首先,先来了解一下什么是“全息甲板”(holodeck)?它是一个模拟现实(Simulated Reality)系统,与虚拟现实系统不同的是,这个系统存在于实体世界,人不需要眼镜、触觉模拟器之类就可以与此系统中的物体互动。主要有光影系统,负责远景,和物质生成系统,负责生成人接触和看到的东西。
近日,一组来自意大利的研究人员为大规模虚拟化企业网络制定了蓝图,在这种虚拟企业环境中,研究人员可以在不影响IT经理正常工作的情况下,进行大规模的安全测试活动。
罗马大学团队构建了一个大规模的模拟企业环境――从公共服务器到DMZ子网和防火墙内部网络等所有内容都被虚拟化,并将服务器和网络设备在内的所有内容链接到windows、Ubuntu linux和macOS端点的各种版本中。
一名主要研究人员介绍称,这种想法为网络安全研究人员提供了一种进行大规模对照/可控实验(controlled experiment)的方法。借助这种方法,测试人员可以看到攻击是如何在整个企业IT设置中发挥作用的,而不再只是片面地了解它是如何针对单个设备或操作系统发挥作用的。
这种想法的主要用例是网络安全研究,特别是网络范围的部署,允许测试者在网络安全范围内进行受控/对照实验。
事实上,由于系统通常允许将部分物理网络复制到虚拟环境中,因此应用程序是无穷无尽的:训练入侵检测系统(IDS) /入侵防御系统(IPS)检测算法,测试多层应用程序,以及对与性能无关的软件架构进行任何分析(而不需要底层物理网络的副本)。
在最初的测试中,罗马大学的研究人员进行了一系列攻击活动,包括暴力(破解)服务器攻击、勒索软件感染、基于浏览器的恶意软件攻击,甚至是针对服务器的“心脏滴血(Heartbleed)”漏洞利用。模拟范围从五分钟到近两个小时不等,全都得到了实现。
该小组表示,他们希望通过模拟终端用户的行为,来进一步改进项目,并开发出一种可以完全自动化安装各种服务的方法。
与此同时,该团队还表示,对其他人而言,他们的蓝图是相对容易实现的。因为该系统使用了OpenNebula、OpenvSwitch和GlusterFS平台的组合,以及相对适中的硬件预算,这些预算应该是大多数大学部门和大中型公司所能达到的水平。
据悉,在此次项目中,Cisco Systems还为该团队的研究工作捐赠了硬件,为其节省了7000-10000欧元的预算。
此外,由于该系统使用了OpenNebula/GlusterFS平台,所以即便是选择商用硬件(commodity hardware,)来实现该过程,预计基础设施也将具有相当的可扩展性,或者在任何情况下都没必要使用非常高端的服务器和网络设备(特别是,作为最昂贵部分的交换机通常可以用更低端且端口更少的交换机替换)。
上周,该团队已经在其题为《为复杂网络系统的网络安全分析构建仿真环境》的论文中全面概述了他们的项目。其作者包括Florin Dragos Tanasache、Mara Sorella、Silvia Bonomi、Raniero Rapone以及Davide Meacci。目前,该论文已被分布式计算和网络国际会议(ICDCN2019)接受出版。
《为复杂网络系统的网络安全分析构建仿真环境》论文地址:https://arxiv.org/pdf/1810.09752.pdf