信息安全测评实验二分析

1、西南科技大学计算机科学与技术学院实验报告实验名称 交换机安全测评及加固实验地点实验日期指导教师学生班级学生姓名学生学号提交日期2015年3月信息安全系制一、实验目的通过对交换机进行安全测评和安全加固，掌握交换机安全测评方案的设计、安全测评实施及结果分析；了解安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求，按照实验指导书中的示范，对交换机进行安全测评，安全等级为三级。三、实验设计应从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护这七个方面入手，按照信息系统安全等级保护基本要求的第三级基本要求进行测评，重点查看交换机中的各项配置信息

2、，密码等设置是否符合要求。结构安全（G3）C）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是路由器动态建立的，为了保证网络安全，应添加认证功能。此外，采用内部路由和外部路由。对于外部路由要进行验证，例如ospf协议要进行验证，对于内部路由要按照访问路径进行访问，可以tracert 一下，检查是否按照设计的路径进行访问。f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之 间采取可靠的技术隔离手段；针对大型的网络，采用动态路由，对进出各区域的路由进行控制 （特别在不同动态路

3、由协议 之间的重分布 如OSPF, EIGRP等之间 ，路由过滤，路径选择等控制），允许必要的外部 路由进入，允许向外通告内部路由。可通过询问管理员的方式看是否采用了隔离手段。g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优 先保护重要主机。对数据包进行过滤和流量控制。访问控制（G3）c）应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；询问系统管理员是否对进出网络的信息内容进行过滤。d）应在会话处于非活跃一定时间或会话结束后终止网络连接； 使会话处于非活跃一定时间或会话结束后看是否终止网络连接。

4、e）应限制网络最大流量数及网络连接数；打开防火墙，查看网络是否限制了上行和下行的带宽，以及容许连接的最大值。f）重要网段应采取技术手段防止地址欺骗； 方法：重要网段绑定 MAC地址和IP地址。安全审计（G3）C）应能够根据记录数据进行分析，并生成审计报表； 查看日志系统。d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 查看日志系统的读、写、可执行的权限。边界完整性检查（S3）本项要求包括：a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有 效阻断；b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行 有效阻断。手段：访问

5、网络管理员，询问采用了何种技术手段或管理措施对“非法外联”行为进行检查,以及对非授权设备私自联到内部网络的行为进行检查。在网络管理员配合下验证其有效性。入侵防范（G3）b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。询问管理员是否有报警措施。恶意代码防范（G3）a）应在网络边界处对恶意代码进行检测和清除； 查看防火墙设置，是否安装杀毒软件。b）应维护恶意代码库的升级和检测系统的更新。查看是否安装杀毒软件，杀毒软件版本是否是最新。查看系统版本信息。网络设备防护（G3）d）主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

6、 重新启动设备，查看登录设备所需的条件。 （即是否进行认证，认证方法有几种）h）应实现设备特权用户的权限分离。查看是否有管理员，审计员等除了管理员的其他特权用户，查看用户的权限。四、实验记录结构安全本项要求包括：a) 设备的业务处理能力具备冗余空间，满足业务高峰期需要;1. 打开putty，输入用户名和密码，登录终端10. 11. 5. 251 - PuTTY回冈login as : student.|_|stud 已 ntldl 匚I 115 2 511 s passTijord:.Ac cess de n i e dstud 已 ntldl 匚i ：L15 2 511 5 pas a wo

7、 rd:.古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古 古 Copyright, (c) 2004-2008 Hangzhou H3C T已亡h 匚口Ltd All rights 匸已s已匸环已匚1古.古 TiTithout. the OTijner1 a prior iijrit-ten consent.,r古古 no 匚1已cornpiling or 匚已环已匚曰已一engin已已ring shal 1 lue alluTij已匚1.古古古古古古古古古古古古古古古古古古古古古

8、古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古古吉古古古吉古古古古古古古古古古古古古古古古古古古<H3C-S3100>.% Apr 2 08:04:37:023 2000 H3C-S3100 SHELL/5/LOGIN:- 1 - student(8) in ul nit1 loginfI2. 输入display cpu 查看CPU使用率:<H3C-S31U0网i吕诃ay cpu |Unit 1Board CPU busy stacus;19 in Last 5 日亡ucinci日22% in last 1 minute20% in

9、last 5 minutes<H3C-S3Unit 1lOOdisplay ttiemory3. 输入display memory查看内存使用情况System Available Memory(bytes): 3314150System UsAd Mernory (bytes) : 94463BS Used Reit；E : 2 8<H3C-S3100>display connectionUnit 1Index= 1 f User name=scudeiit-0systemIP=5Index=4 f User name=scudejit-0systemIP=

10、7Indexes t User name=scmejit-0systemIP=8Index= 6 f User name=scucleiit0syBCewIP=2Inciex-7 y Username=scudent0syscewIP-8On Unit 1:Total 5 connections w&tched, 5 listed.Total 5 connections matched, 5 listed.实际情况：CPU内存使用率不超过50%,，conn ection 会话数不超过最大值 70%。b) 应保证网络

11、各个部分的带宽满足业务高峰期需要。(1)键入display brief in terface，查看端口使用情况,<H3C-S3 10匚Adisjjlsi萝 brief interfaceInterface:Eth - EthernetGE-GigatoitEthernet TENGE - tenGigabitEthLoop - LoopBackVian - Vian-interface Gas-CascadeSpeed/Duplej：:2A - autonegot iotionInterfaceL inkSpeedDuplexTypePVII>DescriptionAuxl/0/0

12、UPEthi/0/1DOWJAAaccessiEthl/0/2DOIjJNAAaccess1Ethl/0/3UPIA100MAfullaccess1Ethl/0/4UPA100MAiullaccessiEthl/0/5UPA100MAf uilaccess1Ehhl /fV hTTPA10MAfullaccess1Ethl/0/7DOWA直accessiEthl/0/8DOIjJNAAaccess1Ethl/0/9DOWAAaccess1Ethl/0/10DOWAAaccess1Ethl/0/11UPA100MHullaccess1口4JT丿trTinA 呻 riinwj i_实际结果：Eth

13、1/0/1 处于 DOW状态，Eth1/0/3 ， Eth1/0/4 ，Eth1/0/5 ，Eth1/0/11 等处 于UP状态。，查看接口2)找到处于 UP 状态的端口 Eth1/0/3 ，键入 display in terface Eth1/0/3 Eth1/0/3的详细信息。7丄口丄丄丄=一<H3C-S3100>display interface Evhl/0/3Ethernet 1/0/3 current state : UPIP Sending Frames * Format is PKTFMT ETHNT 2 f Hardware address is OOOf-e2b

14、S-fMedia type is t-vistea pair, loopback not setPort hardware type is 100_BASE_TX100Mbp3-sp亡已d modef fullduplex modeLinlc speed type is autonegotiationf link duplex type is autonegotiationFLow-control is not enabledTh亡 Hax imuin Frame Leng匸h is 153 5Broadcast MAX-ratio: 100PVID： 1Mdi 匸ype: autoPort

15、link-type: accessTagged VLAN ID : noneUht曰湘""LAN!iLast 300 seconds input:1 packets/sec 114 toytes/secLast 300 seconds output:5 packets/sec 482 bytes/secInput(total)：0379 packets 1049103 toytes119 loroadcascs, 537 multicasts, 0 pausesInput(normal) :8379 packe匸呂1049103 bytes119 loroadcastsz

16、537 multicasts 0 pausesEth1/0/3-(114+482”(100*1024*1024)=596/104857600<1%-unt-aggeci vlapjIT:ILast. 300 seconds input:3 pnckets/sec 565 bytes/secLast 300 seconds output:9 packets/sec 4078 bytes/secEth1/0/4-(565 + 4078"(100*1024*1024)=4643/104857600<1%Last 300 seconds input:21 packets/sec

17、14950 bytes/secLast 300 seconds output;14 packets/sec 2006 bytes/secEth1/0/5-(14950 + 2006"(100*1024*1024)=16956/104857600<1%Lastseconds input:1 packets/sec 211 bytes/secLast 300 seconds output;6 packecs/s亡匕 1200 bytes/secEth1/0/11-(211 + 1200)/(100*1024*1024)=1411/104857600<1%实际结果：所有端口使用

18、率计算都小于宽带的70%C）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；方法：看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是路由器动态建立的，为了保证网络安全，应添加认证功能。输入display ip rout in g-table查看静态路由S LULL eu uy 11 ± HELL H3C disp lay ip匸 UIElILI&l丄 U LU1U. a urouting-tablepUH-L.L 丄UILRouting Table:public netDestination/MaskProtocolPreCostNe

19、xthopInterfaceCLUOW口t§TATIC>6010*11.5.1Vian-interface 110*11*5.0/24DIRECT010*11.5Vian-interface 110.11*5.252/32DIRECT00127*0*0.1InLoopBackO127.0.0,0/8DIRECT0012 InLoopEackO127,0,0.1/32DIRECT00127,0,0.1InLoopBacJcOHH3C|f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；采用内网和外网分离开。通过咨

20、询管理员的方式。结果：使用的是内网。g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥 堵的时候优先保护重要主机方法：询问管理员是否实现了数据包的过滤及流量控制。结果：实现了数据包的过滤及流量控制。访问控制本项要求包括：a）应在网络边界部署访问控制设备，启用访问控制功能；结果：访问管理员，没有部署访问控制设备及措施。b）应能根据会话状态信息为数据流提供明确的允许 /拒绝访问的能力，控制粒度 为端口级；c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP TELNETSMTP POP3等协议命令级的控制；结果：交换机没有对其做出限制控制。d）应在会话处于非活跃一定

21、时间或会话结束后终止网络连接；结果：系统会自动断开长时间没动作的连接。e）应限制网络最大流量数及网络连接数；方法：询问系统管理员是否限制网络最大流量数及网络连接数。结果：大多数端口都有最大流量限制100兆，和最大连接数限制 10个。f）重要网段应采取技术手段防止地址欺骗；结果：重要网段没有采用其他技术手段。g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行 资源访问，控制粒度为单个用户；登录设备查看是否对拨号用户进行身份认证，是否配置访问控制规则对认证成功的用户允 许访问受控资源。预期结果：对于远程拨号用户，设备上提供用户认证功能；有通过配置用户、用户组，并 结合访问控制规

22、则实现对认证成功的用户允许访问受控资源。步骤：键入display acl all，查看是否配置访问控制列表。<H3C-S3100>display acl allTotal ACL Muiiiberl 0实际结果：访问控制列表为空，说明系统未部署任何访问控制规则。h）应限制具有拨号访问权限的用户数量；（1）询问系统管理员，是否有远程拨号用户，采用什么方式接入系统，采用何种方式进行 身份认证，具体用户数量有多少。步骤1 ：输入display version查看系统的授权信息<H3C-S3 1 口Ci卜氏：l&yH3C Comvare Platform SoftwareCo

23、mware Software, Version 3*10, Release 2107Copyright (c) 2004-2008 Hangzhou H3C Technologies Co F Ltd, All rights reservedH3C S31OO-16C-3I uptime is 0 ueek, 8 hours, 40 minutesH3C S3100-16C-SI tri匸h 1 Processor64Nbytes SDRAM811bytes Flash HemoryConfig Register points t-o FLASHHardusire Version is REV

24、* CBootrom Vers ion ig S19Subslot Q 16FEHardware Version is REVC步骤 2 :输入 displaycurrent-configuration量配置；查看系统配置信息，确认拨号用户数的数<H3C-S31OO><H3C-S3100>disp Lay cur rent-co nf igurat ion # sysname H3C-S3100#radius scheme system#domain system#local-user sviAdentpassword simple studentservice-typ

25、e ssh 匸elnet1eve 1 1#vlan 1interface Vian-interface 1ip address 51 255.255.255*0测试结果：限制具有拨号访问权限的用户数量，数量为1。安全审计本项要求包括：a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；目的：查看是否启用了日志记录，日志记录是本地保存，还是转发到日志服务器。记录日志服务器的地址（1）输入display logbuffer，显示系统日志缓冲区和配置信息；<H3C-S3100>displa7 丄ogfouiferLogging Qu tents:en

26、afci ledAllowed max buffer size : 10Z4Actual buffer size : S12Channel number : 4 , Channel name : logbufferDropped messages : 0Overwritten messages : Current imessajges : 17S¥切匕 1 23 : 55:07 : 3：S0 2000 H3C-S31O0 IC/7/SYS_RESTART:System restarted -H3C Comware Software（2）输入display diagnostic-inf

27、ormation显示系统当前各个功能模块运行的统计信息。display diagnostic-information 命令一次性收集了配置如下各条命令后终端显示的信息，包 括: display clock、display vers ion、display device、display curre nt-c on figurati on等。将此信息存入任意.diag文件（如 aa.diag）:<H3C-S3100>display diagnosticinfoi:mationmis operation may taRe a reu minutes, cant-inuei Y/N yDi

28、agnostic-information is saved 七口 Flash or dispLayed(Y=save N=display)?Y/WyPlease input the file name(*.diagflash;/default.diag :aa.diag群 Output information Zq file： ilash:/aa,diag. Pleass uait +.* * » 再在用户视图下执行"more aa.diag ”命令，配合使用 <Space>/<E nter>键，可以查看 aa.diag 文件的记录的内容。iH3C&

29、gt;mci：e aa.diagdisplay version 13C Coinwaire Plac±orm SofcweiireZoirware Soft ware Vers ion 3 10# release 2107?oinwai：亡 Platform Software Version CCUUAREV3DliROO2Bl&DQL95P1513C S310016C-SI Software Version V200RO01B60D007SP0213C S3100-16C-SI Product Version S3100-16C-SI-2107Zopyriht (c) 20

30、04-2008 Hanzhou H3C Technolories Co, , Lt-d, All rights reserve :cnjpiled Apr 26 2 QOS Hi 58:43, RELEASE SOFTWARE13C 33100-16C-3I uptin*e is 0 week, 01 houi:, 9 minutes13C S3100-16C-SI with 1 Processorbytes 5DRAHbytes Flash MeTwcry?cnfig Register points to FLASHardvare Version is PEVCcotroin Version

31、 is 519Sublet 0 LFEHardware Versian is PEV.C显示的操作记录，用户的行为:登录的情况:VLAN 的1/1/1端口运行情况:GlgablCEthei: net 1/1/ 1 cuEtent state : DOWNIP Fftcket Frame Type： PKTFHT_ETHNT_2, Hardware Address; OOOf-c3d6-bto0Description；丄EEUH亡m亡t-lF If 1 InterlaceLoopback is not set.Hcdia type is not sure； Port b&rdtf&

32、;re type is No contiectorUnknovn-speed node, unlcnovn-duplex modeLink jpeed type is auronegotiaition, 1 ink duplex type is autonegotiationFlow-contEol ±b not «natiledThe Muximuni Frame Length is 10240Broacasc MAZ-ratio: lOOtPVIDs 1Port link-type; accessVLAN ID : noneUnsged VLAN ID : 1Pcr p

33、ciar ity: 0Last 300 seconds input:0 paekets/sec 0 bytes/seeLast 300 seconds output:0 packets/sec O bytes/secNULLO 接口：它是个伪接口，不能配地址，也不能被封装，它总是UP的，但是从来不转发或接受任何通信量，对于所有发到该接口的通信量都直接丢弃。(spoofing)NULLO current stare; UPLine protocol current stae: UP Description; NULLO InterfaceTheTransmit Unit is1500Physic

34、al is NULL DEVLast 300 seconds inputiLast 300 seconds output: bytes/aec 0 pftcJcets/sec0 bytes/sec 0 packets/seca S. 9E = u J* 0 bjt i p 40甘arr »-L y Zill 1 Ily匸JC1 xlx o 1. ihclu xo £1s S S 3 3FiW _www=n erneTidV0S_TidprlorltyStatusTotal/Max/Last ( All丄secsE1OT3Js7fclcO1210eve a tb loc k0

35、/0/DrvT39ac190100eventblock5301Z5S/27/vtOtise&ife3100eve nt block1741/47/0V：M3998cl841preemptready些60口84532/9/9TICK1994a085145preeitipc ready12819891/9Z：T?1；39907±86150eventblock1392175/1/03 g日7100tventblnck2 /2/20 packets inputs0 bytesy 0 dropsO packets output, O Joytss, 0 drops测试结果：能查看网络设

36、备运行状况、网络流量、用户行为等。b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关 的信息；登录测评对象或日志服务器，查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。步骤：输入 display logbuffer，查看日志缓冲区和配置信息；T ± _ J_ -J ± X iLi _ _< _. _ ± L LL L >_-L ± _ «-i. J_ .丄丄<H3C-S3100>clisplay legbufferL gg ing buf fer conf lgu

37、rat 1 o n-and ccnite nts: e nab led 止丄丄owed ma乂 buffer 3ize :1024Actual buffer sise 匕 512Channel numb皀r : 4 * Channel name i logbulferDropped messag皀据：0Overwritten messages : 0Current messages : 185%Apr 1 23:55:口7;360 肚口口 H3C-531口0 IC/7/SYS_EE5TART;System restarted 一一H3C Coimware Software% Apr123:55

38、:18:2342000H3C-S300HTTPD/5/Log:-1-StartingHTTP 目已rvec% Apr123:55:18:5502000H3C-S3100SHELL/5/CMD:-1-ta3k:CFMip :击卄user :flr #co:and:sysname H3C-S3100% Apr123 iSS:18:5502000H3C-S3100兮皿LL/5心D :-1-cask:CFH1 p : * Tuser;co:and:vlanL 1% Apr123:55:1S:5512onoH3C-S3100SHELL/5/CHD:-1-task:CFMlp : * Tuser :* t

39、co:and：1vlanL ID% Apr123 : 55: 18:5512000H3C-S3100SHELL/5/CHD:-1-task:CFHip:方工user iW *co:and:interface VIan-interface 1Apr123:55:IS:5522QQQH3C-S3100SHELL/5/CMD:-1-ta3k:CFHip:useL:g测试结果：能查看事件的日期和时间、用户、 事件类型、事件是否成功及其他与审计相关的 信息。C）应能够根据记录数据进行分析，并生成审计报表；访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。d）应对审计记录进行保护，避免

40、受到未预期的删除、修改或覆盖等。访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。恶意代码防范（G3）本项要求包括：a）应在网络边界处对恶意代码进行检测和清除；b）应维护恶意代码库的升级和检测系统的更新。步骤：询问管理员系统中是否安装防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过一个星期。7）网络设备防护本项要求包括：a）应对登录网络设备的用户进行身份鉴别；目的：检查测评对象采用何种方式进行登录，是否对登录用户的身份进行鉴别，是否修改了默认的用户名及密码。步骤1:输入display current-configuration，查看用户名密码机认

41、证配置。<H3C-S3100>display current-configuration# sysnawie H3C-S3 100radius scheme systeradomain systeirlocal-user studentpassword s imp1e studentservice-type ssh telnet-ssh user student authentication-type password, ssh user student service-type stelnetuser-interface aux Ouser-interface vty O 4|

42、authent icatian-mode scheine user privilegelevel1 prococo丄 inbound sshreturn<H3C-S31OO>|丄口cal-user student password siiwp 1 e student service-type ssh telnet level 1其中，authentication-mode password 表示进行本地口令认证；authentication-mode scheme 表示进行本地或远端用户名和口令认证。Ssh telnet使用远程控制 WEB服务器，必须输入用户名和密码来登录 服务器

43、。步骤2 :输入display users all，查看所有用户信息和用户级别：.J 1 <H3C-S3100>display users allIpaddress(JsernameUserleve10UIAUX 0DeLayType4- 1VTY 00:04:06SSH10,11.56student1+ 2VTY 10:00:00SSH10.11.5.吕5student1+ 3VTY 20:00:02SSH10.11,5.34student1电VTY 35VTY 4+:User-interfaceis active.F:Usei:-interfaceis active and w

44、orkin async mode.ZC 斗 Lh Cj _测试结果：记录了 IP地址等，实现了对登录网络设备的用户进行身份鉴别; b）应对网络设备的管理员登录地址进行限制；目的：查看是否有控制列表对管理员登录进行控制； 步骤：输入 display acl all，查看是否有控制列表对管理员登录进行控制；r»u目匸丄丄丄丄苣丄 丄mmu x w eemul a.<H3C-S3100>dispLay ac1 allTotal ACL Number: 0丄止丄GIO yHLuiiJ.IIULACZ <H3C-S3100>|测试结果：没有控制列表对管理员登录进行控制;c）网络设备用户的标识应唯一；手段：登录网络设备，查看设置的用户是否有相同用户名。询问网络管理员，是否为每个管 理员设置了单独的账户。方法；输入 display current-configuration，查看设置的用户名。ocal-user student password simple student setvi匚e-type ssh telnet level 1测试结果：权限不够，无法看到是否有重复的用户名。d）身份