可擴充式安全伺服器交替系統 一種兼具容錯與負載平衡的容侵架構
DESCRIPTION
可擴充式安全伺服器交替系統 一種兼具容錯與負載平衡的容侵架構. Lei Wang 1/08/2010. Outline. 起源 GMU 的 SCIT 伺服器交替的價值 可擴充式安全伺服器交替系統 目前的焦點與展望. 起源. 2006 的 George Mason University 訪問 GMU 的 Pentagon White Book 1. 國防資料庫的防恐方案 2. Sun Microsystems 的支持 SCIT-Self Cleansing Intrusion Tolerance 1. 新的容侵思考與實踐模式 - PowerPoint PPT PresentationTRANSCRIPT
可擴充式安全伺服器交替系統一種兼具容錯與負載平衡的容侵架構
Lei Wang
1/08/2010
Outline起源 GMU 的 SCIT伺服器交替的價值可擴充式安全伺服器交替系統目前的焦點與展望
起源2006 的 George Mason University 訪問GMU 的 Pentagon White Book
1. 國防資料庫的防恐方案
2. Sun Microsystems 的支持
SCIT-Self Cleansing Intrusion Tolerance
1. 新的容侵思考與實踐模式
2. 運用 Virtual Machine 的軟體技術
GMU 的 SCIT網路攻擊與入侵 攻擊為入侵的必要手段 入侵不必然為攻擊的最終目的網路的入侵與防禦
GMU 的 SCIT被入侵的損失曲線
SCIT 的目標 以自毀的方式強迫性清除入侵
入侵者居留時間
損失
低損失端
高損失端
圖 2 損失曲線
GMU 的 SCIT與外界隔離的中央控制器 (Central Controller)Virtual Machine 建構的 Cleansing 與 Reboot
GMU 的 SCIT
Firewall的SCIT
Stateless Web 的 SCIT
DNS的 SCIT
Web box1
Web box2
SCIT WEB server
(a) WEB server1使用中
(b) WEB server 2使用中
共享的
儲存裝置
(唯讀或非揮發 )
HTTP
回覆
HTTP
要求
顧客
Web box2
Web box1
SCIT WEB server
HTTP
回覆HTTP
要求顧客
從儲存裝置獲得網頁內容
從儲存裝置獲得網頁內容 共享的
儲存裝置
(唯讀或非揮發 )
GMU 的 SCITSCIT-DNS• Centralized Solution
GMU 的 SCITSCIT-DNS• Distributed Solution
GMU 的 SCITSCIT-DNS• Distributed Solution
GMU 的 SCITSCIT 的理論分析• State Transition• Transient states
– Good (G): system is functioning normally
– Vulnerable (V): system has vulnerabilities that a hacker is trying to study
– Attacked (A): system is under attack, as vulnerabilities are exploited
• Absorbing state
– Fail (F): system is in failure mode
A
G
V F
GMU 的 SCITSCIT 的理論分析Exposure Window and MTTSF(Mean T
ime To Security Failure)
伺服器交替的價值一般的網路供擊 / 入侵方法
1. 竄改資料 (Data Diddling) :當資料被輸入電腦之前或正在輸入中被竄改,由於電腦所獲得的輸入資料已不準確,其輸出當然不準確。
2. 木馬藏身 (Trojan Horse) :入侵者雖已將指令藏入作業程式中,但使得電腦仍看起來正常運作,即使是在它播下或收成自身的破壞種子時。
3. 積少成多 (Salami) :入侵者進入系統後只由每一個來源中拿取一點點東西,使其入侵所造成的損失不易被察覺。
4. 超級指令 (Superzapping) :超級指令此一名稱來自 IBM 大型主機所使用的一個工具程式。不幸的是,入侵者將此一合法的工具運用到非法的方面,利用此一工具非法的去修改、銷毀、洩露資料。
5. 建立陷阱 (Trapdoors) :程式中常常有一些內建的中斷點,可以在執行的當時便檢查輸出結果。這些程式後門原意是為了方便除錯,但它們卻容易遭到誤用。
伺服器交替的價值一般的網路供擊 / 入侵方法
6. 邏輯炸彈 (Logic Bombs) :邏輯炸彈乃是利用特洛伊木馬的方式將所謂的「炸彈」放入電腦中。大部份電腦病毒的發作時都是因邏輯炸彈引爆而起。
7. 異步攻擊 (Asynchronous Attack) :主機或伺服器必須隨時準備好同時處理數項工作。為了使使用者的資料不致相互混淆,這些系統乃被設計成一次處理一項要求。異步攻擊者則破壞分隔機制後以獲得存取其他人作業的權力。
8. 清道夫 (Scavenging) :入侵者運用其合法的權限檢視系統棄置的資料與檔案,再進而取得系統或其他使用者的私密資訊以進行入侵與破壞。
9. 線路竊聽 (Wiretapping) :駭客可利用通訊線路劫取被傳送的未加密密碼,藉著劫取到的密碼,駭客可偽裝成一個合法的使用者。
10. 模擬 (Simulation and Modeling) :入侵者建立了一個對真實程式的電子模擬,然後以他的版本換到實物。
伺服器交替的價值一般的網路供擊 / 入侵方法
11. 偽裝IP:駭客可以偽裝他的電腦IP位址成為可信賴的主機位址,這讓他可執行系統命令削弱系統安全防護。
12. 通話劫取:搶奪已經建立的可信賴連線上的資訊。
13. 取消服務 (Denial-of- Service) :發出大量的封包,使主機為了回應目標電腦的要求而將所有記憶體空間和時間都用來處理回應訊號,這會使主機無法處理來自其他使用者傳送來的封包。
可擴充式安全伺服器交替系統• To achieve servers’ reliability by connecting several
servers to a central controller.• Special Feature
Several host machines connected by a hardware central controller (Pool Controller) to achieve:
– Fault Tolerance by Redundancy.
– Security by periodically switch services among host.
– Workload balance by monitoring and switch from pool controller.
可擴充式安全伺服器交替系統
可擴充式安全伺服器交替系統
可擴充式安全伺服器交替系統• Composed of
– Host Operating System– Guest Operating Systems– Host Daemon
• VMM Functions– Isolated OS– Snapshot:
Fast IntrusionElimination
可擴充式安全伺服器交替系統
可擴充式安全伺服器交替系統 Environment
500 clients in one second Each client sends 10
requests Result
Prototype99% => 17ms 1% => 227ms
Enhancement99% => 9ms 1% => 37ms
目前的焦點與展望目前的研究焦點• Boundary of Exposure Window • Strategy for Workload Balance• Handoff for Transactions • Connection among Pools
展望• Pool Controller 的實體化 • 異質性 (Heterogeneous) Server 的引入
THE END