信息安全实验指导书Word下载.docx
《信息安全实验指导书Word下载.docx》由会员分享,可在线阅读,更多相关《信息安全实验指导书Word下载.docx(110页珍藏版)》请在冰点文库上搜索。
3.5.2操作与测试21
4实验4:
电子邮件安全实验24
4.1实验目的24
4.2实验环境24
4.3实验要求24
4.4实验背景25
4.4.1基础知识25
4.4.2邮件服务器Mdaemon25
4.4.3邮件加密软件PGP25
4.5实验步骤26
4.5.1邮件服务器的安装与测试26
4.5.2邮件服务器的安全配置30
4.5.3安装PGPDesktopProv8.131
4.5.4PGP密钥管理31
4.5.5邮件加密与签名34
5实验5:
网络级防火墙实验37
5.1实验目的37
5.2实验环境37
5.3实验要求38
5.4实验背景38
5.4.1实验原理38
5.4.2标准的IP访问控制表38
5.4.3扩展的IP访问控制表40
5.5实验步骤41
5.5.1构建实验环境41
5.5.2进入交换机配置界面42
5.5.3VLAN的创建和应用44
5.5.4配置交换机的IP参数45
5.5.5过滤IP地址46
5.5.6过滤ICMP协议包47
5.5.7限制远程登录服务48
6实验6:
WEB安全实验51
6.1实验目的51
6.2实验环境51
6.3实验要求51
6.4实验背景51
6.5实验步骤52
6.5.1IIS服务器的安全配置52
6.5.2用户机的SSL配置55
7实验7:
VPN实验65
7.1实验目的65
7.2实验环境65
7.3实验要求65
7.4实验背景65
7.5实验步骤66
7.5.1配置和启用VPN服务器66
7.5.2配置VPN客户端71
附1:
实验环境简介77
1.1网络实验室简介77
1.2网络实验室组成77
1.3实验设备介绍79
1.3.1核心交换机CiscoCatalyst356079
1.3.2二层交换机CiscoCatalyst295081
1.3.3路由器Cisco280182
附2:
实验室各组分布图85
附3:
各组机器及设备的IP地址分配86
附4:
交换机的初始配置和管理87
网络扫描实验
1.1实验目的
(1)了解网络扫描技术的工作原理。
(2)掌握常用扫描工具的基本用法。
(3)熟悉网络扫描的用途与后果。
1.2实验环境
每2位学生为一个实验组,使用2台安装Windows2000/XP的PC机,通过局域网互联,IP网络为192.168.1.0/24。
其中一台(192.168.1.101)上安装Windows平台下的Nmap4.11软件,另一台(192.168.1.100)上安装软件防火墙,实验环境的网络拓扑如图1所示。
图1网络扫描实验拓扑
1.3实验要求
1、实验任务
(1)安装和运行网络扫描软件。
(2)进行典型的探测,如主机探测、系统探测、TCP扫描等。
(3)记录并分析实验结果。
2、实验预习
(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。
(2)复习有关网络扫描的基本知识。
3、实验报告
(1)简要描述实验过程。
(2)实验中遇到了什么问题,如何解决的。
(3)分析网络扫描器在网络管理和网络安全方面的作用。
(4)实验收获与体会。
1.4实验背景
1.4.1基础知识
扫描的目的是收集被扫描系统或网络的信息。
通常,扫描是利用一些程序或专用的扫描器来实现,扫描器是一种自动检测远程或本地主机安全性弱点的程序。
通过使用扫描器,可以发现远程服务器是否存活、对外开放的各种TCP端口的分配及提供的服务、所使用的软件版本,如操作系统或其他应用软件的版本,以及可能被利用的系统漏洞。
根据这些信息,可以使用户了解目标主机所存在的安全漏洞。
扫描器不仅是黑客用作网络攻击的工具,也是网络安全管理员维护网络安全的重要工具。
网络安全管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误。
1.4.2网络扫描工具Nmap简介
Nmap是一款开放源代码的网络探测和安全审核的工具,基本包括了常用的扫描方式,并且提供了许多非常实用的辅助功能,以对目标主机做出进一步的侦测,如操作系统识别、进程用户分析以及众多可选的方式来逃避目标系统的监测等。
Nmap可任意指定主机、网段甚至是整个网络作为扫描目标,扫描方式亦可通过添加合适的选项按需组合。
本实验使用基于Windows的Nmap软件,其命令语法如下:
nmap[扫描类型][选项]<
主机或网络#1……[#N]>
在Nmap的所有参数中,只在目标参数是必须给出的,其最简单的形式是在命令行直接输入一个主机名或者一个IP地址。
如果希望扫描某个IP地址的一个子网,可以在主机名或者IP地址的后面加上/掩码。
掩码的范围是0(扫描整个网络)~32(只扫描这个主机)。
使用/24扫描C类地址,/16扫描B类地址。
可以使用nmap–h快速列出Nmap选项参数的说明,下面列举出一些常用的扫描类型:
-sT表示TCP全连接扫描(TCPconnect())。
-sS表示TCP半开扫描。
-sF表示隐蔽FIN数据包扫描。
-sA表示XmasTree扫描。
-sN表示空(Null)扫描。
-sP表示ping扫描。
-sU表示UDP扫描。
-sA表示ACK扫描。
-sW表示对滑动窗口的扫描。
-sR表示RPC扫描。
-b表示FTP反弹攻击(bounceattack)。
功能选项可以组合使用,有些功能选项只能在扫描模式下使用,Nmap会自动识别无效或者不支持的功能选项组合,并向用户发出警告信息。
下面列举出一些常用的选项:
-P0表示在扫描之前,不必ping主机。
-PT表示扫描之前,使用TCPping确定哪些主机正在运行。
-PS表示使用SYN包而不是ACK包来对目标主机进行扫描(需要Root权限)。
-PI表示使用真正的ping(ICMPecho请求)来扫描目标主机是否正在运行。
-PB表示这是默认的ping扫描选项。
它使用ACK(-PT)和ICMP(-PI)两种扫描类型并行扫描。
-O表示对TCP/IP指纹特征(fingerprinting)的扫描,获得远程主机的标志。
-I表示反向标志扫描。
-f表示使用碎片IP数据包发送SYN、FIN、XMAS、NULL扫描。
-v表示冗余模式。
它会给出扫描过程中的详细信息。
使用-d选项可以得到更加详细的信息。
-h表示快速参考选项。
-oN表示把扫描结果重定向到一个可读的文件logfilename中。
-oS表示把扫描结果重定向到标准输出上。
-resume表示可以使扫描接着以前的扫描进行。
-iL表示从inputfilename文件中读取扫描的目标。
-iR表示让nmap自己随机挑选主机进行扫描。
-p<
端口范围>
表示选择要进行扫描的端口号的范围。
-F表示快速扫描模式。
-D表示使用诱饵扫描方法对目标网络/主机进行扫描。
-S<
IP-Address>
表示指定IP源地址。
-e表示使用哪个接口发送和接受数据包。
-g表示设置扫描的源端口。
Nmap运行通常会得到被扫描主机端口的列表、Well-known端口的服务名(如果可能)、端口号、状态和协议等信息。
每个端口有Open、Filtered和Unfiltered三种状态。
Open状态意味着目标主机能够在这个端口使用Accept()系统调用接受连接;
Filtered状态表示防火墙、包过滤和其他的网络安全软件掩盖了这个端口,禁止Nmap探测其是否打开;
Unfiltered表示这个端口关闭,并且没有防火墙/包过滤软件来隔离Nmap的探测企图。
1.5实验步骤
1.5.1安装Nmap
(1)下载基于Windows平台的namp-4.11-setup.exe,双击安装程序执行安装。
图2安装界面
(2)单击Next按钮,指定Namp的安装目录,如图3。
(3)Windows平台下安装Namp需要安装数据包捕捉库WinPcap,其作用是帮助调用程序(即Namp)捕获通过网卡传输的原始数据。
WinPcap安装界面如图4。
(4)单击“开始”→“运行”命令,输入cmd并按Enter键,打开命令提示符窗口,在该窗口输入如下命令:
nmap–v–A192.168.1.101
图3指定安装目录图4WinPcap安装界面
注意:
命令行是区分大小写的。
若返回结果如图5所示,表明安装成功。
(5)Windows平台上的Nmap程序没有在UNIX平台上的效率高,特别是连接扫描(-sT)速度非常慢。
如图6所示,双击Nmap目录中的nmap_performance.reg文件,将之导入注册表,此注册表文件的内容如图7所示。
在注册表中做了3个修改,增加为Nmap应用程序保留的临时端口数量,减少一个关闭连接重新使用之前的时间,从而提高连接扫描的性能。
图5确认Nmap是否安装成功
图6将nmap_performance.reg文件导入注册表
图7显示nmap_performance.reg文件内容
1.5.2操作与测试
(1)用Ping扫描方式探测主机
在局域网中的一台机器上安装Nmap后,输入命令:
nmap-sP192.168.1.1-254
用于探测局域网中开放的主机,返回结果如图8所示,输出结果包括开放主机的IP地址和MAC地址。
图8使用Ping扫描方式探测主机
(2)探测操作系统类型
对局域网中一台运行Windows操作系统的主机(192.168.100)进行探测,输入命令:
nmap-O192.168.1.100
扫描结果如图9。
图9Windows操作系统指纹识别
(3)TCP连接扫描
输入命令:
nmap-sT192.168.1.100
用TCP连接扫描方法扫描目标主机(192.168.1.100),返回结果如图10所示。
图10TCP连接扫描
(4)TCP同步扫描
nmap-sS192.168.1.100
用TCP同步扫描方法扫描目标主机(192.168.1.100),返回结果如图11。
观察其与TCP连接扫描的异同,发现TCP同步扫描速度明显比TCP连接扫描快,所得结果略有不同。
图11TCP同步扫描
(5)隐蔽扫描
nmap-sF192.168.1.100
nmap-sX192.168.1.100
使用FIN扫描和XmasTree扫描方式对运行在Windows下的主机进行扫描并观察返回结果。
如图12所示,表示Nmap未能发现目标主机开放的端口。
图12对Windows主机进行秘密FIN和XmasTree扫描
网络监听实验
2.1实验目的
(1)熟悉网络监听的原理与技术。
(2)熟悉SnifferPro的基本使用方法。
(3)熟悉网络监听的用途与后果。
2.2实验环境
其中一台(192.168.1.101)安装SnifferPro4.7.5,记为A,实验环境的网络拓扑如图1所示。
图1网络监听实验拓扑
2.3实验要求
(1)安装和运行网络监听软件。
(2)使用和测试Sniffer的常用功能。
(2)复习有关网络监听的基本知识。
(3)在一台主机上安装防火墙,另一台主机再进行嗅探,看是否还能接收信息。
如果不能,分析其原因并详细写出来。
(4)根据网络监听的工作原理,讨论针对网络监听的防范措施,并加以实施和效果分析。
(5)实验收获与体会。
2.4实验背景
2.4.1基础知识
网络监听也称为嗅探,作为一种发展比较成熟的技术,在协助网络管理员监测网络传输数据及排除网络故障等方面具有不可替代的作用。
然而,网络监听也给以太网带来了极大的隐患,许多网络入侵往往都伴随着以太网内网络监听,从而造成口令失窃、敏感数据被截获等安全事件。
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关或远程网中的调制解调器等。
监听效果最好的地方是在网关、路由器、防火墙一类的设备上,通常由网络管理员来操作。
网络监听工具在功能和实际使用方面有多不同,有些只能分析一种,有些则能分析几百种。
大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。
通常,网络监听可以提供如下一些功能。
(1)自动从网络中过滤及转换有用的信息。
(2)将截取的数据包转换成易于识别的格式。
(3)对网络环境中的通信失败进行分析。
(4)探测网络环境下的通信瓶颈。
(5)检测是否有黑客正在攻击网络系统,以阻止其入侵。
(6)记录网络通信过程。
2.4.2网络监听工具Sniffer简介
SnifferPortable是NAI公司开发的系列网络故障和性能管理解决方案,网络专业人士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。
SnifferPortable软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行,并且可以利用高级自定义硬件组件确保全线速的捕获能力。
2.5实验步骤
2.5.1安装Sniffer
在主机A上运行SnifferPro4.7的安装程序。
根据安装向导的提示,输入用户信息,指定安装路径,填写用户注册信息,输入序列号,指定连接到Internet的方式。
安装结束后,重新启动计算机。
2.5.2操作与测试
SnifferPro的主要功能包括:
●监视功能:
用于计算并显示实时网络通信量数据。
●捕获功能:
用于捕获网络通信量并将当前数据包存储在缓冲区(或者文件)中,以备将来分析使用。
●实时专家系统分析功能:
用于在捕获过程中分析网络数据包,并对潜在的问题发出警告。
●显示功能:
用于解码和分析捕获缓冲区中的数据包,并用各种格式加以显示。
本实验主要了解其监视功能。
(1)Dashboard(仪表盘)
仪表盘是SnifferPro的可视化网络性能监视器。
在第一次启动SnifferPro时,仪表盘就会出现在屏幕上,如图2所示。
如果关闭了仪表盘窗口,选择菜单Monitor(监控)→Dashboard(仪表盘)来启动它,或者单击SnifferPro工具栏中的仪表盘图标。
仪表盘窗口包括3个数字表盘,从左到右是:
●利用率百分比(Utilization%):
说明线路使用带宽的百分比,是用传输量与端口能够处理的最大带宽的比值来表示的。
表盘的红色区域表示警戒值。
在有盘下文有2个数字,用破折号隔开。
第一个数字代表当前利用率百分比,破折号后面的数字代表最大的利用率百分比。
●每秒传输的数据包(Packets/s):
说明当前数据包的传输速度。
表盘的红色区域表示警戒值,表盘下文显示的是当前的数据包传输速度及其峰值。
●每秒产生的错误(Errors/s):
说明网络的出错率。
表盘的红色区域表示警戒值,表盘下方的数值表示当前的出错率和最大的出错率。
图2SnifferPro仪表盘窗口
SnifferPro的很多网络分析结果都可以设定阀值。
如果超出了阀值,报警记录就会生成一条信息。
在仪表盘上,超过设定阀值的范围用红色标记。
单击仪表盘上方SetThresholds(设置阀值)按钮,会出现仪表盘属性对话框,如图3所示。
在仪表盘属性对话框中,左边是名称栏,右边是高阈值栏,底部是以秒为单位计算的监控样本间隔。
如果修正了一个参数,但是又想恢复默认值,首先就要选中这个参数,然后单击Reset(重置)按钮。
如果要把所有参数都重新设定默认值,可以单击ResetAll(全部重置)按钮。
图3仪表盘属性对话框
仪表盘左下方的Gauge(计量表)卷标实时显示利用率、数据包速率和错误率。
单击仪表盘左下方的Detail(详细资料)卷标,则以表格方式显示网络计数结果、规模分成和错误计数结果的详细情况,如图4所示。
图4SnifferPro仪表盘的详细资料卷标
单击ShortTerm(短期)或LongTerm(长期)按钮,可以缩小或扩大、详细错误和规模分布图形的范围,短期范围大约是25分钟,长期范围是24小时.
单击仪表盘左下方的Network(网络)选择框,显示如图5所示的网络仪表盘图和网络事件选择框。
仪表盘中的网络图根据每秒的统计结果,提供所有网络图。
图5网络仪表盘图和网络事件选择框
单击仪表盘在下方的SizeDistribution(规模分布)选择框,显示如图6所示的规模分布仪表盘图和规模分布事件选择框。
仪表盘中的分布图是与SnifferPro系统相连的网络区段上所有的活动按规模划分的一种实时视图。
图6规模分布仪表盘图和规模分布事件选择框
同样,用户也可以单击仪表盘左下方的DetailErrors(详细错误)选择框,相看仪表盘中的详细错误图以及详细错误的事件选择框。
(2)Hosttable(主机列表)
主机列表提供了被监视到的所有主机下在与网络的通信情况。
选择菜单Monitor(监视)→HostTable(主机列表)来启动它,或者单击图7中1所指向的SnifferPro工具栏中的主机列表图标。
在主机列表窗口底部,可以选择以MAC地址,IP地址或IPX地址查看主机列表。
如图7所示,选择2所指向的IP选项。
主机列表支持4种不同的视图产:
大纲(Outline)、详细资料(Detail)、直方图(Bar)和饼图(Pie)。
如图7所示,单击大纲图标,明示出主机列表,以及经过这些主机的传输字节数量。
在大纲视图中,如果想了解某一个特定工作站(例如192.168.1.101)的连网情况,只须单击图7中所指向的IP地址,出现如图8所示的界面。
图7主机列表大纲视图
图8主机连接地址示例
图8中清楚地显示出该机器(192.168.1.101)连接的地址。
单击左边的主机列表工具栏中其他的图标,会弹出该机器连接情况的相关数据界面。
在图7所示的界面中单击Detail(详细资料)图标,将显示出整个网络中的协议分布情况,可清楚地看出网络中各台机器上正在运行的网络应用层协议,如图9所示。
图9详细资料视图
在图7所示的界面中单击Bar(直方图)图标,出现以直方图形式显示的网络上传输量为前N位的主机。
默认情况下,显示前10位的主机,如图10所示。
图10传输量为前N位的主机直方图
在图7所示的界面中单击Pie(饼图)图标,出现以饼图形式显示的网络上传输量为前N位的主机。
默认情况下,显示前10位的主机,如图11所示。
图11传输量为前N位的主机饼图
(3)Matrix(矩阵)
主机列表提供了单台主机的通信情况,矩阵则提供了被监视到的主机对之间的网络通信情况,两者的操作界面和功能信息是完全类似的。
选择菜单Monitor(监控)→Matrix(矩阵)来启动它,或者单击SnifferPro工具栏中的矩阵图标。
图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接,将鼠标放到线上可以看出连接情况。
入侵检测实验
3.1实验目的
(1)理解入侵检测的作用和检测原理。
(2)理解误用检测和异常检测的区别。
(3)掌握Snort的安装、配置和使用等实用技术。
3.2实验环境
其中一台(192.168.1.100)上安装Windows平台下的Snort2.8.1软件,另一台的IP地址为192.168.1.101。
实验环境的网络拓扑如图1所示。
图1入侵检测实验拓扑
3.3实验要求
(1)安装和配置入侵检测软件。
(2)查看入侵检测软件的运行数据。
(2)复习有关入侵检测的基本知识。
(3)分析入侵检测系统在网络安全方面的作用。
3.4实验背景
3.4.1基础知识
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IntrusionDetectionSystem,IDS)是完成入侵检测功能的软件和硬件的集合。
随着网络安全风险系数不断揭帖,防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。
作为对防火墙极其有益的补充,位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生,有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。
IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析,对可疑的网络连接和系统行为进行记录和报警,从而提供对内部攻击、外部攻击和误操作的实时保护。
3.4.2入侵检测软件Snort简介
Snort是一款免费的NISD,具有小巧、易于配置、检测效率高等我,常被称为轻量级的IDS。
Snort具有实时数据流量分析和IP数据包日志分析能力,具有跨平台特征,能够进行协议分析和对内容的搜索或匹配。
Snort能够检测不同的攻击行为,如缓冲区溢出、端口扫描和拒绝服务攻击等,并进行实时报警。
Snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的行动。
Snort有3种工作模式,即嗅探器、数据包记录器和NIDS。
嗅探器模式仅从
升级会员 