网络信息安全实验大纲.docx
《网络信息安全实验大纲.docx》由会员分享,可在线阅读,更多相关《网络信息安全实验大纲.docx(17页珍藏版)》请在冰豆网上搜索。
网络信息安全实验大纲
网络信息安全实验大纲
一、课程名称及简介2
二、实验内容及学时分配2
三、主要仪器设备24
四、实验教学方式24
五、实验考核方法24
六、实验课程与学时分配表25
七、推荐实验教材和教学参考书25
一、课程名称及简介
网络与信息安全实验涉及到计算机网络实验与信息安全实验两个部分,共计36学时。
通过本课程的学习和实践,使学生实际掌握和理解网络信息安全领域各个知识点的精髓,包括网络基础、网络攻防和系统安全等,全面了解信息安全所涉及的主要技术和方法,具备网络信息安全防护的基本能力,从而培养高质量的信息安全人才,更有效的保障现代网络通信中信息数据的安全。
二、实验内容及学时分配
(一)、访问控制技术实验(4课时)
实验目的
访问控制是各种网络访问机制的集合,通过这些这些机制使管理者可以针对网络中的流量,网络中的各种行为实行控制。
通过网络访问控制实验,实验者可以了解到在实际的网络管理中,如何去进行有效的网络行为和流量控制。
实验内容
●基于访问控制列表的网络访问控制实验
●端口限速的网络访问控制实验
●网络访问行为控制实验
●基于端口的网络访问安全控制
除了包括IP标准ACL、IP扩展ACL、基于时间的ACL、MAC扩展ACL,还包括业界领先的专家级ACL、ACL80,学生可在该系列实验中学习到如何进行网络访问权限控制、基于交换机端口限速、冲击波等蠕虫病毒的控制等。
拓扑图
实验步骤
本实验网络拓扑假设为某单位属于不同网段的三个部门:
办公室、人事处和财务处,网络地址分别为172.16.1.0/24、172.16.2.0/24和172.16.3.0/24,如下图所示。
其中,这三个部门之间通过路由实现数据的交换,但出于安全考虑,单位要求办公室的网络可以访问财务处的网络,而人事处无法访问财务处的网络,其他网络之间都可以实现互访。
在路由器Router-A与Router-B之间配置静态路由协议。
1、路由器Router-A的基本配置。
Router#configureterminal(进入“全局配置”模式)
Router(config)#(已进入“全局配置”模式)
Router(config)#hostnameRouter-A(将路由器的名称更改为“Router-A”)
Router-A(config)#interfacefastethernet0/0(进入路由器fastethernet0/0端口配置模式)
Router-A(config-if)#ipaddress192.168.0.1255.255.255.252(将路由器fastethernet0/0端口的地址配置为192.168.0.1,子网掩码为255.255.255.252,本网段只有两个合法的IP地址)
Router-A(config-if)#noshutdown(开启路由器的fastethernet0/0端口)
Router-A(config-if)#exit(返回全局配置模式)
Router-A(config)#interfacefastethernet0/1(进入路由器fastethernet0/1端口配置模式)
Router-A(config-if)#ipaddress172.16.1.1255.255.255.0(将路由器fastethernet0/1端口的地址配置为172.16.1.1,子网掩码为255.255.255.0)
Router-A(config-if)#noshutdown(开启路由器的fastethernet0/1端口)
Router-A(config-if)#exit
Router-A(config)#interfacefastethernet0/2
Router-A(config-if)#ipaddress172.16.2.1255.255.255.0
Router-A(config-if)#noshutdown
Router-A(config-if)#exit
2、路由器Router-B的基本配置。
Router#configureterminal(进入“全局配置”模式)
Router(config)#(已进入“全局配置”模式)
Router(config)#hostnameRouter-B(将路由器的名称更改为“Router-B”)
Router-B(config)#interfacefastethernet0/0(进入路由器fastethernet0/0端口配置模式)
Router-B(config-if)#ipaddress192.168.0.2255.255.255.252
Router-B(config-if)#noshutdown
Router-B(config-if)#exit
Router-B(config)#interfacefastethernet0/1
Router-B(config-if)#ipaddress172.16.3.1255.255.255.0
Router-B(config-if)#noshutdown
Router-B(config-if)#exit
3、路由器Router-A和Router-B上静态路由的配置。
Router-A(config)#iproute172.16.3.0255.255.255.0192.168.0.2
Router-B(config)#iproute172.16.1.0255.255.255.0192.168.0.1
Router-B(config)#iproute172.16.2.0255.255.255.0192.168.0.1
4、在路由器Router-B上配置标准访问控制列表,名称为access-list10。
Router-B(config)#access-list10deny172.16.2.00.0.0.255(拒绝来自172.16.2.0/24网段的流量通过)
Router-B(config)#access-list10permit172.16.1.00.0.0.255(允许来自172.16.1.0/24网段的流量通过)
5、将访问控制列表ACL应用到路由器Router-B的端口上。
Router-B(config)#interfacefastethernet0/1
Router-B(config-if)#ipaccess-group10out(在fastethernet0/1的出站端口上调用ACL)
Router-B(config-if)#end
Router-B#writememory
二、网络攻击和应对实验(6课时)
实验目的
攻击和防御是目前业内被讨论的最为热烈的安全实验室内容,通过本实验,学生可以了解到各种流行的网络攻击行为以及如何去进行这些安全事件的防御。
实验内容
●DHCP攻击及应对实验
●MAC地址的攻击及应对实验
●ARP欺骗的攻击及应对实验
●SYNFLOOD攻击及应对实验
●……
通过此系列实验,可让学生掌握当前各种流行的攻击方式原理,如何在网络去防御这些攻击。
拓扑图
实验步骤
1、DHCP攻击
(1)木马被安装在被感染的机器上,并在局域网中运行DHCP服务。
当其他机器请求一个新的IP地址时,该服务伪造DHCP数据包应答。
如果幸运的话,木马抢在真正的DHCP服务器之前发出DHCP数据包,那它将修改其他计算机的网络配置。
(2)上面网络嗅探工具详细的显示了一台被Trojan.Flush.M感染的机器(地址192.168.91.129)到底对所在的网络有何影响。
当一台正常的机器(地址192.168.91.132)在更新它的IP地址(例如在Windows系统中使用ipconfig/release和ipconfig/renew)时,它发送一个DHCP释放数据包然后尝试寻找DHCP服务器以便获得新的网络配置。
请求得到的配置将包括所有重要的信息,任何设备(PC,Mac,Smartphone等)都需要这些配置来接入Internet,这些信息中尤为重要的是DNS服务器的地址。
在一个正常的网络中我们应该看到只有合法的DHCP服务器(192.168.91.254)向请求端发送DHCPOFFER包。
然而感染木马的机器抢先发出另一个DHCPOFFER数据包。
感染木马的机器发出的数据包首先到达DHCP客户端;因此,它取代了真实的DHCP服务器并且最终分配给客户端如下所示的IP配置信息:
很明显,受感染机器已经分配给这个正常的机器192.168.91.132(正常并且没有受到任何威胁被感染)IP配置,现在配置中包含着一些熟知的流氓DNS服务器地址:
85.255.112.36和85.255.112.41。
按照这些DNS服务器的解析进行的Internet访问只能出现非常糟糕的结果,这样的结果大部分都与DNS“changerTrojans”相关,它包括了Zlob和MacOSX。
一旦DNS服务器被修改,攻击者可以把你的计算机重定向到任何的恶意网站或者钓鱼网站(例如,你输入而你的计算机却访问“6.6.6.6”这个主机)。
2、ARP欺骗与应对
在虚拟机2上安装“网络执法官”软件,破坏虚拟机1和真实机之间的正常通信,实验步骤如下:
(1)正确配置各计算机的IP地址。
虚拟机1的网卡类型Bridged,IP地址是192.168.1.220,掩码255.255.255.0,网关192.168.1.1,DNS是218.2.135.1。
虚拟机2的网卡类型Bridged,IP地址是192.168.1.210,掩码255.255.255.0,网关192.168.1.1,DNS是218.2.135.1。
真实机的IP地址是192.168.1.200,掩码255.255.255.0,网关192.168.1.1,DNS是218.2.135.1。
(2)在虚拟机2上安装WinPcap。
解压缩“网络执法官.rar”文件,双击“WinPcap30.exe”文件,开始安装WinPcap。
在虚拟机2上安装网络执法官软件。
双击“网络执法官2.8破解版.exe”文件开始安装网络执法官。
(3)运行网络执法官。
第一次运行执法官,打开对话框,提示进行监控参数选择。
因为只有一块网块,选中最上面的网卡复选框,单击“确定”按钮。
打开监控范围选择对话框,在指定监控范围中列出网卡所在子网的所有可用IP地址,单击“添加/修改”,把范围加入后,单击“确定”按钮。
(4)攻击前测试。
在虚拟机1上,打开DOS窗口,输入ping192.168.1.200–t,持续的ping真实机的IP地址,可以发现是通的。
不要关闭该窗口。
(5)开始攻击。
网络执法官软件可以监测到同一个子网中所有在线的主机,在网络执法官的管理界面中,右键单击真实机,从快捷菜单中选择“手工管理”。
选中第三个选项“禁止与所有其他主机…”,单击“开始”,此时可以发现虚拟机1和真实机之间的ping测试开始提示“Requesttimedout”,通信中断了。
实际环境中,还可以只选中“禁止与关键主机连接…”,然后单击“关键主机”,加入网关的地址,这样被攻击计算机只会中断与网关的连接,和局域网内计算机之间的通信不会中断。
3、防范和解决ARP攻击
方法1:
经过判断已经发现存在ARP攻击,如果攻击持续存在,在受害的计算机上执行“arp–d”后,再执行“arp–a”,–a的作用是显示该计算机上的所有ARP缓存。
从中我们可能会发现有几条记录,其中一个记录是网关或要访问的目标主机,还有一条其他记录,也可能有几条。
多执行几次“arp–d”、“arp–a”,总结一下,出现最多的那条记录基本上就是ARP攻击者的真实IP地址。
方法2:
在目标设备和受害计算机上分别进行IP地址和MAC地址的静态绑定。
例如,在计算机上执行:
“arp–s192.168.1.100-aa-00-62-c6-09”,在路由或交换设备上执行:
“Cisco-6509(config)#arp192.168.1.20009.6be2.3ca3ARPA”
把要保护的目标设备的IP地址和MAC地址进行绑定,使非法的ARP攻击无孔可入。
并不是每一个用户都有权在网关设备上把自己使用的IP地址和MAC地址进行绑定,但用户至少可以做到的是在自己的计算机上把网关的IP地址和MAC地址进行绑定,最好做成一个批处理文件,每次计算机启动时都执行该文件,使用这种方法可以有效的避免上述的第二种泄密攻击。
方法3:
采用动态ARP检察技术,结合DHCP的功能,实现IP和MAC的自动绑定。
该方法和方法2类似,但绑定是自动完成的,可以在接入层交换机上部署,非法的ARP包将被交换机丢弃。
4、SYNFLOOD攻击与应对
攻击:
(1)在局域网环境,有一台攻击机(PIII667/128/mandrake),被攻击的是一台Solaris8.0(spark)的主机,网络设备是Cisco的百兆交换机。
在攻击并未进行之前,目标主机上接到的基本上都是一些普通的网络包。
(2)攻击机开始发包,DDoS开始了,sun主机上的snoop窗口开始飞速地翻屏,显示出接到数量巨大的Syn请求。
这时收不到刚才那些正常的网络包,只有DDoS包。
这时候被攻击机已经不能响应新的服务请求了,系统运行非常慢,也无法ping通。
用iptables对付syn-flood攻击:
在局域网内进行了一系列攻击实验,其中两台攻击计算机(Win2003),一台检测计算机(RedHatLinux)。
检测计算机内已有iptables规则脚本,主要测试文件到iptables的数据传递,故默认入侵检测系统发现攻击ip地址并写入文件列表。
在发生攻击时,必定有大量的网络会话处在SYN_RECV状态,采用以下命令查看处于半连接状态的TCP会话:
#netstat-nat|grepSYN_RECVtcp 0 010.10.138.121:
1763 10.10.138.52:
631 SYN_RECVtcp 0 010.10.138.121:
859 10.10.138.52:
631 SYN_RECVtcp 0 010.10.138.121:
5278 10.10.138.52:
631 SYN_RECVtcp 0 010.10.138.121:
1425 10.10.138.52:
631 SYN_RECVtcp 0 010.10.138.121:
1698 10.10.138.52:
631 SYN_RECVtcp 0 010.10.138.121:
8653 10.10.138.52:
631 SYN_RECV………………………
启动脚本后,再次输入以上命令:
#netstat-nat|grepSYN_RECV。
此时,查找不到在网络连接中处于SYN_RECV状态的会话(在WINDOWS系统中是SYN_RECEIVED状态),显示处于半连接状态的数据报都已经过滤,也就是系统成功地抵抗了SYNFlood攻击。
在实际测试中,采用多台计算机同时对主机进行攻击来模拟大流量、高强度SYNFlood攻击的复杂环境,同样取得了比较理想的结果。
三、网络入侵检测实验(4课时)
实验目的
网络攻击在目前网络中已经是屡见不鲜的事情,网络面临着各种各样的安全事件的威胁,如何去有效地识别这些安全威胁?
IDS作为目前流行的网络安全防御设备,如何有效使用IDS设备对网络安全进行有效应对?
在网络入侵检测实验中,实验者可以学习到如何识别各种安全事件,以及各种安全事件的特性。
实验内容
●攻击应对策略测试
●IDS监控数据采集
●设备安全性测试
●主动告警功能测试
拓扑图
实验步骤
检查与端口相关联的应用程序:
网络入侵者都会连接到主机的某个非法端口,通过检查出与端口关联应用程序,可以进行入侵检测,这种方法属于静态配置分析。
利用工具软件fport.exe可以检查与每一端口关联的应用程序,执行程序如下图所示。
1、BlackICE
(1)BlackICE是一个小型的入侵检测工具,在计算机上安全完毕后,会在操作系统的状态栏显示一个图标,当有异常网络情况的时候,图标就会跳动。
(2)可以查看主机入侵的信息,选择属性页“Intruders”。
2、冰之眼
使用“冰之眼”,系统管理人员可以自动地监控网络的数据流、主机的日志等,对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为,
管理员可以添加主机探测器来检测系统是否被入侵,选择菜单栏“网络”下的菜单项“添加探测器”,可以添加相关的探测器。
3、入侵检测系统snort
(1)snort的配置;
(2)利用snort发现入侵企图;
(3)自己设计snort规则发现入侵企图。
四、端点防护实验(6课时)
实验目的
目前的客户端端点防护已经成为了网络安全防护中重要的一个组成部分,越来越多针对用户系统的安全隐患,要求我们更好的利用端点技术来进行安全防护,在锐捷端点防护实验中,实验者将学习到如果利用端点防火墙、HIDS等工具来进行安全防护。
实验内容
●通过系统本身的设置来进行系统安全性防护
⏹WINDOWS系统的安全防护
⏹Linux系统的安全防护
⏹Unix系统的安全防护
●专业工具的端点安全防护
⏹实现用户的网络访问行为控制
⏹对用户系统安全性评估
⏹自动发现并进行安全事件的防御
拓扑图
实验步骤
1.常规的安全防护:
安装防病毒软件、升级系统、禁止Ping三种安全方式。
2.禁止远程协助,屏蔽闲置的端口
使用系统自带的“TCP/IP筛选服务”就能够限制端口。
方法如下:
在“网络连接”上单击右键,选择“属性”,打开“网络连接属性”对话框,在“常规”项里选中里面的“Internet协议(TCP/IP)”然后单击下面的[属性]按钮,在“Internet协议(TCP/IP)属性”窗口里,单击下面的[高级]按钮,在弹出的“高级TCP/IP设置”窗口里选择“选项”项,再单击下面的[属性]按钮,最后弹出“TCP/IP筛选”窗口,通过窗口里的“只允许”单选框,分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口,未提供各种服务的情况,可以屏蔽掉所有的端口。
3.禁止终端服务远程控制
在WindowsXP系统里关闭“终端服务”的方法如下:
右键选择“我的电脑”、“属性”,选择“远程”项,去掉“允许用户远程连接到这台计算机”前面的“√”即可。
4.关闭Messenger服务:
进入“控制面板”,选择“管理工具”,启动里面的“服务”项,然后在Messenger项上单击右键,选择“停止”即可。
5.防范IPC默认共享
防范IPC攻击就应该从系统的默认配置下手,可以通过修改注册表弥补漏洞。
第一步:
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous项设置为“1”,就能禁止空用户连接。
第二步:
打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项。
对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。
对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。
6.合理管理Administrator
使用WindowsXP的用户进入安全模式,再在“控制面板”的“用户账户”项里为Administrator用户添加密码,或者将其删除掉。
五、VPN虚拟专用网实验(4课时)
实验目的
VPN做为目前流行的网络技术之一,VPN技术利用公共互联网或者服务提供商所共享的IP网络来做为访问内部网络的传输媒介,从而避免了采用DDN等其它广域网连接方式所需的昂贵的专线租用费用。
在VPN实验中,实验者可以学习到如果利用INTERNET资源建设安全、性价比高的虚拟专网。
实验内容
●点对点IPSECVPN
●多点动态VPN
●PPTP
●L2TP
●GW到GW的VPN
●VPN承载路由协议
●EASYVPN
拓扑图
Red-Giant
VPNClient
实验步骤
1、vpnaccessserver的配置
(1)配置isakmppolicy:
cryptoisakmppolicy1
encr3des
authenpre-share
group2
(2)配置vpnclient地址池
cryisaclientconfaddress-poollocalpool192
iplocalpoolpool192192.168.1.1192.168.1.254
(3)配置vpnclient有关参数
cryisaclientconfgroupvclient-group
keyvclient-key
poolpool192
(4)配置ipsectransform-set:
cryipsectransvclient-tfsesp-3desesp-sha-hmac
(5)配置map模板
crydynamic-maptemplate-map1
settransform-setvclient-tfs
(6)配置vpnmap
crymapvpnmap1ipsec-isakmpdynamictemplate-map
crymapvpnmapisakmpauthorlistvclient-group
crymapvpnmapclientconfaddressrespond
(7)配置静态路由:
iproute192.168.1.0255.255.255.0fastethernet0
测试:
(1)在pc上运行VPNclient,连接vpnaccessserver。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,showcryisasa,看连接是否成功。
(4)从router,pingclient已经获取到的ip地址,通过。
(5)从client,pingrouter的lo0配置的地址172.16.1.1,通过。
(6)查看vpnclient软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上showcryipsa,也可以查看加密与解密的数据量。
2、easyvpnclient的配置(clientmode)
(1)配置好3662上的vpnclient后,自动进行vpn连接。
可以通过debugcryisa、debcryipclientezvpn、debcryip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source10.13