1、2017 年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书一、 赛项时间9:00-15:00,共计 6 小时,含赛题发放、收卷及午餐时间。二、 赛项信息竞赛阶段 任务阶 段 竞赛任务 竞赛时间 分值任务 1 网络平台搭建 60第一阶段平台搭建与安全设备配置防护 任务 2 网络安全设备配置与防护 240任务 1 缓冲区溢出漏洞渗透测试 50任务 2 Web 应用程序安全攻防 50任务 3 ARP 扫描渗透测试 50任务 4 操作系统判断渗透测试 50任务 5 数据库访问渗透测试及其加固 50第二阶段系统安全攻防及运维安全管控任务 6 网络协议渗透测试及其加固9:00-13:3050中
2、场收卷 13:30-14:00系统加固第三阶段分组对抗 系统攻防14:00-15:00 400三、 赛项内容本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要提交任务“操作文档” , “操作文档”需要存放在裁判组专门提供的 U 盘中。第二、三阶段请根据现场具体题目要求操作。选手首先需要在 U 盘的根目录下建立一个名为“xx 工位”的文件夹(xx 用具体的工位号替代) ,赛题第一阶段完成任务操作的文档放置在文件夹中。例如:08 工位,则需要在 U 盘根目录下建立“08 工位”文件夹,并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。特别说明:只允许在根目录下的“08 工位”文件
3、夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。(一) 赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP 地址规划表、设备初始化信息。1. 网络拓扑图PC 环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统:WindowsXP虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0虚拟机安装服务/工具 2:Ethereal 0.10.10.0虚拟机安装服务/工具 3:HttpWatch Pro
4、fessional Edition虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC-2(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统:WindowsXP虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0虚拟机安装服务/工具 2:Ethereal 0.10.10.0虚拟机安装服务/工具 3:HttpWatch Professional Edition虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC-3(须使用物理机中的虚拟机):物理机操作系统:W
5、indows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统:Kali Linux(Debian7 64Bit)虚拟机安装服务/工具:Metasploit Framework虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)2. IP 地址规划表设备名称 接口 IP 地址 互联 可用 IP 数量EthX x.x.x.x/x 与 PC-3 相连 见赛场 IP 参数表防火墙 DCFW地址池 x.x.x.x/x SSL VPN 地址池 见赛场 IP 参数表EthX x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表无线交换机DCWS 地址池 x.x.x
6、.x/x DCHP 地址池 见赛场 IP 参数表EthX x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表WEB 应用防火墙WAF EthX 与 DCST 相连 见赛场 IP 参数表Vlan 2 x.x.x.x/x 与 DCWS 相连 见赛场 IP 参数表Vlan 10 x.x.x.x/x 与 WAF 相连 见赛场 IP 参数表Vlan 20 x.x.x.x/x 与 PC-1 所在用户区相连 见赛场 IP 参数表Vlan 30 x.x.x.x/x 与 PC-2 所在用户区相连 见赛场 IP 参数表Vlan 40 x.x.x.x/x 与 DCBI 相连 见赛场 IP 参数表Vlan
7、100 x.x.x.x/x 直连服务器区 见赛场 IP 参数表三层交换机DCRSVlan 110 x.x.x.x/x 直连用户区 见赛场 IP 参数表网络日志系统DCBI EthX x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表堡垒服务器DCST EthX x.x.x.x/x 与 WAF 相连见赛场 IP 参数表PC-1 无 x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表PC-2 无 x.x.x.x/x 与 DCFW 相连 见赛场 IP 参数表PC-3 无 x.x.x.x/x 与 DCFW 相连 见赛场 IP 参数表服务器场景-1 无 见系统安全攻防加固赛题部分服务
8、器场景-2 无 见系统安全攻防加固赛题部分服务器场景-3 无 见系统安全攻防加固赛题部分服务器场景-4 无 见系统安全攻防加固赛题部分服务器场景-5 无 见系统安全攻防加固赛题部分备注1.赛题可用 IP 地址范围见“赛场 IP 参数表”;2.具体网络连接接口见“赛场互联接口参数表”;3.设备互联网段内可用地址数量见“赛场 IP 参数表”;4.IP 地址分配要求,最节省 IP 地址,子网有效地址规划遵循 2n-2 的原则;5.参赛选手按照“赛场 IP 参数表”要求,自行分配 IP 地址段、设备互联接口;6.将分配的 IP 地址段和接口填入“赛场 IP 参数表”中(“赛场 IP 参数表”电子文件存
9、于 U 盘“第一阶段”文件夹中,请填写完整后提交。)3. 设备初始化信息设备名称 管理地址 默认管理接口 用户名 密码防火墙 DCFW http:/192.168.1.1 ETH0 admin admin网络日志系统 DCBI https:/192.168.5.254 ETH0 admin 123456WEB 应用防火墙WAFhttps:/192.168.45.1 ETH5 admin admin123三层交换机 - Console - -无线交换机 DCWS - Console - -堡垒服务器 DCST http:/192.168.1.100 Eth0Eth9 参见“DCST 登录用户表”
10、备注 所有设备的默认管理接口、管理 IP 地址不允许修改;如果修改对应设备的缺省管理 IP 及管理端口,涉及此设备的题目按 0 分处理。(二) 第一阶段任务书(300 分)该阶段需要提交配置或截图文档,命名如下表所示:阶段 任务 序号 文档名称1 任务 1 任务 12 赛场 IP 参数表3 任务 2-DCFW4 任务 2-DCBI5 任务 2-WAF6 任务 2-DCRS第一阶段任务 27 任务 2-DCWS任务 1:网络平台搭建(60 分)平台搭建要求如下:题号 网络需求1 根据网络拓扑图所示,按照 IP 地址参数表,对 WAF 的名称、各接口 IP 地址进行配置。2 根据网络拓扑图所示,按
11、照 IP 地址参数表,对 DCRS 的名称、各接口 IP 地址进行配置。3 根据网络拓扑图所示,按照 IP 地址参数表,对 DCFW 的名称、各接口 IP 地址进行配置。4 根据网络拓扑图所示,按照 IP 地址参数表,对 DCWS 的各接口 IP 地址进行配置。5 根据网络拓扑图所示,按照 IP 地址参数表,对 DCBI 的名称、各接口 IP 地址进行配置。6 根据网络拓扑图所示,按照 IP 地址参数表,在 DCRS 交换机上创建相应的VLAN,并将相应接口划入 VLAN。7 采用静态路由的方式,全网络互连。8 完整填写“赛场 IP 参数表”。任务 2:网络安全设备配置与防护(240 分)DC
12、FW:1. 在总公司的 DCFW 上配置,连接 LAN 接口开启 PING,HTTP,HTTPS 功能,连接 Internet 接口开启 PING、HTTPS 功能;并且新增一个用户,用户名dcn2017,密码 dcn2017,该用户只有读-执行权限; 2. DCFW 配置 NTP 和 LOG, Server IP 为 X.X.X.X,NTP 认证密码为Dcn2017; 3. DCFW 连接 LAN 的接口配置二层防护,ARP Flood 超过 500 个每秒时丢弃超出的 ARP 包,ARP 扫描攻击超过 300 个每秒时弃超出的 ARP 包;配置静态ARP 绑定,MAC 地址 880B.0A
13、0B.0C0D 与 IP 地址 X.X.X.X 绑定; 4. DCFW 连接 Internet 的区域上配置以下攻击防护: FW1,FW2 攻击防护启以下 Flood 防护:ICMP 洪水攻击防护,警戒值 2000,动作丢弃;UDP 供水攻击防护,警戒值 1500,动作丢弃;SYN 洪水攻击防护,警戒值 5000,动作丢弃;开启以下 DOS 防护:Ping of Death 攻击防护;Teardrop 攻击防护;IP 选项,动作丢弃;ICMP 大包攻击防护,警戒值 2048,动作丢弃;5. 限制 LAN 到 Internet 流媒体 RTSP 应用会话数,在周一至周五 8:00-17:00每
14、5 秒钟会话建立不可超过 20; 6. DCFW 上配置 NAT 功能,使 PC2 能够通过 WEB 方式正常管理到 WAF,端口号使用 10666;)7. 总公司 DCFW 配置 SSLVPN,建立用户 dcn01,密码 dcn01,要求连接Internet PC2 可以拨入,配置下载客户端端口为 9999,数据连接端口为9998,SSLVPN 地址池参见地址表; 8. DCFW 加强访问 Internet 安全性,禁止从 HTTP 打开和下载可执行文件和批处理文件; 9. DCFW 配置禁止所有人在周一至周五工作时间 9:00-18:00 访问京东 和淘宝 ;相同时间段禁止访问中含有“娱乐
15、”、“新闻”的 WEB 页面; 10.DCFW 上配置 ZONE 和放行策略,连接 Internet 接口为“Untrust”区域,连接 DCRS 接口为“Trust”区域,连接 SSL VPN 接口为“VPN HUB”区域,要求配置相应的最严格安全策略;)DCBI:11. 在公司总部的 DCBI 上配置,设备部署方式为旁路模式,并配置监控接口与管理接口;增加非 admin 账户 DCN2017,密码 dcn2017,该账户仅用于用户查询设备的系统状态和统计报表; 12. 在公司总部的 DCBI 上配置,监控周一至周五 9:00-18:00 PC-1 所在网段用户访问的 URL 中包含 xun
16、lei 的 HTTP 访问记录,并且邮件发送告警; 13. 在公司总部的 DCBI 上配置,监控 PC-1 所在网段用户周一至周五 9:00-18:00 的即时聊天记录; 14. 公司总部 LAN 中用户访问网页中带有“MP3”、“MKV” 、“RMVB”需要被 DCBI 记录;邮件内容中带有“银行账号”记录并发送邮件告警;15.DCBI 监控 LAN 中用户访问网络游戏,包括“QQ 游戏”、“魔兽世界”并作记录;16.DCBI 配置应用及应用组“快播视频”,UDP 协议端口号范围 23456-23654,在周一至周五 9:00-18:00 监控 LAN 中所有用户的“快播视频”访问记录;17
17、.DCBI 上开启邮件告警,邮件服务器地址为 X.X.X.X,端口号 25,告警所用邮箱用户名 dcnadmin,密码 Dcn2017;当 DCBI 磁盘使用率超过 75%时发送一次报警;WAF:18. 在公司总部的 WAF 上配置,编辑防护策略,定义 HTTP 请求体的最大长度为 512,防止缓冲区溢出攻击;19. 在公司总部的 WAF 上配置,防止某源 IP 地址在短时间内发送大量的恶意请求,影响公司网站正常服务。大量请求的确认值是:10 秒钟超过 3000次请求;20. 在公司总部的 WAF 上配置,对公司网站(X.X.X.X)进行安全评估,检查网站是否存在安全漏洞,便于在攻击没有发生的
18、情况下提前做出防护措施;21. 使用 WAF 自带标识组配置爬虫防护与扫描防护,阻断时间 120 秒,通过WAF 组织爬虫探测和扫描服务器区域;22. 在公司总部的 WAF 上配置,禁止 HTTP 请求和应答中包含敏感字段“赛题”和“答案”的报文经过 WAF 设备。23. 公司 web 应用防火墙透明模式部署,为了防止不法人员对公司内的网站(X.X.X.X)进行攻击,在 web 应用防火墙上开启“黑名单”策略,禁止公网 IP 地址(X.X.X.X)访问网站服务器。24. 公司 web 应用防火墙透明模式部署,为了防止不法人员对公司内的网站(X.X.X.X)进行攻击,在 web 应用防火墙上开启
19、防止“SQL 注入”攻击策略阻止攻击流量;25. 在公司总部的 WAF 上配置, WAF 设备的内存使用率超过 75%每隔 5 分钟发送邮件和短信给管理,邮箱 ,手机13912345678;DCRS:26.DCRS 为接入交换机,为终端产生防止 MAC 地址防洪攻击,请配置端口安全,每个已划分 VLAN 的端口最多学习到 5 个 MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生 LOG 日志;Ex/x 为专用接口,限定MAC 地址 00-11-11-11-11-11 可以连接; 将连接 DCFW 的双向流量镜像至Netlog 进行监控和分析; 27.DCRS 配置 802.1x
20、 认证,Radius 服务器 IP 地址 X.X.X.X,认证密码Dcn2017,Ex/x 号端口开启 802.1x 功能,接入该端口通过 PC 上的 802.1x 软件进行认证; 28. 接入 DCRS Ex/x,仅允许 IP 地址 X.X.X.X-X.X.X.X 为源的数据包为合法包,以其它 IP 地址为源地址,交换机直接丢弃; 29. 为拦截,防止非法的 MAC 地址与 IP 地址绑定的 ARP 数据包,配置动态 ARP检测功能,AC 为 DHCP 服务器,限制与 AC 在同一 VLAN 接口的 ARP 阀值为50; 30.DCRS 上开启以下安全特性,防 IP Spoofing 攻击、
21、防 TCP 非法标志攻击、防端口欺骗攻击、防 TCP 碎片攻击、防 ICMP 碎片攻击; DCWS:31.AP 通过 option43 方式进行正常注册上线; 32. 设置 AP 工作在 5G 频段;33. 设置 SSID DCN,加密模式为 wpa-personal,其口令为:chinaskill;设置 SSID GUEST 不进行认证加密; 34.GUSET 最多接入 10 个用户,用户间相互隔离,并对 GUEST 网络进行流控,上行 1M,下行 2M; 35. 通过配置避免接入终端较多且有大量弱终端时,避免高速客户端被低速客户端“拖累”,让低速客户端不至于长时间得不到传输; 36. 通过
22、使用黑名单技术禁止 mac 地址为 68-a3-c4-e6-a1-be 的 PC 通过无线网络上网; 37. 防止非法 AP 假冒合法 SSID,开启 AP 威胁检测功能; 38. 通过设置实现在 AC 断开网络连接时 AP 还能正常工作; 39. 考虑到无线网络会进一步部署,增加更多的 AP,设置已有 AP 信道和发射功率每隔 1 小时自动调节; 40. 为防止增多 AP 后产生过多的 ARP 数据包,开启 ARP 抑制功能,要求 AC 能代为应答其已知的 MAC 地址; (三) 第二阶段任务书(300 分)提示:本阶段用到堡垒服务器 DCST 中的服务器场景,获取服务器 IP 地址方式如下
23、:Windows 服务器的 IP 地址可以通过拓扑界面获得,如果获得不了,采用如下方法获得: 通过 DCST 场景里的网络拓扑图,启动连接设备 进入服务器,用户名为 administrator,密码:空 执行 ipconfig /all,即可获得服务器 IP 地址任务 1:缓冲区溢出漏洞渗透测试(50 分)任务描述:假定各位选手是 TaoJin 电子商务企业的信息系统安全工程师,负责该企业信息系统的安全维护,在该系统中某程序可能存在缓冲区溢出漏洞;你需要对该程序进行渗透测试,确认程序确实存在该漏洞;任务环境说明:主机场景:WindowsXP主机场景操作系统:Microsoft Windows
24、XP Professional主机场景安装服务/工具 1:Visual C+ 6.0;主机场景安装服务/工具 2:OllyICE;主机场景安装服务/工具 3:Findjmp;主机场景安装服务/工具 4:Sublime Text 2.0.2;任务内容:1. 对可能存在缓冲区溢出的程序源代码(位置:C:VCSource CodeOverflow.c)进行分析,找到 Main 函数中有缓冲区溢出可能的变量名,并将 Flag 值(形式:有缓冲区溢出可能的变量名)进行提交;2. 对可能存在缓冲区溢出的程序源代码(位置:C:VCSource CodeOverflow.c)进行完善,使用工具 findjmp
25、 找到 Windows 内核文件 KERNEL32.DLL 中的首个“call esp”指令的内存地址,将该内存地址作为函数的返回地址,根据以上信息,填写可能存在缓冲区溢出的程序源代码(位置:C:VCSource CodeOverflow.c)中的 F1 字符串,并将 Flag 值(形式:F1 字符串内容)进行提交;3. 对可能存在缓冲区溢出的程序源代码(位置:C:VCSource CodeOverflow.c)进行完善,填写该源代码中 join 函数中的 F2、F3字符串,并将 Flag 值(形式:F2 字符串内容;F3 字符串内容)进行提交;4. 对可能存在缓冲区溢出的程序源代码(位置:C
26、:VCSource CodeOverflow.c)进行完善,填写该源代码中 repstr 函数中的F4、F5 字符串,并将 Flag 值(形式:F4 字符串内容;F5 字符串内容)进行提交;5. 对可能存在缓冲区溢出的程序源代码(位置:C:VCSource CodeOverflow.c)进行完善,填写该源代码中 main 函数中的F6、F7、F8 字符串,并将 Flag 值(形式:F6 字符串内容;F7 字符串内容;F8 字符串内容)进行提交;6. 将完善后的缓冲区溢出渗透测试程序源代码(位置:C:VCSource CodeOverflow.c)进行编译、链接、运行,将该程序的运行结果显示的最
27、后 1 行字符串作为 Flag 值(形式:程序的运行结果显示的最后 1行字符串)提交;任务 2:Web 应用程序安全攻防(50 分)任务描述:假定各位选手是 TaoJin 电子商务企业的信息系统安全工程师,负责该企业信息系统的安全维护,在该系统中 Web 应用程序可能存在 SQL 注入漏洞;首先,你需要对该程序进行渗透测试,确认程序确实存在该漏洞;其次,你需要对该程序打补丁,解决以上漏洞带来的问题;第三,你需要再次对该程序进行渗透测试,验证程序是否还存在漏洞。任务环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation
28、12 Pro虚拟机操作系统:WindowsXP虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0虚拟机安装服务/工具 2:Ethereal 0.10.10.0虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC-3(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro虚拟机操作系统:Ubuntu Linux 32bit虚拟机操作系统安装工具集:BackTrack5虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)DCST:服务器场景:WebServ2003服务器场景操作系统:Microsoft Windows2003 Server服务器场景安装服务/工具 1:Apache2.2;服务器场景安装服务/工具 2:Php6;
