3.虚拟系统上-攻击.ppt

網路劫持 Hyperjacking- Blue Pill簡介 網路劫持 Hyperjacking- Blue Pill簡介 網路劫持 Hyperjacking- SubVirt簡介 網路劫持 Hyperjacking- subvirt簡介 網路劫持 Hyperjacking- subvirt簡介 網路劫持 Hyperjacking- subvirt簡介 網路劫持 Hyperjacking- subvirt簡介 網路劫持 Hyperjacking- subvirt簡介 網路劫持 Hyperjacking- subvirt簡介 網路劫持 Hyperjacking- Vitriol簡介 監督虛擬機器組態 –避免載入第三者軟體 –禁止撷取未使用過的網路服務 –對虛擬伺服器與管理伺服器同步處理以利log分析 –管理 log 大小以避免 filling partitions –執行檔案系統的完整性檢查與通行碼策略 –只有管理員能夠管理監督虛擬機器 –禁止遠端root login 6.虛擬系統組態推薦 管理控制台 系統管理員 管理伺服器 虛擬伺服器 (1) (2) (3) (4) (5) (6) * * 主講人:陳建源 日期:100/8/30 研究室 :法401 Email: cychen07@.tw 虛擬化技術-安全 日期:100/8/30 虛擬化技術-安全 大綱 1.重要性 2.虛擬系統上-弱點分類 3.虛擬系統上-攻擊 4.虛擬系統安全考量 5.虛擬技術與安全性 6.虛擬系統組態推薦 7.結論 The Importance of Virtualization System Security 雲端運算(Cloud Computing) 雲端運算資料中心 「伺服器虛擬化」(Server Virtualization) 有助節省資料中心耗電、提高實體伺服器運算資源使用率。1台伺服器能夠安裝多套不同的作業系統與應用軟體，甚至還可透過工作負載平衡分配、線上搬移(live migration)等技術 資訊安全隱憂 1.重要性 家庭的保險櫃 銀行的保險箱 1.重要性 The Importance of Virtualization System Security 企業使用虛擬化技術越來越多 在 Q4 2009, 18.2%伺服器具有虛擬化1 1來自IDC 比前年增加20% 虛擬化系統被攻擊可能也越來越大 1.重要性 虛擬系統的弱點分佈(1999-2009) 1.重要性 管理控制台 系統管理員 管理伺服器 虛擬伺服器 (1) (2) (3) (4) (5) (6) 2.虛擬系統上-弱點分類 (1)管理控制台 (2)管理伺服器 (3)監督虛擬機器 –提供攻擊管理伺服器的跳板或資訊 –透過顧客控制軟體或網頁應用程式 –可能洩漏虛擬系統之組態 –提供攻擊監督虛擬機器的跳板 –洩漏系統之組態 –在某些系統 (like Xen)等同於虛擬管理軟體 (hypervisor)的弱點 –提供攻擊虛擬管理軟體及顧客虛擬機器的跳板 Management console Management server Administrative VM 2.虛擬系統上-弱點分類 (5)顧客虛擬機器 (4)虛擬管理軟體 –影響單一虛擬機器 –提供攻擊監督虛擬機器或其他顧客虛擬機器的跳板 (6)虛擬管理軟體 流出弱點 –洩漏所有顧客虛擬機器 –虛擬管理軟體 的弱點之ㄧ –允許顧客虛擬機器流出至其他虛擬機器或虛擬管理軟體 –違反顧客虛擬機器獨立的假設 Hypervisor Guest VM Hypervisor escape 2.虛擬系統上-弱點分類 2.虛擬系統上-弱點分類 弱點分佈 (1)管理層攻擊 (2)監督虛擬機器攻擊 –利用管理控制台的弱點撷取通行碼資訊 –利用管理控制台的弱點入侵管理伺服器 –利用管理控制台的弱點允許本地管理伺服器使用者獲得較高的權限 –利用halting the system引起阻斷攻擊(denial of service) –利用crashing監督虛擬機器引起阻斷攻擊(denial of service) –撷取監督虛擬機器之通行碼資訊 –利用 buffer overflows 執行自己設定的程式碼 –利用監督虛擬機器的弱點獲得較高的權限 –繞過驗證(authentication)程序 Management server attacks Administrative VM attacks 3.虛擬系統上-攻擊 (3)虛擬管理軟體攻擊 (4)顧客虛擬機器攻擊 –破壞虛擬管理軟體 –從一顧客虛擬機器流出至其他顧客虛擬機器 –利用顧客虛擬機器的弱點獲得較高的權限 –破壞顧客虛擬機器系統 –截短系統上任意檔案 –利