2020年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项赛题

赛项时间08:00-12:30，共计4个小时30分钟，含赛题发放、收卷时间。赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与安全设备配置防护任务1网络平台搭建08:00-11:00100任务2网络安全设备配置与防护200第二阶段系统安全攻防及运维安全管控任务1DCN_CMS75任务2DCN_WEB100任务3DCN_MISC225中场收卷11:00-11:30第三阶段分组对抗系统加固11:30-11:45300系统攻防11:45-12:30赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一、二阶段任务“答题模板”需要存放在裁判组专门提供的U盘中。比赛结束后选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹（xx用具体的工位号替代），要求把赛题第一、二阶段完成任务答题模板文档放置在新建文件夹中。例如：08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下直接放置第一阶段答题模板的文档文件。特别说明：只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。赛项环境设置赛项环境设置包含了两个竞赛阶段的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。网络拓扑图IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEth1/24与PC-2相连-地址池54L2TPVPN地址池10,网关为254Eth2/24与DCRS相连-无线交换机DCWSEth2453/24与DCRS相连-Eth23-AP（自动获取ip）-Vlan5054/24无线用户1Vlan6054/24无线用户2WEB应用防火墙WAFEth2-与DCRS相连-Eth301/24与DCST相连-V三层交换机DCRSVlan1Eth854/24与DCBI相连-Vlan200Eth254/24与DCFW相连-Vlan1Eth354/24与WAF相连-Vlan1054/24Vlan20Eth454/24与PC-1所在用户区相连-Vlan30Eth554/24与PC-3所在用户区相连-Vlan4054/24与DCBI相连Vlan200Eth654/24DCWS-网络日志系统DCBIEth153/24与DCRS相连7/8口-堡垒服务器DCSTEth100/24与WAF相连-APPC-1无/24与DCRS相连-PC-2无/24与DCFW相连-PC-3无/24与DCFW相连-备注1.赛题可用IP地址范围见“赛场IP参数表”；2.具体网络连接接口见“赛场互联接口参数表”；3.设备互联网段内可用地址数量见“赛场IP参数表”；设备初始化信息设备名称管理地址默认管理接口波特率用户名密码防火墙DCFWETH09600adminadmin网络日志系统DCBI54ETH0-admin123456WEB应用防火墙WAFETH5-adminadmin123三层交换机DCRS-Console115200--无线交换机DCWS-Console9600--堡垒服务器DCST00Eth7-参见“DCST登录用户表”备注1.所有设备的默认管理接口、管理IP地址不允许修改;2.如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目按0分处理。

第一阶段任务书（300分）该阶段需要提交配置或截图文档，命名如下表所示：阶段任务序号文档名称第一阶段任务11任务1任务22任务2-DCFW3任务2-DCBI4任务2-WAF5任务2-DCRS6任务2-DCWS任务一：网络平台搭建（100分）平台搭建要求如下：题号网络需求1根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。9分2根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。24分3根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。13分4根据网络拓扑图所示，按照IP地址参数表，在DCWS上创建相应的VLAN，并将相应接口划入VLAN,对DCWS的管理IP地址进行配置。12分5根据网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进行配置。8分6根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。11分7外网出口采用静态路由的方式，无线AC,核心交换机和防火墙之间ospf动态路由实现全网络互连。23分

任务二：网络安全设备配置与防护（200分）DCFW:（43分）在总公司的DCFW根据题意配置Trust,Untrust,VPNhub区域，并配置区域之间的放行策略，策略采用严格控制。(10分)防火墙做基本配置，实现内网对外网因特网的访问；无线用户上网转换为0，有线用户转换为1。(6分)配置出于安全考虑，无线用户访问因特网需要采用认证，在防火墙上配置web认证，采用本地认证，用户名为test，test1，test2，密码为123456。（7分）配置回环接口ip为/32，作为OSPF协议router-id。（2分）防火墙和三层交换机之间运行OSPF路由协议，为了路由协议安全两个设备之间ospf之间要进行加密认证,key为12345，采用MD5认证。（10分）为了合理利用网络出口带宽，需要对内网用户访问Internet进行流量控制，园区总出口带宽为200M，对除无线用户以外的用户限制带宽，每天上午9:00到下午6:00每个IP最大下载速率为2Mbps，上传速率为1Mbps。（6分）内网/24到外网网站Web外发信息控制，禁止外发关键字“大赛试题”并记录相关日志。（2分）DCBI:（38分）在公司总部的DCBI上配置，设备部署方式为旁路模式，增加管理员账户dcn2020，密码dcn2020。（15分）公司总部LAN中用户访问网页中带有“mp3”、“youku”需要被DCBI记录并邮件告警；邮件内容中带有“银行账号”记录并发送邮件告警。（9分）Netlog和交换机上做必要的配置，能够实现对内网vlan40用户访问因特网所有流量进行记录。(7分)DCBI监控周一至周五工作时间VLAN20用户使用“迅雷”的记录，每天工作时间为9:00-18:00。（7分）WAF:(38分)配置WAF为透明模式，按题意完成接口桥接。（8分）创建审计管理员帐户，用户名：dcn2020,密码：202010dcn。（6分）在公司总部的WAF上配置，编辑防护策略，要求客户机访问网站时，禁止访问*.exe的文件。（6分）配置WAF当发现恶意扫描网站时，将HTTP重定向到/alarm.html，警告攻击者。(6分)对服务器地址为00的服务进行防护，服务器端口号为8080。(6分)在公司总部的WAF上配置，禁止HTTP请求和应答中包含敏感字段“赛题”和“答案”的报文经过WAF设备。（6分）DCRS:（41分）DCRS为接入交换机，为终端产生防止MAC地址防洪攻击，请配置端口安全，Eth5的端口最多学习到5个MAC地址，发生违规阻止后续违规流量通过，不影响已有流量并产生LOG日志。（9分）为减少内部ARP广播询问VLAN网关地址，在全局下配置DCRS每隔300S发送免费ARP。（6分）在端口ethernet1/0/7上，将属于网段内的报文带宽限制为10M比特/秒，突发4M字节，超过带宽的该网段内的报文一律丢弃。（6分）为了便于对网路流量进行分析，需要对交换连接防火墙接口数据进行采样分析，采样速率进出都为100000，采样时间间隔为30秒，分析服务器为00，代理源地址为。（6分）交换上配置dhcpserver服务为AP分配IP地址，地址池范围为：00-50，AP通过Option43方式获取AC地址。（12分）交换机上启用回环接口IP地址为/32。(2分)DCWS：（40分）开启无线功能，指定AC管理地址为192。168.200.253。（8分)AP注册到AC采用序列号认证。（6分）开启dhcp服务，为无线用户分配IP地址，前10个ip为保留地址，地址租约时间为10小时，DNS-SERVER为。（7分）设置SSIDDCN2020，VLAN50，加密模式为wpa-personal,其口令为GSdcn2020的；设置SSIDdcntest，VLAN60不进行认证加密,做相应配置隐藏该ssid。（9分）通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常。（6分）AC开启SNMP管理，SNMP服务器地址为00，团体字符串为public。（4分）

第二阶段任务书（400分）特殊说明：1.本阶段所有任务中所需要使用到的攻击机都已存放在学生PC终端上，通过虚拟机软件方式打开使用。2.本阶段所涉及的攻击机与靶机之间连通需要参赛选手自己做好网络方面相关配置。3.本阶段所有涉及的攻击机的IP地址范围为:-10/24。DCST设备相关接口信息：设备名称接口属性接口号堡垒服务器DCST管理接口Eth7业务接口Eth6任务一：DCN_CMS（75分）任务环境说明：PC:攻击机场景1：attack攻击机场景操作系统：Windows7攻击机场景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCode攻击机场景2：kali攻击机场景操作系统：kalilinux用户名/密码：root/toor攻击机场景工具：GCC、GDB、python2、python3DCST:服务器场景：2020dcncms服务器场景操作系统：Linux服务器场景安装服务：web服务注意：连续按下五次shift键获得服务器IP注意：服务器ip地址在控制台banner中，获取不到多次按enter任务内容：1.访问8080端口，将ecshop版本号数字作为flag提交(截图保存)(25分)2.访问网站，利用漏洞找到网站根目录的flag1，将flag1作为flag提交（截图保存）（25分）3.访问网站，将系统根目录的flag2文件内容作为flag提交（截图保存）（25分）任务二：DCN_WEB（100分）任务环境说明：PC:攻击机场景：attack攻击机场景操作系统：Windows7攻击机场景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCodeDCST:服务器场景：2020dcnweb服务器场景操作系统：Linux服务器场景安装服务：apache+php+mysql集成环境注意：服务器IP在控制台显示，如IP不显示，按ENTER刷新任务内容：1. 访问目标IP:8090，打开第一题，根据页面提示，获取根目录下的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)（20分）2. 访问目标IP:8091，打开第二题,根据页面提示，找到/tmp/目录下flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)（20分）3. 访问目标IP:8092，打开第三题,根据页面提示，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)（20分）4. 访问目标IP:8093，打开第四题,根据页面提示，获取数据库中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)（20分）5. 访问目标IP:8094，打开第五题,根据页面提示，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)（20分）任务三：DCN_MISC（225分）任务环境说明：PC:攻击机场景：attack攻击机场景操作系统：Windows7攻击机场景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCodeDCST：服务器场景：2020dcnmisc服务器场景操作系统：Linux服务器场景安装服务：apache+php+mysql集成环境注意：服务器IP在控制台显示，如IP不显示，按ENTER刷新任务内容：1. 访问目标IP:80，点击”Cam”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)（25分）2. 访问目标IP:80，点击”Hex”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）3. 访问目标IP:80，点击”rar”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）4. 访问目标IP:80，点击”four”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）5. 访问目标IP:80，点击”docx”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）6.访问目标IP:80，点击”wireshark”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）7.访问目标IP:80，点击”ping”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）8.访问目标IP:80，点击”docx2”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）9.访问目标IP:80，点击”TLS”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)(25分）第三阶段分组对抗（300分）假定各位选手是某企业的信息安全工程师，负责服务器的维护，该服务器可能存在着各种问题和漏洞（见以下漏洞列表）。你需要尽快对服务器进行加固，十五分钟之后将会有很多白帽黑客（其它参赛队选手）对这台服务器进行渗透测试。提示1：该题不需要保存文档；提示2：服务器中的漏洞可能是常规漏洞也可能是系统漏洞；提示3：加固常规漏洞；提示4：对其它参赛队系统进行渗透测试，取得FLAG值并提交到裁判服务器。十五分钟之后，各位选手将真正进入分组对抗环节。注意事项：注意1：任何时候不能关闭服务器80端口，要求站点能够被正常访问；注意2：不能对服务器、网络设备进行攻击，一经发现立即终止该参赛队的