山西第十届职业院校技能大赛高职组.docx
《山西第十届职业院校技能大赛高职组.docx》由会员分享,可在线阅读,更多相关《山西第十届职业院校技能大赛高职组.docx(13页珍藏版)》请在冰豆网上搜索。
山西第十届职业院校技能大赛高职组
“山西省第十届职业院校技能大赛”高职组
信息安全管理与评估赛项赛题
赛题基础信息
你们是某公司的IT运维人员,负责维护公司网络系统安全。
第一阶段任务是完成网络搭建、安全管理两项任务,并提交所有文档留存备案,文档需要存放在“D:
/技能大赛“文件夹中。
任务描述
你们是某公司的IT系统运维工程师,公司总部设在北京,并决定在上海开设分公司。
为了便于公司业务的信息化,需要你们对整个公司网络进行搭建,同时为了便于公司的管理与宣传,需要在内、外网的服务器上部署相应服务。
技术要求
北京公司总部与上海分支机构内网都运行静态路由,由于公司内部很多数据在传输时需要注意安全性,因此在出口防火墙上要配置VPN,实现内网数据安全。
除了网络设备部分,公司还在北京总部内网还部署了三台服务器。
网络拓扑图
IP地址规划表
设备类型
设备名称
接口
IP地址
说明
防火墙
DCFW
E1
100.100.1.1/24
与PC-3相连
E2
192.168.2.1/24
与DCFS相连
流量整形
DCFS
E2
无
与DCFW相连
E1
192.168.2.100/24
与DCRS相连
WEB应用防火墙
WAF
E0
192.168.1.200/24(桥模式)
与DCRS相连
E1
192.168.1.200/24(桥模式)
与Web服务器相连
三层交换机
DCRS
E1/0/1-VLAN2
192.168.2.254/24
与DCFS相连
E1/0/2-Vlan10
192.168.1.254/24
与服务器群相连
E1/0/3-Vlan20
192.168.20.254/24
与PC-1相连
E1/0/4-Vlan30
192.168.30.254/24
与PC-2相连
E1/0/5-Vlan40
192.168.40.254/24
与DCBI相连
上网行为管理
DCBI
E1
192.168.40.1/24
与DCRS相连
镜像口
无
与DCRS相连
沙盒
DCST
E5
192.168.1.100/24
与WAF相连
服务器
服务器场景-1
登陆DCST,启动服务器
参见系统安全赛题部分
服务器
服务器场景-2
登陆DCST,启动服务器
参见系统安全赛题部分
服务器
服务器场景-3
登陆DCST,启动服务器
参见系统安全赛题部分
PC机
PC-1
192.168.20.1/24
PC机
PC-2
192.168.30.1/24
PC机
PC-3
100.100.1.100/24
设备初始化信息
设备名称
管理地址
管理接口
用户名
密码
DCFW
http:
//192.168.1.1
ETH0
admin
admin
DCFS
https:
//192.168.1.254:
9999
ETH0
admin
Admin123
DCBI
https:
//192.168.5.254
ETH0
admin
123456
DCWAF
https:
//192.168.45.1
ETH5
admin
admin123
DCST
192.168.1.100/24
Eth0
参见附件
第一阶段:
网络平台搭建与防护
任务一:
网络平台搭建(100分)
提示:
需要提交所有设备配置文件,其中DCRS设备要求提供showrun配置文件保存到WORD文档,DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档,并在截图中加以说明,请顺序答题,并标注题号,每个设备提交的答案保存到一个WORD文档。
任务一的连通性测试截图答案添加在DCRS的文档中。
文档命名格式为:
组号-网络拓扑中设备型号。
例:
第一组DCFW设备答案提交文档的名称为:
01-DCFW.doc
平台搭建要求如下:
序号
网络需求
1
根据网络拓扑图所示,按照IP地址规划表,对WAF的名称、各接口IP地址进行配置。
(10分)
2
根据网络拓扑图所示,按照IP地址规划表,对DCFW的名称、各接口IP地址进行配置。
(10分)
3
根据网络拓扑图所示,按照IP地址规划表,对DCFS的各接口IP地址进行配置。
(10分)
4
根据网络拓扑图所示,按照IP地址规划表,对DCBI的名称、各接口IP地址进行配置。
(10分)
5
根据网络拓扑图所示,按照IP地址规划表,配置DCRS的名称、在DCRS交换机上创建相应的VLAN,并将相应接口划入VLAN。
(20分)
6
采用静态路由的方式,全网络互连。
(10分)
7
在PC-1,PC-2客户机上分别对DCST进行联通性测试,验证是否可以正常ping通,把命令行显示的ip和ping测结果截图放到DCRS里。
(15分)
8
在PC-1,PC-2客户机上分别对PC-3进行联通行测试,验证是否可以正常ping通,把命令行显示的ip和ping测结果截图放到DCRS里。
(15分)
任务二:
网络安全设备配置与防护(300分)
提示:
按照赛题要求,将每道题答案以文字说明加配置截图方式填写到文档中,请顺序答题,并标注题号。
文档命名格式为:
组号-网络拓扑中设备型号。
例:
第一组DCFW设备答案提交到上面的文档:
01-DCFW.doc
为了便于管理公司内网,且为公司内员工营造一个和谐、安全的工作、上网环境,你在公司内部引入了上网行为管理,流量整形等设备,进行内网优化。
技术要求
根据需求配置DCFW、WAF、DCFS与DCBI;
任务内容
序号
网络需求
1
在公司总部的DCFW上配置,使所有PC通过外网IP(100.100.1.1)访问互联网。
(30分)
2
在公司总部的DCFW上配置,禁止PC-2上班时间(每天的8:
00-17:
00)上QQ。
(30分)
3
在公司总部的DCFW上配置,使PC1用户通过DCFW的web认证后才可以访问互联网,用户名dcuser,密码1234。
(15分)
4
在公司总部的DCFS上对PC-1做限速,限制每IP上行2M,下行2M。
(15分)
5
在公司总部的DCFS上对linux服务器(192.168.1.101)做带宽的保障,保障上/下行带宽为15M。
(15分)
6
在公司总部的DCFW上对所有人的URL限制,禁止访问。
(15分)
7
在公司总部的DCFW上启用L2TPVPN,使分支机构的PC3通过拨入公司总部l2tpVPN访问内部的服务器资源。
L2tpVPN地址池为192.168.110.0/24,地址池名称为dcn-pool,vpn域名为dcn-vpn,用户名为pc3_user。
需要vpn客户端成功连接的截图。
(30分)
8
互联网用户可以通过100.100.1.10访问公司总部内部的web服务器192.168.1.110。
(30分)
9
在公司总部的DCRS上配置交换机安全,限制PC-2所在端口只能有5台主机,如果超出5台,则端口关闭且60秒后自动恢复.(15分)
10
现在网络内有一台DCBI-Netlog,需要监控PC1http上网记录信息。
(30分)
11
在DCBI-Netlog上监控PC2的BT下载。
(15分)
12
公司WAF透明模式部署,为了防止公司人员随意在公司网站(192.168.1.188)发布非法言论,阻止关键字中带有“法轮功”的言论(15分)
13
公司WAF透明模式部署,为了防止不法人员对公司内的网站(192.168.1.188)进行攻击,在web应用防火墙上开启“黑名单”策略,禁止公网IP地址(210.109.20.199)访问网站服务器。
(15分)
14
公司WAF透明模式部署,为了防止不法人员对公司内的网站(192.168.1.188)进行攻击,在WAF上开启防止“SQL注入”攻击策略阻止攻击流量(30分)
第二阶段:
系统安全攻防加固
任务一:
SQL手工注入(200分)
提示:
按照赛题要求,将每道题答案以文字说明加配置截图方式填写到提交答案的WORD文档中,请顺序答题并标注题号,文档命名格式为:
组号-任务二-SQL手工注入
1)拓扑
2)实验环境
实验机
虚拟机
系统/工具
版本
初始用户/密码
metas2-lab-2016
操作系统
AS5(2.6.18)
ftp服务
vsFtpd2.0.5
终端工具
Telnet
WEB服务
Apache2.2.3
Web容器
Tomcat5.5
3)实验步骤
点击拓扑里的启动项,metabs-lab-2016的ip地址通过拓扑界面获得,假设获得的地址是192.168.0.107,则如下图访问192.168.0.107
点击“sql手工注入”,然后根据系统提供的用户名:
admin,密码:
password登录,接着进入注入的页面,该页面是一个用户课程信息查询的界面,需要输入课程名,本系统中目前只录入wuli课程成绩,输出是用户基本信息和成绩信息,根据实验步骤进行实验.
1)找到sql注入点,通过'字符验证有SQL注入漏洞
2)基本的sql注入,得到所有用户成绩信息列表
3)通过多次注入测试,获得用户成绩信息查询结果列数
4)通过注入得到连接数据库用户信息
5)通过注入获得当前数据库名称
6)通过注入获得数据库版本信息
7)通过注入得到宿主操作系统信息
8)通过注入获得所有数据库名字
9)猜解dvwa数据库中的用户信息表名
10)通过注入猜测用户表的用户字段名,密码字段名
11)通过注入获得用户表中用户字,密码信息
任务二:
Samba漏洞攻防(200分)
提示:
按照赛题要求,将每道题答案以文字说明加配置截图方式填写到提交答案的WORD文档中,请顺序答题并标注题号,文档命名格式为:
组号-任务二-samba漏洞攻防。
1)拓扑
2)实验环境
实验机Kali是渗透工具集合,地址从拓扑可以获得,如获得不了,请登录获得,kali配置如下表:
虚拟机
系统/工具
版本
初始用户/密码
kali
操作系统
DebianLinux
root
123456
扫描工具
Nmap6.40
渗透工具
msfconsole
虚拟机
系统/工具
版本
初始用户/密码
metas1
操作系统
Ubuntu8.0.4(2.6.24)
数据库
Mysql5.0.51/pgsql8.3
ftp服务
ProFtpd1.3.1
web服务
Apache2.2.8
3)实验步骤
启动metas1和kali,进入kali开始实验
操作步骤
1.在kali使用namp扫描metas1机器的所能提供的服务,列出服务器开放的tcp服务端口清单;
2.记录渗透服务的端口号
3.发现被渗透服务的版本信息
4.记录漏洞渗透脚本模块的全路径
5.记录渗透代理模块的全路径
6.记录渗透控制代理的缺省监听端口
7.记录渗透过程中设置被控制主机IP地址的变量名称
8.记录被控制系统最后被添加的2个用户名
9.记录系统密码存放的加密算法
10.破解最后添加的用户的系统登陆密码
任务三:
密码嗅探与WEB漏洞渗透(200分)
提示:
按照赛题要求,将每道题答案以文字说明加配置截图方式填写到提交答案的WORD文档中,请顺序答题,并标注题号,文档命名格式为:
组号-任务三-密码嗅探与WEB漏洞渗透。
1)进入拓扑
2)实验环境
虚拟机
系统/工具
版本
初始用户/密码
metas2-lab-2016
操作系统
RedhatLinuxAs5
破解获得
WEB服务
Apache2.2.23
win-xclient-2016
操作系统
Win2003-server
administrator
123456
抓包工具
Wireshark
3)实验步骤
开启实验环境中的虚拟机,按以下提示进行操作
1.学生机访问metas2-lab-2016"/"->"文件包含",进入登录页面。
分析登录的页面源程序,找到提交的变量名,并截屏
2.在winxp-wireshark,启动桌面程序fileip,输入metas2-lab-2016的ip地址,点击“访问”,每隔6秒钟的一次访问登录,启动wireshark,设定过滤条件包含协议和端口并截屏在监听数据中分析得到用户名和密码,并截屏
3.根据用户名密码,登录进入“文件包含”页面,通过文件包含漏洞获得metas2-lab-1的用户文件passwd,找到非系统用户并提交用户名以及截屏,截屏必须包含url
4.根据获得的用户名列表,根据社会工程学密码破解非系统的密码,提交用户名以及密码.提交格式:
用户1,密码;用户2,密码。
。
。
5.找到具有重大漏洞的系统用户,记录用户名和配置漏洞字符串并提交.
6.根据系统网页,获得当前页面所在目录的目录信息并提交目录列表
7.根据系统网页,获得web根目录,提交根目录名
提交实验报告,包含内容:
1-7要求提交的内容。
升级会员 