网络靶场监控系统的安全加固纪实(1)—SSL/TLS对日志数据加密传输

背景

筱思辨所在的单位有一个网络靶场(网络靶场(Cyber Range),对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的试验场平台,以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的网络安全对抗水平。),网络靶场中的一些物理靶机设备需要监控,即采集靶机的日志到后端日志分析系统。

领导需求:靶机到后端日志分析系统的日志传输要进行安全加固。

目前现状:Filebeat 分布式部署在各个靶机,采集靶机日志以明文通过防火墙传输到后端KafKa;日志传输以明文形式;Filebeat与Kafka之间无身份鉴权;Filebeat对Kafka的资源访问无权限控制;(Ps:这里增加组网图)

结合目前现状与领导需求,筱思辩给出了一个初步的安全加固方案。

安全加固方案:Kafka的认证机制SASL/SCRAM 对Filebeat的身份鉴权 + SSL/TLS对日志数据加密传输 + KafKa的授权机制ACL控制Filebeat对其资源访问权限。

“网络靶场监控系统的安全加固纪实”系列,筱思辩在这里,按照实施的三个加固方向,以三篇文章予以记录:

  1. Filebeat 与 Kafka (Kraft模式)通过SSL/TLS协议加密传输日志数据;

  2. Kafka的认证机制SASL/SCRAM ;

  3. KafKa的授权机制ACL控制资源访问权限;

本文是纪实的第一篇"SSL/TLS协议加密传输日志数据",文章脉络如下:

  • 理解各种让你放弃继续的概念

  • openssl生成&签发证书

  • SSL/TLS握手协商

  • Filebeat 与 Kafka (Kraft模式)加密传输日志数据配置实例

理解各种让你放弃继续的概念

1. 对称加解密/非对称加密解密/公钥&私钥/签名&验证签名

对称加密:加密是用一个密码加密,然后解密也用同样的密码,这个是对称加密解密。

非对称加密:而有些加密时,加密用的一个密码,而解密用另外一个密码,这个叫非对称加密。

公钥&私钥:非对称加密中的用于加解密的两个密码,称为公钥和私钥。公钥与私钥都可以用来加密数据。一般来说,公钥加密数据,然后私钥解密的情况被称为非对称加密解密。

签名&签名验证:通过公钥&私钥非对称加密的另一种用法,私钥加密数据,公钥解密的过程一般被称为签名和验证签名。

2. RSA/DSA/SHA/MD5

RSA/DSA:被称为非对称加密的算法,不同的是RSA可以用于加/解密,也可以用于签名验签;DSA则只能用于签名。

SHA/MD5:被称为摘要算法,一般不用于加密解密或者签名的,依据数据内容生成一种固定长度的摘要。这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,所以,自然不能解密出原始数据,也就不能用于加解密或签名了。

3. CA/OPENSSL/PEM/DER/X509/KEYTOOL/KeyStore/TrustStore/PKCS/JKS

CA(Certification Authority)

一般的公钥不会用明文传输给别人的,为什么呢?实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用对方的公钥加密,对方得到后用他的私钥解密,对方要发给你的数据流程也一样。但是传输过程中如果有黑客恶意破坏,将对方的公钥换成了黑客的公钥,然后你在不知情的情况下用黑客的公钥加密数据,这样你和对方的通信数据就泄露啦(这就是中间人攻击)。

为了解决这个问题,需要一个公证方来做确认公钥是谁发的,这个公证方就是CA

CA确认公钥的原理也很简单,基本流程如下:

  1. CA的公钥发布给所有人;

  2. 任何一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,

  3. CA经过审核后将申请者的公钥和身份信息生成摘要,然后自己的私钥进行加密,这里称为签名;这个包含了申请者的公钥和身份信息的文件称为证书文件。

  4. 需要使用公钥文件的人,通过CA的公钥解密文件,如果正常解密,那么证明证书是是CA认证过的。

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAYmx1aXNoZ2xj,size_20,color_FFFFFF,t_70,g_se,x_16#pic_cente0r.jpg

根证书根据申请的方式不同一般分为两种:向权威机构CA申请签名证书、自签名证书;

其中,自签名证书又分为自签名私有证书与自签名CA证书;两者区别在于:

  • 私有证书无法被吊销,自签的CA证书可以被吊销;

  • 需要创建多个客户端证书的时候,推荐使用CA证书,因为只要给所有的客户端(有待推敲)都安装了 CA 根证书,那么以该 CA 根证书签名过的客户端证书都是信任的,不需要重复的安装客户端证书;

  • 二者签名二级证书的命令也不同;

实际应用中,一般人都不会找权威机构CA去签名,因为那是收钱的,所以可以自己做一个自签名的CA证书文件。

制作CA证书就需要一套工具,目前最流行的就是OPENSSL。

OPENSSL:

openssl ,提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。

主要构成组件:密码算法库;密钥和证书封装管理功能;SSL通信API接口。

主要应用场景:建立 RSA、DH、DSA key 参数;建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表);计算消息摘要;使用各种 Cipher加密/解密;SSL/TLS 客户端以及服务器的测试;处理S/MIME 或者加密邮件等。

PEM和DER:密钥文件的格式,用OpenSSL生成的就只有PEM和DER两种格式。

PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母;DER格式是二进制的密钥文件,你什么也看不懂!

X509:是通用的证书文件格式定义。

Keytool: 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在文件中。

这种文件分为两种:密钥库(keystore)和信任库(truststore)。

keystore:密钥库,存储一个私钥和一个相关的证书,或者相关的证书链(由客户证书和一个或多个证书颁发机构(CA)证书组成)。 truststore:可信任的证书实体(trusted certificate entries),保存用于标识对方身份的证书——只包含公钥。

JKS和PKCS的一系列标准是指定的存放密钥和证书的文件标准规范。其中,KS 和 PKCS12 的区别是:JKS 是 Java 特有的格式,而 PKCS12(Public Key Cryptography Standards, 公钥加密标准)是存储加密的私钥和证书的标准规范与语言无关。在 JDK8 之前,keystore 和 truststore 的默认格式为 JKS;从 JDK9 开始,默认格式为PKCS12。

openssl生成&签发证书

1. openssl生成&签发私有证书的一般步骤

生成证书的标准流程是这样的:

  1. 生成自己的私钥文件(.key);

  2. 基于私钥生成证书请求文件(.csr);

  3. 将证书请求文件(.csr)提交给CA,CA会对提交的证书请求中的所有信息生成一个摘要,然后使用CA根证书对应的私钥进行加密,这就是所谓的“签名”操作,完成签名后就会得到真正的签发证书(.cer或.crt);

  4. 用户拿到签发后的证书,可能需要导入到自己的密钥库中,如keystore;

这里一个重要步骤就是3,筱思辩需要一个CA,但是,筱思辩又不想花钱,因此,这里自己做了一个自签名CA证书,用它来为自己的证书签名。

2. 自签名CA证书制作

这里不做赘述,直接给大家看筱思辩的实操。

  1. 创建保存CA证书与私钥的目录。
  [root@controller tls]# mkdir tls
  [root@controller tls]# mkdir /root/tls/{certs,private,crl}
  [root@controller tls]# touch serial crlnumber index.txt
  [root@controller tls]# echo 01 > serial
  [root@controller tls]# echo 1000 > crlnumber
可以在`serial`和 `crlnumber` 文件中添加任何数字开始,现在每次我们签署或撤销证书时,相应文件的条目将增加 1。
  1. 生成CA的私钥。
[root@controller tls]# openssl genrsa -out private/cakey.pem 4096
    Generating RSA private key, 4096 bit long modulus (2 primes)
    ......................................................................++++
    ...............++++
    e is 65537 (0x010001)
生成rsa私钥,4096位强度,cakey.pem是CA秘钥文件名。
  1. 基于私钥(.pem)创建证书签名请求(.csr)。
[root@controller tls]# openssl req -new -key private/cakey.pem -out caroot.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"
`-nodes Don't encrypt the output key`

`-subj val Set or modify request subject`

`-new New request`

`-key val Private key to use`

> 注意:这里的`-subj val`参数,val 是 申请人信息,格式是 /C=CN/O=Corp/.../CN=[www.ez.com](www.ez.com),可以使用 \ 转义,不会跳过空格;
> 
> 这里如果嫌每次输入麻烦,我们可以设置 [openssl.cnf](https://blog.csdn.net/wzfgd/article/details/109805158)文件,配置文件的详细解释,就不在这里说了,大家有兴趣自行度娘。
> 
> 利用配置文件创建ca证书签名请求命令
> 
   [root@controller tls]# openssl req -new -key private/cakey.pem -out caroot.csr -config openssl.cnf
  1. 使用CA私钥(.pem)签名CA证书申请文件(.csr),生成CA自签名证书(.crt)
[root@controller tls]# openssl x509openssl x509 -req -in caroot.csr -out certs/caRoot.pem -signkey private/cakey.pem -days 365 
**(可选)**步骤1-3可以合成一条命令,直接生成CA私钥与自签名证书。
[root@controller tls]# openssl req -x509 -newkey rsa:4096 -nodes -keyout private/cakey.pem -out certs/caRoot.pem -days 3650  -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"
  1. 查看生成的证书。
[root@controller tls]# openssl x509 -noout -text -in certs/cacert.pem
接下来,筱思辩用生成的CA的密钥和CA证书为自己服务器制作CA签名证书。

3. 制作服务器的CA签名证书与密钥

  1. 生成服务器的私钥(server.key.pem) 与证书申请文件(server.csr)。
[root@controller tls]# openssl req -new -newkey rsa:4096 -nodes -keyout private/server.key.pem -out server.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"
  1. 利用前面生成CA为服务器证书申请文件签名。
[root@controller tls]# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out certs/server.x509.crt -days 3650
`-CAcreateserial Create serial number file if it does not exist`

> 注意:利用openssl 命令为服务器的证书申请文件签名 ,有两种模式:x509 与 ca。那么,它们两者之间有什么异同呢?
> 
> 相同:两者都可以签名证书请求。
> 
> 区别:
> 
> 1.  `openssl x509`具有更多功能,比如查看证书内容,转换证书格式等;而`openssl ca`没有这些特性;
>     
>     
> 2.  `openssl ca` 维护一个证书列表的数据文件,而`openssl x509`没有;这导致`openssl x509`可以多次签名同一个证书,只是更新serial;而`openssl ca`只能签名一次同一个证书,再次签名必须先撤销之前的证书;
>     
>     
> 3.  `openssl ca` 会检查服务器证书申请文件与CA根证书的一些信息是否匹配,检查的内容根据 `openssl.cnf`的`policy_match`部分;而`openssl x509`不会去检查;
>     
>     
> 4.  还有一个问题就是`openssl x509`不会将证书申请文件中的extension部分COPY到最终签名证书中,这有可能招致TLS握手阶段,客户端开启主机名校验时,握手失败(原因:主机校验需要校验证书中的CommonName与extension列表字段的subjectAltName,根据RFC 6125,在2011年发布的验证器必须首先检查SAN,如果SAN存在,那么CN不应该被检查。)。
>     
>     
>     
>     解决上述问题,筱思辩亲试两种方法:`openssl x509`通过增加 `-extfile extfile.cnf`;通过`openssl ca`

利用`penssl ca`生成签名证书,例子:
[root@controller tls]#  openssl ca   -in server_ext_san.csr -out server.ca.crt -days 3650  -cert ../ca_root.crt -keyfile ../ca.key -config openssl.cnf

SSL/TLS握手协商

1. 客户端与服务器SSL/TLS握手协商流程

SouthEast.jpg

上图是直接转载自“SSL/TLS协议交互流程分析”(侵权请联系删除),比较准确清晰的展示了客户端与服务器之间握手协商对称加密的密钥的过程。

这里补充几点:

  • 第四步中客户端验证证书的同时,如果开启了主机名校验需要验证服务器的主机名,验证过程:在证书中的CommonName与extension列表字段的subjectAltName中查找请求主机域名与IP地址,如果匹配成功,则验证成功;否则,验证失败。

  • 如果服务器需要验证客户端的身份,需要发送客户端证书到服务端。

  • 与前两章节结合看,服务器需要生成自己的私钥与公钥,将公钥与自身信息打包生成证书申请文件,提交给CA;这里的CA是由筱思辩通过自签的方式生成的,CA对服务端的证书申请签名,生成服务端证书;客户端验证服务端证书需要向CA去验证,因此,客户端要保存并信任自签的CA证书。如图所示:


    image.png

Filebeat 与 Kafka (Kraft模式)加密传输日志数据配置实例

本章节,筱思辩给出一个配置的实例。

1. 为Kafka broker 与Filebeat生成SSL KEY 与证书

筱思辩给出一个 SHELL 脚本,它可以方便你设置 SSL,代码如下:

#!/bin/bash
echo  “0\. create worker dir.....”
mkdir /root/tls
mkdir /root/tls/{server, client}
touch serial crlnumber index.txt
echo 01 > serial
echo 1000 > crlnumber
cd /root/tls
echo  "1\. create CA key certificate......"
openssl genrsa -out ./ca.key
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca_root.crt

echo  "2\. create kafka broker truststore keystore key certificate......"
cd ./server
keytool -keystore server_ext.keystore.jks -alias kafka_san -validity 3650 -genkey -keyalg RSA -storetype pkcs12 -ext SAN=DNS:kafka.pml.com.cn,IP:172.18.10.249
keytool -keystore server_ext.keystore.jks -alias kafka_san -certreq -file server_ext_san.csr
echo subjectAltName = DNS:kafka.pml.com.cn,IP:172.18.10.249 > extfile.cnf
openssl x509 -req -in server_ext_san.csr -CA ../ca_root.crt -CAkey ../ca.key -CAcreateserial -extfile extfile.cnf -out server_san.x509.crt -days 3650
keytool -keystore server_ext.keystore.jks -alias CARoot -import -file ../ca_root.crt
keytool -keystore server_ext.keystore.jks -alias kafka_san -import -file server_san.x509.crt
keytool -keystore kafka_trustchain -alias CARoot -import -file ../ca_root.crt

echo  "3\. create filebeat  key certificate  trust-ca......"
cd ../client
cat ../ca_root.crt > filebeat_trust.cert.pem
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -cert ../ca_root.crt -keyfile ../ca.key -out client.crt
openssl x509 -in client.crt -out client.crt.pem -outform PEM

最后,需要把服务端与客户端的证书分别COPY到指定的broker与Filebeat所在的宿主机上。

2. 修改Kafka配置文件

这里kafka没有采用更普遍的zk模式,采用3.0之后最新的Kraft模式。server.properties部分配置如下:

42 listeners=PLAINTEXT://172.18.10.249:9192,SSL://172.18.10.249:9194,CONTROLLER://0.0.0.0:9193
 43 #listeners=PLAINTEXT://172.18.10.249:9192,CONTROLLER://:9193
 44 #listeners=PLAINTEXT://172.18.10.249:9092,SSL://172.18.10.249:9192
 45 #listeners=PLAINTEXT://172.18.10.249:9092
 46 inter.broker.listener.name=PLAINTEXT
 47 #listeners=SSL://172.18.10.249:9092
 48 #inter.broker.listener.name=SSL
 49
 50
 51 # Hostname and port the broker will advertise to producers and consumers. If not set,
 52 # it uses the value for "listeners" if configured.  Otherwise, it will use the value
 53 # returned from java.net.InetAddress.getCanonicalHostName().
 54 #advertised.listeners=PLAINTEXT://172.18.10.249:9192
 55 advertised.listeners=PLAINTEXT://172.18.10.249:9192,SSL://172.18.10.249:9194
 56 #advertised.listeners=SSL://172.18.10.249:9194
 57 ssl.enabled.protocols=TLSv1.2,TLSv1.1,TLSv1
 58
 59 #security.inter.broker.protocol=PLAINTEXT
 60 ssl.endpoint.identification.algorithm= #不校验主机名
 61 #ssl.endpoint.identification.algorithm=HTTPS
 62
 63 #old#ssl.keystore.location=/usr/kafka_2.12-3.1.0/config/kraft/server/server.keystore.jks
 64 ssl.keystore.location=/root/tls/server/server_ext.keystore.jks
 65 ssl.keystore.password=123456
 66 ssl.keystore.type=PKCS12
 67 ssl.key.password=123456
 68 #old#ssl.truststore.location=/usr/kafka_2.12-3.1.0/config/kraft/server/server.truststore.jks
 69 ssl.truststore.location=/root/tls/server/kafka_trustchain.jks
 70 ssl.truststore.password=123456
 71 ssl.truststore.type=PKCS12
 72 ssl.client.auth=none #不做客户端证书校验

3. Filebeat端配置

Filebeat端需要在/etc/hosts中增加FQDN 与IPAdress对应关系。

filebeat.yml 部分配置如下:

output.kafka:
 77 #----------------------------- kafka output --------------------------------
 78   enable: true
 79   hosts: ["kafka.pml.com.cn:9194"]
 80   topic: '%{[topic]}'
 81   partition.round_robin:
 82     reachable_only: false
 83
 84   required_acks: 1
 85   compression: gzip
 86   max_message_bytes: 1000000
 87
 88   ssl.enabled: true
 89   ssl.certificate_authorities: ["/root/tls/filebeat.cert.pem"]
 90   ssl.certificate: "/root/tls/client/client.crt.pem"
 91   ssl.key: "/root/tls/client/client.key"
 92   #ssl.verification_mode: none

总结

通过本文筱思辩实现了Filebeat 到 Kafka (Kraft模式)的日志数据加密传输,加深了对数字证书、证书签名、证书验证、tls协议等概念的理解。

参考

  • KAFKA官方文档

你可能感兴趣的:(网络靶场监控系统的安全加固纪实(1)—SSL/TLS对日志数据加密传输)