SSH协议审计系统设计与实现.docVIP

SSH协议审计系统设计与实现 　　摘要 SSH协议用来连接企业网络中的服务器并对其进行运维操作。但是，由于协议本身对数据采用加密压缩传输，这在监控和审计上带来了一些安全问题。本文将介绍一种基于代理技术的SSH协议审计系统。该系统能完整监控SSH协议会话并提供记录回放操作。能较好的解决目前企业运维操作中存在的一些问题。 　　【关键词】SSH协议 审计系统 企业网络 　　1 背景 　　传统的运维操作中，对于字符型操作系统，大多数采用基于文本显示的网络协议，其中以SSH协议较为普遍。SSH协议可以将所有传输的数据进行加密压缩，具有一定的安全性。但与此同时，管理人员也无法获取SSH协议中的运维操作信息，无法及时发现阻止违规操作，存在一定的安全隐患。本论文就上述问题提出一种对使用SSH网络协议建立远程连接，并进行运维操作的审计系统，包括了对运维会话的监控、分析、回放及其他功能。 　　SSH协议框架中最主要的部分是三个协议： 　　传输层协议（The Transport Layer Protocol）：提供客户端对服务器的认证、对数据的加密、以及对数据真实性、完整性检查；当然还有一些其它的可选项，比如压缩等。传输层协议通常是运行在TCP/IP连接之上的，也可以运行在一些其它任何可以信赖的数据连接之上。 　　用户认证协议（SSH-USERAUTH）完成服务器对登录用户的认证，它运行在传输层协议之上，其安全性是基于下面的传输层能够提供对数据的完整性和真实性的保证之上的。 　　连接协议（SSH-CONNECT）： 负责在加密通道上划分出若干逻辑通道，它运行在用户认证协议之上，提供登陆的交互会话、远程命令执行、端口转发以及X11转发等。 　　同时还有为许多高层的网络安全应用协议提供扩展的支持。各种高层应用协议可以相对地独立于SSH 基本体系之外，并依靠这个基本框架，通过连接协议使用SSH 的安全机制。 　　2 系统分析与设计 　　SSH协议审计系统包含web管理界面以及协议代理模块两大部分。系统总体结构图1所示，整套系统由web管理配置模块、SSH协议代理模块和监控回放模块三大功能模块以及SSH会话回放和SSH会话监控两个相关插件组成。 　　SSH协议代理模块：该模块为整套系统的功能核心，它负责对运维会话进行分析、记录、转发，它是客户端与后台服务器之间的桥梁。SSH协议代理模块相对于客户端来说是一个虚拟的服务器，而相对于真实服务器来说是一个虚拟的客户端。 　　Web管理配置模块：通过使用apache服务器搭建的web服务器，系统提供了代理服务器提供了管理接口，其包括：代理程序参数配置接口、身份认证接口、基础数据管理接口、监控回放配置接口以及用户登录接口等。 　　监控回放模块：对于当前会话，该模块提供了监视切断等控制功能。对于历史会话，该模块提供相应的查询、分析、回放等功能。 　　SSH会话回放插件：该插件用于从监控回放模块处获取历史会话相关数据，将改会话过程完整重现。 　　SSH会话监视插件：该插件用于从监控回放模块处获取当前会话相关数据，实时展现当前会话操作过程。 　　3 系统实现 　　SSH协议代理模块分为六个子模块，如图2所示，分别是：代理服务端子模块、认证子模块、数据加解密子模块、数据解析子模块、数据记录子模块、代理客户端子模块。 　　3.1 代理服务器模块 　　代理服务端模块作为虚拟服务器，接收由标准运维客户端发来的连接数据，以及将后台服务器相应信息发送至运维客户端。此外，代理服务模块还能并根据信息类型转发至相关模块进行处理。 　　3.2 认证子模块 　　认证子模块负责提供身份认证功能，判断客户端发来的随机认证信息是否合法，若合法则返回相关设备的真实连接信息，若不合法则拒绝连接，并将非法连接信息写入相关数据库中。 　　3.3 数据加解密模块 　　数据加解密模块用于将于运维数据进行加解密运算以及压缩与解压缩的运算。由于SSH协议对数据进行加密压缩，为了能将SSH会话数据完整的解析记录，必须将数据进行解压解密至可用人正常阅读的明文状态，因此SSH协议代理模块设计的关键是数据的加密与解密以及压缩与解压缩。 　　3.4 数据解析模块 　　数据解析模块是将已经还原成明文的数据进行解析，除去终端控制字符等，将多个数据包数据拼接还原成一条完整的命令或相应数据，并对其进行数据合法性校验。此外，该模块将已解析完成的一条完整命令或响应数据发给数据记录模块，以便写入运维会话过程文件。 　　3.5 数据记录模块 　　数据记录模块负责将已解析还原的运维会话信息完整的写入会话记录过程文件。此外，当审计员正在使用监控在线会话功能时，该模块还负责将会话信息发送给监控插件。会话过程记录文件分为两种，一种是供分析使用