信息安全测评实验二.docx

一、实验目的通过对交换机进行安全测评和安全加固，掌握交换机安全测评方案的设计、安全测 评实施及结果分析；了解安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求，按照实验指导书中的 示范，对交换机进行安全测评，安全等级为三级。三、实验设计应从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防 范、网络设备防护这七个方面入手，按照信息系统安全等级保护基本要求的第三级 基本要求进行测评，重点查看交换机中的各项配置信息，密码等设置是否符合要求。结构安全（G3）c）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是 路由器动态建立的，为了保证网络安全，应添加认证功能。此外，采用内部路由和外部路由。对于外部路由要进行验证，例如ospf协议要进行验证， 对于内部路由要按照访问路径进行访问，可以tracert 一下，检查是否按照设计的路径进行 访问。f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之 间采取可靠的技术隔离手段；针对大型的网络，采用动态路由，对进出各区域的路由进行控制（特别在不同动态路由协议 之间的重分布如OSPF，EIGRP等之间，路由过滤，路径选择等控制），允许必要的外部 路由进入，允许向外通告内部路由。可通过询问管理员的方式看是否采用了隔离手段。g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优 先保护重要主机。对数据包进行过滤和流量控制。访问控制（G3）c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制；询问系统管理员是否对进出网络的信息内容进行过滤。d）应在会话处于非活跃一定时间或会话结束后终止网络连接；使会话处于非活跃一定时间或会话结束后看是否终止网络连接。e）应限制网络最大流量数及网络连接数；打开防火墙，查看网络是否限制了上行和下行的带宽，以及容许连接的最大值。f）重要网段应采取技术手段防止地址欺骗；方法：重要网段绑定MAC地址和IP地址。安全审计（G3）c）应能够根据记录数据进行分析，并生成审计报表；查看日志系统。d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。查看日志系统的读、写、可执行的权限。边界完整性检查（S3）本项要求包括：a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有 效阻断；b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行 有效阻断。手段：访问网络管理员，询问采用了何种技术手段或管理措施对“非法外联”行为进行检查， 以及对非授权设备私自联到内部网络的行为进行检查。在网络管理员配合下验证其有效性。入侵防范（G3）b）当检测到攻击行为时，记录攻击源ip、攻击类型、攻击目的、攻击时间，在发生严重入 侵事件时应提供报警。询问管理员是否有报警措施。恶意代码防范（G3）a）应在网络边界处对恶意代码进行检测和清除；查看防火墙设置，是否安装杀毒软件。b）应维护恶意代码库的升级和检测系统的更新。查看是否安装杀毒软件，杀毒软件版本是否是最新。查看系统版本信息。网络设备防护（G3）d）主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别； 重新启动设备，查看登录设备所需的条件。（即是否进行认证，认证方法有几种）h）应实现设备特权用户的权限分离。查看是否有管理员，审计员等除了管理员的其他特权用户，查看用户的权限。四、实验记录结构安全本项要求包括：a）设备的业务处理能力具备冗余空间，满足业务高峰期需要;Board 019CPU busy status: inlast5 seconds22inlast1 minute20%inlastS minutes1. 打开PuTTY，输入用户名和密码，登录终端3. 输入display memory查看内存使用情况<H3 C-S3 100t-display meniotryUnit 1System kvailatole Heniory (bytes) : 33 141504System Ilsd Memory (bytesJ : 944 6366 j ITsed. Rate : 2814. 输入display connection查看会话连接数情况<H3C-S31005-display coiinect-ionUnit iIndex=lUser naitie = student 5 vs teniIP=10.11.5.35Index=4User naitie = student 373 teniIP=10.11.5.371 Index=5 U3er= student systemIP=10.11.5.58Index = 6f User najne = studentsystemIP=10.11.5.52Index=7sUsername=studentsystemIP=10.11.5.36On Unit. 1:Total 5 con.nect.ion5 matched 5 listed.I Total 5 connections mat-ched, 5 listed.实际情况：CPU、内存使用率不超过50%, connection会话数不超过最大值70%。b）应保证网络各个部分的带宽满足业务高峰期需要。（1）键入display brief interface，查看端口使用情况，<H3C-S3101>displav brief interfaceInter±aee:Eth 一 Et-heriiet.GE- GiitEthernet TENGE 一 t.eiiGig：=Jj itEthLonp - LcicpB =5ic kV1an - V1an-int euf ace Cas一 Case adeSpeed/Dup1e:< :A - auto-negijt iat. i iiInterfaceL inkSpeed Di.iplex 'Type PVID Jescr ip t ion.Auk1/0/0VP Ethl/0/1TOTTaccess 1Ethl/0/2access 1Ethl/0/3UPAIODM Afull iaccess 1Ethl/0/4UPAIODM Afull iaccess 1Ethl/0/5UPAIODM Afull iaccess 1Frhl /n/ inTTFAIOM Afull iaccess 1Ethl/0/7DOOTJlkiaccess 1Ethl/O/BDOOTJlkiaccess 1Ethl/0/9DoraAA:access 1Ethl/0/10DoraAA:access 1Ethl/0/11UPHOail Afull :access 1Ti-v.r 1 ri I rnna 1 ririMh4=，r 1 1,r l jm 1J实际结果：Eth1/0/1 处于 DOWN 状态，Eth1/0/3，Eth1/0/4，Eth1/0/5, Eth1/0/11 等处 于UP状态。2)找到处于 UP 状态的端口 Eth1/0/3,键入 display interface Eth1/0/3,查看接口 Eth1/0/3的详细信息。<H3 C-S3 ：1口口4目：13口intsmEzEmum EtLhl/Ci/MEthernetI/O/3 current otQtc : UrIP Sending Frames1 Fomat is PKTFMT_ETHTJT_2, Hardware address is 000f-e2to8- M&dia tvpe is twisted pairloopbacJc not setPort haudwaue type is 100 EASE T2J 100Mbps-speed moder full-duplex mode Link speed type is autonegotiationf 1 ink duplex type is autonegotiation Flou-Eontuol is not enabledThe Max irciuin Fuaitie Length is 153 6Broadcast MAX-uatio; 100PV1D; 1Hdi type: autoPort. Linlr-type: accessTagged VLAN ID : noneUiit熠辅eW MLAN 工 : ：LLast. 300 seconds input: 1 packets/sec 114 loytes/sec Last. 300 seconds output:5 packets/sec 482 loyt&s/s&cInput Ctotal) :B379 packets_1049103 toytes119 tiroadcasts, 537 multicasts, 0 pausesInput Cnoritial) :8379 packets1049103 bytes119 broadcasts, 537 multicasts, 0 pausesEth1/0/3-(114+482)/(100*1024*1024)=596/104857600<1%untaggea vlatj id:ILast 300 seconds input:3 packets/sec 565 toytes/secLast 300 seconds output:9 packets/sec 407S Joytes/secEth1/0/4-(565 + 4078)/(100*1024*1024)=4643/104857600<1%Last 300 seconds iuput:2 1 packEts/sec 14950 luytes/secLast 300 seconds utput:14 packets/sec 26 bytes/secEth1/0/5-(14950 + 2006)/(100*1024*1024)=16956/104857600<1%Last 300 seconds input:1 packets/sec 211 byt-es/secLasr 300 secon.<As oiatput: S packers/sec 1200 bytes/secEth1/0/11-(211 + 1200)/(100*1024*1024)=1411/104857600<1%实际结果：所有端口使用率计算都小于宽带的70%c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；方法：看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态 路由是路由器动态建立的，为了保证网络安全，应添加认证功能。输入display ip routing-table查看静态路由-： U II J_ E I-I y IL ± lL C L-LIU.LI>=L1LL-L J_ !_ L411.L4 Cl L-p 二 J_H3C display ip routing-tableIJexthopI titer faceRouting Tahle: Dest inat ion./ Mas kpuJa 1 ic net.:Protocol PreCosta10.11.5.1V lari- i nt er± ac e 110.11.5.0/24.r'fRECt, a10.11.5.252V lari- i nt er± ac e 110.11.5.252/32DIRECT a127.0.0.1IriLoopBackO127.0.0.0/S' DIRECT ' 127.0.0.1IriLoopBacku127.0.0.1/32127.0.0.1IriLoopBackuf）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与 其他网段之间采取可靠的技术隔离手段；采用内网和外网分离开。通过咨询管理员的方式。结果：使用的是内网。g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥 堵的时候优先保护重要主机方法：询问管理员是否实现了数据包的过滤及流量控制。结果：实现了数据包的过滤及流量控制。访问控制本项要求包括：a）应在网络边界部署访问控制设备，启用访问控制功能；结果：访问管理员，没有部署访问控制设备及措施。b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度 为端口级；c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；结果：交换机没有对其做出限制控制。d）应在会话处于非活跃一定时间或会话结束后终止网络连接；结果：系统会自动断开长时间没动作的连接。e）应限制网络最大流量数及网络连接数；方法：询问系统管理员是否限制网络最大流量数及网络连接数。结果：大多数端口都有最大流量限制100兆，和最大连接数限制10个。f）重要网段应采取技术手段防止地址欺骗；结果：重要网段没有采用其他技术手段。g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行 资源访问，控制粒度为单个用户；登录设备查看是否对拨号用户进行身份认证，是否配置访问控制规则对认证成功的用户允 许访问受控资源。预期结果：对于远程拨号用户，设备上提供用户认证功能；有通过配置用户、用户组，并 结合访问控制规则实现对认证成功的用户允许访问受控资源。步骤：键入display acl all，查看是否配置访问控制列表。<H3C-S3100：>display acl allTotal ACL Nuinkier: 0实际结果：访问控制列表为空，说明系统未部署任何访问控制规则。h）应限制具有拨号访问权限的用户数量；（1）询问系统管理员，是否有远程拨号用户，采用什么方式接入系统，采用何种方式进行 身份认证，具体用户数量有多少。步骤1：输入display version查看系统的授权信息<H3C-S3 100H3C Coniware Flatlooxi SoifwareComware SoftwareVers ion 3.10； R已.已ase 2107Copyright (cj 2004-2006 Hangshou H3 C Tecliao logi已己 Go. ； Ltd. ALL rights reserved.H3C S3100-16C-SI upt line is 0 m已已It, 0 day, 8 hours, 4。 ininut.esH3C S3100-16C-SI with 1 Processor64Mbytes SDRAHBNbytes Flash HemoryConfig Register points to FLASHHardware Vers ion is REV.CBootconi Version is -5ISSutoslot lFEHard-ware Version is REV. C步骤2：输入display current-configuration查看系统配置信息，确认拨号用户数的数 量配置；<H3C-S3100><H3C-S3100> display current-configuration月 svsname H3C-S3100radius scheine syst-em肯domain systemlocal-user studen.t-password simple student service-type ssh. telnet level 1vlan 1interface Vian-in.t.erfacetip address 10.11.5.251 255.255.255.0测试结果：限制具有拨号访问权限的用户数量，数量为1。安全审计本项要求包括：a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；目的：查看是否启用了日志记录，日志记录是本地保存，还是转发到日志服务器。记录日志 服务器的地址（1）输入display logbuffer，显示系统日志缓冲区和配置信息；<H3C-S3 1 uu:：-display logljufferL ij gg i ng b uf f er c onf igur at. ion and co nt. e nt. s : e nab 1 edAlIotitplI iciax buffer size : 1024Actual buffer size : 512Channel ni-urtoer : 4 $ Channe 1 n日rn已 : logbufferDrupped inessages : 0Cvertiteit.ten messages : UCi.irrent rnessages : 175% Apr 1 2 3 :55:U7:3i3Li 2 0UU H3C-S31LIU IC/7/S YS_RESTART: Sys tern restarted -H3 C C unniTar e Suf t. Tiiar 已（2）输入display diagnostic-information显示系统当前各个功能模块运行的统计信息。 display diagnostic-information命令一次性收集了配置如下各条命令后终端显示的信息，包 括：display clock、display version> display device> display current-configuration 等。将此信 息存入任意.diag文件（如aa.diag）：<H3C-S3100>display diagnostic-irifoirtriatiorLI'hiLS_operation may taRze_a ±ew minulLes, yDiagnostic-infouination is saved to Flash or displayed (Y=save H=d.isplay)yPlease input, the file name (*. diag flash;/default. diag ; aa.diag 玄 Output information to file: flash:/aa.diag.Please wait再在用户视图下执行“more aa.diag”命令，配合使用<Space>/<Enter>键，可以查看aa.diag 文件的记录的内容。aa.diagClLSp VEEB1OH13C Coinware PLatfcriti Software'unware Software, Uersion 3.10, Release 2107Amware Platform Software Version COMWAREV300R002BL6D0135f15 iSC 53100-16C-S1 Software Version ViDORJOaiBCDDOOTSPaZ 13C 53100-1 6C-SI Product VisIqei S3 100-1 6C-SI-2 107opyriht (c) 2004-2IOS Hanzliou R3C Technologies Co. , Ltd, All riglit3 reserve owpiled JLpr 2S 2008 11: 5S:4S, PELEiSE SOFTWAREI3C S3100-1SC-SI uptime- is 口 veekr 0 dayf 1 houirT 9 min-'i-tes13匚 S3100-16C-SI with 1 Prccessor>4Hbytes SCPKMJNbytes Flash Mernary；onfkg J?effistet points to FLASHiardware Vers ion is REViCJcotroin Version Is 519Subslo Q 16FEVacsi«n if REV. C显示的操作记录，用户的行为:all history coiranandDateTimeUserCommand05/08/200017:55:56 vtO10.11.2.56studentCind : disp 1 aydiagno31 ic - inf orinat ion05/0S/200017:53:26 vtO10.11.2.56studentCmd;displaylagijuf £ er05/06/200017 ; 51; 52 vtl10.11.2.26st-udentCitid; dis sshserver session登录的情况:VLAN的1/1/1端口运行情况:Clgati 1 cE cJnernecl/ 1/' 1 current state : OOtlNip paeitet Ffaire Type: PKmn_ETHNT_2, H&rduare Aieiress: 000i-eSfl6-L4riBJescrlpclcrL： GlgatolLELheruetlf 1/1 inLertacreLCDphacx is noc- actHed.xfi e.yIs not sure：, Pore hai£dtisare type is Nci> coxiiiect-orUnkno wn-ipeed inode.r unknoTwri- dmp Le x modeLink speed type is antonegotiat.lan f link duplex type is autonsgatiat ionT lo kt-co n_tro 1 is not enab ledThe M耳ximuni FraitfS Lengt h is 10240Broadcs-st MifE-r-aX io s 100：PVID： 1Port linlc-type: acicessTagged VLMN ID ; 口口眼Vmwggd VUAW ID s 1Pctrt priority: 0Lasc 300 seconds iDDUt! 0 jackets/sec D tovtes/secLesc 300 seconds output: packets/ec 0 byte3/3=ecNULL0 接口：它是个伪接口，不能配地址，也不能被封装，它总是UP的，但是从来不转发或接受任何 通信量，对于所有发到该接口的通信量都直接丢弃。NULLO eutirerLt state: UPLine protocol eurrent state: UP (spoofing-)Description: NULLO InterfaceThe Maxinium Transmit Unit is 1-500Physical is NULL DEVLast. 300 seconds input.;0 toytes/sec 0 pacfcet.s/ secLast 300 seconds output:0 loytes/sec 0 pacIcets/sec0 packets inputs 0 bytes, 0 drops 0 packzets output0 bytes, 0 drops1runniB task inlcmuatlorinajiiend vos_Tid pt latlfystatusTa tai/Hax/Lasr (Mill secs iE AGTafcTf ieC12 !tventi> 1 tuikL/0/DrvT2100#v#BtblcjckE3 012E8/27/VTD3S691fe3100eventblock1741/47/VIEL399BcIS41preemptready96OOE4E32/9/TICK3994 氏口白SUSrueeniptceadyISSlSGSt/0/5T7IR 33907£S6玷口1392175/1/vmj_7inn21DDD900u测试结果：能查看网络设备运行状况、网络流量、用户行为等。b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关 的信息；登录测评对象或日志服务器，查看日志记录是否包含了事件的日期和时间、用户、事件类型、 事件是否成功等信息。步骤：输入display logbuffer，查看日志缓冲区和配置信息；1U2 4Actual juffer size.E12C hanne 1 nurib 已 r : Dropped messages Cvertiteit-ten nie3sagesChanne 1 nizttne :lugbufferCurrent, messages : 18-5 % Apr 1 2 3:55:07:3 80 System restarted - H3 C Cumware 3o£lware2 UOUH3C-S31JUIC/7/SYS RESTART:%Apr 1 23:55:18:234%Apr 1 23:55:18:550and: sysnarn已 H3 C-S3 10U%Apr 1 23:55:18:550and:vlan 1% Apr 1 2 3:55:18:551and:vlan 102 non2 non2 UOU2 UOUH3C-S31JUH3C-S31JUH3C-S31JUH3C-S31JU% Apr 1 2 3:55:18:551and: int.erf ace Vlan-interf ace 120 OUH3C-S31JU%Apr 1 23:55:18:552 2000 H3C-S3100HTTPD/S/lrig:-SHELL/S/CMD:-SHELL/5/CMD:-SHELL/5/CMD:-SHELL/5/CMD:-SHELL/.5/CMD:-Start, ing-task:CFM-task:CFM-task:CFM-task:CFM-task:CFMHTTPip:ip:ip:server .user :user :""user:*-user :-user :""co:co:co:co:co:<H3C-S3 lOOclisplay logbufferLogging buf f 已r conf igi_；Ear.ion and 二ont.ents : enab 1 eel Alluwed max bi.iffer测试结果：能查看事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的 信息。c）应能够根据记录数据进行分析，并生成审计报表；访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。恶意代码防范（G3）本项要求包括：a）应在网络边界处对恶意代码进行检测和清除；b）应维护恶意代码库的升级和检测系统的更新。步骤：询问管理员系统中是否安装防病毒软件。询问管理员病毒库更新策略。查看病毒 库的最新版本更新日期是否超过一个星期。7）网络设备防护本项要求包括：a）应对登录网络设备的用户进行身份鉴别；目的：检查测评对象采用何种方式进行登录，是否对登录用户的身份进行鉴别，是否修改了 默认的用户名及密码。步骤1：输入display current-configuration，查看用户名密码机认证配置。<H3C-53100>display current-configuuation sVSname H3C-S3100radius sehetwe system存domain system肯local-user studentpassword siinple studentservice-type ssli telnetip route-static 0.0.0.010.11.5.1 preference 60ssh user student authentieation-tvpe password ssh user student service-type ateInetuser-interface aux 0user-interface vty 0 4aut he nt i c at i o n-ino de_schemeuer privilege level 1 protocol inbound sshret-i.iirn<H3C-S3100>|local-user student password bimple student service-type ssh telnet levs1 1其中，authentication-mode password 表示进行本地口令认证；authentication-mode scheme 表 示进行本地或远端用户名和口令认证。Ssh telnet使用远程控制WEB服务器，必须输入用 户名和密码来登录服务器。步骤2：输入display users all，查看所有用户信息和用户级别：-JL -<H3C-S3100>display users allUIDelayType AUX 0- -cIpaddressUsernaineUserleve1+ 1VT¥ 0:04:06SSH10.11.5.46student1+ 2VT¥ 1SSH10.11.5.56student1+ 3VTY 2:00:02SSH10.11.5.34student.14VT? 35VTY丹+: User-interfaceis active.F TTF L: User-interface_l-i r nc、is active and workin async mode.测试结果：记录了 IP地址等，实现了对登录网络设备的用户进行身份鉴别;b）应对网络设备的管理员登录地址进行限制；目的：查看是否有控制列表对管理员登录进行控制;步骤：输入display acl all，查看是否有控制列表对管理员登录进行控制;T；13 U L ± 11L-I= J_ J_ 或_L # 1=ZIL1I-LLU J L m-3. Z- y il i_-ILIi-i L-LC .<H3C-S3100>d.ispLay ael allTotal ACL Wuinber: 0<H3C-53100>|测试结果：没有控制列表对管理员登录进行控制;c）网络设备用户的标识应唯一；手段：登录网络设备，查看设置的用户是否有相同用户名。询问网络管理员，是否为每个管 理员设置了单独的账户。方法；输入display current-configuration，查看设置的用户名。Local-user stu.dent passuord s imple student service-type ssh telnet leve1 1测试结果：权限不够，无法看到是否有重复的用户名。d）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（1）询问网络管理员对身份鉴别所采取的具体措施，使用口令的组成、长度和更改周期等;（2）通过访谈检查设备的用户、口令信息及是否定期更换，display cur查看系统配置；<H3C-S3ioa><H3C-S3 lOOMisplay cursystiaje H3 C-S3 100 radius scheme system dornain. system local-user student password simple student service-type ssh telnet1 eve 1 1visa 1测试结果：能保证口令复杂度和定期更改的要求。e）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时 自动退出等措施；目的：查看系统配置中对登录失败的处理机制。方法：以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项 line vty 0 4；display current-configuration 查看系统配置；退出系统重新登录，输入错误密码进行尝试，查看系统反应。.11.5.253 - PumLogin 心= studentstudent10 -11. 5.1531s password: Access denied3tudent10-11.5.2531s passnord: Access denied