《计算机信息安全》由会员分享,可在线阅读,更多相关《计算机信息安全(17页珍藏版)》请在金锄头文库上搜索。
1、忒汉工我李院题目:计算机信息安全专业:计算机科学与技术班级:063学号:060501310姓名:林茜(xi)指导老师:张红武2010年1月11日、使用MACACIS行访问控制【实验名称】使用MACACLS行访问控制【实验目的】使用基于MAMACL实现高级的访问控制【背景描述】某公司的一个简单的局域网中,通过使用一台交换机提供主机及服务器的接入,并且所有主机和服务器均属于同一个VLAN(VLAN2)中。网络中有三台主机和一台财务服务器(AccountingServer)。现在需要实现访问控制,只允许财务部主机(172.16.1.1)访问财务服务器。【需求分析】基于MAC勺ACL可以根据配置的规则
2、对网络中的数据进行过滤。【实验拓扑】【实验设备】交换机1台PC机4台【实验原理】基于MAC勺ACL可以对数据包的源MACM址、目的MAC%址和以太网类型进行检查,可以说基于MAC的ACL是二层的ACL,而标准IPACL和扩展IPACL是三层和四层的ACL由于标准IPACL和扩展IPACL是对数据包的IP地址信息进行检查,并且IP地址是逻辑地址,用户可以对其进行修改,所以很容易逃避ACL的检查。但基于MAMACL是对数据包的物理地址(MAC进行检查,所有用户很难通过修改MAC地址逃避ACL的过滤。当应用了MACACLI勺接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并采取相应的
3、措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。【实验步骤】第一步:交换机基本配置Switch#configureterminalSwitch(config)#vlan2Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/1-3Switch(config-if-range)#switchportaccessvlan2Switch(config-if-range)#exitSwitch(config)#interfacefastEthernet0/12Switch(config-if)#switc
4、hportaccessvlan2Switch(config-if)#exit第二步:配置MACACL由于本例中使用的交换机不支持出方向(out)的MACACL因此需要将MACAC1S已置在接入主机的端口的入方向(in)。由于只允许财务部主机访问财务服务器,所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。Switch(config)#macaccess-listextendeddeny_to_accsrvSwitch(config-mac-nacl)#denyanyhost000d.000d.000d!拒绝到达财务服务器的所有流量Switch(config-mac-nacl)#perm
5、itanyany!允许其他所有流量Switch(config-mac-nacl)#exit第三步:应用ACL将MACAC而用到F0/2接口和F0/3接口的入方向,以限制非财务部主机访问财务服务器。Switch(config)#interfacefastEthernet0/2Switch(config-if)#macaccess-groupdeny_to_accsrvinSwitch(config-if)#exitSwitch(config)#interfacefastEthernet0/3Switch(config-if)#macaccess-groupdeny_to_accsrvinSwit
6、ch(config-if)#end第四步:验证测试在财务部主机上ping财务服务器,可以ping通,但是在其他两台非财务部主机上ping财务服务器,无法ping通,说明其他两台主机到达财务服务器的流量被MACACLL巨绝。【实验总结】通过实验学会使用基于MAC勺ACL实现高级的访问并可以根据配置的规则对网络中的数据进行过滤。学会对MACACL勺接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。十六、IIS服务漏洞攻击检测【实验名称】IIS服务漏洞攻击检测【实验目的】使用RG-IDS对IIS服务漏洞攻击进
7、行检测【背景描述】某网络中使用Windows的IIS服务组件搭建了一个Web服务器。但是最近网络中发现经常有针对IIS的攻击发生。于是网络工程师部署了IDS系统以对各种攻击进行检测,以及对恶意扫描和探测行为进行审计。【需求分析】需求:IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些Web艮目录以外的文件。分析:RG-IDS能够实时地检测网络中针对IIS服的务攻击,并及时口育。172.16.5.
8、127172.16.5.125交换机 (端口镜像)【实验设备】PCRG-IDS直连线交换机攻击软件 【实验原理】3台台4条台(支持多对一的端口镜像)IIS Cracker.exe(IIS攻击工具)【实验拓扑】IIS(InternetInformationService)可以让有条件的用户轻易地建立一个本地化的网站服务器,同时提供HTTP访问、文件传输(FTP)服务以及邮件服务等。但是IIS服务漏洞或缺口层出不穷,黑客不仅仅可以利用其漏洞停滞计算机的对外网络服务,更可修改其中的主页内容,甚至利用其漏洞进入到计算机内部,删改主机上的文件。以“扩展UNICOD中录遍历漏洞”为例,黑客就可以利用工具软
9、件(如:IISCracker)进入到计算机内部。通过“IISCracker”入侵成功后,可以查看对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。本实验通过“IISCracker”工具攻击开放IIS服务的Web服务器,并获得权限。RG-IDS能及时准确地检测出该类攻击,并将警告上报控制台。【实验步骤】第一步:使用Windows的IIS组件搭建Web服务器第二步:策略编辑点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。新的策略中选择www2:iis:nimda_scan_alert”签名,并将策略下发到引擎。第二步:
10、实施攻击双击IIS Cracker,IIS CrackerCHS FC He tw or k Gr o tip文件,启动IIS攻击程序,如下图所示:配置攻击参数,将“当前连接”地址设置为172.16.5.125 ,其他项不需要修改,如下图所示:点击按钮,开始攻击。攻击完成后,可以在“远程目录资源管理器”中找到被攻击机的文件目录,如下图所示:即可进入被攻击机器的系统目录,如下图所示:返回上蛆目点击二第四步:查看警报进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息,如下图:事件,事件详细信息如下图:RG-IDS准确检测出www2:iis:nimda_scan_alert*
11、!便利i|用祝值恩件照;通间地辑:SOCJ7-10-1U2D,写写弓HTC?醺电Xt:向阳s-fittr17a.Id.tL&T/1白口0ITS?16.&LS/aojfed半-iK;vwwS_vie.n.1ndl*._K-cDJSPLAVIT127-/,G5ISEH.l_EMMPII口r.OPr啊卬村武在拄京UfsJzH击写久势.J5库漏:分型JfrWMPTi女送日于耶咛因生C宜途*南出丝巾口Xij亚E桂序*1共*内至匚|-。4口6111_阿卡后Ewih1LI【实验总结】通过实验使用RG-IDS对IIS服务漏洞攻击进行检测。学会通过“IISCracker”工具攻击开放IIS服务的Web服务器,并
12、获得权限。RG-IDS能及时准确地检测出该类攻击,并将警告上报控制台。了解通过“IISCracker”入侵成功后,可以查看对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。二十二、配置客户端认证【实验名称】配置客户端认证【实验目的】使用防火墙的客户端认证功能增强访问控制的安全性【背景描述】某企业使用使用防火墙作为网络出口设备。公司内部使用私有编址方案,因此在防火墙上配置了NAT规则以使内部用户可以访问Internet。但是为了避免非授权的用户使用公司带宽资源访问Internet,需要对客户端进行身份验证,只有通过身份验证的用户才能访问Internet。
13、此外,管理员不需要进行身份验证。【需求分析】为了使非授权用户无法通过防火墙访问Internet,可以利用防火墙对客户端进行认证,只有通过身份验证的用户才能访问Internet。【实验拓扑】内部用户管理员192.168.1.5/24192.168.1.200/24【实验设备】防火墙1台PC3台(其中一台模拟Internet的FTP服务器)Web服务器软件程序防火墙客户端认证程序【实验原理】RG-WALL防火墙的访问控制功能可以对客户端的身份进行验证,只有客户端通过验证后,才允许通过安全策略访问网络资源。【实验步骤】第一步:配置防火墙接口的IP地址进入防火墙的配置页面:网络配置一接口IP,单击添加
14、按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。为防火墙的waN口配置ip地址及子网掩码。第二步:配置管理员的NAT规则进入防火墙配置页面:安全策略一安全规则,单击页面上方的安全规则,单击页面上方的NAT规则按钮添加NAT规则。在内部用户的NAT规则中,需要选中“用户认证”选项,这样防火墙将对内部用户进行身份验证。配置完NAT规则后的规则列表。第四步:验证测试在管理员PC上访问外部的FTP服务器1.1.1.100,可以成功访问,因为管理员的NAT规则中没有要求进行用户认证。在内部用户PC上访问外部的FTP服务器1.1.1.100,访问不成功!因为内部用户的NAT规则中要求进行用户认证。第五步:配置用户组进入防火墙配置页面:用户认证一用户组,单击添加按钮添加用户组。用户组的认证协议使用“PAP方式,并确认已选中“启用本组帐号”选项。在“安全策略表”中点击添加按钮,设置允许该组用户从哪些地址和什么时间进行登录,这里我们选择所有地址(any)和任何时间(无)。在“可使用服务列表”中点击添加按钮,设置允许该组用户访问哪些地址、服务和什么时间可以访问,这里我们选择所有地址(any)、所有服务(any)和任何时间(无)
