络拓扑图、配置的网络设备信息进行检查，发现配置错误并提示。能够响应对网络拓扑中网络设备的常见访问，如对路由器的Ping操作、TraceRoute操作等。网络拓扑生成系统3.4.2目标主机主机生成功能用户可以通过图形拖放方式，在网络拓扑中任意增加大量的计算机终端。计算机终端分为低交互、高交互两种，分别提供不同级别的访问权限。能够对计算机终端的各种参数进行配置，如IP地址、操作系统、开放端口、漏洞等。提供FTP、Web等真实的网络服务。目标主机生成系统3.4.3物理“蜜罐”功能主机监控观测攻击者的从发起攻击到入侵成功这一过程中的各项攻击行为对主机的影响。与网络入侵检测系统的检测结果关联分析为管理者提供攻击者攻击过程的细节。研究Windows文件监控、Windows进程监控、Windows注册表监控、Linux文件监控、Linux进程检查等几个方面。物理蜜罐3.4.4网络攻击行为信息捕获功能能够从网络、主机等多个层面捕获对本系统的访问或入侵的数据信息。能够记录进出系统的原始网络数据包的数据信息。攻击行为信息捕获3.4.5网络入侵信息分析功能通过对捕获到的网络、主机数据信息进行综合分析，得出入侵行为的分析结果。网络入侵信息分析3.4.6攻击过程实时监控功能由日志分析得出攻击步骤，建立完整的攻击场景，能够较为直观地反应系统受攻击的状况，实时监控攻击过程。区分攻击者，根据主机告警和网络告警区分攻击者。攻击过程监控3.4.7靶机漏洞配置功能用户可以根据实验的需要，对靶机进行漏洞开启或关闭的配置。漏洞配置3.4.8实验报告生成功能为了便于实验教师查看每次任务的详细信息，平台将每次任务得到的信息自动生成HTML格式的攻防性能测试报告。“生存性测试报告”共分为：“网络扫描探测结果”、“网络入侵情景信息”、“网络安全性评估结果”、“网络生存性改进建议”等功能。实验报告3.4.9实验工具平台中提供的调用工具共74个，分为SHELL获取、权限提升、隐藏服务、模拟服务、木马（后门）、信息获取、控制管理、清理、破解、拒绝服务及数据通道11类，如图4.11所示。实验工具