《信息安全测评实验二分析》由会员分享,可在线阅读,更多相关《信息安全测评实验二分析(17页珍藏版)》请在金锄头文库上搜索。
1、西南科技大学计算机科学与技术学院实验报告实验名称 交换机安全测评及加固实验地点实验日期指导教师学生班级学生姓名学生学号提交日期2015年3月信息安全系制一、实验目的通过对交换机进行安全测评和安全加固,掌握交换机安全测评方案的设计、安全测评实施及结果分析;了解安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求,按照实验指导书中的示范,对交换机进行安全测评,安全等级为三级。三、实验设计应从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护这七个方面入手,按照信息系统安全等级保护基本要求的第三级基本要求进行测评,重点查看交换机中的各项配置信息
2、,密码等设置是否符合要求。结构安全(G3)C)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; 看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的,动态路由是路由器动态建立的,为了保证网络安全,应添加认证功能。此外,采用内部路由和外部路由。对于外部路由要进行验证,例如ospf协议要进行验证,对于内部路由要按照访问路径进行访问,可以tracert 一下,检查是否按照设计的路径进行访问。f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之 间采取可靠的技术隔离手段;针对大型的网络,采用动态路由,对进出各区域的路由进行控制 (特别在不同动态路
3、由协议 之间的重分布 如OSPF, EIGRP等之间 ,路由过滤,路径选择等控制),允许必要的外部 路由进入,允许向外通告内部路由。可通过询问管理员的方式看是否采用了隔离手段。g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优 先保护重要主机。对数据包进行过滤和流量控制。访问控制(G3)c)应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;询问系统管理员是否对进出网络的信息内容进行过滤。d)应在会话处于非活跃一定时间或会话结束后终止网络连接; 使会话处于非活跃一定时间或会话结束后看是否终止网络连接。
4、e)应限制网络最大流量数及网络连接数;打开防火墙,查看网络是否限制了上行和下行的带宽,以及容许连接的最大值。f)重要网段应采取技术手段防止地址欺骗; 方法:重要网段绑定 MAC地址和IP地址。安全审计(G3)C)应能够根据记录数据进行分析,并生成审计报表; 查看日志系统。d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 查看日志系统的读、写、可执行的权限。边界完整性检查(S3)本项要求包括:a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有 效阻断;b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行 有效阻断。手段:访问
5、网络管理员,询问采用了何种技术手段或管理措施对“非法外联”行为进行检查,以及对非授权设备私自联到内部网络的行为进行检查。在网络管理员配合下验证其有效性。入侵防范(G3)b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。询问管理员是否有报警措施。恶意代码防范(G3)a)应在网络边界处对恶意代码进行检测和清除; 查看防火墙设置,是否安装杀毒软件。b)应维护恶意代码库的升级和检测系统的更新。查看是否安装杀毒软件,杀毒软件版本是否是最新。查看系统版本信息。网络设备防护(G3)d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
6、 重新启动设备,查看登录设备所需的条件。 (即是否进行认证,认证方法有几种)h)应实现设备特权用户的权限分离。查看是否有管理员,审计员等除了管理员的其他特权用户,查看用户的权限。四、实验记录结构安全本项要求包括:a) 设备的业务处理能力具备冗余空间,满足业务高峰期需要;1. 打开putty,输入用户名和密码,登录终端10. 11. 5. 251 - PuTTY回冈login as : student.|_|stud 已 ntldl 匚I 115 2 511 s passTijord:.Ac cess de n i e dstud 已 ntldl 匚i :L15 2 511 5 pas a wo
7、 rd:.古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古 古 Copyright, (c) 2004-2008 Hangzhou H3C T已亡h 匚口Ltd All rights 匸已s已匸环已匚1古.古 TiTithout. the OTijner1 a prior iijrit-ten consent.,r古古 no 匚1已cornpiling or 匚已环已匚曰已一engin已已ring shal 1 lue alluTij已匚1.古古古古古古古古古古古古古古古古古古古古古
8、古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古吉古古古吉古古古古古古古古古古古古古古古古古古古.% Apr 2 08:04:37:023 2000 H3C-S3100 SHELL/5/LOGIN:- 1 - student(10.11.5.38) in ul nit1 loginfI2. 输入display cpu 查看CPU使用率:H3C-S31U0网i吕诃ay cpu |Unit 1Board CPU busy stacus;19 in Last 5 日亡ucinci日22% in last 1 minute20% in last 5 minutesH3C-S3U
9、nit 1lOOdisplay ttiemory3. 输入display memory查看内存使用情况System Available Memory(bytes): 3314150System UsAd Mernory (bytes) : 94463BS Used Reit;E : 2 8display connectionUnit 1Index= 1 f User name=scudeiit-0systemIP=10.11.5.35Index=4 f User name=scudejit-0systemIP=10.11.5.37Indexes t User name=scmejit-0sys
10、temIP=10.11.5.58Index= 6 f User name=scucleiit0syBCewIP=10.11.5.52Inciex-7 y Username=scudent0syscewIP-10.11.5.38On Unit 1:Total 5 connections w&tched, 5 listed.Total 5 connections matched, 5 listed.实际情况:CPU内存使用率不超过50%,,conn ection 会话数不超过最大值 70%。b) 应保证网络各个部分的带宽满足业务高峰期需要。(1)键入display brief in terface
11、,查看端口使用情况,DescriptionAuxl/0/0UPEthi/0/1DOWJAAaccessiEthl/0/2DOIjJNAAaccess1Ethl/0/3UPIA100MAfullaccess1Ethl/0/4UPA100MAiullaccessiEthl/0/5UPA100MAf uilaccess1Ehhl /fV hTTPA10MAfullaccess1Ethl/0/7DOWA直accessiEthl/0/8DOIjJNAAaccess1Ethl/0/9DOWAAaccess1Ethl/0/10DOWAAaccess1Ethl/0/11UPA100MHullaccess1口4
12、JT丿trTinA 呻 riinwj i_实际结果:Eth1/0/1 处于 DOW状态,Eth1/0/3 , Eth1/0/4 ,Eth1/0/5 ,Eth1/0/11 等处 于UP状态。,查看接口2)找到处于 UP 状态的端口 Eth1/0/3 ,键入 display in terface Eth1/0/3 Eth1/0/3的详细信息。7丄口丄丄丄=一display interface Evhl/0/3Ethernet 1/0/3 current state : UPIP Sending Frames * Format is PKTFMT ETHNT 2 f Hardware address
13、 is OOOf-e2bS-fMedia type is t-vistea pair, loopback not setPort hardware type is 100_BASE_TX100Mbp3-sp亡已d modef fullduplex modeLinlc speed type is autonegotiationf link duplex type is autonegotiationFLow-control is not enabledTh亡 Hax imuin Frame Leng匸h is 153 5Broadcast MAX-ratio: 100PVID: 1Mdi 匸ype: autoPort link-type: accessTagged VLAN ID : noneUht曰湘LAN!iLast 300 seconds input:1 packets/sec 114 toytes/secLast 300 seconds output:5 packets/sec 482 bytes/secInput(total):0379 packets 1049
