1、2010 江西电信网络安全攻防演练指引2010 江西电信网络安全攻防演练指引中国电信江西公司省网支 SOC 中心2010 江西电信网络安全攻防演练指引目录1 演练项目 32 演练拓扑 32.1 拓扑 .32.2 演练环境说明 .42.3 设备列表 .53 演练步骤 63.1 模拟场景 1. .6江西-城域网遭到大规模 DDOS 攻击 .63.2 模拟场景 2. .6江西电信网络安全攻防演练 .63.2.1 任务 .63.2.2 对抗分组 73.2.3 职责 73.2.4 判断标准 83.2.5 演练步骤: 84 联系方式 9附件 1 演练环境配置 .10附件 2 演练接入 .10附件 3 攻击
2、流量监控方法 .102010 江西电信网络安全攻防演练指引1 演练项目演练项目如下:1、 模拟场景 1.江西某城域网遭到 DDOS 攻击2、 模拟场景 2.江西电信网络安全攻防演练2 演练拓扑2.1 拓扑模拟场景 1.江西某城域网遭到 DDOS 攻击拓扑:(待添加)2010 江西电信网络安全攻防演练指引模拟场景 2.亚运网络安全攻防演练的演练拓扑:2.2 演练环境说明模拟场景 1.江西某城域网遭到 DDOS 攻击:(待添加)模拟场景 2.亚运网络安全攻防演练的环境说明:在场景 2 演练平台中,采用思科 2800 作为 VPDN 的 LNS 设备,同时兼为实验室内网地址 NAT 转换外网地址,该
3、 LNS 上联省 NOC 的接入路由上,分配的外网 IP 地址网段为:61.131.214.192/26,LNS(cisco2800)的外网接口地址为 61.131.214.194,另外以太口连接内网的华为 NE80 核心路由器上,公网用户通过 VPDN 拨号,认证通过后,获得内网地址为 10.10.10.2-254,再访问实验室内网。核心为华为的 NE80 和 7806 设备,下挂华为 ME60 设备,作为宽带接入服务器(BRAS)用户。在 ME60 设备上开静态 IP 用户,地址段为:10.10.17.0/24、10.10.18.0/24,分别作为安全设备的管理地址用和接入服务器或主机使用
4、。2010 江西电信网络安全攻防演练指引华为 S7806 作汇聚交换机,上联 ME60 的 G1/0/1,透传管理 VLAN2,用户VLAN20、30;下接入天融信的防火墙和 Macfee2600 设备。整个实验用采用的 IGP 协议为 OSPF 协议,本规划模拟现城域网中的路由协议,如BGP、ISIS 和 OSPF 协议,将 CISCO2800、7609、NE80 、ME60 全部开 IGP 协议 OSPF,并规划在用一个 OSPF 号(791 )和同一个域(area 0) ,这样内网用户可通过CISCO2800NAT 访问公网,对于公网用户,也可通过 VPDN 拨号访问内网服务。系统方面,
5、新添服务器 5 台,操作系统分别为 Linux、Sun solaris、Win2003 server、 Winxp、Win2008 server。服务器上的应用包括:Web、Ftp、Smtp、DNS 、SQLserver 、Oracle、telnet 、ssh 等常见应用。2.3 设备列表层面 设备名称 厂家 数量 作用NE80 华为 1 核心路由设备核心层设备 CISCO7806 思科 1 核心路由设备业务接入设备 ME60 华为 1 BRAS 接入设备汇聚设备 S7806 华为 1 汇聚交换机LNS路由器 CISCO2800 思科 1 小型路由设备CISCO3550 思科 1 接入交换机交
6、换机CISCO3560 思科 1 接入交换机流量监控Genie NTG 2100 威睿 1 NetFlow 异常流量监控设备Mcafee 2600 迈克菲 1 IPS 入侵防御设备IPS 天融信 1 IPS 入侵防御设备安全设 备防火墙 天融信 1 访问控制设备维护终端 HP DX 2000 MT 4CPU:Intel Core 2 Duo E4500 双核(2.2G) ,内存1G,160G 硬盘,Combo 光驱,128M 独立显卡,17 寸液晶显示器操作台 10 实验室操纵台其他配套机架 6 600*900*22002010 江西电信网络安全攻防演练指引3 演练步骤3.1 模拟场景 1.江
7、西-城域网遭到大规模 DDOS 攻击依据:中国电信互联网网络安全应急预案 、 中国电信 DDoS 攻击应急响应流程步骤:1. 参演的分公司通过 WEB 登录到 GenieATM 流量分析系统以及 IP 城域网网络设备。2. 参演分公司提前熟悉 GenieATM 流量分析系统和操作脚本后,开始监测 IP 网异常流量。3. 演练指挥通过 NOC 进行攻击流量的发送。 (为了增加突然性,可选择不定时发送)4. 参演的分公司根据流量的情况启动 ACL 防护,但由于攻击类型复杂,ACL 效果不好。5. 参演分公司启用黑洞路由,对攻击流量进行丢弃。6. 参演分公司观察网络流量恢复正常后,向省 SOC 报告
8、处理结果。7. 参演分公司向演练指挥报告演练完成。8. 演练指挥通知 NOC 停止攻击流量发送。9. 参演的各分公司提交演练报告。3.2 模拟场景 2.江西电信网络安全攻防演练依据:中国电信互联网网络安全应急预案3.2.1 任务攻击方(红队):接入一个模拟城域网的演练网络后,可以采用各种黑客攻击手段,如:远程溢出攻击、密码暴力破解、脚本漏洞、网站挂马、ARP 欺骗等,针对该模拟网络2010 江西电信网络安全攻防演练指引的网络设备、操作系统、应用系统等各个方面进行破坏,尽量影响目标网络的服务正常提供,所需的一切攻击工具和方法可与红队技术支持方联系获取。防守方(蓝队):将有 1 周时间对一个模拟城
9、域网的网络和服务进行加固,之后一周会正面与攻击方对抗,如发现某系统被攻破,要在最短的时间内恢复。可以利用各种安全配置和安全设备加强对于攻击的检测和控制。所需的一切防御软件和技术与蓝队技术支持方联系获取。在规定时间内,如果红队成功攻破蓝队的系统、造成网络或业务中断,则判红队获胜。如果蓝队在演练时间一直内保证网络和服务的正常,则蓝队获胜。3.2.2 对抗分组攻击队(红队)红队队长 副队长 成员 支持待定 省 SOC 黄协 九江、宜春、景德镇、吉安、赣州、萍乡 绿盟防守队(蓝队)蓝队队长 副队长 成员 支持待定 省 SOC 谭立佳 南昌、新余、上饶、抚州、鹰潭 启明3.2.3 职责队长:1. 确定攻
10、击或防守思路,制定攻防方案并向演练指挥提交。2. 组织、协调本队队员,分配攻防任务,检验效果。3. 听从演练指挥的命令,开始、停止攻防行动。4. 在演练对抗过程中,向组员下达攻防命令,记录并向演练指挥汇报所有的操作。对攻击成功或发现入侵的情况要立即报告。5. 汇总队员的需求,与演练支持方联系,获取攻防工具和技术指导。6. 实时关注演练命令发布群里面的信息。7. 演练过程中如出现问题,及时向演练指挥反映。2010 江西电信网络安全攻防演练指引8. 演练结束后负责编写团队演练情况报告提交给演练指挥。副队长1. 协助队长进行协调、联络事宜。2. 监督、检查队伍的行为,是否有超出范围的行为。3. 实时
11、关注演练命令发布群里面的信息。队员:1. 听从队长指挥,按照队长分配的任务进行攻防操作。2. 准备相关攻防知识,熟悉演练环境设备,需要工具和协助及时向队长提出。3. 实时关注演练命令发布群里面的信息,保持联络畅通。4. 演练结束后负责编写本省演练报告并提交给演练指挥。技术支持:1. 演练期间提供现场或远程协助。2. 只能对支持的队伍提供工具和技术指导,不能进行实际操作。3. 与所在的队伍密切配合,协助队长制定攻防方案。4. 听从队长的命令,不允许私自行动。3.2.4 判断标准攻防双方在演练过程中的表现,从以下几个方面进行判断:1. 攻防思路。思路是否严谨、可行,方向是否正确,考虑是否完备。2.
12、 组织协调能力。是否进行了有效的组织协调,任务分配是否合理,组员是否对任务理解透彻,行动是否有配合,相互之际是否进行了有效的沟通。3. 攻防表现。对网络攻防的了解是否透彻,能否自主选择合适的攻防工具,工具的使用是否熟练。2010 江西电信网络安全攻防演练指引3.2.5 演练步骤:1. 将参加演练的江西省内的 11 个分公司分为红队和蓝队,红队负责进攻,蓝队负责防守。2. 提前一周将蓝队的队员接入网络,对各个方面进行加固,做好防守准备。3. 一周后,允许攻方的红队接入网络,在一周时间内,对网络设施、服务器、应用等各个方面展开进攻。4. 演练过程中有任何进展,攻防双方都必须向演练指挥汇报。5. 演
13、练过程有任何情况,演练指挥可以暂时中断演练进程。6. 演练时间到后,攻防双方停止攻击。演练指挥评估攻击对网络和服务造成的影响,根据双方的表现打分。攻防双方提交演练过程报告,演练指挥对比赛进行点评和总结。4 联系方式省网运负责人:李文君 18979176255演练指挥:郑玉谦协助:张静静演练命令发布/讨论 QQ 群:攻击队(红队):队长 副队长 黄协防守队(蓝队):队长 副队长 谭立佳红队技术支持绿盟: 待定白队技术支持启明: 待定2010 江西电信网络安全攻防演练指引附件 1 演练环境配置模拟场景 1.江西某城域网遭到 DDOS 攻击环境配置:(待添加)模拟场景 2.江西电信网络安全攻防演练环境配置:附件 2 演练接入江西网络实验室 vpn(pptp)winxp 接入指南 附件 3 攻击流量监控方法E:安 全 设 备 GenieATM6000培 训 Genie ATM异 常 流 量 监 控 操 作 简 易 教 程 .pps
