海南软件技术学院第一队设计文档.docx
《海南软件技术学院第一队设计文档.docx》由会员分享,可在线阅读,更多相关《海南软件技术学院第一队设计文档.docx(13页珍藏版)》请在冰豆网上搜索。
海南软件技术学院第一队设计文档
海南软件职业技术学院代表队
信息安全技术应用
设计文档
设计院校:
海南软件职业技术学院
设计成员:
文汉斌宋璐丝聂文亮
指导教师:
欧军李仕专
完成时间:
2011年4月28日
目录
一、需求分析3
二、网络环境3
1、软件设备清单3
2、硬件设备清单3
三、网络拓扑4
四、网络组建设计4
1、设计理念4
2、网络设备功能5
(1)路由器RA实现功能5
(2)路由器RB实现功能5
(3)交换机RG-S3760E-24实现功能5
(4)交换机RG-S2328G实现功能5
(5)服务实现功能6
五、网络安全部署设计6
1、网络设备安全配置6
(1)时间访问控制列表6
(2)端口安全6
(3)其他安全策略6
2、主机加固6
(1)权限细节6
(2)网络安全7
(3)系统加固7
(4)强化策略8
(5)其他主机加固策略10
六、网络渗透攻击设计10
1、渗透测试流程10
2、信息收集阶段11
3、信息分析阶段11
4、模拟测试阶段11
(1)、端口扫描11
(2)、密码破解11
(3)、系统漏洞测试11
5、测试结果记录11
信息安全技术应用
设计文档
一、需求分析
海南环宇科技集团公司在海口设有总公司,随着公司的业务发展,公司在三亚扩展了一个子公司。
为了满足公司的业务需要,公司决定构建一个安全、稳定的适应公司发展需要的办公网络。
综上,需完成以下项目:
1.总公司与子公司网络平台建设;
2.总公司与子公司网络安全规划与部署。
二、网络环境
1、软件设备清单
序号
软件
1
Windows2003Server企业版
2
WindowsXPProfessional
3
视频监控客户端软件
2、硬件设备清单
设备名称
每组数量
用途备注
RSR10-02
4
路由器
RG-S3760E-24
2
三层交换机
RG-S2328G
2
二层交换机
SIC-1HS1
4
端口同步串口接口模块
电脑
2
台式
RG-LIMP实验室综合管理平台
1
实验室管理软件
三、网络拓扑及端口IP地址
设备
设备名称
设备接口
IP地址
路由器
RouterA
Loobpack0
1.1.1.1/32
fa0/0
10.1.1.1/30
fa0/1
10.1.1.17/30
S1/2
10.1.1.5/30
S1/1
10.1.1.21/30
RouterB
Loobpack0
2.2.2.2/32
S1/2
10.1.1.20/30
S1/1
10.1.1.9/30
RouterC
Loobpack0
3.3.3.3/32
fa0/0
10.1.1.13/30
S1/1
10.1.1.6/30
RouterD
Loobpack0
4.4.4.4/32
fa0/1
10.1.1.14/30
S1/2
10.1.1.10/30
三层表队件职业技术学院需要,并未日后哦能;同时提供公网者的能力(交换机
SW3-A
fa0/20
10.1.1.2/30
Vlan10
192.168.10.1/24
Vlan20
192.168.20.1/24
Vlan30
192.168.30.1/24
Vlan40
192.168.40.1/24
Vlan50
192.168.50.1/24
SW3-B
fa0/20
10.1.1.18/30
Vlan10
192.168.10.2/24
Vlan20
192.168.20.2/24
Vlan30
192.168.30.2/24
Vlan40
192.168.40.2/24
Vlan50
192.168.50.2/24
四、网络组建设计
整个过程依据TCP/IP参考模型(网络接口层、网络互联层、传输层、应用层),根据网络的需求和拓扑图,配置相应设备的功能,实现网络安全可靠稳定的相互通信。
1、设计理念
该网络符合网络设计中三层模型结构,使用双核心负载,实现备份冗余功能;同时提供与子公司从VPN以及专线接入双链路通讯;实现网络安全可信、稳定可靠、简单实用、运行方便,能满足公司日常工作需要,并为日后网络升级留下接口。
2、网络设备功能
(1)路由器RA实现功能
基本功能
配置各接口IP地址
路由功能
配置OSPF路由协议、自定义权值的默认路由。
DHCP服务
学生宿舍区开启DHCP服务,地址段为10.10.10.0/24,指定DNS服务为210.37.29.234
NAT功能
学生宿舍区VLAN40通过地址池(210.37.29.193~210.37.29.208/27)访问互联网
安全功能
只允许210.37.29.242管理主机使用TELNET方式访问;
(2)路由器RB实现功能
基本功能
配置各接口IP地址
路由功能
配置OSPF路由协议、RIPv2路由协议.
配置路由重发布
配置浮动默认路由
安全功能
只允许210.37.29.242管理主机使用TELNET方式访问;
(3)交换机RG-S3760E-24实现功能
基本功能
配置各接口IP地址、创建并配置VLAN信息
路由功能
配置RIPv2路由协议
安全功能
只允许210.37.29.242管理主机使用TELNET方式访问
只允许实验区在上班时间(9:
00—17:
00)访问互联网,其他时间不允许访问
(4)交换机RG-S2328G实现功能
基本功能
配置各接口IP地址、创建并配置VLAN信息
安全功能
为了提高网络安全性,要求每个接入接口最大连接数不能超过3个,如果违规则自动关闭接入接口。
只允许210.37.29.242管理主机使用TELNET方式访问
(5)服务实现功能
基本功能
实现web、dns对所有用户开放
安全功能
服务器只对外开放所需端口
五、网络安全部署设计
1、网络设备安全配置
(1)时间访问控制列表
1)、为了规范公司员工的上网行为,规定办公室的员工只能在周一到周五上班时间(12:
00---13:
00)访问互联网,其他时间则不允许;
2)、财务部(Vlan20)可以访问人力资源部(vlan50)的WWW服务器而工程部(vlan30)则不可以访问。
市场部(Vlan40)可以访问工程部(vlan30而工程部(vlan30)不能访问市场部(vlan40)
(2)端口安全
为了提高网络安全性,要求每个接入接口最大连接数不能超过3个,如果违规则自动关闭接入接口。
(3)其他安全策略
1)禁止常见危险端口135
2)禁止私有地址访问内网
3)限制ICMP流量进入内网
4)限制主机远程登录网络设备
5)开放常用服务端口
6)VRRP、MSTP、链路聚合、
7)设备管理密码加密
7)使用SSH协议
2、主机加固
(1)权限细节
1)添加IIS独立用户,网站以IISUSER用户身份运行
2)安装IIS服务
3)为网站绑定IISUSER用户,以IISUSER身份运行网站
4)对网站所在目录添加IISUSER用户权限,以便网站正常工作。
5)对D盘用户权限进行细化,只保留“ADMINISTRATOR与SYSTEM”两个系统用户权限,防止跨权限访问,增加系统磁盘安全性。
6)对C盘用户权限进行细化,只保留“ADMINISTRATOR与SYSTEM”两个系统用户权限,防止跨权限访问,增加系统磁盘安全性。
7)对C盘用户权限进行细化,对特定的文件夹“WINDOWS、DocumentsandSettings”增加USER用户,以便ASP程序访问系统内部组建。
无必要用户,只保留上图用户。
防止跨权限访问,增加系统磁盘安全性。
8)对C盘用户权限进行细化,对特定的文件夹“WINDOWS”增加Everyone用户,以便ASP程序访问系统内部组建。
无必要用户,只保留上图用户。
防止跨权限访问,增加系统磁盘安全性。
9)对C盘用户权限进行细化,对特定的文件夹“ProgramFiles\CommonFiles”增加Everyone用户,以便ASP程序访问系统内部组建。
无必要用户,只保留上图用户。
防止跨权限访问,增加系统磁盘安全性。
10)开启WEB服务扩展,允许仅允许运行ASP程序。
(2)网络安全
1)开启WINDOWS自身防火墙,防止恶意用户对系统进行访问。
2)开启WINDOWS自身防火墙、允许ICMP包传入返回,以便管理测试网络
3)开启WINDOWS自身防火墙,对WEB服务进行例外访问,以便用户正常浏览网站服务,防止恶意用户对其他不安全服务访问。
4)此项功能极其重要,开启TCP/IP筛选,达到IPSEC功能保护,用户只允许访问本地80端口服务,其他端口禁止访问,此功能可实现高效安全作用,可以有效的防止恶意用户对系统的攻击。
(3)系统加固
1)关闭系统默认共享,默认共享存在很严重的安全隐患,务必对此服务进行相关限制。
2)关闭系统共享服务,默认禁止该服务,增加系统安全性。
3)关闭ShellHardwareDetection服务,默认禁止该服务,增加系统安全性。
4)关闭TaskScheduler、TCP/IPNetBIOSHelper服务,默认禁止该服务,增加系统安全性。
5)关闭TerminalServices、PrintSpooler、Workstation服务,默认禁止该服务,增加系统安全性。
6)以上操作关闭了系统不必要服务,大大的增加系统的安全性,如有特殊系统服务需要,管理可自行开启。
(4)强化策略
1)启用网络访问控制
<1>不允许SAM帐户和共享的匿名枚举
此安全设置确定将哪些附加权限授予连接到计算机的匿名连接。
<2>在下一次更改密码时不存储LAN管理器哈希值
此安全设置确定在下一次更改密码时是否为新密码存储LAN管理器(LM)哈希值。
相比加密性更强的WindowsNT哈希,LM哈希的加密性相对较弱,易于受攻击。
由于LM哈希存储在本地计算机上的安全数据库中,因此,一旦安全数据库受到攻击,密码便会泄漏。
<3>修改帐户:
重命名来宾帐户
此安全设置确定是否存在另一个帐户名称与帐户"Guest"的安全标识符(SID)相关联。
因为人们都知道在运行Windows2000Server、Windows2000Professional、WindowsXPProfessional和WindowsServer2003家族的所有计算机上都存在Guest帐户,重命名该帐户会使未授权的人猜测此用户名和密码组合的难度稍微大一些。
默认:
Guest。
2)清除网络访问安全设置
清除网络访问:
可匿名访问的共享
此安全设置确定匿名用户可以访问哪些网络共享。
默认设置:
未指定。
清除网络访问:
可匿名访问的命名管道
此安全设置确定哪些通信会话(管道)将具有允许匿名访问的属性和权限。
默认设置:
无。
清除网络访问:
可远程访问的注册表路径
此安全设置确定哪些注册表路径可以通过网络访问,而不管Winreg注册表项的访问控制列表(ACL)中列出的用户或组是什么。
清除网络访问:
可远程访问的注册表路径和子路径
此安全设置确定哪些注册表路径和子路径可以通过网络访问,而不管Winreg注册表项的访问控制列表(ACL)中列出的用户或组是什么。
3)交互式登录安全设置
交互式登录:
不显示最后的用户名
该安全设置确定是否在Windows登录屏幕中显示最后登录到计算机的用户的名称。
拒绝通过终端服务登录
此安全设置确定禁止哪些用户和组作为终端服务客户端登录。
允许通过终端服务登录
此安全设置确定哪些用户或组具有作为终端服务客户端登录的权限。
4)用户账户安全设置
帐户锁定阈值
此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。
在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。
可以将登录尝试失败次数设置为介于0和999之间的值。
如果将值设置为0,则永远不会锁定帐户。
最短密码长度
此安全设置确定用户帐户密码包含的最少字符数。
可以将值设置为介于1和14个字符之间,或者将字符数设置为0以确定不需要密码。
密码必须符合复杂性要求。
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略,密码必须符合下列最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A到Z)
英文小写字母(a到z)
10个基本数字(0到9)
非字母字符(例如!
、$、#、%)
在更改或创建密码时执行复杂性要求。
<1>、启用网络访问控制
<2>、网络访问安全设置
<3>、交互式登录安全设置
<4>、用户账号安全设置
(5)其他主机加固策略
六、网络渗透攻击设计
1、渗透测试流程
渗透测试流程图如下:
2、信息收集阶段
对所要测试的服务器进行全端口扫描了解其开放的服务,对服务进行分析发现潜在的安全漏洞,对整体网络进行分析发现网络设计上存在的安全漏洞,对系统所曝露的可用信息进行分析,分析、辨别网络结构查找入侵点。
3、信息分析阶段
分析扫描结果,对一些敏感信息进行整合,对网络拓扑情况进行分析,对所开放的服务进行排查,发现服务存在的安全漏洞,分析网络结构对可利用主机进行渗透,进一步提升权限,以达到控制网络目的。
4、模拟测试阶段
综合以上的信息收集和分析结果后,对所测试的服务器开始进行模拟攻击,以下是针对各服务器的攻击测试方式。
(1)、端口扫描
通过端口扫描器nmap和Hscan对相关网络进行扫描,经扫描发现,网络内存在严重的安全隐患,以及弱口令漏洞
(2)、密码破解
通过远程密码破解工具NT-SCAN对部分可远程测试口令强度的开放端口和应用服务进行了密码破解,工具字典包括常用英文单词、7位以内数字与字符混合拼写字符串,日期组合等序列,未检测出补安全的账号口令。
(3)、系统漏洞测试
通过渗透测试工具matespoit和nessus等对开放应用上的常见远程漏洞进行了检测,未发现严重的远程安全漏洞。
5、测试结果记录
每步骤地测试工具、参数、结果、原始记录及简要分析过程。