《2010江西电信网络安全攻防演练指引.doc》由会员分享,可在线阅读,更多相关《2010江西电信网络安全攻防演练指引.doc(10页珍藏版)》请在金锄头文库上搜索。
1、2010江西电信网络安全攻防演练指引2010江西电信网络安全攻防演练指引中国电信江西公司省网支SOC中心目录1演练项目32演练拓扑32.1拓扑32.2演练环境说明42.3设备列表53演练步骤63.1模拟场景1.6江西-城域网遭到大规模DDOS攻击63.2模拟场景2.6江西电信网络安全攻防演练63.2.1 任务63.2.2对抗分组73.2.3职责73.2.4判断标准83.2.5演练步骤:84联系方式9附件1演练环境配置10附件2演练接入10附件3攻击流量监控方法101演练项目演练项目如下:1、 模拟场景1.江西某城域网遭到DDOS攻击2、 模拟场景2.江西电信网络安全攻防演练2演练拓扑2.1拓扑
2、模拟场景1.江西某城域网遭到DDOS攻击拓扑:(待添加)模拟场景2.亚运网络安全攻防演练的演练拓扑:2.2演练环境说明模拟场景1.江西某城域网遭到DDOS攻击:(待添加)模拟场景2.亚运网络安全攻防演练的环境说明:在场景2演练平台中,采用思科2800作为VPDN的LNS设备,同时兼为实验室内网地址NAT转换外网地址,该LNS上联省NOC的接入路由上,分配的外网IP地址网段为:61.131.214.192/26,LNS(cisco2800)的外网接口地址为61.131.214.194,另外以太口连接内网的华为NE80核心路由器上,公网用户通过VPDN拨号,认证通过后,获得内网地址为10.10.1
3、0.2-254,再访问实验室内网。 核心为华为的NE80和7806设备,下挂华为ME60设备,作为宽带接入服务器(BRAS)用户。在ME60设备上开静态IP用户,地址段为:10.10.17.0/24、10.10.18.0/24,分别作为安全设备的管理地址用和接入服务器或主机使用。华为S7806作汇聚交换机,上联ME60的G1/0/1,透传管理VLAN2,用户VLAN20、30;下接入天融信的防火墙和Macfee2600设备。整个实验用采用的IGP协议为OSPF协议,本规划模拟现城域网中的路由协议,如BGP、ISIS和OSPF协议,将CISCO2800、7609、NE80、ME60全部开IGP协
4、议OSPF,并规划在用一个OSPF号(791)和同一个域(area 0),这样内网用户可通过CISCO2800NAT访问公网,对于公网用户,也可通过VPDN拨号访问内网服务。系统方面,新添服务器5台,操作系统分别为Linux、Sun solaris、Win2003 server、Winxp、Win2008 server。服务器上的应用包括:Web、Ftp、Smtp、DNS、SQLserver、Oracle、telnet、ssh等常见应用。2.3设备列表层面设备名称厂家数量作用核心层设备NE80华为1核心路由设备CISCO7806思科1核心路由设备业务接入设备ME60华为1BRAS接入设备汇聚设
5、备S7806华为1汇聚交换机LNS路由器CISCO2800思科1小型路由设备交换机CISCO3550思科1接入交换机CISCO3560思科1接入交换机流量监控Genie NTG 2100威睿1NetFlow异常流量监控设备安全设备Mcafee 2600迈克菲1IPS 入侵防御设备IPS天融信1IPS 入侵防御设备防火墙天融信1访问控制设备其他配套维护终端HP DX 2000 MT4CPU:Intel Core 2 Duo E4500 双核(2.2G) ,内存1G,160G硬盘,Combo光驱,128M独立显卡,17寸液晶显示器操作台10实验室操纵台机架6600*900*22003演练步骤3.1
6、模拟场景1.江西-城域网遭到大规模DDOS攻击依据:中国电信互联网网络安全应急预案、中国电信DDoS攻击应急响应流程步骤:1. 参演的分公司通过WEB登录到GenieATM流量分析系统以及IP城域网网络设备。2. 参演分公司提前熟悉GenieATM流量分析系统和操作脚本后,开始监测IP网异常流量。3. 演练指挥通过NOC进行攻击流量的发送。(为了增加突然性,可选择不定时发送)4. 参演的分公司根据流量的情况启动ACL防护,但由于攻击类型复杂,ACL效果不好。5. 参演分公司启用黑洞路由,对攻击流量进行丢弃。6. 参演分公司观察网络流量恢复正常后,向省SOC报告处理结果。7. 参演分公司向演练指
7、挥报告演练完成。8. 演练指挥通知NOC停止攻击流量发送。9. 参演的各分公司提交演练报告。3.2模拟场景2.江西电信网络安全攻防演练依据:中国电信互联网网络安全应急预案3.2.1 任务攻击方(红队):接入一个模拟城域网的演练网络后,可以采用各种黑客攻击手段,如:远程溢出攻击、密码暴力破解、脚本漏洞、网站挂马、ARP欺骗等,针对该模拟网络的网络设备、操作系统、应用系统等各个方面进行破坏,尽量影响目标网络的服务正常提供,所需的一切攻击工具和方法可与红队技术支持方联系获取。防守方(蓝队):将有1周时间对一个模拟城域网的网络和服务进行加固,之后一周会正面与攻击方对抗,如发现某系统被攻破,要在最短的时
8、间内恢复。可以利用各种安全配置和安全设备加强对于攻击的检测和控制。所需的一切防御软件和技术与蓝队技术支持方联系获取。在规定时间内,如果红队成功攻破蓝队的系统、造成网络或业务中断,则判红队获胜。如果蓝队在演练时间一直内保证网络和服务的正常,则蓝队获胜。3.2.2对抗分组攻击队(红队)红队队长副队长成员支持待定省SOC 黄协九江、宜春、景德镇、吉安、赣州、萍乡绿盟 防守队(蓝队)蓝队队长副队长成员支持待定省SOC 谭立佳南昌、新余、上饶、抚州、鹰潭启明3.2.3职责队长:1. 确定攻击或防守思路,制定攻防方案并向演练指挥提交。2. 组织、协调本队队员,分配攻防任务,检验效果。3. 听从演练指挥的命
9、令,开始、停止攻防行动。4. 在演练对抗过程中,向组员下达攻防命令,记录并向演练指挥汇报所有的操作。对攻击成功或发现入侵的情况要立即报告。5. 汇总队员的需求,与演练支持方联系,获取攻防工具和技术指导。6. 实时关注演练命令发布群里面的信息。7. 演练过程中如出现问题,及时向演练指挥反映。8. 演练结束后负责编写团队演练情况报告提交给演练指挥。副队长1. 协助队长进行协调、联络事宜。2. 监督、检查队伍的行为,是否有超出范围的行为。3. 实时关注演练命令发布群里面的信息。队员:1. 听从队长指挥,按照队长分配的任务进行攻防操作。2. 准备相关攻防知识,熟悉演练环境设备,需要工具和协助及时向队长
10、提出。3. 实时关注演练命令发布群里面的信息,保持联络畅通。4. 演练结束后负责编写本省演练报告并提交给演练指挥。技术支持:1. 演练期间提供现场或远程协助。2. 只能对支持的队伍提供工具和技术指导,不能进行实际操作。3. 与所在的队伍密切配合,协助队长制定攻防方案。4. 听从队长的命令,不允许私自行动。3.2.4判断标准攻防双方在演练过程中的表现,从以下几个方面进行判断:1. 攻防思路。思路是否严谨、可行,方向是否正确,考虑是否完备。2. 组织协调能力。是否进行了有效的组织协调,任务分配是否合理,组员是否对任务理解透彻,行动是否有配合,相互之际是否进行了有效的沟通。3. 攻防表现。对网络攻防
11、的了解是否透彻,能否自主选择合适的攻防工具,工具的使用是否熟练。3.2.5演练步骤:1. 将参加演练的江西省内的11个分公司分为红队和蓝队,红队负责进攻,蓝队负责防守。2. 提前一周将蓝队的队员接入网络,对各个方面进行加固,做好防守准备。3. 一周后,允许攻方的红队接入网络,在一周时间内,对网络设施、服务器、应用等各个方面展开进攻。4. 演练过程中有任何进展,攻防双方都必须向演练指挥汇报。5. 演练过程有任何情况,演练指挥可以暂时中断演练进程。6. 演练时间到后,攻防双方停止攻击。演练指挥评估攻击对网络和服务造成的影响,根据双方的表现打分。攻防双方提交演练过程报告,演练指挥对比赛进行点评和总结。4联系方式省网运负责人:李文君 18979176255演练指挥:郑玉谦协助:张静静演练命令发布/讨论QQ群:攻击队(红队):队长 副队长 黄协防守队(蓝队):队长 副队长 谭立佳红队技术支持绿盟: 待定白队技术支持启明: 待定附件1演练环境配置模拟场景1.江西某城域网遭到DDOS攻击环境配置:(待添加)模拟场景2.江西电信网络安全攻防演练环境配置:附件2演练接入江西网络实验室vpn(pptp)winxp接入指南 附件3攻击流量监控方法
