网络安全技术实验指导书.doc

网络安全技术实验指导书（适用于电子商务专业）山东建筑大学商学院电子商务教研室2007-3目 录实验一 DES加解密算法的实现3实验二 系统安全设置4实验三 网络攻防工具使用6实验四 数字证书（一）：数字证书的申请和获取7实验五 数字证书（一）：数字证书的查询、更新、吊销9实验六 数字证书（一）：安装证书链、下载证书吊销列表（CRL）10实验七 数字证书（二）：数字证书的审批 11实验八 数字证书（二）：数字证书的应用 12实验九 数字证书（二）：RA的申请和审批13实验十 PGP实现邮件加密和签名 14实验十一 配置支持SSL协议的安全网站 16实验十二 VPN24实验一 DES加解密算法的实现一、实验目的及任务：掌握DES加密算法的加解密过程。二、实验环境TC编程环境；主机操作系统为Windows2000或Windows XP；三、 预备知识要深入理解对称加密算法，掌握DES加密过程。具备一定的C语言编程技能。四、 实验步骤利用编程语言实现DES加解密算法。1、 编程：包含的功能函数有：static void DES(char Out8, char In8, const SUBKEY_P pskey, bool Type);/标准DES 加/解密static void SETKEY(const char* Key, int len);/ 设置密钥static void Set_SubKey(SUBKEY_P pskey, const char Key8);/ 设置子密钥static void F_FUNCTION(bool In32, const bool Ki48);/ f 函数完成扩展置换、S-盒代替和P 盒置换static void S_BOXF(bool Out32, const bool In48);/ S-盒代替函数static void TRANSFORM(bool *Out, bool *In, const char *Table, int len);/ 变换函数static void XOR(bool *InA, const bool *InB, int len);/异或函数static void CYCLELEFT(bool *In, int len, int loop);/ 循环左移函数static void ByteToBit(bool *Out, const char *In, int bits);/ 字节组转换成位组函数static void BitToByte(char *Out, const bool *In, int bits);/ 位组转换成字节组函数2、 调试3、 运行结果4、 存盘五、注意事项：1、VC环境下，需包含相关的头文件，如“stdio.h”、“iostream.h”等。2、利用VC环境中下方的窗口帮助调试。3、注意学会使用断点跟踪调试。4、注意各个子函数之间的调用关系。5、按照DES的加密流程组织函数。六、思考题DES算法主要有哪几部分？可以画出流程实验二 系统安全设置一、实验目的及任务：掌握对Window200系统进行安全设置的过程。二、实验环境主机操作系统为Windows2000或Windows XP；三、 预备知识要深入理解操作系统安全的定义，具备一定的操作系统设置技能。四、 实验步骤 系统登陆用户账号保护设置、关闭不必要的服务和端口、开启各项安全策略。1、停止Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。2、限制用户数量去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。3、多个管理员账号、管理员账号改名创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。将Administrator管理员用户名更改为一个一般的用户名。4、陷阱账号创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。5、更改默认权限任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。6、安全密码、屏幕保护密码设置足够强度的管理员密码，并定期更改安全密码。在桌面上单击右键，“属性”，“屏幕保护程序”，选择屏幕保护程序，并点击“设置”按钮设置屏保时间和密码。7、开启操作系统安全策略审核策略、密码策略、账户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次；注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。8、关闭不必要的服务、端口关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为：打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。9、注册表设置：不显示上次登陆名、禁止建立空连接。默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“ Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous” 的值改成“1”即可。五、注意事项：1、不要随意改动不清楚的功能，那样可能会引起系统瘫痪2、注册表修改要慎重，修改前注意备份注册表。3、关闭一些服务可能引起系统丧失部分功能，要视情况进行关闭。4、注意记住更改后的管理员账号及密码。六、思考题阐述系统安全设置的重要行。实验三 网络攻防工具使用一、实验目的及任务：1、熟悉对计算机的端口进行扫描的原理；2、熟练使用x-scanner扫描工具对计算机的端口进行扫描3、熟悉Sniffer Pro 网络分析器的操作4、使用Sniffer Pro 网络分析器对局域网的数据包进行识别、分析。5、了解远程控制的基本原理6、熟悉远程控制软件冰河的使用。二、实验环境安装系列网络攻防软件；主机操作系统为Windows2000或Windows XP；三、 预备知识要深入熟悉网络传递信息的原理，理解网络攻击和防护的原理，掌握多种工具的使用。熟悉x-scanner、流光等扫描工具的界面、查看端口信息、发现系统漏洞。四、 实验步骤1、设置扫描参数、扫描模块、开始扫描，显示发现的漏洞，声称扫描报告。2、安装Sniffer Pro；使用Matirx监视网络情况；使用Capture-Define Filter-Advanced，设置要监视的数据包协议类型；用Capture Panel显示捕获的Packet数量。捕获某个IP的通信数据包：使被监视主机登陆某网站，或建立FTP连结，用sniffer捕获通信数据包（FTP或HTTP数据包）进行分析，完成抓取局域网中ftp用户名及密码的操作。 3、安装并使用冰河自动跟踪目标机屏幕的变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；记录各种口令信息；获取系统信息；限制系统功能；远程文件操作；注册表操作；发送信息；点对点信息。五、注意事项：1、有些黑客软件在安装和使用的时候要关闭杀毒软件，否则将被当作病毒杀掉，影响继续实验。2、网络扫描和网络嗅探时，要关闭或降低防火墙。3、安装sniffer等软件过程中要求输入注册码，需要下载相应的注册码。4、sniffer等安装过程需要重起机器，由于机器都安装了保护卡，所以需要先解保护卡，再安装。六、思考题阐述黑客攻击的步骤。实验四 数字证书（一）：数字证书的申请和获取一、实验目的及任务：掌握数字证书的申请流程；掌握如何下载已经申请的数字证书。二、实验环境itrusCA数字证书颁发环境；主机操作系统为Windows2000或Windows XP；三、 预备知识要深入理解数字证书的定义，掌握数字证书申请和获取的相关知识。四、 实验步骤（一）申请1、在浏览器地址栏里输入“8/user-enroll”，进入用户证书服务中心。2、点击“申请用户证书”，进入申请页面。3、输入个人信息，要求真实。4、个人信息输入完毕，点击“确定”。5、到登记的个人邮箱中收取RA审批结果。（二）获取1、到申请数字证书时登记的个人邮箱，收取RA发回的审批邮件，得到PIN码。2、在浏览器地址栏里输入“8/user-enroll”，进入用户证书服务中心。3、点击“获取用户证书”，进入获取数字证书页面。4、将得到的PIN码拷贝到“获取数字证书”页面的“身份识别码（PIN）：”后的输入栏中，点击“获取证书”按钮。5、在出现的对话框中点击“是”按钮，则申请的证书被安装到机器中。6、如果没有安装成功，可以点击“证书下载成功”页面的“获取证书”按钮，下载证书。7、将机器中的数字证书导出到物理设备“KEY”。8、查看已经获得的数字证书：a、 打开IE浏览器；b、 点击“工具/Internet选项/内容选项卡/证书按钮”；c、 在出现的“证书”对话框中，选择“个人”选项卡，双击刚刚获取的个人证书，出现证书属性。d、 点击证书对话框的 “详细信息”选项卡，查看个人证书的版本、序列号、颁发者、证书有效日期等信息。9、数字证书的导入导出操作：a、 打开IE浏览/工具/Internet选项/内容/证书。b、 选中相应的证书，点击“导出”按钮。五、注意事项：1、输入用户信息时，带“*”的选项为必填项。2、输入的邮箱必须是可用邮箱，用来接受RA的批准邮件，获取PIN码。3、输入的用户口令，一定记好，不要丢失，及遗忘。4、有可能获取PIN码有延迟，即RA发回的“批准邮件”可能短时间内收不到。5、由于机器安装了保护卡，再次开机，则机器上的证书就丢失了，建议一定导出到物理设备。六、思考题1、 描述数字证书的申请过程，并画出流程图。2、 描述数字证书的获取过程，并画出流程图。实验五 数字证书（一）：数字证书的查询、更新、吊销一、实验目的及任务：掌握如何查询、更新和吊销已经申请的数字证书。二、实验环境itrusCA数字证书颁发环境；主机操作系统为Windows2000或Windows XP；三、 预备知识具备数字证书的相关知识。四、 实验步骤1、在浏览器地址栏里输入“8/user-enroll”，进入用户证书服务中心。2、点击“查询”，进入查询数字证书页面。3、输入要查询的证书的相关信息，对证书进行查询操作。5、回到用户证书服务中心页面，点击“更新”，进入证书更新页面。6、对证书进行更新操作。7、回到用户证书服务中心页面，点击“吊销”，进入证书吊销页面。8、吊销申请过的数字证书。五、注意事项：1、输入查询时间的格式要正确。2、证书吊销后，查看证书一下有何变化。六、思考题1、 在何种情况下要更新你的数字证书？2、 在何种情况下要吊销你的数字证书？3、 证书吊销后就不能使用了么？实验六 数字证书（一）：安装证书链、下载证书吊销列表（CRL）一、实验目的及任务：掌握如何安装证书链，如何下载证书吊销列表。二、实验环境itrusCA数字证书颁发环境；主机操作系统为Windows2000或Windows XP；三、 预备知识掌握数字证书的相关知识。四、 实验步骤安装证书链；下载证书吊销列表。1、在浏览器地址栏里输入“8/user-enroll”，进入用户证书服务中心。2、点击“安装证书链”，进入安装证书链页面。3、安装证书链操作。4、返回用户证书服务中心页面。5、点击“下载证书吊销列表”。7、进行下载CRL操作。五、注意事项：1、查看安装正链后，证书信息有什么变化。2、注意在使用证书的时候，随时更新证书吊销列表。六、思考题1、什么是证书链？为什么要安装证书链？2、证书吊销列表有什么作用？实验七 数字证书（二）：数字证书的审批一、实验目的及任务：掌握如何审批用户数字证书。二、实验环境itrusCA数字证书颁发环境；主机操作系统为Windows2000或Windows XP；三、 预备知识掌握数字证书的相关知识。四、 实验步骤审批个人用户数字证书。1、在浏览器地址栏里输入8/ra-manager。2、选取相应的RA证书，登陆RA管理员界面。3、点击“处理请求”，查看提出数字证书申请的用户信息。4、审批用户信息的真实性。5、批准，或者挂起用户申请。五、注意事项：1、登陆url中输入“https:/”而不是“http:/”。2、要有RA管理员证书才能正确登陆。3、审批用户信息时要仔细，不能应付了事。六、思考题为什么要用https:/ 登陆而不是http:/？实验八 数字证书（二）：数字证书的应用一、实验目的及任务：掌握如何应用已经申请的数字证书。二、实验环境itrusCA数字证书颁发环境；主机操作系统为Windows2000或Windows XP；三、 预备知识掌握数字证书的相关知识。四、 实验步骤在outlook express 或者 foxmail中使用已有的证书。1、获取证书。2、在outlook express 或者 foxmail中设置邮件账号。3、发信时，点选工具栏上的“签名”， “加密”按钮。4、收到有签名和加密的邮件时，查看对方的数字证书。5、查看加密了的邮件。五、注意事项：1、证书中包含的邮件信息和要签名的邮件要一致。2、用没有帮定证书的outlook express 或者 foxmail来查看加密了邮件。六、思考题 阐述数字证书技术还有哪些应用？它解决了网络信息哪些方面的安全？实验九 数字证书（二）：RA的申请和审批一、实验目的及任务：掌握如何申请和审批RA证书。二、实验环境itrusCA数字证书颁发环境；主机操作系统为Windows2000或Windows XP；三、 预备知识掌握RA的相关知识。四、 实验步骤申请和审批RA证书。1、在浏览器地址栏里输入“8/ra-enroll”，进入RA用户证书服务中心。2、点击“申请用户证书”，进入获取RA证书页面。3、填写并提交用户信息，等待回复。4、登陆邮箱，得到回复的PIN码，拷贝到“获取RA证书”页面的“身份识别码（PIN）：”后的输入栏中，点击“获取证书”按钮。5、在出现的对话框中点击“是”按钮，则申请的证书被安装到机器中。6、如果没有安装成功，可以点击“证书下载成功”页面的“获取证书”按钮，下载证书。7、RA的审批：a、在浏览器地址栏里输入“8/ra-admin”，进入ESA管理员界面。b、处理RA证书申请用户的请求。五、注意事项：1、RA证书申请和个人用户证书申请流程大致相同。2、ESA管理员登陆方式和RA管理员登陆方式大致相同。六、思考题RA的审批和个人用户的审批有哪些异同点？实验十 PGP实现邮件加密和签名一、实验目的及任务：1、了解加密工具PGP的原理2、熟悉PGP简单配置方法二、实验环境安装PGP加密软件；主机操作系统为Windows2000或Windows XP；三、 预备知识要深入理解邮件加密的定义，掌握PGP加密原理及邮件加密过程。四、 实验步骤使用PGP软件对邮件等进行加密和签名。1、使用PGP创建密钥对A、安装PGPB、电脑重启后将“注册码”拷贝到“PGP LICENSE AUTHORIZATION”，在PASSPHASE中输入一个N位通行码。C、打开“PGP DISK”按照步骤创建一对密钥对。D、创建密钥对也可如此做：打开“PGP KEYS”选择“KEYS”“NEW KEYS”然后按提示做即可。2、导出公钥打开“PGP KEYS”选择“KEYS”“EXPORT”将公钥导出为扩展名为ASC的文件，将此文件发给朋友。3、 使用PGP加密、解密邮件加密过程：用朋友发来的公钥对邮件加密，在“PGP KEYS”“KEYS”“IMPORT”将公钥导入，用此公钥加密。首先将邮件正文拷贝到剪贴板，然后点击“开始”-“程序”-“PGP”-“PGPMail”-“EnCRYPT&Sign”,再将剪贴板的内容粘贴到信件中，即为加密后的密文。解密过程：解密时，拷贝朋友发过来的密文到剪贴板，然后点击 “DECRYPT&VERIFY”，输入通行码即可。4、 使用PGP签名和验证签名：过程同上。5、 使用PGP加密解密文件：A、右键单击要加密的文件，选择“PGP”-“EnCrypt”，选择加密文件存放的路径即可。B、双击PGP加密了的文件，输入私钥通过短语即可。五、注意事项：1、安装PGP过程中要求输入注册码，在安装文件目录中有个“注册码.txt”文件，将其中的内容拷贝注册即可。2、安装过程需要重起机器，由于机器都安装了保护卡，所以需要先解保护卡，再安装。六、思考题PGP加解密邮件的原理是什么？实验十一 配置支持SSL协议的安全网站一、实验目的及任务：1、加深对数字证书原理和CA的理解，熟悉数字证书的作用。2、熟悉数字证书的申请、下载及安装过程。3、掌握服务器数字证书的使用。二、实验环境itrusCA数字证书颁发环境；IIS服务环境；主机操作系统为Windows2000或Windows XP；三、 预备知识要深入理解SSL的定义，掌握建立SSL加密连接的技术。四、 实验步骤实验内容：申请、下载证书；利用已下载的证书配置支持SSL协议的安全网站。1、生成证书请求（1）在开始菜单中打开“Internet 管理工具”，请在您想设置的服务节点上（例如默认的Web 站点），按下鼠标右键，并选择“属性”选项。在打开的web站点属性设置窗口中，选择“目录安全性”的页面,如下图 所示。注意：上图“安全通信”的部分，因用户还未获取并安装Web服务器证书，此时“编辑”按钮为不可用的状态。用户必须先安装服务器证书，才能继续编辑安全通信的属性。要安装服务器使用的证书，请按“服务器证书”按钮。（2）当按下服务器证书按钮后，接着会出现Web 服务器证书向导指导用户进行服务器证书的安装过程，如图所示。（3）继续按“下一步”按钮进行下一个步骤的服务器证书安装设置过程。接下来，系统会要求用户选择指定服务器证书的来源方式，如果尚未安装过服务器证书，这时候用户必须选择“创建一个新证书”选项。若之前已获取过Web 服务器证书，而且想要重新利用这些已有的证书，请选择“分配一个已存在的证书”、或者“从密钥管理器备份文件导入一个证书”选项，将原有的Web 服务器证书安装到IIS 系统上。如图所示。以下的步骤假设用户选择“创建一个新证书”选项。（4）设置好上一个设置步骤后，按“下一步”按纽进行下一个步骤的服务器证书安装设置过程。此时系统要求您选择证书要求的时机，您可以按照您的需要来选择是否要先准备好证书要求，稍后再将此证书要求发送到证书颁发机构上，以获取适当的证书信息；或者立即将证书要求传递到您在稍后指定的证书颁发机构上，立即向证书颁发机构要求获取证书信息。在这里，我们选择“现在准备请求，但稍候发送”。点击“下一步”。（6） 接下来，系统会出现“命名和安全设置”的设置窗口。在这个窗口中用户可设置此证书的名称以及此证书安全设置项目。在名称对应的文本框中输入一个易于标识的证书名称，在位长对应的下拉菜单处设置此证书要使用的密钥长度。根据应用的需要，设置适当的密钥长度。一般来说大约1024 1024 Bits会是比较好的选择。当完成此设置步骤后，按“下一步”按钮，进行下一个步骤的服务器证书安装设置过程。（7） 接下来，用户需要输入企业组织的一些相关信息，以便让系统将企业以及目前所处的单位等相关信息记录在想获取的证书信息内。如图所示。输入完毕后，按“下一步”按钮继续下一个步骤的设置过程。（8）命名安装服务器证书的WEB服务器的标识公用名称。设置好名称后，继续按“下一步”按钮。（9） 填入当前服务器所在的地理位置信息，以便提供证书信息更详细的数据丰富性。如图所示。当完成这一个设置步骤后，继续按“下一步”按钮，进行下一步骤的服务器证书安装设置过程。（10） 当屏幕上出现“证书请求文件名”的设置窗口, 用户可以在这里设置证书请求文件的文件名，并为其选择安装路径，如图所示。（11） 当设置完成后，系统会显示刚刚所设置的证书申请条件，用户可以检查看看是否有错误，若无错误，可以继续按“下一步”按钮，进行下一个步骤的服务器证书安装设置过程。如图所示。（12） 按“完成”按钮，这时计算机已经把证书请求文件存储下来了，现在，就可以去证书颁发机构去获取证书了。2、申请证书登陆数字证书申请页面36/certsrv，利用刚刚生成的证书请求代码进行服务器证书的申请。（13） 完成了证书下载，用户还必须启动证书安装向导来把证书安装在服务器上。有关如何打开证书安装向导请参照第2、 3 步骤。完成证书导入如图所示。选择分配一个已存在的证书，点击“下一步”按照步骤选择证书路径，并完成证书导入。在安装了服务器的证书后，接下来，用户就可以回到原来所打开的国际互联网络服务器站点（Web 站点）的属性设置窗口上，这时SSL Port 变为可填写状态。这里用户要为该Web 站点填写一个安全通道端口（SSL Port）， 推荐填写默认值443。 如图所示。现在展开“目录安全性”页面，用户可以看到在“安全通信”部分里的“查看证书”以及“编辑”按钮已经呈现启用状态了，表示这时候就可以开始设置该国际互联网服务器的安全性协议使用设置了。如图所示。接下来，用户就可以开始进行此国际互联网服务器使用SSL 安全性协议的设置处理了。要设置此国际互联网服务器使用的安全性协议功能的操作时，按照下列的过程进行设置：1. 回到该国际互联网服务器的属性设置窗口，并选择“目录安全性”页面，如图所示的画面。2. 这时候，按下在“安全通信”部分里的“编辑”按钮，来进行该国际互联网服务器的安全设置。当按下“编辑”按钮后，会出现安全通信编辑窗口。3. 因为我们的目的是要完成设置安全Web 站点，因此，勾选位于窗口上方的“申请安全通道（SSL）”的复选框。在客户证书中选择“申请客户证书”选项，如图所示。以下是关于这些选项的说明。 申请安全通道SSL :一般来说，若没有启动此选项的话，Web服务器默认都会以HTTP 的通讯协议来提供WWW 服务。但若启动了此选项后， IIS 系统就会强迫WWW 客户端浏览器使用SSL 的通讯协议（采用SSL 安全协议）来使用WWW 的服务。也就是当启用此选项后，系统就会关闭使用http:的连接，仅能使用https:连接来接上Web 服务器（当服务器证书已经安装在您的国际互联网服务器上时,用户服务器就允许接受https:协议方式的联机了,若将该国际互联网服务器上的服务器证书删除,那么就无法使用https 的方式来进行联机）。换句话说，若勾选了这个选项，便是强迫终端用户一定要使用SSL 的安全协议与服务器建立连接，以确保安全。u 忽略客户证书：用户可以不提供证书，只使用服务器证书进行SSL通信，就是说服务器不验证客户身份是否合法。配置此项后，访问这个站点时必须使用https协议。u 接收客户证书：客户可以提供也可以不提供证书，服务器都允许客户对服务器访问，并且客户提供证书时，服务器将对客户身份的合法性进行验证。u 申请客户证书：用户必须提供一个证书才能够获得访问权限，这种方式具有较高的安全性。当设置完成后，单击“OK”按钮。这时，已经完成了安全Web 站点的设置工作，并已经启用了安全通道，如果再通过http:连接来连接该Web 站点，系统会提示必须要通过https:连接来连接上要访问的站点。用户再通过https:连接来连接上刚刚设置的安全Web 站点。完成配置后，单击“完成”确认配置，结束SSL安全网站的配置。五、注意事项：1、可以把客户机设成证书颁发中心，给自己颁发服务器证书和客户浏览器证书。2、如果没有下载和安装证书路径，所申请的证书会出现证书异常提示。六、思考题1、简述SSL握手