信息安全测评实验二.docx
《信息安全测评实验二.docx》由会员分享,可在线阅读,更多相关《信息安全测评实验二.docx(16页珍藏版)》请在冰点文库上搜索。
信息安全测评实验二
西南科技大学计算机科学与技术学院
实验报告
实验名称交换机安全测评及加固
实验地点
实验日期
指导教师
学生班级
学生姓名
学生学号
提交日期
2015年3月信息安全系制
一、实验目的
通过对交换机进行安全测评和安全加固,掌握交换机安全测评方案的设计、安全测评实施及结果分析;了解安全加固的方法。
二、实验题目
根据《信息系统安全等级保护基本要求》的第三级基本要求,按照实验指导书中的示范,对交换机进行安全测评,安全等级为三级。
三、实验设计
应从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护这七个方面入手,按照《信息系统安全等级保护基本要求》的第三级基本要求进行测评,重点查看交换机中的各项配置信息,密码等设置是否符合要求。
结构安全(G3)
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
看主机所用的路由器是静态路由还是动态路由。
静态路由是管理员手工配置的,动态路由是路由器动态建立的,为了保证网络安全,应添加认证功能。
此外,采用内部路由和外部路由。
对于外部路由要进行验证,例如ospf协议要进行验证,对于内部路由要按照访问路径进行访问,可以tracert一下,检查是否按照设计的路径进行访问。
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
针对大型的网络,采用动态路由,对进出各区域的路由进行控制(特别在不同动态路由协议之间的重分布<如OSPF,EIGRP等之间>,路由过滤,路径选择等控制),允许必要的外部路由进入,允许向外通告内部路由。
可通过询问管理员的方式看是否采用了隔离手段。
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
对数据包进行过滤和流量控制。
访问控制(G3)
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3
等协议命令级的控制;
询问系统管理员是否对进出网络的信息内容进行过滤。
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
使会话处于非活跃一定时间或会话结束后看是否终止网络连接。
e)应限制网络最大流量数及网络连接数;
打开防火墙,查看网络是否限制了上行和下行的带宽,以及容许连接的最大值。
f)重要网段应采取技术手段防止地址欺骗;
方法:
重要网段绑定MAC地址和IP地址。
安全审计(G3)
c)应能够根据记录数据进行分析,并生成审计报表;
查看日志系统。
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
查看日志系统的读、写、可执行的权限。
边界完整性检查(S3)
本项要求包括:
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
手段:
访问网络管理员,询问采用了何种技术手段或管理措施对“非法外联”行为进行检查,以及对非授权设备私自联到内部网络的行为进行检查。
在网络管理员配合下验证其有效性。
入侵防范(G3)
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
询问管理员是否有报警措施。
恶意代码防范(G3)
a)应在网络边界处对恶意代码进行检测和清除;
查看防火墙设置,是否安装杀毒软件。
b)应维护恶意代码库的升级和检测系统的更新。
查看是否安装杀毒软件,杀毒软件版本是否是最新。
查看系统版本信息。
网络设备防护(G3)
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
重新启动设备,查看登录设备所需的条件。
(即是否进行认证,认证方法有几种)
h)应实现设备特权用户的权限分离。
查看是否有管理员,审计员等除了管理员的其他特权用户,查看用户的权限。
四、实验记录
●结构安全
本项要求包括:
a)设备的业务处理能力具备冗余空间,满足业务高峰期需要;
1.打开PuTTY,输入用户名和密码,登录终端
2.输入displaycpu查看CPU使用率:
3.输入displaymemory查看内存使用情况
4.输入displayconnection查看会话连接数情况
实际情况:
CPU、内存使用率不超过50%,,connection会话数不超过最大值70%。
b)应保证网络各个部分的带宽满足业务高峰期需要。
(1)键入displaybriefinterface,查看端口使用情况,
实际结果:
Eth1/0/1处于DOWN状态,Eth1/0/3,Eth1/0/4,Eth1/0/5,Eth1/0/11等处于UP状态。
2)找到处于UP状态的端口Eth1/0/3,键入displayinterfaceEth1/0/3,查看接口Eth1/0/3的详细信息。
Eth1/0/3--(114+482)/(100*1024*1024)=596/104857600<1%
Eth1/0/4--(565+4078)/(100*1024*1024)=4643/104857600<1%
Eth1/0/5--(14950+2006)/(100*1024*1024)=16956/104857600<1%
Eth1/0/11--(211+1200)/(100*1024*1024)=1411/104857600<1%
实际结果:
所有端口使用率计算都小于宽带的70%
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
方法:
看主机所用的路由器是静态路由还是动态路由。
静态路由是管理员手工配置的,动态路由是路由器动态建立的,为了保证网络安全,应添加认证功能。
输入displayiprouting-table查看静态路由
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
采用内网和外网分离开。
通过咨询管理员的方式。
结果:
使用的是内网。
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机
方法:
询问管理员是否实现了数据包的过滤及流量控制。
结果:
实现了数据包的过滤及流量控制。
●访问控制
本项要求包括:
a)应在网络边界部署访问控制设备,启用访问控制功能;
结果:
访问管理员,没有部署访问控制设备及措施。
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
结果:
交换机没有对其做出限制控制。
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
结果:
系统会自动断开长时间没动作的连接。
e)应限制网络最大流量数及网络连接数;
方法:
询问系统管理员是否限制网络最大流量数及网络连接数。
结果:
大多数端口都有最大流量限制100兆,和最大连接数限制10个。
f)重要网段应采取技术手段防止地址欺骗;
结果:
重要网段没有采用其他技术手段。
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
登录设备查看是否对拨号用户进行身份认证,是否配置访问控制规则对认证成功的用户允许访问受控资源。
预期结果:
对于远程拨号用户,设备上提供用户认证功能;有通过配置用户、用户组,并结合访问控制规则实现对认证成功的用户允许访问受控资源。
步骤:
键入displayaclall,查看是否配置访问控制列表。
实际结果:
访问控制列表为空,说明系统未部署任何访问控制规则。
h)应限制具有拨号访问权限的用户数量;
(1)询问系统管理员,是否有远程拨号用户,采用什么方式接入系统,采用何种方式进行身份认证,具体用户数量有多少。
步骤1:
输入displayversion查看系统的授权信息
步骤2:
输入displaycurrent-configuration查看系统配置信息,确认拨号用户数的数量配置;
测试结果:
限制具有拨号访问权限的用户数量,数量为1。
安全审计
本项要求包括:
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
目的:
查看是否启用了日志记录,日志记录是本地保存,还是转发到日志服务器。
记录日志服务器的地址
(1)输入displaylogbuffer,显示系统日志缓冲区和配置信息;
(2)输入displaydiagnostic-information显示系统当前各个功能模块运行的统计信息。
displaydiagnostic-information命令一次性收集了配置如下各条命令后终端显示的信息,包括:
displayclock、displayversion、displaydevice、displaycurrent-configuration等。
将此信息存入任意.diag文件(如aa.diag):
再在用户视图下执行“moreaa.diag”命令,配合使用/键,可以查看aa.diag文件的记录的内容。
显示的操作记录,用户的行为:
登录的情况:
VLAN的1/1/1端口运行情况:
NULL0接口:
它是个伪接口,不能配地址,也不能被封装,它总是UP的,但是从来不转发或接受任何通信量,对于所有发到该接口的通信量都直接丢弃。
测试结果:
能查看网络设备运行状况、网络流量、用户行为等。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
登录测评对象或日志服务器,查看日志记录是否包含了事件的日期和时间、用户、事件类型、
事件是否成功等信息。
步骤:
输入displaylogbuffer,查看日志缓冲区和配置信息;
测试结果:
能查看事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
c)应能够根据记录数据进行分析,并生成审计报表;
访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。
恶意代码防范(G3)
本项要求包括:
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新。
步骤:
询问管理员系统中是否安装防病毒软件。
询问管理员病毒库更新策略。
查看病毒库的最新版本更新日期是否超过一个星期。
7)网络设备防护
本项要求包括:
a)应对登录网络设备的用户进行身份鉴别;
目的:
检查测评对象采用何种方式进行登录,是否对登录用户的身份进行鉴别,是否修改了默认的用户名及密码。
步骤1:
输入displaycurrent-configuration,查看用户名密码机认证配置。
其中,authentication-modepassword表示进行本地口令认证;authentication-modescheme表示进行本地或远端用户名和口令认证。
Sshtelnet使用远程控制WEB服务器,必须输入用户名和密码来登录服务器。
步骤2:
输入displayusersall,查看所有用户信息和用户级别:
测试结果:
记录了IP地址等,实现了对登录网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登录地址进行限制;
目的:
查看是否有控制列表对管理员登录进行控制;
步骤:
输入displayaclall,查看是否有控制列表对管理员登录进行控制;
测试结果:
没有控制列表对管理员登录进行控制;
c)网络设备用户的标识应唯一;
手段:
登录网络设备,查看设置的用户是否有相同用户名。
询问网络管理员,是否为每个管理员设置了单独的账户。
方法;输入displaycurrent-configuration,查看设置的用户名。
测试结果:
权限不够,无法看到是否有重复的用户名。
d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
(1)询问网络管理员对身份鉴别所采取的具体措施,使用口令的组成、长度和更改周期等;
(2)通过访谈检查设备的用户、口令信息及是否定期更换,displaycur查看系统配置;
测试结果:
能保证口令复杂度和定期更改的要求。
e)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
目的:
查看系统配置中对登录失败的处理机制。
方法:
以CISCOIOS为例,输入命令:
showrunning-config检查配置文件中应当存在类似如下
配置项linevty04;
displaycurrent-configuration查看系统配置;
退出系统重新登录,输入错误密码进行尝试,查看系统反应。
测试结果:
登录失败时系统采取结束会话、限制非法登录次数和当网络登录连接超时自动退出。
f)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
(1)displaycurrent-configuration
(2)查看配置是否开启ssh,如:
aaaauthenticationsshconsoleLOCAL
测试结果:
采用了SSH等加密协议,防止鉴别信息被窃听。
h)应实现设备特权用户的权限分离。
询问管理员是否有权限分离措施。
i)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
打开PuTTY,输入用户名和密码,登录终端
测试结果:
只有一种鉴别技术来进行身份鉴别。
五、实验体会
体会:
这次交换机实验做的时间比较长,交换机的检验与主机检验的步骤都基本相同,但交换机感觉却很困难,主要原因是不熟悉交换机,对交换机的命令更是知之甚少。
通过本次实验,我掌握了WindowsXP交换机的测评方法(按照三级标准)。
同时也发现我们的电脑存在着很多的安全性问题。
在网络安全中,发现对用户身份的鉴别力度还是不够,密码设置过于简单,所以,设置密码时应设置相对复杂的密码,来增加安全空间。
同时发现管理员的权限分配过大。
应该实现权限分离。
增加审计等角色。
升级会员 