信息安全测评实验二

1、西南科技大学计算机科学与技术学院实验报告实 验 名 称 交换机安全测评及加固 实 验 地 点 实 验 日 期 指 导 教 师 学 生 班 级 学 生 姓 名 学 生 学 号 提 交 日 期 2015年3月信息安全系制一、实验目的通过对交换机进行安全测评和安全加固，掌握交换机安全测评方案的设计、安全测评实施及结果分析；了解安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求，按照实验指导书中的示范，对交换机进行安全测评，安全等级为三级。三、实验设计应从结构安全、访问控制、 安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护这七个方面入手，按照信息系统安全等级保

2、护基本要求的第三级基本要求进行测评，重点查看交换机中的各项配置信息，密码等设置是否符合要求。结构安全（G3）c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是路由器动态建立的，为了保证网络安全，应添加认证功能。此外，采用内部路由和外部路由。对于外部路由要进行验证，例如ospf协议要进行验证，对于内部路由要按照访问路径进行访问，可以tracert一下，检查是否按照设计的路径进行访问。 f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 针对大型

3、的网络，采用动态路由，对进出各区域的路由进行控制（特别在不同动态路由协议之间的重分布<如OSPF，EIGRP等之间>，路由过滤，路径选择等控制），允许必要的外部路由进入，允许向外通告内部路由。可通过询问管理员的方式看是否采用了隔离手段。g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。对数据包进行过滤和流量控制。访问控制（G3）c) 应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；询问系统管理员是否对进出网络的信息内容进行过滤。d) 应在会话处于非活跃一定时间或会话结

4、束后终止网络连接；使会话处于非活跃一定时间或会话结束后看是否终止网络连接。e) 应限制网络最大流量数及网络连接数；打开防火墙，查看网络是否限制了上行和下行的带宽，以及容许连接的最大值。f) 重要网段应采取技术手段防止地址欺骗；方法：重要网段绑定MAC地址和IP地址。安全审计（G3）c) 应能够根据记录数据进行分析，并生成审计报表；查看日志系统。d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。查看日志系统的读、写、可执行的权限。边界完整性检查（S3）本项要求包括：a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b) 应能够对内部网络用户私

5、自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。手段：访问网络管理员，询问采用了何种技术手段或管理措施对“非法外联”行为进行检查，以及对非授权设备私自联到内部网络的行为进行检查。在网络管理员配合下验证其有效性。入侵防范（G3）b) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。询问管理员是否有报警措施。恶意代码防范（G3）a) 应在网络边界处对恶意代码进行检测和清除；查看防火墙设置，是否安装杀毒软件。b) 应维护恶意代码库的升级和检测系统的更新。查看是否安装杀毒软件，杀毒软件版本是否是最新。查看系统版本信息。网络设备防护（G

6、3）d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；重新启动设备，查看登录设备所需的条件。（即是否进行认证，认证方法有几种）h) 应实现设备特权用户的权限分离。查看是否有管理员，审计员等除了管理员的其他特权用户，查看用户的权限。四、实验记录l 结构安全本项要求包括：a) 设备的业务处理能力具备冗余空间，满足业务高峰期需要；1.打开 PuTTY ，输入用户名和密码，登录终端2. 输入 display cpu查看 CPU 使用率： 3. 输入 display memory 查看内存使用情况4. 输入 display connection 查看会话连接数情况实际情况：C

7、PU、内存使用率不超过 50%，connection 会话数不超过最大值 70%。b) 应保证网络各个部分的带宽满足业务高峰期需要。（1）键入 display brief interface，查看端口使用情况，实际结果：Eth1/0/1处于DOWN状态，Eth1/0/3， Eth1/0/4， Eth1/0/5，Eth1/0/11等处于UP状态。2）找到处于 UP 状态的端口 Eth1/0/3，键入 display interface Eth1/0/3，查看接口 Eth1/0/3 的详细信息。Eth1/0/3-(114+482)/(100*1024*1024)=596/104857600<

8、1% Eth1/0/4-(565 + 4078)/(100*1024*1024)=4643/104857600<1%Eth1/0/5-(14950 + 2006)/(100*1024*1024)=16956/104857600<1%Eth1/0/11-(211 + 1200)/(100*1024*1024)=1411/104857600<1%实际结果：所有端口使用率计算都小于宽带的70%c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；方法：看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是路由器动态建立的，为了保证网络安全，应添

9、加认证功能。输入display ip routing-table查看静态路由f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；采用内网和外网分离开。通过咨询管理员的方式。结果：使用的是内网。g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机方法：询问管理员是否实现了数据包的过滤及流量控制。结果：实现了数据包的过滤及流量控制。l 访问控制本项要求包括：a) 应在网络边界部署访问控制设备，启用访问控制功能；结果：访问管理员，没有部署访问控制设备及措施。b)应能根据会话状态信息为数据流提供明确的允

10、许/拒绝访问的能力，控制粒度为端口级；c) 应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；结果：交换机没有对其做出限制控制。d) 应在会话处于非活跃一定时间或会话结束后终止网络连接；结果：系统会自动断开长时间没动作的连接。e) 应限制网络最大流量数及网络连接数；方法：询问系统管理员是否限制网络最大流量数及网络连接数。结果：大多数端口都有最大流量限制100兆，和最大连接数限制10个。f) 重要网段应采取技术手段防止地址欺骗；结果：重要网段没有采用其他技术手段。g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统

11、进行资源访问，控制粒度为单个用户；登录设备查看是否对拨号用户进行身份认证，是否配置访问控制规则对认证成功的用户允许访问受控资源。预期结果：对于远程拨号用户，设备上提供用户认证功能；有通过配置用户、用户组，并结合访问控制规则实现对认证成功的用户允许访问受控资源。步骤：键入 display acl all，查看是否配置访问控制列表。实际结果：访问控制列表为空，说明系统未部署任何访问控制规则。h) 应限制具有拨号访问权限的用户数量；（1）询问系统管理员，是否有远程拨号用户，采用什么方式接入系统，采用何种方式进行身份认证，具体用户数量有多少。步骤 1：输入 display version 查看系统的授

12、权信息 步骤 2：输入 display current-configuration 查看系统配置信息，确认拨号用户数的数量配置；测试结果：限制具有拨号访问权限的用户数量，数量为1。 安全审计本项要求包括：a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；目的：查看是否启用了日志记录，日志记录是本地保存，还是转发到日志服务器。记录日志服务器的地址（1）输入 display logbuffer，显示系统日志缓冲区和配置信息；（2）输入 display diagnostic-information 显示系统当前各个功能模块运行的统计信息。display diagnostic-

13、information 命令一次性收集了配置如下各条命令后终端显示的信息，包括：display clock、display version、display device、display current-configuration 等。将此信息存入任意.diag 文件（如 aa.diag）： 再在用户视图下执行“more aa.diag”命令，配合使用<Space>/<Enter>键，可以查看 aa.diag 文件的记录的内容。 显示的操作记录，用户的行为：登录的情况： VLAN 的 1/1/1 端口运行情况：NULL0 接口：它是个伪接口，不能配地址，也不能被封装，它总

14、是 UP 的，但是从来不转发或接受任何通信量，对于所有发到该接口的通信量都直接丢弃。测试结果：能查看网络设备运行状况、网络流量、用户行为等。b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；登录测评对象或日志服务器，查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。步骤：输入 display logbuffer，查看日志缓冲区和配置信息；测试结果：能查看事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。c) 应能够根据记录数据进行分析，并生成审计报表；访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析

15、和报表生成。d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。恶意代码防范（G3）本项要求包括：a) 应在网络边界处对恶意代码进行检测和清除；b) 应维护恶意代码库的升级和检测系统的更新。步骤：询问管理员系统中是否安装防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过一个星期。7) 网络设备防护本项要求包括：a) 应对登录网络设备的用户进行身份鉴别；目的：检查测评对象采用何种方式进行登录，是否对登录用户的身份进行鉴别，是否修改了默认的用户名及密码。步骤 1：输入 display cur

16、rent-configuration，查看用户名密码机认证配置。 其中，authentication-mode password 表示进行本地口令认证；authentication-mode scheme 表示进行本地或远端用户名和口令认证。Ssh telnet 使用远程控制WEB服务器，必须输入用户名和密码来登录服务器。步骤 2：输入 display users all，查看所有用户信息和用户级别： 测试结果：记录了IP地址等，实现了对登录网络设备的用户进行身份鉴别；b) 应对网络设备的管理员登录地址进行限制；目的：查看是否有控制列表对管理员登录进行控制；步骤：输入 display acl

17、all，查看是否有控制列表对管理员登录进行控制； 测试结果：没有控制列表对管理员登录进行控制；c) 网络设备用户的标识应唯一；手段：登录网络设备，查看设置的用户是否有相同用户名。询问网络管理员，是否为每个管理员设置了单独的账户。方法；输入 display current-configuration，查看设置的用户名。 测试结果：权限不够，无法看到是否有重复的用户名。d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（1）询问网络管理员对身份鉴别所采取的具体措施，使用口令的组成、长度和更改周期等；（2）通过访谈检查设备的用户、口令信息及是否定期更换，display cur

18、查看系统配置； 测试结果：能保证口令复杂度和定期更改的要求。e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；目的：查看系统配置中对登录失败的处理机制。方法：以 CISCO IOS 为例，输入命令：show running-config 检查配置文件中应当存在类似如下配置项 line vty 0 4；display current-configuration 查看系统配置；退出系统重新登录，输入错误密码进行尝试，查看系统反应。 测试结果：登录失败时系统采取结束会话、限制非法登录次数和当网络登录连接超时自动退出。f) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；（1）display current-configuration（2）查看配置是否开启 ssh，如：aaa authentication ssh console LOCAL 测试结果：采用了SSH等加密协议，防止鉴别信息被窃听。h) 应实现设备特权用户的权限分离。询问管理员是否有权限分离措施。i) 主要网络设备应对同一用户选择两种或两