信息安全測評實(shí)驗(yàn)二

1、西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院實(shí)驗(yàn)報(bào)告實(shí) 驗(yàn) 名 稱 交換機(jī)安全測評及加固 實(shí) 驗(yàn) 地 點(diǎn) 實(shí) 驗(yàn) 日 期 指 導(dǎo) 教 師 學(xué) 生 班 級 學(xué) 生 姓 名 學(xué) 生 學(xué) 號 提 交 日 期 2015年3月信息安全系制一、實(shí)驗(yàn)?zāi)康耐ㄟ^對交換機(jī)進(jìn)行安全測評和安全加固，掌握交換機(jī)安全測評方案的設(shè)計(jì)、安全測評實(shí)施及結(jié)果分析；了解安全加固的方法。二、實(shí)驗(yàn)題目根據(jù)信息系統(tǒng)安全等級保護(hù)基本要求的第三級基本要求，按照實(shí)驗(yàn)指導(dǎo)書中的示范，對交換機(jī)進(jìn)行安全測評，安全等級為三級。三、實(shí)驗(yàn)設(shè)計(jì)應(yīng)從結(jié)構(gòu)安全、訪問控制、 安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)這七個(gè)方面入手，按照信息系統(tǒng)安全等級保

2、護(hù)基本要求的第三級基本要求進(jìn)行測評，重點(diǎn)查看交換機(jī)中的各項(xiàng)配置信息，密碼等設(shè)置是否符合要求。結(jié)構(gòu)安全（G3）c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；看主機(jī)所用的路由器是靜態(tài)路由還是動態(tài)路由。靜態(tài)路由是管理員手工配置的，動態(tài)路由是路由器動態(tài)建立的，為了保證網(wǎng)絡(luò)安全，應(yīng)添加認(rèn)證功能。此外，采用內(nèi)部路由和外部路由。對于外部路由要進(jìn)行驗(yàn)證，例如ospf協(xié)議要進(jìn)行驗(yàn)證，對于內(nèi)部路由要按照訪問路徑進(jìn)行訪問，可以tracert一下，檢查是否按照設(shè)計(jì)的路徑進(jìn)行訪問。 f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段； 針對大型

3、的網(wǎng)絡(luò)，采用動態(tài)路由，對進(jìn)出各區(qū)域的路由進(jìn)行控制（特別在不同動態(tài)路由協(xié)議之間的重分布<如OSPF，EIGRP等之間>，路由過濾，路徑選擇等控制），允許必要的外部路由進(jìn)入，允許向外通告內(nèi)部路由。可通過詢問管理員的方式看是否采用了隔離手段。g) 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。對數(shù)據(jù)包進(jìn)行過濾和流量控制。訪問控制（G3）c) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；詢問系統(tǒng)管理員是否對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾。d) 應(yīng)在會話處于非活躍一定時(shí)間或會話結(jié)

4、束后終止網(wǎng)絡(luò)連接；使會話處于非活躍一定時(shí)間或會話結(jié)束后看是否終止網(wǎng)絡(luò)連接。e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；打開防火墻，查看網(wǎng)絡(luò)是否限制了上行和下行的帶寬，以及容許連接的最大值。f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；方法：重要網(wǎng)段綁定MAC地址和IP地址。安全審計(jì)（G3）c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；查看日志系統(tǒng)。d) 應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。查看日志系統(tǒng)的讀、寫、可執(zhí)行的權(quán)限。邊界完整性檢查（S3）本項(xiàng)要求包括：a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私

5、自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。手段：訪問網(wǎng)絡(luò)管理員，詢問采用了何種技術(shù)手段或管理措施對“非法外聯(lián)”行為進(jìn)行檢查，以及對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查。在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。入侵防范（G3）b) 當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。詢問管理員是否有報(bào)警措施。惡意代碼防范（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；查看防火墻設(shè)置，是否安裝殺毒軟件。b) 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。查看是否安裝殺毒軟件，殺毒軟件版本是否是最新。查看系統(tǒng)版本信息。網(wǎng)絡(luò)設(shè)備防護(hù)（G

6、3）d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；重新啟動設(shè)備，查看登錄設(shè)備所需的條件。（即是否進(jìn)行認(rèn)證，認(rèn)證方法有幾種）h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。查看是否有管理員，審計(jì)員等除了管理員的其他特權(quán)用戶，查看用戶的權(quán)限。四、實(shí)驗(yàn)記錄l 結(jié)構(gòu)安全本項(xiàng)要求包括：a) 設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；1.打開 PuTTY ，輸入用戶名和密碼，登錄終端2. 輸入 display cpu查看 CPU 使用率： 3. 輸入 display memory 查看內(nèi)存使用情況4. 輸入 display connection 查看會話連接數(shù)情況實(shí)際情況：C

7、PU、內(nèi)存使用率不超過 50%，connection 會話數(shù)不超過最大值 70%。b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。（1）鍵入 display brief interface，查看端口使用情況，實(shí)際結(jié)果：Eth1/0/1處于DOWN狀態(tài)，Eth1/0/3， Eth1/0/4， Eth1/0/5，Eth1/0/11等處于UP狀態(tài)。2）找到處于 UP 狀態(tài)的端口 Eth1/0/3，鍵入 display interface Eth1/0/3，查看接口 Eth1/0/3 的詳細(xì)信息。Eth1/0/3-(114+482)/(100*1024*1024)=596/104857600<

8、1% Eth1/0/4-(565 + 4078)/(100*1024*1024)=4643/104857600<1%Eth1/0/5-(14950 + 2006)/(100*1024*1024)=16956/104857600<1%Eth1/0/11-(211 + 1200)/(100*1024*1024)=1411/104857600<1%實(shí)際結(jié)果：所有端口使用率計(jì)算都小于寬帶的70%c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；方法：看主機(jī)所用的路由器是靜態(tài)路由還是動態(tài)路由。靜態(tài)路由是管理員手工配置的，動態(tài)路由是路由器動態(tài)建立的，為了保證網(wǎng)絡(luò)安全，應(yīng)添

9、加認(rèn)證功能。輸入display ip routing-table查看靜態(tài)路由f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；采用內(nèi)網(wǎng)和外網(wǎng)分離開。通過咨詢管理員的方式。結(jié)果：使用的是內(nèi)網(wǎng)。g) 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)方法：詢問管理員是否實(shí)現(xiàn)了數(shù)據(jù)包的過濾及流量控制。結(jié)果：實(shí)現(xiàn)了數(shù)據(jù)包的過濾及流量控制。l 訪問控制本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；結(jié)果：訪問管理員，沒有部署訪問控制設(shè)備及措施。b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允

10、許/拒絕訪問的能力，控制粒度為端口級；c) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；結(jié)果：交換機(jī)沒有對其做出限制控制。d) 應(yīng)在會話處于非活躍一定時(shí)間或會話結(jié)束后終止網(wǎng)絡(luò)連接；結(jié)果：系統(tǒng)會自動斷開長時(shí)間沒動作的連接。e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；方法：詢問系統(tǒng)管理員是否限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。結(jié)果：大多數(shù)端口都有最大流量限制100兆，和最大連接數(shù)限制10個(gè)。f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；結(jié)果：重要網(wǎng)段沒有采用其他技術(shù)手段。g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)

11、進(jìn)行資源訪問，控制粒度為單個(gè)用戶；登錄設(shè)備查看是否對撥號用戶進(jìn)行身份認(rèn)證，是否配置訪問控制規(guī)則對認(rèn)證成功的用戶允許訪問受控資源。預(yù)期結(jié)果：對于遠(yuǎn)程撥號用戶，設(shè)備上提供用戶認(rèn)證功能；有通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則實(shí)現(xiàn)對認(rèn)證成功的用戶允許訪問受控資源。步驟：鍵入 display acl all，查看是否配置訪問控制列表。實(shí)際結(jié)果：訪問控制列表為空，說明系統(tǒng)未部署任何訪問控制規(guī)則。h) 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量；（1）詢問系統(tǒng)管理員，是否有遠(yuǎn)程撥號用戶，采用什么方式接入系統(tǒng)，采用何種方式進(jìn)行身份認(rèn)證，具體用戶數(shù)量有多少。步驟 1：輸入 display version 查看系統(tǒng)的授

12、權(quán)信息 步驟 2：輸入 display current-configuration 查看系統(tǒng)配置信息，確認(rèn)撥號用戶數(shù)的數(shù)量配置；測試結(jié)果：限制具有撥號訪問權(quán)限的用戶數(shù)量，數(shù)量為1。 安全審計(jì)本項(xiàng)要求包括：a) 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；目的：查看是否啟用了日志記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到日志服務(wù)器。記錄日志服務(wù)器的地址（1）輸入 display logbuffer，顯示系統(tǒng)日志緩沖區(qū)和配置信息；（2）輸入 display diagnostic-information 顯示系統(tǒng)當(dāng)前各個(gè)功能模塊運(yùn)行的統(tǒng)計(jì)信息。display diagnostic-

13、information 命令一次性收集了配置如下各條命令后終端顯示的信息，包括：display clock、display version、display device、display current-configuration 等。將此信息存入任意.diag 文件（如 aa.diag）： 再在用戶視圖下執(zhí)行“more aa.diag”命令，配合使用<Space>/<Enter>鍵，可以查看 aa.diag 文件的記錄的內(nèi)容。 顯示的操作記錄，用戶的行為：登錄的情況： VLAN 的 1/1/1 端口運(yùn)行情況：NULL0 接口：它是個(gè)偽接口，不能配地址，也不能被封裝，它總

14、是 UP 的，但是從來不轉(zhuǎn)發(fā)或接受任何通信量，對于所有發(fā)到該接口的通信量都直接丟棄。測試結(jié)果：能查看網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等。b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；登錄測評對象或日志服務(wù)器，查看日志記錄是否包含了事件的日期和時(shí)間、用戶、事件類型、事件是否成功等信息。步驟：輸入 display logbuffer，查看日志緩沖區(qū)和配置信息；測試結(jié)果：能查看事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；訪談并查看網(wǎng)絡(luò)管理員采用了什么手段實(shí)現(xiàn)了審計(jì)記錄數(shù)據(jù)的分析

15、和報(bào)表生成。d) 應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。訪談網(wǎng)絡(luò)設(shè)備管理員采用了何種手段避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。惡意代碼防范（G3）本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；b) 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。步驟：詢問管理員系統(tǒng)中是否安裝防病毒軟件。詢問管理員病毒庫更新策略。查看病毒庫的最新版本更新日期是否超過一個(gè)星期。7) 網(wǎng)絡(luò)設(shè)備防護(hù)本項(xiàng)要求包括：a) 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；目的：檢查測評對象采用何種方式進(jìn)行登錄，是否對登錄用戶的身份進(jìn)行鑒別，是否修改了默認(rèn)的用戶名及密碼。步驟 1：輸入 display cur

16、rent-configuration，查看用戶名密碼機(jī)認(rèn)證配置。 其中，authentication-mode password 表示進(jìn)行本地口令認(rèn)證；authentication-mode scheme 表示進(jìn)行本地或遠(yuǎn)端用戶名和口令認(rèn)證。Ssh telnet 使用遠(yuǎn)程控制WEB服務(wù)器，必須輸入用戶名和密碼來登錄服務(wù)器。步驟 2：輸入 display users all，查看所有用戶信息和用戶級別： 測試結(jié)果：記錄了IP地址等，實(shí)現(xiàn)了對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；b) 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；目的：查看是否有控制列表對管理員登錄進(jìn)行控制；步驟：輸入 display acl

17、all，查看是否有控制列表對管理員登錄進(jìn)行控制； 測試結(jié)果：沒有控制列表對管理員登錄進(jìn)行控制；c) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；手段：登錄網(wǎng)絡(luò)設(shè)備，查看設(shè)置的用戶是否有相同用戶名。詢問網(wǎng)絡(luò)管理員，是否為每個(gè)管理員設(shè)置了單獨(dú)的賬戶。方法；輸入 display current-configuration，查看設(shè)置的用戶名。 測試結(jié)果：權(quán)限不夠，無法看到是否有重復(fù)的用戶名。d) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；（1）詢問網(wǎng)絡(luò)管理員對身份鑒別所采取的具體措施，使用口令的組成、長度和更改周期等；（2）通過訪談檢查設(shè)備的用戶、口令信息及是否定期更換，display cur

18、查看系統(tǒng)配置； 測試結(jié)果：能保證口令復(fù)雜度和定期更改的要求。e) 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施；目的：查看系統(tǒng)配置中對登錄失敗的處理機(jī)制。方法：以 CISCO IOS 為例，輸入命令：show running-config 檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng) line vty 0 4；display current-configuration 查看系統(tǒng)配置；退出系統(tǒng)重新登錄，輸入錯(cuò)誤密碼進(jìn)行嘗試，查看系統(tǒng)反應(yīng)。 測試結(jié)果：登錄失敗時(shí)系統(tǒng)采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出。f) 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；（1）display current-configuration（2）查看配置是否開啟 ssh，如：aaa authentication ssh console LOCAL 測試結(jié)果：采用了SSH等加密協(xié)議，防止鑒別信息被竊聽。h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。詢問管理員是否有權(quán)限分離措施。i) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩