西华大学网络与信息安全复习

1、选择题（不定项选择10题，共20分）2、名词解释（5小题，共15分）3、简答题（5小题，共25分）4、实验题（40分）基于角色的CLI访问提供的视图。P28根视图（Rootview）、CLI视图（CLIview）、超级视图（Superview）基于主机的IPS和基于网络的IPS执行的优缺点。P95-98基于主机的IPS优点：能够监视操作系统进程并且保护重要的系统资源，包括一些只有在特殊主机上存在的文件。它使用行为分析和特征文件过滤，同时联合防病毒软件、网络防火墙以及应用防火墙的最佳特征，这些功能都打包在一起使用。缺点：1、不能提供完整的网络视图，它只检查本地主机级的信息。它很难构建实际的网络全图以及协调跨越整个网络的事件。2、需要运行在网络中的每一个系统上。这久需要检验是否对网络中使用的所有不同操作系统予以支持。基于网络的IPS优点：基于网络的监控系统可以很容易地发现跨越全网发生的攻击。它可以清楚地显示出被攻击网络的范围。另外，因为监视系统只检查网络上的流量，所以它不必支持在网络上使用的每种操作系统的类型。缺点：如果网络数据是加密的，对于网络IPS来说是根本看不到的，所以会允许攻击进入而不会被检测到。了那个外一个问题是，IPS为了监视目标，没有时间重组分片的流量。这最终会导致网络的带宽被大量占用，所以IPS很难放置在单一地点来成功地捕获所有的流量。关系：HIPS检查本地主机或者操作系统级别的信息，而网络IPS检查跨越网络传输的数据包，用来发现入侵行为的蛛丝马迹。它们之间不是竞争的关系，而是互相补充的关系，在提供端到端的安全网络上需要同时部署它们。3、标准ACL和扩展ACL的配置。P61标准ACL：Router(config)#access-list{1-99}{permit|deny}source-addr[source-wildcard]扩展ACL:Router(config)#access-list{100-199}{permit|deny}protocolsource-addr[source-wildcard]………[established]在IPsec框架中的五个组件。P171第一个组件表示IPsec协议。可以选择ESP或AH。第二个组件表示使用加密算法，例如：DES、3DES、AES、或SEAL所实现的保密类型。根据所需要的安全等级进行选择。第三个组件表示完整性，可以使用MD5或HA实现。第四个组件表示如何建立共享密钥，有两种方法：预共享或使用RSA的数字签名。最后一个组件表示DH算法组。第二层的网络攻击。P120-121MAC地址欺骗攻击、MAC地址表溢出攻击、STP操纵攻击、LAN风暴攻击、VLAN攻击。防火墙类型，尤其是状态防火墙和CBAC防火墙的特点、配置步骤、工作在哪几层。P73防火墙类型：数据包过滤防火墙、状态防火墙、应用网关防火墙（代理防火墙）、地址翻译防火墙、基于主机（服务器或个人电脑）的防火墙、透明防火墙、混合防火墙。状态防火墙：监视连接状态，确定连接是处于初始化、数据传输或终止状态（工作在会话层）CBAC防火墙：流量过滤、流量检测、入侵检测及产生审计和警告信息（工作在应用层）。AAA中TACACS+协议和RADIUS协议的异同，以及认证的步骤。P48TACACS+的关键因素包括：不兼容TACACS和XTACACS。认证和授权分离。加密所有通信使用TCP端口49RADIUS的关键因素包括：使用RADIUS代理服务器提供可扩展性将RADIUS认证和授权结合成一个过程只加密密码使用UDP支持远程访问技术、802.1X和SIPSDEEP105SecurityDeviceEventExchange(安全设备事件交换)它是一个应用层通信协议，用于交换IPS客户端与服务器端的消息。CiscoISR路由器的IPS警报交换机端口安全。P128SDM配置IKEp17912、CiscoIOS映像和配置文件的备份p29-3013、Cisco自防御网络实现策略的原则14、DoS攻击P13-14Dos(拒绝服务)攻击：是导致对用户、设备或应用程序的某种服务中断的网络攻击。发生Dos攻击的两个原因：1、主机或应用程序处理非预期状况失败。 2、网络、主机或应用程序不能处理量非常大得数据，如果处理会导致系统崩溃或变得极慢。三种常见的Dos攻击：死亡侦测、放大攻击、TCPSYNFlood15、独立AAA认证P44-47独立AAA认证应配置于较小的网络，它提供一种配置认证的备份方法的途径。配置查阅书16、IDS系统P94入侵检测系统（IDS）被动地监测网络上的流量。IDS采用流量复制方式的优点是不会影响到转发数据流的实际数据包流程；而缺点是IDS在做出停止攻击的反应前，恶意流量对于目标系统的单包攻击已经发生了。IDS经常需要其他网络设备的协助，如：路由器和防火墙，来对攻击做出反应。IDS和IPS之间的最大区别是：IPS可以立即响应并且不会允许恶意数据流通过；反之，IDS可能会在响应之前允许恶意数据流通过。17、MAC地址欺骗攻击P120MAC欺骗攻击发生在一个攻击者改变它的MAC地址为其他目标主机的已知MAC地址。攻击的主机随后通过网络发送带有配置MAC地址的数据帧。当交换机接收到该帧时，它会检查源MAC地址，交换机将会覆盖当前的MAC地址表条目并且指定MAC地址到新的端口。然后它会自动地把目的为正常目标主机的数据帧转发到攻击的主机。18、VPNP166虚拟专用网络（VPN），VPN使用虚拟连接将组织通过因特网路由到远程站点。VPN是一个其内部访问严格受控的通信环境，它允许在一个明确定义的利益群体内对等连接。通过对VPN内部的流量加密实现保密性。VPN的优点：节省开支、安全性、课扩展性、兼容宽带技术。19、AAA授权P57授权关注允许和禁止经过认证用户访问网络上的特定区域和程序。，它是控制用户访问特定服务的能力。控制对配置命令的访问大大简化了大型企业网络中基础设施的安全性问题。20、ESPP174ESP通过加密载荷实现机密性，它支持多种对称加密算法。它也能提供完整性和认证。21、LAN风暴攻击P121LAN风暴发生在当数据包在LAN内泛洪时，造成了过多的流量并且会破坏网络性能。在协议栈中的错误执行、网络配置中的过失或者用户发起Dos攻击可以导致风暴。22、中间会合攻击23、蠕虫或病毒基本的攻击阶段。P8探测阶段—识别易受攻击的目标，找到可以被破坏的计算机。穿透阶段—传送恶意代码到易受攻击的目标，使目标通过一个攻击向量执行恶意代码。留存阶段—当攻击成功地从内存中发起后，代码会尽力留存在目标系统上，以确保即使系统重启，攻击代码仍运行并对攻击者可利用。传播阶段—攻击者通过寻找易受攻击的邻近机器试图将攻击延伸到其他目标。瘫痪阶段—对系统进行实际破坏。24、网络设备上配置安全的管理访问时经常需要设置密码，设置密码的要求P20（1）使用大于10个字符的密码，越长越好。（2）使密码复杂一些，包括大写字母、小写字母、数字、字符和空格。（3）密码要避免重复使用字典中的词汇、字母或数字序列、用户名等信息。（4）有意拼错密码。（5）经常改变密码（6）不要将密码写下来并放在桌上或显示器上这些很明显的位置。25、动态ACL的安全优势。P68（1）每个用户的挑战验证机制（2）大型网络中管理的简单性（3）简化路由器对ACL的处理（4）降低网络黑客对网络的攻击机会（5）在不损害其他安全配置的前提下，可以动态的让用户穿越防火墙。26、简述基于蜜罐的检测的工作原理P101基于蜜罐的检测室使用一个虚假的服务器吸引攻击。蜜罐方式的目的是把攻击从真实的网络设备转移。通过蜜罐服务器中不同类型的漏洞，管理员可以分析进入的攻击和恶意流量样本的类型。随后他们可以使用这个分析结果调整传感器特征来检测恶意流量的新类型。27、IKE协议的工作过程P176（1）两IPsec对等体执行SA的初始协商。阶段1的基本目的是协商IKE策略集、认证对等体，并在对等体之间建立一条安全通道。它可以使用主模式或主动模式完成。（2）由IKE进程ISAKMP代表IPsec进行SA的协商。可以通过快速模式协商。28、如何消除侦查攻击P11（1）可以配置告警以检测正在进行的侦查攻击，当特定的参数超标，这些告警就被触发。（2）基于主机的入侵预防系统和独立的基于网络的入侵检测系统也可以用来在侦查攻击发生时发出通知。29、包过滤防火墙的缺点。（1）一些包过滤网关不支持有效的用户认证。（2）规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。（3）这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。（4）在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。(5)包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。30、配置站点到站点的IPSecVPN需要完成哪五个任务？P178任务1：确保接口上配置的ACL兼容IPsec配置。VPN流量使用的接口上通常存在限制。任务2：创建一个ISAKMP策略来确定用于建立隧道的ISAKMP参数。任务3：定义IPsec变换集。变换集定义了IPsec隧道使用的参数。任务4：创建一条加密ACL。任务5：创建并应用一个加密映射。任务1：配置R1上的控制台访问当地的AAA认证第1步、测试连通性。.

从用户A

ping

用户B

从用户A

ping

用户C

从用户B

ping

用户C

第2步。R

1的配置本地用户名

配置ADMIN1的用户名和密码admin1pa55

R1(config)#usernameAdmin1passwordadmin1pa55第3步。R

1的访问控制台上配置本地AAA认证。

在R1上启用AAA和配置控制台登录的AAA认证使用本地数据库。

R1(config)#aaanew-modelR1(config)#aaaauthenticationlogindefaultlocal第4步。配置行控制台，使用定义的AAA验证方法。

在R1上启用AAA级和AAA认证配置控制台登录使用默认的方法列表。

R1(config)#lineconsole0R1(config-line)#loginauthenticationdefault第5步。验证AAA验证方法。

使用本地数据库验证用户执行登录

R1(config-line)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR1#exitR1con0isnowavailablePressRETURNtogetstarted.************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin1Password:admin1pa55R1>任务2：在R1上配置VTY线路的本地AAA认证

第1步。在R1上为VTY线路配置可命名列表的AAA认证方法。

配置命名列表称为Telnet的登录验证来登录本地AAA。

R1(config)#aaaauthenticationloginTELNET-LOGINlocal第2步。使用定义的AAA认证方法来配置VTY线路。

使用命名的AAA方法来配置VTY线路

R1(config)#linevty04R1(config-line)#loginauthenticationTELNET-LOGINR1(config-line)#end第3步。验证AAA认证的方法。

验证Telnet配置。从用户

A输入命令提示符，远程登录到R1

PC>telnet192.168.1.1************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin1Password:admin1pa55R1>任务3：在R2上使用TACACS+来配置基于服务器的AAA认证

第1步：配置一个命名为admin的备份本地数据库的登记。

出于备份的目的，配置一个本地用户Admin和对应密码adminpa55

R2(config)#usernameAdminpasswordadminpa55第2步：验证TACACS+服务器配置。

选择TACACS

+服务器

从配置选项卡看，点击AAA认证和通知，出现一个针对R2的网络认证项和用户设置项为Admin2的配置项。

第3步：在R2上具体配置TACACS+服务

在R2上配置AAA

认证TACACS服务器的IP地址和密钥。

R2(config)#tacacs-serverhost192.168.2.2R2(config)#tacacs-serverkeytacacspa55第4步：配置AAA登录验证用于R

2上的控制台访问。在r2上启用AAA，使用AAA

TACACS

+服务来配置所有登录进行的身份验证，如果不可用，则使用本地数据库。

R2(config)#aaanew-modelR2(config)#aaaauthenticationlogindefaultgrouptacacs+local第5步。配置行控制台，使用定义的AAA认证方法。

使用默认的AAA验证方法来配置AAA认证控制台登录。

R2(config)#lineconsole0R2(config-line)#loginauthenticationdefault第6步。验证AAA认证方法。

使用的AAA

TACACS

+服务器验证用户执行的登录

R2(config-line)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR2#exitR2con0isnowavailablePressRETURNtogetstarted.************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin2Password:admin2pa55R2>任务4：在R3上使用RADIUS配置基于服务器的AAA认证

第1步。配置一个名为admin的备份本地数据库中的项。

出于备份目的，配置管理和密码为a

dminpa55的本地用户名。

R3(config)#usernameAdminpasswordadminpa55第2步。验证RADIUS服务器的配置。

选择RADIUS服务器。

从配置选项卡看，点击AAA认证和通知，出现一个针对R3的网络认证项和用户设置项为Admin3的配置项。

第3步。在R

3上配置RADIUS服务器的细节。

在R3上配置AAA

RADIUS服务器的IP地址和密钥。

R3(config)#radius-serverhost192.168.3.2R3(config)#radius-serverkeyradiuspa55第4步。在R3上配置控制台访问的AAA登录验证。

在R3上启用AAA，使用AAA

RADIUS

+服务来配置所有登录进行的身份验证，如果不可用，则使用本地数据库。

R3(config)#aaanew-modelR3(config)#aaaauthenticationlogin