山东省职业院校技能大赛高职组信息安全管理与评估赛项任务书样题.docx
《山东省职业院校技能大赛高职组信息安全管理与评估赛项任务书样题.docx》由会员分享,可在线阅读,更多相关《山东省职业院校技能大赛高职组信息安全管理与评估赛项任务书样题.docx(17页珍藏版)》请在冰豆网上搜索。
山东省职业院校技能大赛高职组信息安全管理与评估赛项任务书样题
2018年山东省职业院校技能大赛高职组
“信息安全管理与评估”赛项任务书
(样题)
一、赛项时间
8:
30-13:
00,共计4:
30小时,含赛题发放、收卷及午餐时间。
二、赛项信息
竞赛阶段
任务阶段
竞赛任务
竞赛时间
分值
第一阶段
平台搭建与安全设备配置防护
任务1
网络平台搭建
8:
30-11:
30
60
任务2
网络安全设备配置与防护
240
第二阶段
系统安全攻防及运维安全管控
任务1
Web应用程序SQLInject安全攻防
150
任务2
二层网络Sniffer监听安全攻防
150
任务3
ARP拒绝服务(DOS/DDOS)安全攻防
100
中场收卷
11:
30-12:
00
第三阶段
分组对抗
系统加固
12:
00-13:
00
300
系统攻防
三、赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要提交任务“操作文档”,“操作文档”需要存放在裁判组专门提供的U盘中。
第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹(xx用具体的工位号替代),赛题第一阶段完成任务操作的文档放置在文件夹中。
例如:
08工位,则需要在U盘根目录下建立“08工位”文件夹,并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。
特别说明:
只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
赛项环境设置包含了三个竞赛阶段的基础信息:
网络拓扑图、IP地址规划表、设备初始化信息。
1.网络拓扑图
PC环境说明:
PC-1(须使用物理机中的虚拟机):
物理机操作系统:
Windows764位旗舰版
VMwareWorkstation12Pro
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
PC-2(须使用物理机中的虚拟机):
物理机操作系统:
Windows764位旗舰版
VMwareWorkstation12Pro
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
PC-3(须使用物理机中的虚拟机):
物理机操作系统:
Windows764位旗舰版
VMwareWorkstation12Pro
虚拟机操作系统:
KaliLinux(Debian764Bit)
虚拟机安装服务/工具:
MetasploitFramework
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
2.IP地址规划表
设备名称
接口
IP地址
互联
可用IP数量
防火墙DCFW
EthX
x.x.x.x/x
与PC-3相连
见赛场IP参数表
地址池
x.x.x.x/x
SSLVPN地址池
见赛场IP参数表
无线交换机DCWS
EthX
x.x.x.x/x
与DCRS相连
见赛场IP参数表
地址池
x.x.x.x/x
DCHP地址池
见赛场IP参数表
WEB应用防火墙WAF
EthX
x.x.x.x/x
与DCRS相连
见赛场IP参数表
EthX
与DCST相连
见赛场IP参数表
三层交换机DCRS
Vlan2
x.x.x.x/x
与DCWS相连
见赛场IP参数表
Vlan10
x.x.x.x/x
与WAF相连
见赛场IP参数表
Vlan20
x.x.x.x/x
与PC-1所在用户区相连
见赛场IP参数表
Vlan30
x.x.x.x/x
与PC-2所在用户区相连
见赛场IP参数表
Vlan40
x.x.x.x/x
与DCBI相连
见赛场IP参数表
Vlan100
x.x.x.x/x
直连服务器区
见赛场IP参数表
Vlan110
x.x.x.x/x
直连用户区
见赛场IP参数表
网络日志系统DCBI
EthX
x.x.x.x/x
与DCRS相连
见赛场IP参数表
堡垒服务器DCST
EthX
x.x.x.x/x
与WAF相连
见赛场IP参数表
PC-1
无
x.x.x.x/x
与DCRS相连
见赛场IP参数表
PC-2
无
x.x.x.x/x
与DCFW相连
见赛场IP参数表
PC-3
无
x.x.x.x/x
与DCFW相连
见赛场IP参数表
服务器场景-1
无
见系统安全攻防加固赛题部分
服务器场景-2
无
见系统安全攻防加固赛题部分
服务器场景-3
无
见系统安全攻防加固赛题部分
备注
赛题IP地址和网络连接接口参见“IP地址规划表”;
3.设备初始化信息
设备名称
管理地址
默认管理接口
用户名
密码
防火墙DCFW
ETH0
admin
admin
网络日志系统DCBI
ETH0
admin
123456
WEB应用防火墙WAF
ETH5
admin
admin123
三层交换机
-
Console
-
-
无线交换机DCWS
-
Console
-
-
堡垒服务器DCST
Eth1
参见“DCST登录用户表”
备注
所有设备的默认管理接口、管理IP地址不允许修改;
如果修改对应设备的缺省管理IP及管理端口,涉及此设备的题目按0分处理。
(二)第一阶段任务书(300分)
该阶段需要提交配置或截图文档,命名如下表所示:
阶段
任务
序号
文档名称
第一阶段
任务1
1
任务1
2
赛场IP参数表
任务2
3
任务2-DCFW
4
任务2-DCBI
5
任务2-WAF
6
任务2-DCRS
7
任务2-DCWS
任务1:
网络平台搭建(60分)
平台搭建要求如下:
题号
网络需求
1
根据网络拓扑图所示,按照IP地址参数表,对WAF的名称、各接口IP地址进行配置。
2
根据网络拓扑图所示,按照IP地址参数表,对DCRS的名称、各接口IP地址进行配置。
3
根据网络拓扑图所示,按照IP地址参数表,对DCFW的名称、各接口IP地址进行配置。
4
根据网络拓扑图所示,按照IP地址参数表,对DCWS的各接口IP地址进行配置。
5
根据网络拓扑图所示,按照IP地址参数表,对DCBI的名称、各接口IP地址进行配置。
6
根据网络拓扑图所示,按照IP地址参数表,在DCRS交换机上创建相应的VLAN,并将相应接口划入VLAN。
7
采用静态路由的方式,全网络互连。
8
完整填写“赛场IP参数表”。
任务2:
网络安全设备配置与防护(240分)
DCFW:
1.在总公司的DCFW上配置,连接LAN接口开启PING,HTTP,HTTPS功能,连接Internet接口开启PING、HTTPS功能;并且新增一个用户,用户名dcn2017,密码dcn2017,该用户只有读-执行权限;
2.DCFW配置NTP和LOG,ServerIP为X.X.X.X,NTP认证密码为Dcn2017;
3.DCFW连接LAN的接口配置二层防护,ARPFlood超过500个每秒时丢弃超出的ARP包,ARP扫描攻击超过300个每秒时弃超出的ARP包;配置静态ARP绑定,MAC地址880B.0A0B.0C0D与IP地址X.X.X.X绑定;
4.DCFW连接Internet的区域上配置以下攻击防护:
FW1,FW2攻击防护
启以下Flood防护:
ICMP洪水攻击防护,警戒值2000,动作丢弃;
UDP供水攻击防护,警戒值1500,动作丢弃;
SYN洪水攻击防护,警戒值5000,动作丢弃;
开启以下DOS防护:
PingofDeath攻击防护;
Teardrop攻击防护;
IP选项,动作丢弃;
ICMP大包攻击防护,警戒值2048,动作丢弃;
5.限制LAN到Internet流媒体RTSP应用会话数,在周一至周五8:
00-17:
00每5秒钟会话建立不可超过20;
DCBI:
6.在公司总部的DCBI上配置,设备部署方式为旁路模式,并配置监控接口与管理接口;增加非admin账户DCN2017,密码dcn2017,该账户仅用于用户查询设备的系统状态和统计报表;
7.在公司总部的DCBI上配置,监控周一至周五9:
00-18:
00PC-1所在网段用户访问的URL中包含xunlei的HTTP访问记录,并且邮件发送告警;
8.在公司总部的DCBI上配置,监控PC-1所在网段用户周一至周五9:
00-18:
00的即时聊天记录;
9.公司总部LAN中用户访问网页中带有“MP3”、“MKV”、“RMVB”需要被DCBI记录;邮件内容中带有“银行账号”记录并发送邮件告警;
10.DCBI监控LAN中用户访问网络游戏,包括“游戏”、“魔兽世界”并作记录;
WAF:
11.在公司总部的WAF上配置,编辑防护策略,定义HTTP请求体的最大长度为512,防止缓冲区溢出攻击;
12.在公司总部的WAF上配置,防止某源IP地址在短时间内发送大量的恶意请求,影响公司网站正常服务。
大量请求的确认值是:
10秒钟超过3000次请求;
13.在公司总部的WAF上配置,对公司网站(X.X.X.X)进行安全评估,检查网站是否存在安全漏洞,便于在攻击没有发生的情况下提前做出防护措施;
DCRS:
14.DCRS为接入交换机,为终端产生防止MAC地址防洪攻击,请配置端口安全,每个已划分VLAN的端口最多学习到5个MAC地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG日志;Ex/x为专用接口,限定MAC地址00-11-11-11-11-11可以连接;将连接DCFW的双向流量镜像至Netlog进行监控和分析;
15.DCRS配置802.1x认证,Radius服务器IP地址X.X.X.X,认证密码Dcn2017,
Ex/x号端口开启802.1x功能,接入该端口通过PC上的802.1x软件进行认证;
16.接入DCRSEx/x,仅允许IP地址X.X.X.X-X.X.X.X为源的数据包为合法包,以其它IP地址为源地址,交换机直接丢弃;
DCWS:
17.AP通过option43方式进行正常注册上线;
18.设置AP工作在5G频段;
19.设置SSIDDCN,加密模式为wpa-personal,其口令为:
chinaskill;
设置SSIDGUEST不进行认证加密;
20.GUSET最多接入10个用户,用户间相互隔离,并对GUEST网络进行流控,上行1M,下行2M;
(三)第二阶段:
系统安全攻防及运维安全管控(400分)
提示1:
本阶段用到堡垒服务器DCST中的服务器场景,获取服务器IP地址方式如下:
Windows服务器的IP地址可以通过拓扑界面获得,如果获得不了,采用如下方法获得:
✓通过DCST场景里的网络拓扑图,启动连接设备
✓进入服务器,用户名为administrator,密码:
空
✓执行ipconfig/all,即可获得服务器IP地址
提示2:
每个任务提交一个word文档,请在文档中标明题号,按顺序答题。
将关键步骤和操作结果进行截屏,并辅以文字说明,保存到提交文档中。
提示3:
文档命名格式为:
“第X阶段”-“任务X”-“任务名称”。
例:
“第二阶段、任务2”的答案提交文档,文件名称为:
第二阶段-任务2-XSS和CSRF攻防.doc或第二阶段-任务2-XSS和CSRF攻防.docx。
任务1:
Web应用程序SQLInject安全攻防(150分)
拓扑结构:
任务环境说明:
PC-1(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
PC-2(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
PC-3(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
KaliLinux(Debian732Bit)
虚拟机安装服务/工具:
MetasploitFramework
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
DCST:
服务器场景:
WebServ2003
服务器场景操作系统:
MicrosoftWindows2003Server
服务器场景安装服务/工具1:
Apache2.2;
服务器场景安装服务/工具2:
Php6;
服务器场景安装服务/工具3:
MicrosoftSqlServer2000;
服务器场景安装服务/工具4:
EditPlus;
1.在PC-1上,Web访问DCST中的WebServ2003服务器场景,进入页面,分析该页面源程序,找到提交的变量名,并截图;
2.对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过万能用户名、任意密码登录,并将测试过程截图;
3.进入DCST中的WebServ2003服务器场景的C:
\AppServ\www目录,找到程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序截图;
4.再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对该DCST中的WebServ2003服务器场景进行SQL注入渗透测试无效,并将验证过程截图;
5.在PC-1上,Web继续访问DCST中的WebServ2003服务器场景,"/"->"EmployeeInformationQuery",分析该页面源程序,找到提交的变量名,并截图;
6.对该任务题目5页面注入点进行渗透测试,根据输入“_”的返回结果确定是注入点,并将测试过程截图;
7.通过对该任务题目5页面注入点进行SQL注入渗透测试,在WebServ2003服务器场景中添加账号“Hacker”,并将该账号添加至管理员组,并将注入代码及测试过程截图;
8.进入DCST中的WebServ2003服务器场景的C:
\AppServ\www目录,找到程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序截图;
9.再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServ2003服务器场景进行SQL注入渗透测试无效,并将验证过程截图。
任务2:
二层网络Sniffer监听安全攻防(150分)
拓扑结构:
任务环境说明:
PC-1(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
PC-2(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
PC-3(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
KaliLinux(Debian732Bit)
虚拟机安装服务/工具1:
MetasploitFramework
虚拟机安装服务/工具2:
Macof
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
DCST:
服务器场景:
WebServ2003
服务器场景操作系统:
MicrosoftWindows2003Server
服务器场景安装服务/工具1:
Apache2.2;
服务器场景安装服务/工具2:
Php6;
服务器场景安装服务/工具3:
MicrosoftSqlServer2000;
服务器场景安装服务/工具4:
EditPlus;
多层交换机:
交换机操作平台:
DCRS-6200
1.使PC-1、PC-3、DCST中的WebServ2003服务器场景能够在同一个网段(VLAN10)内相互Ping通。
2.查看DCRS交换机VLAN10的MAC地址表容量信息,并将DCRS交换机配置相关参数、查看命令、查看结果截图。
3.从PC-3发起MACFlooding渗透测试,使DCRS交换机的MAC地址表溢出,使其在MAC地址表溢出的条件下,无法学习到PC-1和DCST中的WebServ2003服务器场景的MAC地址表信息,查看DCRS交换机的MAC地址表信息,并将渗透测试过程截图。
4.PC-3打开wireshark,验证在DCRS交换机MAC地址表溢出的条件下,可以监听到PC-1登录DCST中的WebServ2003服务器场景的用户名&密码,并将该验证过程截图。
5.在PC-1和DCST中的WebServ2003服务器场景之间建立IPSecVPN,阻止PC-3发起Sniffer渗透测试。
6.在PC-1和DCST中的WebServ2003服务器场景之间建立IPSecVPN,PC-3再次打开wireshark,监听PC-1访问DCST中的WebServ2003服务器场景流量,验证此时PC-3无法监听到PC-1访问DCST中的WebServ2003服务器场景的HTTP流量,并将验证过程截图。
任务3:
STP漏洞利用安全攻防(100分)
拓扑结构变更部分:
任务环境说明:
PC-1(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
PC-2(须使用物理机中的虚拟机):
物理机操作系统:
Windows732位旗舰版
VMwareWorkstation10
虚拟机操作系统:
WindowsXP
虚拟机安装服务/工具1:
MicrosoftInternetExplorer6.0
虚拟机安装服务/工具2:
Ethereal0.10.10.0
虚拟机安装服务/工具3:
HttpWatchProfessionalEdition
虚拟机网卡与物理机网卡之间的关系:
Bridge(桥接)
DCST:
渗透测试主机场景:
BackTrack5
服务器场景操作系统:
BackTrack5(Ubuntu32Bit)
安装服务/工具1:
MetasploitFramework
安装服务/工具2:
Yersinia
多层交换机:
交换机操作平台:
DCRS-6200
1.在DCRS交换机划分VLAN10、VLAN20,将PC-1接入VLAN10,PC-2接入VLAN20,VLAN10通过跳线直接连接VLAN20,在DCRS交换机开启生成树协议,生成树协议模式为STP,DCRS交换机优先级为0,防止网络出现物理环路,显示DCRS交换机生成树协议的状态,并将该信息截屏;
2.DCST渗透测试主机场景BackTrack5双链路上联DCRS交换机,其中1条链路连接VLAN10,另外1条链路连接VLAN20,同时向DCRS交换机发起生成树协议漏洞利用渗透测试,使DCST渗透测试主机场景BackTrack5能够监听到PC-1访问PC-2的Telnet服务的登录密码,显示DCRS交换机生成树协议的状态,并将该信息截屏;
3.配置DCRS交换机生成树协议安全特性,阻止生成树协议漏洞利用渗透测试,并将DCRS交换机相关配置信息截屏;
4.在DCRS交换机配置生成树协议安全特性的条件下,DCST渗透测试主机场景BackTrack5不能监听到PC-1访问PC-2的Telnet服务的登录密码,由DCST渗透测试主机场景BackTrack5再次向DCRS交换机发起生成树协议漏洞利用渗透测试,再次显示DCRS交换机生成树协议的状态,并将以上验证过程截屏;
5.由DCST渗透测试主机场景BackTrack5向DCRS交换机发起生成树协议漏洞利用渗透测试,提高DCRS交换机CPU的利用率,显示DCRS交换机CPU的利用率,并将该信息截屏;
6.配置DCRS交换机生成树协议安全特性,阻止生成树协议漏洞利用渗透测试,并将配置信息截屏;
7.在DCRS交换机配置生成树协议安全特性的条件下,DCRS交换机不会受DCST渗透测试主机场景BackTrack5的生成树协议漏洞利用渗透测试影响,此时由DCST渗透测试主机场景BackTrack5再次向DCRS交换机发起生成树协议漏洞利用渗透测试,显示DCRS交换机CPU的利用率,并将该验证截屏;
(四)第三阶段任务书(300分)
假定各位选手是Taojin电子商务企业的信息安全工程师,负责服务器的维护,该服务器可能存在着各种问题和漏洞(见以
升级会员 