信息安全技术应用大赛竞赛试题以及仿真测试题Word文件下载.docx
《信息安全技术应用大赛竞赛试题以及仿真测试题Word文件下载.docx》由会员分享,可在线阅读,更多相关《信息安全技术应用大赛竞赛试题以及仿真测试题Word文件下载.docx(21页珍藏版)》请在冰豆网上搜索。
第三阶段:
场外攻防对抗
5
防守场外渗透测试
2.1第一阶段:
2.1.1网络环境搭建和网络安全部署
拓扑图(见附件一),IP地址规划(见附件二)及竞赛要求说明如下:
场景描述:
某公司通过防火墙与互联网相连,为保证公司内部网络和互联网络之间能够相互通信,要求完成一系列安全方面措施,现进行网络的搭建与配置。
技术要求:
1.根据拓扑图正确连接设备。
2.根据大赛规划设置IP地址与VLAN等基本信息。
3.由RA-RB-RC-FWA组成外网,FWB-RS-SWA-SWB组成内网。
4.外网运行OSPF多区域路由协议;
RC与FWA组成Area0,RA与RC组成Area1,RB与FWA组成Area2,RA与RB组成Area3,RB与RC组成Area4,将Area2设为末梢区域,Area1上做虚链路。
5.RB与RC之间运行PPP,采用CHAP单向认证,RA为主认证方。
6.PCA访问RA时,使用策略路由使流量按照FWA-RB-RA的线路转发。
7.通过RC访问外网的FTP服务,要求使用QoS将下载流量限制在2M范围内。
8.当内网用户访问外网时,由FWB上通过开启NAT功能实现。
9.SWA与SWB之间使用链路捆绑,由2条千兆以太网线相连。
10.RS-SWA-SWB之间通过MSTP技术实现冗余链路的收敛,防止环路的产生,并且要求SWB的0/3端口阻断。
11.在RS上开启DHCP服务,要求PCC与PCB可以通过RS获取地址,且SWA、SWB可以阻断除RS之外的任何其他DHCPserver服务。
12.将PCB的MAC地址与SWB的端口进行端口绑定,要求SWB的0/2端口只允许PCB接入。
13.通过dhcpsnooping实现PCC的IP地址、MAC地址与SWA的端口进行三元组绑定,要求SWA的0/1接口只允许PCC的IP接入。
14.PCB,PCC访问PCA时,必须使用WEB认证,由FWB设置。
15.在防火墙配置禁止PCB和PCC禁止使用QQ聊天软件。
16.PCA可以通过telnet远程管理RS设备,在FWB中配置反向NAT。
17.网络中所有的PC均可访问大赛主网络。
18.将通过RS访问外网的所有的数据镜像到IDS所连接的端口上,使用DCNIDS监控内网所有TCP数据包,并将所捕获的数据生成报告。
将IDS服务器架设到PCC上,并提供搭建成功IDS正常运行截图与所生成的风险评估柱状图报表。
安全要求
19.为保证安全,请为基础网络设备(路由器、交换机)设置使能密码。
20.为保证安全,请为网络中所有的设备设置telnet远程登录(IDS与堡垒服务器DCST除外),并设置安全的用户名与口令。
文档要求:
21.将所有设备的配置文件整理上传
22.整理提交相应文档。
2.1.2主机系统加固部分
【场景1说明】:
堡垒主机要求windows2003Server版本;
并预设2个帐号stud1、stud2,开启TerminalServices;
开启如下服务:
TaskSchedule、RemoteRegistry、Printspooler、Telnet、ComputerBrowser、Messenger、Alerter、DHCPClient。
TerminalServices;
开启三个共享C$、ADMIN$、IPC$共享,;
未设置带密码的屏幕保护;
选手资料准备:
通过mstsc.exe登录目标服务器。
【场景2说明】:
堡垒主机要求RedHatEnterprise5版本;
开启ssh服务进程;
系统预制root相应属性为非安全属性;
/etc/profile中UMASK值置077;
并允许root账户网络登录;
选手工具资料:
远程登录工具如Putty。
1.任务一:
SCENE1账号口令策略
【考题要求】
通过配置windows账号口令策略加强其安全性,包括:
禁用Guest账号;
禁用使用的账号stud1、stud2;
删除不使用的帐号stud1、stud2
密码策略配置:
启用密码复杂性要求、密码最小长度8位、密码最长保留期30天、强制密码历史5次;
账户锁定策略设置:
复位账户锁定计数器10分钟、账户锁定时间20分钟;
账户锁定阈值:
5次无效登录;
2.任务二:
SCENE1系统服务加固
关闭以下系统服务:
TaskSchedule、RemoteRegistry、Printspooler、ComputerBrowser、Messenger、Alerter、DHCPClient。
3.任务三:
SCENE1关闭默认共享
关闭系统默认共享:
包括关闭分区默认共享(C$、D$、E$.),关闭管理默认共享(admin$),关闭IPC$默认共享。
4.任务四:
对SCENE1进行TCP/IP堆栈加固
拒绝服务(DoS)攻击是一种网络攻击,通过加固TCP/IP堆栈来完成防御。
(请修改注册表加固TCP/IP堆栈)。
5.任务五:
SCENE1启用屏幕保护
启用屏幕保护程序,防止管理员忘记锁定机器被非法攻击,设置带密码的屏幕保护,主要通过修改屏幕保护的时间,将屏幕保护时间修改为10分钟。
6.任务六:
SCENE2敏感系统账号设置
锁定以下账号:
sync;
halt;
new;
uucp;
operator;
games;
gopher
7.任务七:
SCENE2账号口令安全
更改系统管理员账号为复杂密码;
配置账号超时5分钟自动注销
设置密码策略:
最大口令使用日期180天、最小口令长度8位、口令过期前警告天数30天
8.任务八:
SCENE2文件系统安全
系统UMASK设置为022
2.2.3安全评估(裁判组)
1.参赛选手登录安全评估系统,填写相应设备的IP、用户名和口令等,点击提交;
2.提交相应文档;
3.各参赛队提交信息后暂停,裁判组进行安全评估。
2.2第二阶段:
2.2.1场景说明
【场景3说明】
Linux服务器;
操作系统telnet具有弱口令;
建立一个场景4信息的文本文档,该文档内容要包含场景4的登录ip地址和帐号密码。
【场景4说明】
堡垒主机要求windowsxpsp2简体中文版本;
建立一个场景5信息的文本文档;
该文档内容要包含场景5的登录ip地址和帐号密码;
要求至少开启的有3389端口,80端口,139端口。
开放21端口。
【场景5说明】
堡垒主机要求win2003简体中文版本;
停止Serv-U;
需确认IIS目录设置为权限可写入;
使用Access数据库。
2.2.2任务说明
场景3主机信息收集
登录Windows客户端,通过LscanPort端口扫描工具,获取服务器场景3的系统信息(已知windowsxp地址),查看端口开放情况及相应服务(如ftp,3389远程连接,http服务等)。
场景3服务器端口扫描
通过使用HScan扫描工具来对该服务器进行扫描,罗列出开放了哪些端口,并将开放的端口信息的对应服务写下来。
场景3密码扫描
利用攻击工具,猜测场景3登录口令,并通过该口令进入目标系统场景3。
查找场景4的登录信息
在场景3机器上查找场景4登录信息。
场景4的FTP登录帐号和密码破译
通过破译场景4的FTP帐号和密码,,将里面放置的场景5的登录IP获取。
查找场景5的登录信息
在场景4机器上查找场景5登录信息。
场景5服务器IIS权限探测
从攻击客户端上利用iisputscan工具,对其进行IIS写权限探测,验证该目录是否可写;
若该目录验证可写,上传1.txt至场景5。
场景5WEB网站数据库下载
从攻击客户端浏览器访问场景5服务器的WEB网站,查看其页面代码,寻找网站的conn.asp(数据库调用文件),通过该文件获取里面的数据库地址或数据库的用户名和密码。
2.2.3文档说明
提交相应截图和文档。
2.3第三阶段:
2.3.1场景说明
【场景6说明】
堡垒主机要求windows2003Server未安装任何补丁版本
并预设2个帐号stud1stud2,开启远程桌面访问。
开启远程桌面服务。
开启三个共享C$、ADMIN$、IPC$共享,开启远程桌面连接服务。
未设置带密码的屏幕保护。
远程登录工具。
赛场规则:
1.不可以插拔堡垒服务器网线;
2.不得重启堡垒服务器以及重启堡垒服务器中的虚拟机;
3.不得关闭21、22、23、80、1433、3306、3389、8080服务端口;
4.不得在堡垒服务器中开启防火墙功能,不得安装杀毒软件;
5.不得在堡垒服务器前端架设硬件防火墙,不得在设备上配置ACL阻断外部的访问;
6.禁止使用DoS、DDoS、ARP欺骗、病毒类等恶意工具攻击大赛主网络。
一经发现违反以上赛场规则者,取消本阶段比赛资格。
2.3.2任务说明
场景6加固
加固自己堡垒主机场景6系统。
保证自己的场景6系统可以坚持30分钟以上。
对手场景6攻击
攻击对手已经加固过的场景6系统。
可采用溢出、弱口令、绕过登录验证、绕过防注入系统、cookie注入、Sql注入、ASP注入、PHP注入、JSP注入等多种方法。
被入侵后的总结
参赛选手需要从安全设备和日志系统中,获得入侵者的基本信息并记录提交作为成功防守的评判。
2.4文档部分评判标准
2.4.1电子文件的存放位置
将竞赛所需要的文档放置在电脑PCD的桌面,新建“竞赛文档+工位号”文件夹,在此文件夹下再建立两个子文件夹,分别命名为“设备配置文件”(存放所有设备的配置文件)和“竞赛验收文档”(存放最终的竞赛结果)。
2.4.2电子文件的命名规则
计算机网络组建与安全维护提交文件的命名规则表
项目
文件类型
命名规则
备注
计算机网络信息安全
配置文件
CFG-设备名称参赛队-工位号.txt
竞赛验收文件
Test-参赛队工位号.doc
2.4.3考评内容
●输出文档标准:
实验所输出的文档需保存为.doc或.docx。
●文档的完整性:
实验用所有路由器、交换机、防火墙的配置命令的导出是否完整。
●文档图片完整性:
IDS设备、堡垒服务器所完成配置的页面是否截屏并完整。
●文档的说明:
对于输出的配置命令或截屏是否有正确的配置功能说明。
●文档页面设置:
上下空:
2.5cm;
左空:
3.0cm(以便装订);
行间距:
1.5倍;
正文字号:
宋体小四号;
●文档页眉页角:
页眉:
“竞赛名称”+“工位号”;
页脚:
页码(当前页码/总页数)
2.5团队风貌与协作评判标准
考评内容如下:
●团队风貌:
团队精神面貌好
●组织与管理能力:
团队成员分工合作,任务均匀
●团队协作与沟通:
团队成员有交流、沟通
●工作环境及设备摆放符合企业生产“5S”:
操作符合5S(整理、整顿、清扫、清洁、素养)
●工作计划性:
工作计划性强,按时完成任务。
信息安全技术竞赛仿真测试题
※注意事项
1.测试时间:
180分钟
2.设备清单3PC+2FW+13layerswitch+2swith+1IDS+3Router
3.防火墙IPS功能需要许可,如果防火墙还原后,许可失效,请从FTP自行下载
4.测试过程:
a)审题
b)准备阶段和设备初始化
c)网络环境搭建与调试
d)网络系统加固
e)主机系统加固
f)网络攻击
g)收尾工作
网络拓朴结构示意图
一、网络环境搭建与调试(40分)
根据表1-3和网络拓扑图中的信息,连接并配置设备,实现网络功能,并将所有交换机/路由器的配置文件通过tftp上传到服务器上,文件命名格式为设备名-config.txt,例如:
S1-config.txt。
表1设备IP地址
设备
设备名称
设备接口
IP地址
路由器
R1
Loopback0
169.254.15.253/32
Fa0/0
211.78.45.1/30
串口
211.78.45.6/30
R2
169.254.15.254/32
S0/0
211.78.45.5/30
S0/1
211.78.45.9/30
R3
211.78.45.10/30
172.16.1.254/24
三层交换机
S1
VLAN1
192.168.1.254
VLAN20
192.168.20.254
VLAN21
192.168.21.254
VLAN22
192.168.22.254
VLAN23
192.168.23.254
VLAN50
192.168.50.254
VLAN100
192.168.100.1
防火墙
F1、F2
内网IP
192.168.1.1
外网IP
211.78.45.2/30
二层交换机
S2
192.168.1.2
服务器
Server
192.168.50.100
配置好IIS的WEB、FTP服务,内容自定义,禁止WINDOWS防火墙,
将SERVERC盘完全共享,开启远程桌面。
PC机
PCA
自由机,配置除IDS外所有的网络设备,最放置于VLAN21
ADMIN
IDS管理机
PC
远程电脑
表2基本网络需求说明
需求
详细说明
Corp-A
基本要求
(1)内网所有设备都可以访问外网
(2)结合MSTP实现负载均衡:
聚合链路是VLAN20、21的主路径,另一条单线链路是VLAN22、23的主路径
(3)VLAN21网络的用户通过DHCP获取IP地址
(4)DHCP地址池在S1上配置
(5)外网路由设备可以通过tftp形式上传文件到服务器
Corp-B
(1)内部网络可以访问外网
(2)R3和R2之间采用PPP连接,CHAP认证密码为654321
设备命名、密码规范
(1)交换机、路由器根据拓扑图进行主机名命名
(2)R3远程登录用户名admin,密码admin,特权密码secret
路由
(1)R1/R2之间采用OSPF协议,且配置基于接口的验证,采用MD5验证方式,key-id为7,key为xieshang
表3功能需求说明
名称
实现
功能
详细
说明
安全功能
(1)只允许内部用户和VPN用户远程登录管理
优化功能
实施QoS策略,使得CorpA内部设备访问服务器的FTP数据报带宽限制为1Mbps,突发量为2M字节,超过带宽的FTP报文一律丢弃,而VPN用户访问服务器的FTP数据报带宽限制为200Mbps,突发量为500K字节,超过带宽的FTP报文一律丢弃。
附加功能
利用NTP服务器为交换机提供精确的时间,NTP服务器地址为198.15.76.5
(1)启动SSH,要求SSH采用AAA本地认证。
(2)内网用户在工作时间只允许访问外网WEB服务器以及VPN连接CorpA,其余时段不受限制。
二、网络系统加固(50分)
设备需求
功能说明
基本配置
PCA手工配置IP地址为192.168.1.2,连接防火墙F1。
(1)防火墙F1上配置,实现PCA、ADMIN通过WEB认证方式可访问internet,WEB认证方式为https,用户名为user/user
(2)PC可通过防火墙F1外网IP:
211.78.45.2地址端口映射80、21到SERVER,也即PC可FTP访问SERVER、WEB浏览访问SERVER
(3)F1上配置,使PCA、ADMIN可直访问SERVER。
(4)防火墙全局DNS服务器地址为202.101.172.35,防火墙DNS默认不允许内网用户PCA、ADMIN访问网站。
网关加固
(1)禁止PCA用户从INTERNET下载EXE类型文件。
(2)不允许PCA用户访问*;
*
(3)禁止内网用户访问包含“化工”,“计算机”、“医药”三个敏感词的网页。
具体要求为:
如果页面中包含“化工”,“计算机”、“医药”三个词中的任何两个或者任何一个关键字出现的次数在两次或两次以上,则对该页面进行阻断并记录日志信息。
(4)内网电脑上行每IP最大带宽3200K所有IP最大带宽5000K、下行每IP最大带宽4000K所有IP最大带宽9000K
VPN配置
防火墙F1上配置,实现SCVPN功能,要求:
(1)使PC可通过访问防火墙FWe0/1地址211.78.45.2:
8666,获得172.16.1.0/24地址。
(2)用户名scvpn/scvpn
(3)登录成功后跳转到FWAe0/1地址的80端口,也即SERVER的HTTP站点。
(4)允许用户同名登录3次,
(5)PC可以ping通PCA、ADMIN、SERVER。
安全防护
配置防火墙F1的外网接口和VPN接口,使它们具有以下防护:
(1)IP地址扫描攻击防护功能,在3秒时间内,有10个以上相同IP地址的ICMP包请求,则发出警报,但允许数据包通行。
(2)端口扫描攻击防护功能,在3秒时间内,有10个以上相同IP地址的TCPSYN包请求,则发出警报,但允许数据包通行。
(3)IP地址欺骗攻击防护功能
(4)配置SYNFlood攻击防护功能
(5)配置ICMPFlood攻击防护功能
(6)配置PingofDeath攻击防护功能
(7)DNSQueryFlood攻击防护功能
IPS部分
(1)配置F1的入侵防御系统,防止密码暴力破解,每分钟登录上限为5次,入侵防御手段为屏蔽攻击者的IP连续24小时。
(如需要LIC,请自行安装)
安全日志
(1)安全日志发送到87773084@邮箱
高可用性
(1)A/P方式的HA
(2)F1关机后,可自动切换到F2,不影响正常访问。
结果验证
(1)PCA可以PING通ADMIN。
(2)PCA和ADMIN还可以上外网
(3)PC远程SCVPN接入,并访问服务器SERVER的共享,远程桌面登录192.168.50.100。
(4)关闭F1,重新验证以上结果
IDS系统
(1)解压WINXP虚拟机操作系统,并放到“D:
\学生姓名\VM”目录下,利用虚拟机软件打开后操作,安装光盘等自行准备。
(2)在虚拟机上,完成IDS设备的管理服务器的安装配置
(3)IDS设备的地址为192.168.1.200,配置管理服务器的IP地址为192.168.1.199。
(4)数据库密码为sa,数据库文件位于C:
\IDSDB,日志文件位于C:
\IDSLOG。
(5)配置新的管理用户名为net/zime2011,定义新的入侵检测策略,策略名称zime2011,对WEB、FTP、pop3/SMTP、ICMP、TCPSYN进行检测。
(6)在ADMIN的虚拟机上,打开实时检测,监控网络行为。
三、网络攻击部分(5分)
远程计算机
网络攻击
(1)PC实施ping211.78.45.2–L60000-6网络攻击
(2)PC实施对IP:
211.78.45.2端口扫描网络攻击
(3)PC实施对IP:
211.78.45.2地址欺骗网络攻击
结束部分(5分)
日志
(2)防火墙F1配置文件上传FTP#exportconfigration…ftpserver10.5.10.230usernetpasswordnet“20110416组号”+FW2011.txt。
(3)导出IDS告警类别的统计数据
升级会员 