《网络安全技术》实验指导书.docx
《《网络安全技术》实验指导书.docx》由会员分享,可在线阅读,更多相关《《网络安全技术》实验指导书.docx(10页珍藏版)》请在冰豆网上搜索。
《网络安全技术》实验指导书
《网络安全技术》实验指导书
(适用于电子商务专业、计算机相关专业)
专业 ________
班级 ________
姓名 ________
学号 ________
指导老师________
山东建筑大学商学院
电子商务教研室
目录
实验一系统安全设置…………………………………………………………3
实验二DES加解密算法的实现………………………………………………5
实验三网络攻防工具使用………………………………………………………6
实验四PGP实现邮件加密和签名……………………………………………7
实验五配置支持SSL协议的安全网站………………………………………9
实验六防火墙配置…………………………………………………………17
实验七VPN……………………………………………………………………18
实验一系统安全设置
一、实验目的及任务:
掌握对Window200系统进行安全设置的过程。
二、实验环境
主机操作系统为Windows2000或WindowsXP;
三、预备知识
要深入理解操作系统安全的定义,具备一定的操作系统设置技能。
四、实验步骤
系统登陆用户账号保护设置、关闭不必要的服务和端口、开启各项安全策略。
1、停止Guest账号
在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制用户数量
去掉所有的DuplicateUser用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3、多个管理员账号、管理员账号改名
创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators权限的用户只在需要的时候使用。
将Administrator管理员用户名更改为一个一般的用户名。
4、陷阱账号
创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
。
5、更改默认权限
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、安全密码、屏幕保护密码
设置足够强度的管理员密码,并定期更改安全密码。
在桌面上单击右键,“属性”,“屏幕保护程序”,选择屏幕保护程序,并点击“设置”按钮设置屏保时间和密码。
7、开启操作系统安全策略—审核策略、密码策略、账户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次;注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
8、关闭不必要的服务、端口
关闭端口意味着减少功能,在安全和功能上面需要你做一点决策。
如果服务器安装在防火墙的后面,冒险就会少些。
但是,永远不要认为你可以高枕无忧了。
用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。
在系统目录中的\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。
具体方法为:
打开“网上邻居/属性/本地连接/属性/internet协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性”打开“TCP/IP筛选”,添加需要的TCP、UDP协议即可。
9、注册表设置:
不显示上次登陆名、禁止建立空连接。
默认情况下,登录对话框中会显示上次登录的用户名。
这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。
修改注册表可以不让对话框里显示上次登录的用户名。
方法为:
打开注册表编辑器并找到注册表项“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-Display
LastUserName”,把REG_SZ的键值改成1。
默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。
我们可以通过修改注册表来禁止建立空连接:
即把“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。
10、使用组策略提高系统安全性:
在“运行”中输入“gpedit.msc”,即可打开组策略。
然后进行相应的设置。
五、注意事项:
1、不要随意改动不清楚的功能,那样可能会引起系统瘫痪
2、注册表修改要慎重,修改前注意备份注册表。
3、关闭一些服务可能引起系统丧失部分功能,要视情况进行关闭。
4、注意记住更改后的管理员账号及密码。
六、思考题
阐述系统安全设置的重要行。
实验二DES加解密算法的实现
一、实验目的及任务:
掌握DES加密算法的加解密过程。
二、实验环境
TC编程环境;主机操作系统为Windows2000或WindowsXP;
三、预备知识
要深入理解对称加密算法,掌握DES加密过程。
具备一定的C语言编程技能。
四、实验步骤
1、安装编程环境(VC++或TC);
2、将所给程序调试通过;
3、运行程序,检查结果;
4、存盘,写出实验报告。
五、注意事项:
1、VC环境下,需包含相关的头文件,如“stdio.h”、“iostream.h”等。
2、利用编程环境下方的窗口帮助调试。
3、注意各个子函数之间的调用关系。
4、按照DES的加密流程组织函数。
六、思考题
DES算法主要有哪几部分?
主要分成三部分:
密钥生成、加密和解密。
由于DES的加密和解密算法是一样的,只不过密钥使用顺序颠倒了。
所以具体实现起来只需要写一个密钥生成程序和一个加密程序。
实验三网络攻防工具使用
一、实验目的及任务:
1、熟悉对计算机的端口进行扫描的原理;
2、熟练使用x-scanner扫描工具对计算机的端口进行扫描
3、熟悉SnifferPro网络分析器的操作
4、使用SnifferPro网络分析器对局域网的数据包进行识别、分析。
5、了解远程控制的基本原理
6、熟悉远程控制软件——冰河的使用。
二、实验环境
安装系列网络攻防软件;主机操作系统为Windows2000或WindowsXP;
三、预备知识
要深入熟悉网络传递信息的原理,理解网络攻击和防护的原理,掌握多种工具的使用。
熟悉x-scanner、流光等扫描工具的界面、查看端口信息、发现系统漏洞。
四、实验步骤
1、设置扫描参数、扫描模块、开始扫描,显示发现的漏洞,声称扫描报告。
2、安装SnifferPro;使用Matirx监视网络情况;使用Capture->DefineFilter->Advanced,设置要监视的数据包协议类型;用CapturePanel显示捕获的Packet数量。
捕获某个IP的通信数据包:
使被监视主机登陆某网站,或建立FTP连结,用sniffer捕获通信数据包(FTP或HTTP数据包)进行分析,完成抓取局域网中ftp用户名及密码的操作。
。
3、安装并使用冰河自动跟踪目标机屏幕的变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);记录各种口令信息;获取系统信息;限制系统功能;远程文件操作;注册表操作;发送信息;点对点信息。
五、注意事项:
1、有些黑客软件在安装和使用的时候要关闭杀毒软件,否则将被当作病毒杀掉,影响继续实验。
2、网络扫描和网络嗅探时,要关闭或降低防火墙。
3、安装sniffer等软件过程中要求输入注册码,需要下载相应的注册码。
4、sniffer等安装过程需要重起机器,由于机器都安装了保护卡,所以需要先解保护卡,再安装。
六、思考题
阐述黑客攻击的步骤.
1、信息的收集2、系统安全弱点的探测3、建立模拟环境,进行模拟攻击
4、具体实施网络攻击
实验四PGP实现邮件加密和签名
一、实验目的及任务:
1、了解加密工具PGP的原理
2、熟悉PGP简单配置方法
二、实验环境
安装PGP加密软件;主机操作系统为Windows2000或WindowsXP;
三、预备知识
要深入理解邮件加密的定义,掌握PGP加密原理及邮件加密过程。
四、实验步骤
使用PGP软件对邮件等进行加密和签名。
1、使用PGP创建密钥对
A、安装PGP
B、电脑重启后将“注册码”拷贝到“PGPLICENSEAUTHORIZATION”,在PASSPHASE中输入一个N位通行码。
C、打开“PGPDISK”按照步骤创建一对密钥对。
D、创建密钥对也可如此做:
打开“PGPKEYS”选择“KEYS”“NEWKEYS”然后按提示做即可。
2、导出公钥
打开“PGPKEYS”选择“KEYS”“EXPORT”将公钥导出为扩展名为ASC的文件,将此文件发给朋友。
1、使用PGP加密、解密邮件
加密过程:
用朋友发来的公钥对邮件加密,在“PGPKEYS”“KEYS”“IMPORT”将公钥导入,用此公钥加密。
首先将邮件正文拷贝到剪贴板,然后点击“开始”-“程序”-“PGP”-“PGPMail”-“EnCRYPT&Sign”,再将剪贴板的内容粘贴到信件中,即为加密后的密文。
解密过程:
解密时,拷贝朋友发过来的密文到剪贴板,然后点击“DECRYPT&VERIFY”,输入通行码即可。
2、使用PGP签名和验证签名:
过程同上。
3、使用PGP加密解密文件:
A、右键单击要加密的文件,选择“PGP”-“EnCrypt”,选择加密文件存放的路径即可。
B、双击PGP加密了的文件,输入私钥通过短语即可。
五、注意事项:
1、安装PGP过程中要求输入注册码,在安装文件目录中有个“注册码.txt”文件,将其中的内容拷贝注册即可。
2、安装过程需要重起机器,由于机器都安装了保护卡,所以需要先解保护卡,再安装。
六、思考题
PGP加解密邮件的原理是什么?
公私钥本地加解密,首先自己先生成一对密钥。
公钥可以放在PGP服务器上用于其他给你给发邮件时用公钥加密。
私钥自己存在本地保管,同理你给别人发邮件就用他的公钥加密文件再发给他。
网络中的数据全部是加密的,有DES算法等
实验五配置支持SSL协议的安全网站
一、实验目的及任务:
1、加深对数字证书原理和CA的理解,熟悉数字证书的作用。
2、熟悉数字证书的申请、下载及安装过程。
3、掌握服务器数字证书的使用。
二、实验环境
itrusCA数字证书颁发环境;IIS服务环境;主机操作系统为Windows2000或WindowsXP;
三、预备知识
要深入理解SSL的定义,掌握建立SSL加密连接的技术。
四、实验步骤
实验内容:
申请、下载证书;利用已下载的证书配置支持SSL协议的安全网站。
1、生成证书请求
2、申请证书
当设置完成后,单击“OK”按钮。
这时,已经完成了安全Web站点的设置工作,并已经启用了安全通道,如果再通过http:
连接来连接该Web站点,系统会提示必须要通过https:
连接来连接上要访问的站点。
用户再通过https:
连接来连接上刚刚设置的安全Web站点。
完成配置后,单击“完成”确认配置,结束SSL安全网站的配置。
五、注意事项:
1、可以把客户机设成证书颁发中心,给自己颁发服务器证书和客户浏览器证书。
2、如果没有下载和安装证书路径,所申请的证书会出现证书异常提示。
六、思考题
1、简述SSL握手的过程。
(1.)客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器;
(2.)服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,服务器同时还提供了一个用作产生密钥的随机数;
(3.)客户端对服务器的证书进行验证(有关验证证书,可以参考数字签名),并抽取服务器的公用密钥;然后,再产生一个称作pre_master_secret的随机密码串,并使用服务器的公用密钥对其进行加密(参考非对称加/解密),并将加密后的信息发送给服务器;
(4.)客户端与服务器端根据pre_master_secret以及客户端与服务器的随机数值独立计算出加密和MAC密钥(参考DH密钥交换算法)。
(5.)客户端将所有握手消息的MAC值发送给服务器;
(6.)服务器将所有握手消息的MAC值发送给客户端。
实验六防火墙配置
一、实验目的及任务:
深入了解防火墙的功能和工作原理。
二、实验环境
安装网络防火墙;主机操作系统为Windows2000或WindowsXP;
三、预备知识
要深入理解防火墙的定义,具备一定的配置防火墙的技能。
四、实验步骤
使用天网防火墙软件,掌握天网防火墙配置方法。
1、安装天网防火墙
2、使用主界面上的“应用程序规则”进行应用程序规则设置
3、使用主界面上的“IP规则管理”进行IP规则设置
4、使用主界面上的“系统设置”进行防火墙的系统设置
5、设置防火墙的安全级别(低、中、高)。
6、查看防火墙的日志。
五、注意事项:
1、只要机器上网,就有必要安装防火墙。
2、安装完毕,递一次使用防火墙的时候,需要输入正确的序列号。
3、最好将防火墙设置为开机启动。
六、思考题
1、简述防火墙的分类。
网络层防火墙、应用层防火墙、数据库防火墙
2、简述防火墙的工作原理。
分析出入防火墙的数据包,决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。
这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定
实验七VPN
一、实验目的及任务:
1、熟悉VPN基本知识。
2、熟悉Win2000下VPN的具体配置
二、实验环境
安装路由和远程访问服务;主机操作系统为Windows2000或WindowsXP;
三、预备知识
要深入理解VPN的定义,具备配置VPN连接的技能。
四、实验步骤
在Win2000下配置VPN服务器和客户端,并实现客户端对服务器的访问。
1、VPN服务器的配置
(1)选择“管理工具”中的“路由和远程访问”,出现“路由和远程访问”主界面。
(2)右击要配置的服务器,选择“配置并启用路由和远程访问”。
(3)跳过欢迎页面,在“路由和远程访问服务器安装向导”页面中选择“虚拟专用网络(VPN)服务器”,单击下一步。
(4)在“远程客户协议”页面根据需要选择合适的协议,此处选择"TCP/IP",点选“是,所有可用的协议都在列表上”,再单击“下一步”。
(5)在“internet连接”页面,选择一个用来让远程计算机连接的internet连接,由于我们在虚拟机中做的实验,此处选择“无internet连接”即可,单击下一步。
(6)在“IP地址指定”页面,选择合适的地址分配方案,为灵活起见选择DHCP好一些。
如果仅是几个地址的话可以指定一个地址范围。
此处我们选择DHCP方式,单击下一步。
(7)在“管理多个远程访问服务器”页面中,选择“不,我现在不想设置此服务器使用RADIUS”,单击下一步。
(8)完成。
2、用户的配置
用户的配置比较简单,作用是给予用户拨入的权限。
VPN服务器配置成功后,双击打开“网络和拨号连接”中“传入的连接”,在随之出现的“属性”页面中选择“用户”选项卡,单击允许连接的用户名,确定即可。
3、客户端的配置
(1)选择“开始”->“设置”->“网络和拨号连接”,单击“新建连接”,启动网络连接向导。
(2)跳过欢迎屏幕,在第二页的网络连接类型中选择“通过Internet连接到虚拟专用网络”,单击下一步。
(3)在“目标地址”页面,填写上你的VPN服务器的主机名或IP地址,单击下一步。
(5)在“可用连接“页面,根据需要选择让所有用户都使用此连接或只有自己使用此连接。
为简化起见,我们选择“只是我自己使用此连接”,单击下一步。
(6)最后输入合适的连接名称如“VPN连接测试”,完成。
4、客户端与服务器的连接
在网络和拨号连接中,单击“VPN连接测试”,输入正确的用户名和密码,即可进行连接。
五、注意事项:
1、如果以前已经配置过VPN服务器,现在需要重新开始,则在此服务器上单击右键,选“禁用路由和远程访问”,即可停止此服务,以便重新配置。
2、可以用PGP实现VPN联接,有兴趣的同学可以实现一下。
注意:
需确保在GPG安装过程中勾选了PGPnet前面的复选框,否则PGP就没有这个工具选择。
六、思考题
1、简述VPN的原理。
VPN是指在共用网络上建立专用网络的技术。
之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。
用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧(Tunnel),即点到点的虚拟专线进行传输的。
通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性
升级会员 