引言

    自計算機誕生以來, 計算機硬件系統性能的飛速發展, 遠遠超過了軟件發展的速度。摩爾定律預測的系統性能增長模式驗證了其正確性。硬件的高速發展帶來了資源浪費問題, 而在提高資源利用率, 降低系統整體成本, 降低能耗方面虛擬化具有很大價值。此外, 虛擬化帶來的優勢還有服務器整合, 業務的動態調度, 應用的實時遷移, 加速應用部署, 容災備份簡單便利等。所以近些年隨著服務器虛擬化應用十分廣泛。但是虛擬化也帶來一些安全問題。一臺物理服務器上的各個虛擬機之間通信的過程無法用傳統方法監測得到。因此如果發生無法內部虛擬機之間攻擊將無法察覺。

    由于目前網絡攻擊均是利用操作系統或工具軟件的漏洞來進行的, 所以在不能利用網絡流量監測攻擊的情況下, 通過實施有預見性的安全管理, 如及時安裝操作系統及工具軟件的補丁也可以提高安全性, 抵御攻擊。但是通常一臺服務器上運行著數量眾多的虛擬機,無法得知操作系統的種類, 而且由于虛擬機數量太多,管理困難, 所以本文采用操作系統指紋識別技術來識別各虛擬機操作系統的種類。然后利用虛擬器件鏡像管理中文件切片技術思想來智能自動地為操作系統及工具軟件安裝補丁, 同時也可安裝相應的安全工具并及時更新版本。

1 服務器虛擬化

    1. 1 基本概念

    Wikipedia是這樣描述虛擬化的: 虛擬化是表示計算機資源的抽象方法, 通過虛擬化可以用與訪問抽象前資源一致的方法訪問抽象后的資源, 這種資源的抽象方法并不受實現、地理位置或底層資源中物理配置的限制。在虛擬化技術中, 被虛擬的實體是各種各樣的IT資源。按照這些資源的類型分類, 可以分為系統虛擬化、基礎設施虛擬化、軟件虛擬化。服務器虛擬化就是將虛擬化技術應用于服務器上, 將一個服務器虛擬成若干個服務器使用。服務器虛擬化使得在單一物理服務器上可以運行多個虛擬服務器, 并為虛擬服務器提供能夠支持其運行的硬件資源抽象。

    1. 2 設備與I/ O虛擬化

    在服務器虛擬化中, 網絡接口是一個特殊設備, 具有重要作用。虛擬服務器都是通過網絡向外界提供服務的。在服務器虛擬化中每一個虛擬機都變成一個獨立的邏輯服務器, 它們之間的通信過程通過網絡接口進行。每一個虛擬機都被分配了一個虛擬的網絡接口, 從虛擬機內部看來是一塊虛擬網卡。服務器虛擬化要求對宿主操作系統的網絡接口驅動進行修改。經過修改后, 物理機的網絡接口不僅要承擔原有網卡的功能, 還要通過軟件虛擬出一個交換機。虛擬交換機工作于數據鏈路層, 負責轉發從物理機外部網絡投遞到虛擬機網絡接口的數據包, 并維護多個虛擬機網絡接口之間的連接。當一個虛擬機與同一個物理機上的其他虛擬機通信時, 它的數據包會通過自己的虛擬網絡接口發出, 虛擬交換機收到該數據包后將其轉發給目標虛擬機的虛擬網絡接口。整個過程如圖1 所示。

    圖1 虛擬化過程

    1. 3 服務器虛擬化帶來的安全性問題

    虛擬機與外部網絡的通信可以通過在物理服務器外加設防火墻或入侵檢測系統來防范攻擊。但是由于虛擬機之間的通信是通過虛擬交換機進行的, 并且虛擬交換機是工作在數據鏈路層的。現有的網絡流量測量、網絡路由安全策略必須是基于三層, 也就是網絡層實現的, 因此虛擬機之間的網絡安全變成了一個棘手的問題。在目前不能利用網絡流量監測攻擊發生的情況下,實施有預見性的安全管理, 加強虛擬機之間的隔離機制, 及時安裝操作系統及工具軟件的補丁便成為一種有效的解決手段。

    隨著服務器硬件性能的提升, 以及服務器虛擬化技術的飛速發展, 目前服務器上運行的虛擬機數量越來越多。如何識別各種操作系統, 并智能高效地為其安裝需要的補丁是一個急需解決的問題。因此本文提出利用操作系統指紋識別技術來識別系統, 并利用虛擬器件鏡像的切片技術以及IBM的TPM虛擬器件的部署技術來智能高效的進行操作系統補丁、中間件、工具軟件的安裝。

2 TCP/ IP 堆棧操作系統指紋識別

    2. 1 基本概念

    RFC1180對TCP/IP協議棧知識進行了描述, 并沒有進行一個嚴格的工業標準規定, 因此各個操作系統廠商在自己產品上對TCP/ IP協議的實現有著細微的差別, 這些差異就被稱為指紋。TCP/IP是目前網絡中應用最廣的協議。對TCP/IP協議棧指紋進行歸納總結, 可以有效地獲取操作系統類型。探測操作系統的方式可以分為主動式及被動式兩種。主動式探測工具與網絡目標設備進行交互, 主動發送一些探測數據觸發器, 通過從目標設備返回的回應消息可以判斷出操作系統的類型, Xprobe2, Namp就是著名的主動探測式工具。但這種主動探測易于引起攻擊者察覺, 不易保護檢測者。因此推薦使用更為隱秘的被動式探測, 被動探測不會與目標系統交互, 通過監控網絡數據流, 將其表現出來的特征和相應的模式屬性庫進行匹配分類。

    2. 2 數據準備

    被動探測是通過從TCP/ IP會話中提取出以下數據并與屬性庫進行比較, 而后判斷操作系統類型的。WWWW: 窗口大小; MSS: 最大報文長度; TTL: 生存時間。指定了數據報可以在網絡中傳播的最長時間; WS:窗口擴大因子; S: 選擇性確認技術允許( SACK
Permit
ted) 標志; N: 無操作( NOP) ; D: 短延遲位設定標志; T: 時間戳(TIMESTAMP) ; F: SYN 和ACK 位設定標志;LEN: IP 頭長度。其中, MSS, WS, S, N, T 均為TCP 協議中可選項。

    2. 3 指紋識別系統的設計與算法

    通過在物理服務器外配置一個數據包捕獲與識別系統對操作系統進行指紋識別, 可以用網絡編程的方法來實現該系統。從捕獲的數據中提取操作系統指紋,然后在指紋數據庫中進行匹配, 進而得到操作系統類型和版本信息。數據包識別模塊包括提取指紋與指紋匹配兩個流程。提取指紋時首先從捕獲到的數據包中獲得相應項并組合成字符串特征式WWWW: MSS:TLL: WS: S: N: D: T : F: LEN。

    匹配算法: 在該系統中構造函數: f ing er print_push( char * finger, int param, int value) 。將T CP/IP頭中特征項WWWW,MSS,TTL,WS:S:N:D:T:F:LEN 的值存入格式為WWWW: MSS: T TL: WS: S:

    N: D: T: F: LEN 的字符串, 打開指紋數據庫文件etter.finger. os, 對特征式每一部分用strncpy( )函數進行比較。如果兩個特征式一致, 則完全匹配, 然后將該操作系統信息提取并保存; 如果匹配失敗, 則采用近似匹配算法得出最相近操作系統版本, 分兩步驟完成指紋特征式的近似匹配, 在指紋中的第一項WWWW( TCP 原始窗口大小) 一致的指紋中, 忽略第二項最大報文長度(MSS)后若能匹配。該行中操作系統部分就是最相似的系統版本; 若匹配還失敗, 則只能根據較少的特征項來確定操作系統類型, 采用被動式操作系統識別的基本項進行比較, 即通過TTL,TOS 或Window Size來近似匹配系統類型。匹配算法流程如圖2所示。

    圖2 匹配與算法流程

3 智能高效的更新系統及工具補丁

    在識別操作系統類型及版本信息后, 對系統及上運行的工具軟件進行智能高效的補丁更新。這里借助事先建立好的公共數據庫來實現, 這個數據庫里不但存放著上文中操作系統的特征指紋數據, 還存放著打包好的虛擬器件鏡像, 是一個公共可訪問倉庫。對鏡像文件的元數據信息和文件內容分別存儲。鏡像文件的元數據信息包括文件的大小、文件名、創建日期、修改日期、讀寫權限等, 以及指向文件內容的指針鏈接。而鏡像文件的實際內容一般會采用切片技術來進行存儲。即將一個較大的鏡像文件切成很多的小文件片, 為每一個文件分配一個唯一的標識符, 以及文件內容的摘要串。這需要在元數據里增添新信息。通過鏡像切片及生成的內容摘要,鏡像管理系統可以發現這些鏡像文件中相同的文件片,然后對這些文件進行去重操作。當一個鏡像新版本進入系統時, 系統會通過切片及生成摘要, 識別出新版本哪些內容與之前版本不同, 只保存不同的切片。DMTF( Dis
t ributed Management Task Force) 非贏利標準化組織制定開放虛擬化格式OVF ( Open Virtualizat ion Format) 。OVF 包是虛擬器件最終發布的打包格式, 它是按照IEEE 1003. 1 USTAR POSIX 標準歸檔的并以. ova為后綴的文件。這里，操作系統及工具的補丁都以這種形式存儲在公共倉庫里。

    下面可以借鑒IBM 在虛擬化管理方面先進的技術來解決安裝補丁問題。Tivoli產品線是IBM 負責提供信息服務管理產品和解決方案的。Tivoli家族的TPM(Tivoli Provisoning Manager) 是數據中心資源自動化管理解決方案的核心產品。可以自動完成服務器、存儲器、網絡設備、操作系統、中間件、應用程序的部署和配置任務, 它通過工作流( workflow) 來完成系統資源的部署。對于部署包含虛擬化平臺的操作系統,TPM 的插件TPM for OS Deployment( TPM OSD) 可以實現操作系統的部署。通過擴展工作流, TPM 能夠實現智能高效安裝系統的更新。

4 結語

    本文提出了一種基于TCP/ IP 堆棧的操作系統指紋識別技術, 以檢測虛擬機操作系統, 用利用虛擬器件部署的先進技術來智能高效地進行系統及工具軟件補丁更新的方法。提升了虛擬機的安全性, 以抵御虛擬機之間的內部安全隱患，并為數據中心的高效管理提供了可能。下一步的研究工作重點應放在如何在數據中心建立多個公共數據庫，構建一個私有云環境, 利用分布式資源提高效率并解決冗余備份的問題。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：基于操作系統指紋識別的服務器虛擬化安全策略

本文網址：http://www.guhuozai8.cn/html/support/1112154375.html