信息安全测评实验二

1、.word可编辑.西南科技大学计算机科学与技术学院实验报告实验名称交换机安全测评及加固实验地点实验日期指导教师学生班级学生姓名学生学号提交日期一、实验目的通过对交换机进行安全测评和安全加固，掌握交换机安全测评方案的设计、安全测评实施及结果分析；了解安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求，按照实验指导书中的示范，对交换机进行安全测评，安全等级为三级。三、实验设计应从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护这七个方面入手，按照信息系统安全等级保护基本要求的第三级基本要求进行测评，重点查看交换机中的各项配置信息，密码等设

2、置是否符合要求。结构安全（Gc）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是路由器动态建立的，为了保证网络安全，应添加认证功能。此外，采用内部路由和外部路由。对于外部路由要进行验证，例如 ospf协议要进行验证， 对于内部路由要按照访问路径进行访问， 可以tracert 一下，检查是否按照设计的路径进行 访问。f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；针对大型的网络，采用动态路由，对进出各区域的路由进行控制 （特别在不同动态路由协议 之

3、间的重分布如OSPF EIGRP等之间，路由过滤，路径选择等控制），允许必要的外部路 由进入，允许向外通告内部路由。可通过询问管理员的方式看是否采用了隔离手段。g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优 先保护重要主机。对数据包进行过滤和流量控制。访问控制（Gc）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET SMTP POP3等协议命令级的控制；询问系统管理员是否对进出网络的信息内容进行过滤。d）应在会话处于非活跃一定时间或会话结束后终止网络连接；使会话处于非活跃一定时间或会话结束后看是否终止网络连接。e）应限制网络最大流量数

4、及网络连接数；打开防火墙，查看网络是否限制了上行和下行的带宽，以及容许连接的最大值。f）重要网段应采取技术手段防止地址欺骗；方法：重要网段绑定 MACM址和IP地址。安全审计（G3）c）应能够根据记录数据进行分析，并生成审计报表；查看日志系统。d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。查看日志系统的读、写、可执行的权限。边界完整性检查（S3）本项要求包括：a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。手段：访问网络管理员，询问采用了何种技术手段

5、或管理措施对“非法外联”行为进行检查,以及对非授权设备私自联到内部网络的行为进行检查。在网络管理员配合下验证其有效性。入侵防范（G3）b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。询问管理员是否有报警措施。恶意代码防范（G3）a）应在网络边界处对恶意代码进行检测和清除；查看防火墙设置，是否安装杀毒软件。b）应维护恶意代码库的升级和检测系统的更新。查看是否安装杀毒软件，杀毒软件版本是否是最新。查看系统版本信息。网络设备防护（G3）d）主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；重新启动设备，查看登录设备所需的条件

6、。（即是否进行认证，认证方法有几种）h）应实现设备特权用户的权限分离。查看是否有管理员，审计员等除了管理员的其他特权用户，查看用户的权限。四、实验记录结构安全本项要求包括：a)设备的业务处理能力具备冗余空间，满足业务高峰期需要；1.打开PuTTY ,输入用户名和密码，登录终端<H3C-S3100>display connection Uit 1Index= 1 f User name=scudeiit-0systemIP=5Index=4 f User name=scudejit-0system IP=7Indexes t User name=s

7、cmejit-0systemIP=8Index= 6 f User name=scucleiit0syBCew IP=2Inciex-7 y Username=scudent0syscew IP-8On Unit 1 :Total 5 connections w&tched, 5 listed.Total 5 connections matched, 5 listed.实际情况：CPU内存使用率不超过 50%, connection 会话数不超过最大值 70%。b）应保证网络各个部分的带宽满足业务高峰期需要。专业.专注(1) 键入

8、display brief interface,查看端口使用情况,<H3C-53IOC丁nlay btiEf int一tf&ttInterface:Eth - Ethernet GE - GigatoitEthernet TENGE - tenGigabitEt-tiLoop - LoopBack Vian - Vian-interface Cas - Cascade Speed/Duplex:A - auto-negot iationInterfaceL inkSpeedDuplexTypePVID DescriptionAuxl/0/0UPEthl/O/iDOWNAacces

9、s1Ethl/0/2DOWMAAaccess1Ethl/0/3UP IA100MAfullaccess1Ethl/0/4UPA100MAiul 1access1Ethl/0/5UPA100MAfullaccess1ri-.M /n/ fiTTP 1A10HAfullaccess1Ethl/0/7DOWNAAaccess1Ethl/0/8DOUNkAaccess1Ethl/0/9DOWkAaccess1Ethl/0/10DOWAAaccess1Ethl/0/11Halt /ri，wUPTTFiA100Nx 彳 inriwrAf ull K N + 1_1access- l* -r -7 r_14

10、实际结果：Eth1/0/1 处于 DOWPK态，Eth1/0/3 , Eth1/0/4 , Eth1/0/5 , Eth1/0/11 等处于UP状态。2)找到处于 UP 状态的端口 Eth1/0/3 ,键入 display interface Eth1/0/3,查看接口Eth1/0/3 的详细信息。<H3C-S3100>display interface Evhl/0/3Ethernet 1/0/3 current state : UPIP Sending Frames * Format is PKTFMT ETHNT 2 r Hardware address is OOOf-e2

11、bS-f Media type is t-vistea pair, loopback not setPort hardware type is 100_BASE_TX lOOMbp3-speed modef full'duplex mode Link speed type is autonegotiationf lin* duplex type is autonegotiation FLow-control is not enabledTh已 Haximuin Fraire Length is 153 5Broadcast MAX-ratio: 100PVID： 1Mdi type:

12、autoPort link-type: accessTagged VLAN ID : none-UREagcfEd VLAN ID m 1Last 300 seconds input:1 packets/sec 114 toytes/secLast 300 seconds output:5 packets/sec 482 bytes/secInput(total)：0379 packetsf 1049103 toytes119 tiroadcascs, 537 multicasts, 0 pausesInput(normal) :8379 packetst 1049103 bytes119 l

13、oroadcastsz 537 multicastsy 0 pausesEth1/0/3-(114+482)/(100*1024*1024)=596/104857600<1%-untaggeci vlapj_ITILast. 300 seconds input:3 pnckets/sec 565 bytes/secLast 300 seconds output:9 packets/sec 4078 bytes/secEth1/0/4-(565 + 4078)/(100*1024*1024)=4643/104857600<1%Last 300 seconds input:21 pac

14、kets/sec 1495口 bytes/secLast 300 seconds output114 packets/sec 2006 bytes/secEth1/0/5-(14950 + 2006)/(100*1024*1024)=16956/104857600<1%Last 3口口 seconds input:1 packets/sec 211 bytes/secLast 300 seconds output;6 packecs/sec 1200 bytes/secEth1/0/11-(211 + 1200)/(100*1024*1024)=1411/104857600<1%实

15、际结果：所有端口使用率计算都小于宽带的70%C)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；方法：看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是路由器动态建立的，为了保证网络安全，应添加认证功能。输入display ip routing-table查看静态路由F U11JL ULIgn J,乙UL4H3C disp lay ip Rout1ng Table:I-. LJILUtlBUlLl J_U LU1L1 ELrouting-table public netpLJ B J_ L ±U1L .Destination/MaskProt

16、ocolPreCostNexthapInterface<STATfc>JC 一 *-一6 口Vian-interface110i11.5.0/24DIRECT010411.5.252Vian-interface 110.11*5.252/32DIRECT00127*0*0.1InLoopBackO127.0.0,0/8DIRECT0InLoopEackO/32 H3C|direct00127,0,0.1InLoopBacEOf）应避免将重要网段部署在网络边界处且直接连接外部信息系统， 重要网段与其他网段之间采取可靠的技术隔离手段

17、；采用内网和外网分离开。通过咨询管理员的方式。结果：使用的是内网。g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机方法：询问管理员是否实现了数据包的过滤及流量控制。结果：实现了数据包的过滤及流量控制。访问控制本项要求包括:a）应在网络边界部署访问控制设备，启用访问控制功能；结果：访问管理员，没有部署访问控制设备及措施。b）应能根据会话状态信息为数据流提供明确的允许 /拒绝访问的能力，控制粒度为端口级；c）应对进出网络的信息内容进行过滤， 实现对应用层HTTP、FTR TELNETSMTPPOP/协议命令级的控制；结果：交换机没有对其做出限制控制。d

18、）应在会话处于非活跃一定时间或会话结束后终止网络连接；结果：系统会自动断开长时间没动作的连接。e）应限制网络最大流量数及网络连接数；方法：询问系统管理员是否限制网络最大流量数及网络连接数。结果：大多数端口都有最大流量限制100兆，和最大连接数限制 10个。f）重要网段应采取技术手段防止地址欺骗；结果：重要网段没有采用其他技术手段。g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；登录设备查看是否对拨号用户进行身份认证，是否配置访问控制规则对认证成功的用户允许访问受控资源。预期结果：对于远程拨号用户，设备上提供用户认证功能；有通过配置用户、用户组

19、，并 结合访问控制规则实现对认证成功的用户允许访问受控资源。步骤：键入display acl all ,查看是否配置访问控制列表 。<H3C-S310O>display acl allTotal ACL Nutinber: Q实际结果：访问控制列表为空，说明系统未部署任何访问控制规则。h）应限制具有拨号访问权限的用户数量；（1）询问系统管理员，是否有远程拨号用户，采用什么方式接入系统，采用何种方式进行 身份认证，具体用户数量有多少。步骤1 :输入display version查看系统的授权信息I<H3C-53lay u®工号ionH3C Compare PLatfo

20、rm SoftwareCoinware Sof tuarSj Version 3 * ID, Release 2107Copyright (c) 2004-2008 Hangzhou H3C Technologies C口.， Lvd. ill rights reservedH3C S3100-16C-SI uptime is 0 ueek； d曰y, 8 hours, 40 minutesiH3C S3100-16C-SI with 1 Processor 64Mbytes SDRAM811bytes Flash Hemory1 Config Register points t-o FLAS

21、HHardustre Version is REV.C Bootrom Vers ion is S19 Subslot 0 16FEHardware Version is REV.C步骤2 :输入display current-configuration查看系统配置信息，确认拨号用户数的数量配置；<H3C-S31OO><H3C-S31005|disp Lay current-conf igurat ionsysnarae H3C-S3100radius scheme system i#domain systemlocal-user student password simpl

22、e student service-type ssh teInet 1 eve 1 1vlan 1#interface Vian'interface 1 ip address 51 25S.255.2S5.0测试结果：限制具有拨号访问权限的用户数量，数量为 1。安全审计本项要求包括：a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；目的：查看是否启用了日志记录，日志记录是本地保存，还是转发到日志服务器。记录日志服务器的地址(1)输入display logbuffer ,显示系统日志缓冲区和配置信息；<H3C-S3100>displa7

23、 logfouiferLodging' bullet_conTTguration-and-contents; enato led Allowed max buffer size : 10Z4 Actual buffer size : S12 Channel nuinber : 4 T Channe 1 name ： logbuffen Dropped messages ： 口 Overwritten iftessages : 0 Currerit imessajges : 17Skpr 1 23;55:07: 3旧0 2000 H3C-S31O0 IC/7/SYS_RESTART:Sy

24、stem restarted =- H3C Comware Software(2)输入display diagnostic-information显示系统当前各个功能模块运行的统计信息。display diagnostic-information命令一次性收集了配置如下各条命令后终端显示的信息，包括： display clock 、 display version 、 display device 、 display current-configuration 等。将此信息存入任意.diag 文件(如 aa.diag ):tew minutes, continue7Y/Nysaved to F

25、lash or dispLayed(Y=3ave N=display)?Y/Wy (*.diag flash:/default.diag:曰吕目再在用户视图下执行 "more aa.diag ”命令，配合使用<Space>/<Enter>键，可以查看aa.diag 文件的记录的内容。；H3C>rffiore aa.diag display version 13C Comware Plac±orm Softwfire Zottware SoftwareVers ion 3.10, Pelease 2107 Zomvare Platforwi So

26、itware Version COHWAREV3OORCO2Bl6D019SP15 13C S3100-16C-SI Softwrate Version V200POO1B60D007SP02 13C S3100-16C-SI Product Version S3100-16C-SI-2107:cipyright(c) 2004-2008 Han9zhou H3C Technologies Co, , Ltd. All rights reserve Zcmpiled Apr 26 2003 11; 58:43, RELEASE SQFTUilPE 13C 33100-16C-SI uptin&

27、gt;e is 0 week, 01 hour, 9 minutes13C S3100-16C-SI with 1 ProcessorMHbytes SDRAMSMbytes Flash McTticcyZcnf ig Register points to FLASHiardvare Version is PEV.C )ootroici Version is 519 Subjlet 0 L$FEHardvare Vers Ian is PEV.C显示的操作记录，用户的行为:登录的情况:VLAN的1/1/1端口运行情况:itEther net1/1/1 current st ate: DOWNI

28、P Packet FEwre Type: PKTFHT_ETHNT_2, Mard«z：e Address; OOD£-c2Clfl-bto0 Desetiptrion； GiQaEiicEcbecMiet 1/1/1 interface Loopback is not set Hcdia type is not sure； Port hardware typt is No eonntetor Unknovn-speed node； unlcnovn-duplex mod占Link jpeed t7peautonegciation, 1 ink duplex type is

29、 ttutonegotiationFiDiT-control is not enatiled The Muxtmum Frame Length i= 10240 Broadcasc MAZ-ratio: 1QQ* PVID: 1 Port link-type: access Tagged VLAN ID : nene Unoged VLAN ID : 1Pqu prioriy: 0 Last 300 seconds Inputi paekets/sec 0 bytes/seeLast 300 seconds output:0 packets/sec Q bytes/secNULL0 接口: 它

30、是个伪接口，不能配地址，也不能被封装， 它总是UP的，但是从来不转发或接受任何通 信量，对于所有发到该接口的通信量都直接丢弃。NULLO current stare: UPLine protocol current state： UP (spoofing) Descr iption; NULLO InterfacePhysical is NULL DEV LaaC 300 seconds Last 300 seconds 0 packets Input.The HixLmum Teon3mit Unit is 1500input!0 bytes/aec 0 pftcJcets/sec, utp

31、ut:0 bytes/sec 0 packets/sec0 bytes drops0 packets output, 0 JoyLesf 0 dropsrunning task inlormationnaineTidVOS_T1C1priority1StatusTot-al/MAjc/Liisc (MlllflecslEA'jTclcO1210eventblocR0/0/0DrvT39ac190100eventblzck53012 50/27/vtO35£9H83100eventblock1741/47/0VIDL“98“日q1prserupt ready960004532/

32、9/gTICKs145prerrj: tre ndy128r?S91/0STMR3990713ti150evencbJock1392175/1/03 QfinSpfi7ino2/2测试结果：能查看网络设备运行状况、网络流量、用户行为等。b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；登录测评对象或日志服务器，事件是否成功等信息。步骤：输入 display logbuffer查看日志记录是否包含了事件的日期和时间、,查看日志缓冲区和配置信息;用户、事件类型、<H3C-S3100>tlisplay IcgtoufferL gg 1 ng b uf

33、 fer coni Igurac i O n-and-oolite nt a : enafa ledAllowed ma Ji buffer size : 102 4Actual buffer size ; 512Channel nuitiber : 4 * Channel name :Dropped messages ; Overwritten messages : 0Current messages : 1S5logbuifer%Apr 1 23:55:07:360 System restarted - H3G Copmrare Scitware %Apt 1 23：55；18：234 A

34、pr 1 23:55:16:5S0 and: aysnaine H3C-S3 100 %Apr 1 23:55:18:SSD and:vlan 1%Apr 1 23:55:16:551 and:vlan ID%Apr 1 23:55:18:55120002000200020002000£000H3C-53100H3C-S310QH3C-S3100H3C-S3100H3C-S3100H3C-S3100and:interface VIan-interface 1 Apr 1 23;55:16:552 ZQQQ H3C-S3100IC/7/SYS RESTART;-StartingHTTP

35、serverL-task:CFHip:user:才ATCO-task:CFM1 p : t Tuser:希森CO-task: CF.Hip: *user:CO-task:CFHir w工user sCO-task; Cmip:*user;COSHELL/5/CKD:- 1SHELL/5/CHDi- 1SHELL/5/CHD:- 1SHELL/ 5/CT5D:- 1HTTPD/5/Log：- 1SHELL/5/CMD:- 1测试结果：能查看事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。C）应能够根据记录数据进行分析，并生成审计报表；访谈并查看网络管理员采用了什么手段实现了

36、审计记录数据的分析和报表生成。d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。恶意代码防范（G3）本项要求包括：a）应在网络边界处对恶意代码进行检测和清除；b）应维护恶意代码库的升级和检测系统的更新。步骤：询问管理员系统中是否安装防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过一个星期。7）网络设备防护本项要求包括：a）应对登录网络设备的用户进行身份鉴别；目的：检查测评对象采用何种方式进行登录，是否对登录用户的身份进行鉴别，是否修改了默认的用户名及密码。步骤1 :输入display

37、current-configuration ,查看用户名密码机认证配置。<H3C-S3100>display current-configuration# sysname H3C-S3100#radius scheme 3yst.eradomain systetrlocal-user studentpassword simple studentservice-type ssh telnetip uoute-static o.0.o0 10.115.1 puefeuence 60ssh user student authentication-type password

38、 ssh user student service-type stelnetuser-interface aux 0 user-interface vty 0 4I 忌u t henticatio ivino 日 e sc heme user privilege level 1 protocol inbound ssh#return<H3C-S3100>|local-user student password siiwp 1 e student service-type ssh telnet level 1其中，authentication-mode password表示进行本地口

39、令认证；authentication-modescheme表示进行本地或远端用户名和口令认证。Ssh telnet使用远程控制WEBI艮务器,必须输入用户名和密码来登录 服务器。步骤2 :输入display users all ,查看所有用户信息和用户级别：UserwinterfaceUser-interfaceis active.is active and workinstsync mode *<H3C-S3100>display users all0UIAUX 0DelayTypeIpaddressUsernaineUser level+1VTY 00:04:06SSH10,1

40、1,5.46student1+2VTY 100:00:00SSH10.11,5.S5student1+3VTY 200:00:02SSH4studsnt13VTY 35VTY 4测试结果：记录了 IP地址等，实现了对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；目的：查看是否有控制列表对管理员登录进行控制；步骤：输入display acl all ,查看是否有控制列表对管理员登录进行控制;<H3C-S3100>dispLay ac1 allTotal ACL Nuitiber: 0<H3C-S3100>j测试结果：没有控制列

41、表对管理员登录进行控制；c)网络设备用户的标识应唯一；手段：登录网络设备，查看设置的用户是否有相同用户名。询问网络管理员，是否为每个管 理员设置了单独的账户。方法；输入 display current-configuration,查看设置的用户名。Local-user student password simp1e student service-type ssh telnet level 1测试结果：权限不够，无法看到是否有重复的用户名。d)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；(1)询问网络管理员对身份鉴别所采取的具体措施，使用口令的组成、 长度和更改周期等;(

42、2)通过访谈检查设备的用户、口令信息及是否定期更换，display cur查看系统配置；<H3C-S3100><H3C-S3100>dlsplay Cursysnawie H3C-S3 10D身radius scheme systeio#domain system#local-user studentpasswcrd simple student service-type ssh telnet level 1vlan 1测试结果：能保证口令复杂度和定期更改的要求。e)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时 自动退出等措施；目的：查看

43、系统配置中对登录失败的处理机制。方法：以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项 line vty 0 4;display current-configuration查看系统配置；退出系统重新登录，输入错误密码进行尝试，查看系统反应。1L5.253 - PuTTIlogin ：as: studentstudenlLElO- 11.5.253 1 s password: Access deniedstudenlLElO- 11.5.253 1 s password: Access deniedstudenlLElO- 11.5.253 1 s password: D测试结果：登录失败时系统采取结束会话、限制非法登录次数和当网络登录连接超时自动退出。f)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；11) display current-configuration(2)查看配置是否开启 ssh ,如：aaa authentication ssh console LOCALdomain systeiti卜local-user studentpassucrd simp 1 e student, servic