1、题 目: 计算机信息安全专 业: 计算机科学与技术班 级: 063学 号: 060501310姓 名: 林茜(xi)指导老师: 张红武2010 年 1 月 11 日二、使用 MAC ACL 进行访问控制 【实验名称】使用 MAC ACL 进行访问控制【实验目的】使用基于 MAC 的 ACL 实现高级的访问控制【背景描述】某公司的一个简单的局域网中,通过使用一台交换机提供主机及服务器的接入,并且所有主机和服务器均属于同一个 VLAN(VLAN 2)中。网络中有三台主机和一台财务服务器(Accounting Server) 。现在需要实现访问控制,只允许财务部主机(172.16.1.1)访问财务服
2、务器。【需求分析】基于 MAC 的 ACL 可以根据配置的规则对网络中的数据进行过滤。【实验拓扑】 【实验设备】 交换机 1 台PC 机 4 台【实验原理】 基于 MAC 的 ACL 可以对数据包的源 MAC 地址、目的 MAC 地址和以太网类型进行检查,可以说基于 MAC 的 ACL 是二层的 ACL,而标准 IP ACL 和扩展 IP ACL 是三层和四层的 ACL。由于标准 IP ACL 和扩展 IP ACL 是对数据包的 IP 地址信息进行检查,并且 IP 地址是逻辑地址,用户可以对其进行修改,所以很容易逃避 ACL 的检查。但基于 MAC 的 ACL 是对数据包的物理地址(MAC)进
3、行检查,所有用户很难通过修改 MAC 地址逃避 ACL 的过滤。当应用了 MAC ACL 的接口接收或发送报文时,将根据接口配置的 ACL 规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。【实验步骤】第一步:交换机基本配置Switch#configure terminalSwitch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#interface range fastEthernet 0/1-3Switch(config-if-range)#switchport access vla
4、n 2Switch(config-if-range)#exitSwitch(config)#interface fastEthernet 0/12Switch(config-if)#switchport access vlan 2Switch(config-if)#exit第二步:配置 MAC ACL由于本例中使用的交换机不支持出方向(out)的 MAC ACL,因此需要将 MAC ACL 配置在接入主机的端口的入方向(in) 。由于只允许财务部主机访问财务服务器,所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。Switch(config)#mac access-list exten
5、ded deny_to_accsrvSwitch(config-mac-nacl)#deny any host 000d.000d.000d!拒绝到达财务服务器的所有流量Switch(config-mac-nacl)#permit any any!允许其他所有流量Switch(config-mac-nacl)#exit第三步:应用 ACL将 MAC ACL 应用到 F0/2 接口和 F0/3 接口的入方向,以限制非财务部主机访问财务服务器。Switch(config)#interface fastEthernet 0/2Switch(config-if)#mac access-group de
6、ny_to_accsrv inSwitch(config-if)#exitSwitch(config)#interface fastEthernet 0/3Switch(config-if)#mac access-group deny_to_accsrv inSwitch(config-if)#end第四步:验证测试在财务部主机上 ping 财务服务器,可以 ping 通,但是在其他两台非财务部主机上ping 财务服务器,无法 ping 通,说明其他两台主机到达财务服务器的流量被 MAC ACL 拒绝。【实验总结】通过实验学会使用基于 MAC 的 ACL 实现高级的访问并可以根据配置的规则对网
7、络中的数据进行过滤。学会对 MAC ACL 的接口接收或发送报文时,将根据接口配置的 ACL 规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。十六、IIS 服务漏洞攻击检测【实验名称】IIS 服务漏洞攻击检测【实验目的】使用 RG-IDS 对 IIS 服务漏洞攻击进行检测【背景描述】某网络中使用 Windows 的 IIS 服务组件搭建了一个 Web 服务器。但是最近网络中发现经常有针对 IIS 的攻击发生。于是网络工程师部署了 IDS 系统以对各种攻击进行检测,以及对恶意扫描和探测行为进行审计。【需求分析】需求:IIS 4.0 和 IIS 5
8、.0 在 Unicode 字符解码的实现中存在一个安全漏洞,导致用户可以远程通过 IIS 执行任意命令。当 IIS 打开文件时,如果该文件名包含 unicode 字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致 IIS 错误的打开或者执行某些Web 根目录以外的文件。分析:RG-IDS 能够实时地检测网络中针对 IIS 服的务攻击,并及时告警。【实验拓扑】 M G TR G - I D S 控 制 台1 7 2 . 1 6 . 5 . 1 2 8交 换 机( 端 口 镜 像 )R G - I D S1 7 2 . 1 6 . 5 . 1 0 0F 0 / 1F 0 / 2F 0 /
9、3攻 击 机被 攻 击 机M O N1 7 2 . 1 6 . 5 . 1 2 71 7 2 . 1 6 . 5 . 1 2 5【实验设备】 PC 3台RG-IDS 1台直连线 4 条交换机 1 台(支持多对一的端口镜像)攻击软件 IIS Cracker.exe(IIS 攻击工具)【实验原理】 IIS(Internet Information Service)可以让有条件的用户轻易地建立一个本地化的网站服务器,同时提供 HTTP 访问、文件传输(FTP)服务以及邮件服务等。但是 IIS 服务漏洞或缺口层出不穷,黑客不仅仅可以利用其漏洞停滞计算机的对外网络服务,更可修改其中的主页内容,甚至利用其
10、漏洞进入到计算机内部,删改主机上的文件。以“扩展 UNICODE 目录遍历漏洞”为例,黑客就可以利用工具软件(如:IIS Cracker)进入到计算机内部。通过“IIS Cracker”入侵成功后,可以查看对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。本实验通过“IIS Cracker”工具攻击开放 IIS 服务的 Web 服务器,并获得权限。RG-IDS 能及时准确地检测出该类攻击,并将警告上报控制台。【实验步骤】第一步:使用 Windows 的 IIS 组件搭建 Web 服务器第二步:策略编辑点击主界面上的“策略”按钮,切换到策略编辑器界面,从
11、现有的策略模板中生成一个新的策略。新的策略中选择“www2:iis:nimda_scan_alert”签名,并将策略下发到引擎。第二步:实施攻击双击 文件,启动 IIS 攻击程序,如下图所示:配置攻击参数,将“当前连接”地址设置为 172.16.5.125,其他项不需要修改,如下图所示:点击 按钮,开始攻击。攻击完成后,可以在“远程目录资源管理器”中找到被攻击机的文件目录,如下图所示:点击 ,即可进入被攻击机器的系统目录,如下图所示:第四步:查看警报进入 RG-IDS 控制台,通过“安全事件”组件,查看 IDS 检测的安全事件信息,如下图:RG-IDS 准确检测出“www2:iis:nimda
12、_scan_alert”事件,事件详细信息如下图: 【实验总结】通过实验使用 RG-IDS 对 IIS 服务漏洞攻击进行检测。学会通过“IIS Cracker”工具攻击开放 IIS 服务的 Web 服务器,并获得权限。RG-IDS 能及时准确地检测出该类攻击,并将警告上报控制台。了解通过“IIS Cracker”入侵成功后,可以查看对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。二十二、配置客户端认证【实验名称】配置客户端认证【实验目的】使用防火墙的客户端认证功能增强访问控制的安全性【背景描述】某企业使用使用防火墙作为网络出口设备。公司内部使用私有编
13、址方案,因此在防火墙上配置了 NAT 规则以使内部用户可以访问 Internet。但是为了避免非授权的用户使用公司带宽资源访问 Internet,需要对客户端进行身份验证,只有通过身份验证的用户才能访问 Internet。此外,管理员不需要进行身份验证。【需求分析】为了使非授权用户无法通过防火墙访问 Internet,可以利用防火墙对客户端进行认证,只有通过身份验证的用户才能访问 Internet。【实验拓扑】 L A N 1 9 2 . 1 6 8 . 1 . 1 / 2 4内 部 用 户1 9 2 . 1 6 8 . 1 . 5 / 2 4F T P 服 务 器1 . 1 . 1 . 1
14、0 0 / 2 4W A N 1 . 1 . 1 . 1 / 2 4管 理 员1 9 2 . 1 6 8 . 1 . 2 0 0 / 2 4【实验设备】 防火墙 1 台PC 3 台(其中一台模拟 Internet 的 FTP 服务器)Web 服务器软件程序防火墙客户端认证程序【实验原理】 RG-WALL 防火墙的访问控制功能可以对客户端的身份进行验证,只有客户端通过验证后,才允许通过安全策略访问网络资源。【实验步骤】第一步:配置防火墙接口的 IP 地址进入防火墙的配置页面:网络配置接口 IP,单击按钮为接口添加 IP 地址。为防火墙的 LAN 接口配置 IP 地址及子网掩码。为防火墙的 WAN
15、 接口配置 IP 地址及子网掩码。第二步:配置管理员的 NAT 规则进入防火墙配置页面:安全策略安全规则,单击页面上方的按钮添加NAT 规则。第三步:配置内部用户的 NAT 规则进入防火墙配置页面:安全策略安全规则,单击页面上方的按钮添加NAT 规则。在内部用户的 NAT 规则中,需要选中“用户认证”选项,这样防火墙将对内部用户进行身份验证。配置完 NAT 规则后的规则列表。第四步:验证测试在管理员 PC 上访问外部的 FTP 服务器 1.1.1.100,可以成功访问,因为管理员的 NAT规则中没有要求进行用户认证。在内部用户 PC 上访问外部的 FTP 服务器 1.1.1.100,访问不成功!因为内部用户的NAT 规则中要求进行用户认证。
