1 / 15

Xen 基础架构安全性分析

Xen 基础架构安全性分析. 云朋. Email: cbns888@163.com. Xen 虚拟化介绍. Domain U HVM. Domain U PV. Network backend Driver. Network Driver. Block Backend Driver. Xen virtual firmware. Domain0. Block Driver. Qemu -dm. …. …. Xen 是一个基于 Hypervisor 和虚拟化的开源虚拟机监视器,由剑桥大学的 lan Pratt 教授领导发起

briar
Download Presentation

Xen 基础架构安全性分析

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Xen基础架构安全性分析 云朋 • Email: cbns888@163.com

  2. Xen虚拟化介绍 Domain U HVM Domain U PV Network backend Driver Network Driver Block Backend Driver Xen virtual firmware Domain0 Block Driver Qemu-dm … … • Xen是一个基于Hypervisor 和虚拟化的开源虚拟机监视器,由剑桥大学的lan Pratt 教授领导发起 • Xen Hypervisor,运行在硬件层之上的“元”操作系统,用于协调硬件资源(CPU、内存)、各虚拟机之间进行环境隔离; • Domain 0,一个运行上Hyerpvisro上修改过Linux Kernel的独特虚拟机,控制硬件IO资源,与Domain U交互。 • Domain U 运行在Hypervisor上的虚拟机,分为PV和HVM Hypervisor Hardware

  3. Xen安全 溢出到Hypervisor,造成DOS 溢出到Domain0,拥有管理员权限,可以攻击本机其他虚拟机或者攻击其他主机 Guest OS Guest OS 嗅探同一主机的其他虚拟机 Domain0 Domain U Domain U … Host xx Hypervisor Hardware

  4. 主机内的虚拟机间的攻击 • 当Ghost OS被发现时,流量从一个虚拟机到另外一个虚拟机,不经过物理网卡,而是直接在Hypervisor的网桥转发,检测变的非常因验 • 基于Xen架构的另一种情况: 当虚拟机共享或者重新分配硬件资源时会造成很多的安全风险。信息可能会在虚拟机之间被泄露。 例如,如果虚拟机占用了额外的内存,然而在释放的时候没有重置这些区域,分配在这块内存上的新的虚拟机就可以读取到敏感信息。 Dom0 Ghost OS GhostOS GhostOS Hypervisor 伪物理地址到机器地址映射表 CPU Memory NIC

  5. 对Hypervisor 的攻击 • 对Hypervisor的攻击主要来自于DOS攻击(CVE20122625)。从Ghost OS上直接造成Hypervisor崩溃,使这台主机上的所有虚拟机都停止运行 • API接口为攻击者提供了更多的攻击路径以及更大的攻击平面。(典型的API包括了libvirt API,以及由硬件以及带有hypervisor能够处理的参数的处理器指令所产生的中断)(CVE20111898)。 Dom0 Ghost OS GhostOS GhostOS DOS API Hypervisor CPU Memory NIC DOS攻击对Xen所承载的业务系统的脆弱性提出了严重挑战

  6. Xen的公开漏洞(1) • CVE-2012-2625 漏洞发布时间:2012-05-22影响系统 :Xen 4.x危害: 本地攻击者可以利用漏洞可使系统崩溃。 攻击所需条件: 攻击者必须构建恶意内核映像,诱使程序解析。漏洞信息当解压缩内核时PyGrub存在一个错误,通过超大的内核映像,诱使应用程序解析,Guest虚拟机中的本地用户可导致Hypervisor层崩溃。

  7. Xen的公开漏洞(2) • CVE-2011-1898 • Description • Xen 4.1 & 4.0, when using PCI passthrough on Intel VT-d chipsets that do not have interrupt remapping, allows guest OS users to gain host OS privileges by "using DMA to generate MSI interrupts by writing to the interrupt injection registers." Xen未对DMA传输做限制。 因此具备DMA能力的设备可以覆盖和写入到系统的任意内存地址,即便是Xen的内存空间。

  8. Xen的其它公开漏洞(DOS) • 公开的CVE漏洞,造成Hypervisor拒绝服务 • CVE-2010-4255 XEN 4.0.1和早期的64bit版本,允许guest OS通过构造的特殊内存访问导致DOS • CVE-2010-4247 XEN 3.4.0之前版本,通过无限循环和消耗CPU的操作,可能允许guest OS造成DOS  • CVE-2010-3699 XEN 3.x的后端驱动允许guest OS把自己挂起造成DOS

  9. 对Domain0的攻击 • 通常提供云计算资源的主机需要用防火墙限制从外部来的访问,因此对Domain0的攻击更多的是从内部发起的。 • Domain0权限的沦陷,会危及这台主机上的虚拟机的安全 Dom0 OS OS OS Hypervisor CPU Memory NIC

  10. 对Hypervisor逃逸攻击 • 最新版本中上未发现有公开的虚拟机逃逸漏洞,但不意味着将来不会有,无法预测。一旦出现这种漏洞,危害是巨大的,攻击者可以直接进入主机系统,进而入侵内部网络,威胁整个云的安全 Dom0 OS OS OS Hypervisor CPU Memory NIC

  11. 对虚拟机逃逸的防范 • 我们无法从技术上杜绝这种攻击,因此我们需要对这种攻击做出防范 • 攻击监控和报警 • 物理主机隔离 • Guest OS隔离 • 虚拟机快照,捕捉攻击现场

  12. 虚拟机热迁移的安全 • 虚拟机热迁移时数据在网络间明文传输 • 虚拟机内存中的信息会被嗅探 • 内存数据传输时存在中间人攻击的可能,系统或数据会被篡改 使用XenMotion协议带来的问题

  13. 更玄的方式? • 隐蔽通道 同一hypervisor上的虚拟机可以通过CPU的负载传输隐蔽信息,这种通信是无法被监控的,但对于企业威胁性仅存在于理论上。因为与其使用这么复杂的传输方式,还不如使用其他rootkit。 CPU和资源虚拟化可能暴露时间、内存和计算速度等信息,攻击者可利用这些信息建立隐蔽通道。

  14. 制造一个封闭的Xen • 服务变轻 • 权限变小 • 不可逆的虚拟资源发现 • 更多的使用自动化

  15. 谢谢!

More Related