(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第10套.docx
《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第10套.docx》由会员分享,可在线阅读,更多相关《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第10套.docx(66页珍藏版)》请在冰豆网上搜索。
ChinaSkills
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题十
模块一
网络平台搭建与设备安全防护
一、赛项时间
共计180分钟。
二、赛项信息
竞赛阶段
任务阶
段
竞赛任务
竞赛时间
分值
第一阶段
网络平台搭建与设
备安全防护
任务1
网络平台搭建
XX:
XX-
XX:
XX
50
任务2
网络安全设备配置与防护
250
三、赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。
第二、三阶段请根据现场具
体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体
的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如:
08工位,则需要在U盘根目录下建立“GW08”文件夹,并在“GW08”
文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:
只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允
许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
1.网络拓扑图
FW
WAF
专线
Ad
Sw
(
AP
PCPC
南京分公司
PC
北京总公司
服务器
Internet
BC
2.IP地址规划表
设备名称
接口
IP地址
对端设备
接口
防火墙
FW
ETH₀/1-2
20.1.0.1/30(trust1安全域)
SW
eth1/0/1-2
20.1.1.1/30(untrust1安全域)
SW
202.22.1.1/29(untrust)
SW
ETH0/3
20.10.28.1/24(DMZ)
WAF
Eth0/4-5
20.1.0.14/30
AC
Eth1/0/21-22
Loopback1
20.0.0.254/32(trust)
Router-id
SSLPool
192.168.10.1/26
可用IP数量为20
SSLVPN
地址池
三层交换机SW
ETH1/0/4
财务专线
AC
ETH1/0/4
ETH1/0/5
办公专线
AC
ETH1/0/5
VLAN21
ETH1/0/1-2
20.1.0.2/30
FW
VlannameTO-FW1
设备名称
接口
IP地址
对端设备
接口
VLAN22
ETH1/0/1-2
20.1.1.2/30
FW
VlannameTO-FW2
VLAN23
ETH1/0/1-2
202.22.1.2/29
FW
VlannameTO-
internet
VLAN24
ETH1/0/24
203.23.1.1/29
BC
VlannameTO-BC
Vlan25
Eth1/0/18-19
20.1.0.17/30
BC
VlannameTO-BC-N
VLAN10
需设定
无线1
VlannameWIFI-
vlan10
VLAN20
需设定
无线2
VlannameWIFI-
vlan20
VLAN30
ETH1/0/4
20.1.0.5/30
AC
1/0/4
VlannameT0-SW
VLAN31
Eth1/0/10-12
20.1.3.1/25
VlannameSW
VLAN40
ETH1/0/5
20.1.0.9/30
AC
1/0/5
VlannameTO-IPV6
VLAN41
ETH1/0/6-9
20.1.41.1/24
PC3
VlannameBG
Vlan50
Eth1/0/13-14
20.1.50.1/24
IPV62001:
DA8:
50:
:
1/64
VlannameSales
VLAN100
ETH1/0/20
需设定
VlannameAP-
Manage
Loopback1
20.0.0.253/32(router-id)
无线控制器AC
VLAN30
ETH1/0/4
20.1.0.6/30
SW
1/0/4
VlannameTO-SW
VLAN31
20.1.3.129/25
VlannameSW
VLAN40
ETH1/0/5
20.1.0.10/30
SW
1/0/5
VlannameTO-IPV6
Vlan60
Eth1/0/13-14
20.1.60.1/24
IPV62001:
DA8:
60:
:
1/64
Vlannamesales
Vlan61
Eth1/0/15-18
20.1.61.1/24
VlannameBG
Vlan100
Eth1/0/21-22
20.1.0.13/30
FW
Eth1/0/4-5
VlannameTO-FW
Loopback1
20.1.1.254/32(router-id)
日志服务器BC
LAN2-3
20.1.0.18/30
SW
WAN2
203.23.1.2/29
SW
PPTP-pool
192.168.10.129/26(10个地址)
ETH2
20.10.28.2/24
SERVER
设备名称
接口
IP地址
对端设备
接口
WEB应
用防火墙
WAF
ETH3
FW
AP
Eth1
SW(20
口)
PC1
网卡
eth1/0/7
SW
SERVER
网卡
20.10.28.10/24
(二)第一阶段任务书
任务1:
网络平台搭建(50分)
题号
网络需求
1
根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配置。
设备名称根据网络拓扑图所示配置;(8分)
2
根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建
VLAN并将相应接口划入VLAN。
设备名称根据网络拓扑图所示配置;(16
分)
3
根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。
设备名称根据网络拓扑图所示配置;(10)
4
根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。
设备名称根据网络拓扑图所示配置;(8分)
5
根据网络拓扑图所示,按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。
设备名称根据网络拓扑图所示配置;(8)
任务2:
网络安全设备配置与防护(250分)
1.SW和AC开启telnet登录功能,telnet登录账户仅包含“ABC4321”,密
码为明文“ABC4321”,采用telnet方式登录设备时需要输入enable密
码,密码设置为明文“12345”。
2.北京总公司和南京分公司租用了运营商两条裸光纤,实现内部办公互通。
一条裸光纤承载公司财务部门业务,一条裸光纤承载其他内部业务。
使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN实例名称SW内,总公司财务和分公司财务能够通信,财
务部门总公司和分公司之间采用RIP路由实现互相访问。
3.尽可能加大总公司核心和出口BC之间的带宽。
4.为防止终端产生MAC地址泛洪攻击,请配置端口安全,已划分VLAN41的端口最多学习到5个MAC地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG日志;连接PC1的接口为专用接口,限定只允
许PC1的MAC地址可以连接。
5.总公司核心交换机端口ethernet1/0/6上,将属于网段20.1.41.0内的报文带宽限制为10M比特/秒,突发值设为4M字节,超过带宽的该网段内的报文
一律丢弃。
6.在SW上配置将8端口收到的源IP为20.1.41.111的帧重定向到9端口,即
从8端口收到的源IP为20.1.41.111的帧通过9端口转发出去。
7.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特
网路由进行隔离,因特网路由实例名internet。
8.对SW上VLAN50开启以下安全机制。
业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时
间为30分钟;如私设DHCP服务器关闭该端口;开启防止ARP欺骗攻
击。
9.配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特
网;防火墙untrust和trust1开启安全防护,参数采用默认参数。
10.为了防止DOS攻击的发生,在总部交换机vlan50接口下对MAC、ARP、ND表项数量进行限制,具体要求为:
最大可以学习20个动态MAC地
址、20个动态ARP地址、50个NEIGHBOR表项。
11.总公司和分公司今年进行IPv6试点,要求总公司和分公司销售部门用户能够通过IPV6相互访问,IPV6业务通过租用裸纤承载。
实现分公司和总公
司ipv6业务相互访问;AC与SW之间配置静态路由使VLAN50与
VLAN60可以通过IPv6通信;IPv6业务地址规划如下,其它IPv6地址自
行规划。
业务
IPV6地址
总公司VLAN50
2001:
:
DA8:
50:
:
1/64
分公司VLAN60
2001:
:
DA8:
60:
:
1/64
12.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告
的生存期为2小时,确保销售部门的IPv6终端可以通过DHCPSERVER
获取IPv6地址,在SW上开启IPV6dhcpserver功能,ipv6地址范围
2001:
da8:
50:
:
2-2001:
da8:
50:
:
100。
13.在南京分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自
动从网关处获得IPv6无状态地址。
14.SW与AC,AC与FW之间配置OSPFarea0开启基于链路的MD5认证,密钥自定义,传播访问INTERNET默认路由,让总公司和分公司内网用户能够相互访问包含AC上loopback1地址;分公司SW和BC之间运行静态
路由协议。
15.分公司销售部门通过防火墙上的DHCPSERVER获取IP地址,serverIP地
址为20.0.0.254,地址池范围20.1.60.10-20.1.60.100,dns-server8.8.8.8。
16.如果SW的11端口的收包速率超过30000则关闭此端口,恢复时间5分钟,为了更好地提高数据转发的性能,SW交换中的数据包大小指定为
1600字节。
17.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启
PING,HTTP,telnet,SNMP功能,Untrust安全域开启SSH、HTTPS功
能。
18.在分部防火墙上配置,分部VLAN业务用户通过防火墙访问Internet时,
复用公网IP:
202.22.1.3、202.22.1.4;保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志
信息,将匹配的日志发送至20.10.28.10的UDP2000端口。
19.远程移动办公用户通过专线方式接入分公司网络,在防火墙FW上配置,采用SSL方式实现仅允许对内网VLAN61的访问,端口号使用4455,用
户名密码均为ABC4321,地址池参见地址表。
20.分公司部署了一台WEB服务器ip为20.10.28.10,接在防火墙的DMZ区域为外网用户提供web服务,要求内网用户能,ping通web服务器和访问服务器上的web服务(端口80)和远程管理服务器(端口3389),外网用户只
能访问通过防火墙外网地址访问服务器web服务。
21.为了安全考虑,无线用户移动性较强,访问因特网时需要在BC上开启web
认证,采用本地认证,密码账号都为web4321。
22.由于分公司到因特网链路带宽比较低,出口只有200M带宽,需要在防火墙配置iQOS,系统中P2P总的流量不能超过100M,同时限制每用户最大下载带宽为2M,上传为1M,优先保障HTTP应用,为http预留100M
带宽。
23.为净化上网环境,要求在防火墙FW做相关配置,禁止无线用户周一至周五工作时间9:
00-18:
00的邮件内容中含有“病毒”、“赌博”的内容,
且记录日志。
24.由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导致无线不能使用,总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。
FW和BC之间通过IPSEC技术实现AP管理段与无
线AC之间联通,具体要求为采用预共享密码为ABC4321,IKE阶段1
采用DH组1、DES和MD5加密方,IKE阶段2采用ESP-DES,
MD5。
25.总公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配
置,让总公司内网用户(不包含财务)通过BC外网口ip访问因特网。
26.在BC上配置PPTPvpn让外网用户能够通过PPTPvpn访问总公司SW上
内网地址,用户名为test,密码test23。
27.为了提高分公司出口带宽,尽可能加大分公司AC和出口FW之间带宽。
28.在BC上开启上网审计策略,对总公司内网用户启用web全部记录、记录
即时通讯的登录信息、记录邮件的全部记录,要求全部审计,记录所有网
页访问。
29.为了防止总公司内网用户私接小路由上网,需要在BC上做相关配置,内
网私接小路由进行惩罚,强制下线。
30.总公司出口带宽较低,总带宽只有200M,为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量,最大上下
行带宽都为50M,以免P2P流量占用太多的出口网络带宽,启用阻断记
录。
31.通过BC设置总公司用户在上班时间周一到周五9:
00到18:
00禁止玩游戏,
并启用阻断记录。
32.限制总公司内网用户访问因特网web视频和即时通信最大带宽为20M,上
传为10M,启用阻断记录。
33.BC上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日
志,发现cpu使用率大于80%,内存使用大于80%时进行邮件告警并记录日志,级别为严重状态。
发送邮件地址为123@,接收邮件为
133139123456@。
34.分公司内部有一台网站服务器直连到WAF,地址是20.10.28.10,端口是
8080,配置将服务访问日志、WEB防护日志、服务监控日志信息发送
syslog日志服务器,IP地址是20.10.28.6,UDP的514端口;
35.在分公司的WAF上配置,阻止常见的WEB攻击数据包访问到公司内网服务器,防止某源IP地址在短时间内发送大量的恶意请求,影响公司网站正
常服务,大量请求的确认值是:
10秒钟超过1000次请求。
36.编辑防护策略,定义HTTP请求体的最大长度为256,防止缓冲区溢出攻
击。
37.WAF上配置开启爬虫防护功能,当爬虫标识为Spider360,自动阻止该行
为;WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件;WAF上
配置编辑防护策略,要求客户机访问内部网站时,禁止访问*.bat的文件;
38.WAF上配置,使用WAF的漏洞立即扫描功能检测服务器(20.10.28.10)
的安全漏洞情况,要求包括信息泄露、SQL注入、跨站脚本编制。
39.WAF上配置开启防护策略,将请求报头DATA自动重写为DATE。
40.WAF上配置开启错误代码屏蔽功能,屏蔽404错误代码。
41.由于公司IP地址为统一规划,原有无线网段IP地址为172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配;要求如下:
未来公司预计部署ap50台;办公无线用户vlan10预计300人,来宾用户vlan20以及不超过
50人。
42.AC上配置DHCP,管理VLAN为VLAN100,为AP下发管理地址,网段中第一个可用地址为AP管理地址,最后一个可用地址为网关地址,AP通
过DHCPopion43注册,AC地址为loopback1地址;为无线用户
VLAN10,20下发IP地址,最后一个可用地址为网关。
43.在NETWORK下配置SSID,需求如下:
NETWORK1下设置SSID
ABC4321,VLAN10,加密模式为wpa-peSWonal,其口令为43214321。
44.NETWORK2下设置SSIDGUEST,VLAN20不进行认证加密,做相应配置
隐藏该SSID。
45.NETWORK2开启内置portal+本地认证的认证方式,账号为test密码为
test4321。
46.配置SSIDGUEST每天早上0点到6点禁止终端接入;GUSET最多接入10个用户,并对GUEST网络进行流控,上行1M,下行2M;配置所有无线
接入用户相互隔离。
47.配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为2秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都
为2小时;配置AP在脱离AC管理时依然可以正常工作。
48.为防止外部人员蹭网,现需在设置信号值低于50%的终端禁止连接无线信
号;为防止非法AP假冒合法SSID,开启AP威胁检测功能。
49.SW、AC运行静态组播路由和因特网组管理协议第二版本;总公司办公段和分公司办公段启用组播协议,总公司采用三层组播,使用密集模式,分
公司采用二层组播。
50.PC1启用组播,使用VLC工具串流播放视频文件1.mpg,组地址
228.10.10.10,端口:
1234,实现PC2可以通过组播查看视频播放。
ChinaSkills
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题,内容包括:
网络安
全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。
请
认真阅读以下指引!
(1)当竞赛结束,离开时请不要关机;
(2)所有配置应当在重启后有效;
(3)请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完
成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。
因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络安全防护的重要部分。
现在,A集团已
遭受来自不明组织的非法恶意攻击,您的团队需要帮助A集团追踪此网络攻击
来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞
或者恶意代码,帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
●网络安全事件响应
●数字取证调查
●应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完成后,填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中,竞赛结束时每组将答案整合到一份PDF文档提交。
选手的电脑中已经安装好Office软件并
提供必要的软件工具。
工作任务
第一部分网络安全事件响应(70分)
任务1:
CentOS服务器应急响应(70分)
A集团的CentOS服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进
行修复。
本任务素材清单
升级会员 