1、网络与信息安全实训指导书一、课程基本知识1、实训目的:网络与信息安全技术是信息管理与信息系统专业必修的一门专业课,而且网络与信息安全技术实训课程是一门实践性很强的课程,主要为配合网络安全的相关理论知识,以此为基础进行一系列的实际安全配置实验训练。在实训学习和实践过程中,学生以解决实际问题为主线,进行相关实际的网络安全配置和制定系统防范措施。学生通过对网络与信息安全技术课程的学习,已经初步掌握了网络安全技术中所涉及到的基础安全技术。为了加强网络与信息安全技术的基础,开设课程实训课,使学生对网络安全技术有更全面的理解,进一步提高学生运用网络安全技术解决实际问题的能力,同时为后续课程的学习夯实基础。
2、课程设计主要目的:(1)提高实际工作中配置和维护各种服务器的能力。(2)通过服务器的安全配置与维护,掌握网络中常见安全问题的解决方法。(3)对系统服务器进行入侵检测操作,能更好的掌握各种协议的应用。实训的任务主要是使得学生掌握网络与信息安全技术领域的基本理论和方法,具有较强的自律意识和信息安全意识,具有使用网络安全方面的软硬件产品解决实际问题的能力,能够完成一系列的实际安全配置实验内容,并且能够熟练使用相关安全工具和软件。2、实训内容:Windows 下 Snort 的安装与配置、利用证书或 PGP 软件传输加密/签名的邮件附件和正文、防病毒软件的使用、CA 证书的安装、申请及在Web 中的应
3、用:证书申请和证书签发;基于 SSL 的安全 Web 服务配置;CRL 签发;用户管理和证书查询、本地入侵 Windows 2000 系统、远程攻击 Windows 2000系统、使用 X-SCANNER 扫描工具发现系统漏洞、用 Sniffer 软件抓取数据报,分析数据报、木马病毒的查杀、NC 实验。3、实训所用设施:PC 机 61 台、交换机 6 台、Windows 2000 server 操作系统、PGP 软件、录像软件等4、实训任务及要求:根据提供的实训题目,引导学生采用正确的实验、实训方法,启发学生扩大解决问题的思路,从而得到正确的结果,并且分析出现的各种现象,提高实验、实训效果。实
4、训过程中,注意记录实训步骤。做完实验、实训,写出实验、实训报告。二、实训基本操作方法1、按照系统用户手册及文档规范要求进行操作,养成查阅手册、文档的良好习惯;2、根据实训步骤要求进行操作,注意积累正确操作方法;3、操作过程中注意记录错误提示,并利用各种资源进行更正,积累错误诊断经验,增强独立解决问题的能力;4、对特殊疑难问题采用讨论、协作等方式进行解决,有意识地训练团队合作意识;5、实训报告应多包含在实训过程中出现的错误及解决方法。三、实训项目(一)Windows 下 Snort 的安装与配置(必做)1.安装 Apache_2.0.46 For Windows安装的时候注意,如果你已经安装了
5、IIS 并且启动了 Web Server ,因为IIS 的 Web Server 默认在 TCP 80 端口监听,所以会和 Apache Web Server 冲突,我们可以修改 Apache Web Server 为其他端口。选择定制安装,安装路径修改为 c:apache 安装程序会自动建立c:apache2 目录,继续以完成安装。安装完成后在 c:apache2confhttpd.conf 中,将 apache web server 默认端口 80,修改为其他不常用的高端端口:修改 Listen 80 为 Listen 50080安装 apache 为服务方式运行,在 DOS 状态下,输入
6、并运行命令:c:apache2binapache -k install2.安装 PHP1)添加 Apache 对 PHP 的支持:解压缩 php-4.3.2-Win32.zip 至 c:php2)拷贝 php4ts.dll 至%systemroot%system32;拷贝 php.ini-dist 至%systemroot%system32 和%systemroot%下,并改名为 php.ini将 phpextensions下的 php_gd2.dll 和 php_bz2.dll 拷贝到%systemroot%system32 下3)添加 gd 图形库支持:修改 php.ini 中:exten
7、sion=php_gd2.dll (可以直接添加,也可以将原有这句话前的“;”删除)4)在 c:apache2confhttpd.conf 中添加LoadModule php4_module“c:/php/sapi/php4apache2.dll“AddType application/x-httpd-php .php5)启动 Apache 服务net start apache26)在 c:apache2htdocs 目录下新建 test.php ,test.php 文件内容:使用 http:/127.0.0.1:50080/test.php测试 php 是否安装成功(备注:%systemro
8、ot%下存储表示在 winnt 下存储)3.安装 snort安装 Snort_2_0_0 使用默认安装路径 c:snort4. 安装 Mysql1)安装 Mysql,默认安装 Mysql 至 c:mysql2)安装 mysql 为服务方式运行命令行 c:mysqlbinmysqld-nt install3)启动 mysql 服务net start mysql4)连接 MYSQL。格式: mysql -h 主机地址 -u 用户名p 用户密码首先在打开 DOS 窗口,然后进入目录 mysqlbin,再键入命令 mysql u root -p,回车后提示你输密码,如果刚安装好 MYSQL,超级用户
9、root 是没有密码的,故直接回车即可进入到 MYSQL 中了,MYSQL 的提示符是:mysql (注:u 与 root 可以不用加空格,其它也一样)5)建立 snort 运行必须的 snort 库和 snort_archive 库mysqlcreate database snort;mysqlcreate database snort_archive;6)输入 quit 退出 musql,以 root 身份,使用 c:snortcontrib 目录下的create_mysql 脚本建立 Snort 运行必须的数据表c:mysqlbinmysql -D snort -u root -p gr
10、ant usage on *.* to “acid”“localhost” identified by “acidtest”;mysql grant usage on *.* to “snort”“localhost” identified by “snorttest”;8)为 acid 用户和 snort 用户分配相关权限mysql grant select,insert,update,delete,create,alter on snort .* to “acid“localhost“;mysql grant select,insert on snort .* to “snort“loca
11、lhost“;mysql grant select,insert,update,delete,create,alter on snort_archive .* to “acid“localhost“;5.安装 adodb解压缩 adodb360.zip 至 c:phpadodb 目录下6. 安装 acid解压缩 acid-0.9.6b23.tar.gz 至 c:apache2htdocsacid 目录下修改 acid_conf.php 文件$DBlib_path=“c:phpadodb“$DBtype = “mysql“;$alert_dbname=“snort“;$alert_host=“l
12、ocalhost“;$alert_port=“3306“;$alert_user=“acid“;$alert_password=“acidtest“;/* Archive DB connection parameters */$archive_dbname=“snort_archive“;$archive_host=“localhost“;$archive_port=“3306“;$archive_user=“acid“;$archive_password=“acidtest “;$ChartLib_path=“C:phpjpgraphsrc“;建立 acid 运行必须的数据库:http:/1
13、27.0.0.1:50080/acid/acid_db_setup.php,按照系统提示,单击create ACID AG 建立数据库7.安装 jpgrapg 库解压缩 jpgraph-1.12.2.tar.gz 至 c:php jpgraphsrc 下的 jpgraph.php 文件,去掉下面语句的注释 DEFINE(“CACHE_DIR“,“/tmp/jpgraph_cache/“);8.安装 winpcap按照默认安装即可9.配置 Snort(1)编辑 c:snortetcsnort.conf,需要修改的地方:include classification.configinclude re
14、ference.config改为绝对路径include c:snortetcclassification.configinclude c:snortetcreference.config(2)设置 snort 输出 alert 到 mysql server,在文件的最后加入如下语句Outputdatabase:alert, mysql, host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full(3)测试 snort 是否正常工作:命令行:c:snortbinsnort -c “c:sno
15、rtetcsnort.conf“ -l “c:snortlog“ -d -e X-X 参数用于在数据链接层记录 raw packet 数据-d 参数记录应用层的数据e 参数显示记录第二层报文头数据-c 参数用以指定 snort 的配置文件的路径(4)打开 http:/ip:50080/acid/acid_main.php 进入 acid 的分析控制台主界面。(二)利用证书或 PGP 软件传输加密/签名的邮件附件和正文1、配置 outlook express:如果要想真正实现加密邮件的传输,需要在配置过程中输入真实的 email 地址(提示:一旦起用 outlook express 进行邮件收发
16、,则 web 邮箱中的邮件将都被下载到 outlook 中,所以为了能更好的做此实验,最好是重新申请一个新邮箱)具体步骤:打开 outlook express-“工具”菜单中的“帐户”-添加-邮件-在“您的姓名”页的显示名处输入“姓名,如 lf”-在“internet 电子邮件地址”页中输入自己真实的 mail 地址,如 -在“电子邮件服务器”页中,输入:接收邮件“”和发送邮件“”-在“internet 邮件登录”页中输入真实登录邮件的用户名和密码-完成。选中添加的帐户-属性-在“常规”选项卡中,将“”修改为 - 在“服务器”选项卡中,将 “我的服务器要求身份验证”选中-确定。此时 outlo
17、ok express 配置完成,并可以测试是否能正常进行通信。2、安装 PGP 软件在安装完毕后,一定要重新启动计算机。重启后,需要对 PGP 进行配置,配置信息参考 licenseinfo.txt 文件,即为:用户名:User 2004组织名:Group 2004License Number::CUPVJ-RMRME-N4MYZ-M1ZUQ-26CWD-M0ALicense Authorization 中输入下面的全部内容:-BEGIN PGP LICENSE AUTHORIZATION-ADIAApAAAKCZEwROEfJ2khJVeBe7UZ9FSHkHGwCeOkt8cL0Qk3CN
18、GFSp3dEtVcGc4Hs=-END PGP LICENSE AUTHORIZATION-3、生成公私钥对,具体步骤打开安装的 PGP 软件-“keys”菜单中选择“new keys”-“expert”-按照向导继续配置下去即可。4、导出自己的密钥右击自己创建的密钥-选择“export”-选择保存位置和保存名称-确定5、把密钥传输给另一个人(需要打开你加密邮件正文或附件的用户)通过邮件的方法可以传输可以通过网上邻居传输6、将接收到的密钥导入到自己的 keys 中对方接收到密钥以后,将其导入到自己的“PGPkeys”中,然后选择刚导入的公钥,单击“keys”菜单中的“sign”-在图 1 中
19、可以选择其他配置信息,单击“ok”-在图 2 中输入本人的私钥密码-点击“ok” ,此时表示对方的公钥已经被导入进来。图 1图 27、利用 PGP 加密邮件附件右击要加密的邮件附件-选择“PGP”中的“encrypt”打开如图 3 所示对话框,在这里把对方的公钥从上面的对话框中拖到下面的对话框,如图 4所示结果。-选择上对方的公钥,单击“ok” ,即对文件进行了加密。图 3图 4打开 outlook -新建邮件-输入收件人地址-到加密的邮件附件添加进来,并发送给对方即可。8、对加密附件进行解密把邮件附件保存到本机-右击该附件-选择“PGP”中的“decypt”-输入私钥密码-确定即可。(三)防
20、病毒软件的使用使用 RAV 瑞星或 KV300 等杀毒软件的有关杀毒功能,检测 Windows 2000/XP 网络系统,将检测结果和使用步骤写成实训报告。在网络上搜索目前流行的杀毒软件,并下载一些共享软件或试用版使用。思考:恶性病毒的破坏作用主要有哪些?比较目前流行的杀毒软件的特点。(四)CA 证书的安装、申请及在 Web 中的应用:证书申请和证书签发;基于SSL 的安全 Web 服务配置;CRL 签发;用户管理和证书查询(必做)1、实验目的通过观察和动手实验,使学生更深入理解 PKI 公钥基础设施中数字证书的作用,以 win2000 server CA 中心为例,学会客户端如何从独立 CA
21、 中心申请数字证书,CA 中心如何签发证书。2、实验原理2.1 PKI 基础PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI 基于数字证书基础之上,使用户在虚拟的网络环境下能够验证相互之间的身份,并提供敏感信息传输的机密性、完整性和不可否认性,为电子商务交易的安全提供了基本保障。一个典型的 PKI 系统应包括如下组件:(1)安全策略安全策略建立和定义了组织或企业信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。(2)证书操作
22、阐述 CPS(Certificate Practice Statement)一些 PKI 系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务,所以需要提供 CPS 给其使用者参考,以供其了解详细的运作机理。CPS是一些操作过程的详细文档,一般包括 CA 是如何建立和运作的,证书是如何发行、接收和废除的,密钥是如何产生、注册和认证的等内容。(3)证书认证机构 CA(Certificate Authority)CA 系统是 PKI 的核心部分,因为它管理公钥的整个生命周期。CA 的作用主要包括如下几个方面:发放证书,用数字签名绑定用户或系统的识别号和公钥。规定证书的有效期。通过发布
23、证书废除列表(CRL)确保必要时可以废除证书。(4)注册机构 RA(Registration Authority)RA 是 CA 的组成部分,是用户向 CA 申请服务的注册机构,它负责接收用户的证书申请,审核用户的身份,并为用户向 CA 提出证书请求,最后将申请的证书发放给用户。(5)证书分发系统 CDS(Certificate Distribution System)证书通过证书分发系统对外公开发布,用户可在此获取其它用户的证书。证书的发布可以有多种途径,比如,用户可以自己发布,或是通过目录服务器向外发布。(6)基于 PKI 的应用接口PKI 是一个安全框架,它的价值在于使用户能够方便地使用
24、加密、数字签名等安全服务,为此一个完整的 PKI 必须提供良好的应用接口,可以在此基础上提供多种安全应用服务。2.2 数字证书数字证书相当于我们平常使用的身份证,身份证用于标明使用者的身份,数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。数字证书是经证书认证机构数字签名的,包含用户身份信息、用户公开密钥信息的一个文件。由于证书是由证书认证机构颁发的,有证书认证机构的数字签名,所以证书的拥有者是被证书认证机构所信任的。如果可以信任证书认证机构,则完全可以信任证书的拥有者。所以通过证书,
25、可以使证书的拥有者向系统中的其它实体证明自己的身份。数字证书的存储格式标准有多种,X.509 是最基本的证书存储标准格式。X.509格式的数字证书结构如下图所示。证书的版本证书序列号签名算法标识证书签发机构名证书有效期证书持有者用户名证书用户公钥信息签发者唯一标识符证书持有者唯一标识符签名值图 4.1 X.509 格式的数字证书结构各项具体内容包括:证书的版本号(Version):0 表示 X.509 V1 证书标准;1 表示 X.509 V2 证书标准;2 表示 X.509 V3 证书标准。 证书序列号(SerialNumber):签发机构分配给证书的一个唯一标识号,同一机构签发的证书不会有
26、相同的序列号。 签名算法(Signature):包含算法标识和算法参数,标明证书签发机构用来对证书内容进行签名的算法。 证书签发机构名(Issuer):用来标识签发证书的 CA 的名字,包括其国家、省市、地区、组织机构、单位部门和通用名。 证书有效期(Validity):包含两个日期,一个是证书开始生效的日期,一个是证书有效的截止日期。当前日期在证书有效期之内时,证书的有效性验证才能通过。 证书用户名(Subject):证书所有者的甄别名。包括国家、省市、地区、组织机构、单位部门和通用名,还可包含 email 地址。 证书用户公钥信息(subjectPublicKeyInfo):包含用户公钥算
27、法和公钥的值。 签发者唯一标识符(Issuer Unique Identifier)。签发者唯一标识符在第 2 版加入证书定义中。此域用在当同一个 X.500 名字用于多个认证机构时,用一比特字符串来唯一标识签发者的 X.500 名字。该项可选。 证书持有者唯一标识符(Subject Unique Identifier)。持有证书者唯一标识符在第 2 版的标准中加入 X.509 证书定义。此域用在当同一个 X.500 名字用于多个证书持有者时,用一比特字符串来唯一标识证书持有者的 X.500 名字。可选 签名值(Issuers Signature)。证书签发机构对证书上述内容的签名值。除了 X
28、.509 标准之外,数字证书的存储标准还有 PKCS#7、PKCS#12 等标准。其中,PKCS#7 标准是用来传输签名数据的标准格式;PKCS#12 标准是用来传输证书和私钥的标准格式。2.3 CA 系统如果将数字证书比喻为出差时能证明我们身份的“介绍信”,那么 CA 就好比开出“介绍信”的工作单位,它能证明证书持有者的身份。在互联网上,CA 定义为:一个可信实体,发放和作废公钥证书,并对各作废证书列表签名。证书认证机构 CA(Certification Authority)是 PKI 的核心部分,用于创建和发放数字证书。创建证书的时候,CA 系统首先获取用户的请求信息,其中包括用户公钥(公
29、钥一般可由用户端产生,如电子邮件程序或浏览器等)等。CA将根据用户的请求信息产生证书,并用自己的私钥对证书进行签名。证书在使用过程中,其他用户、应用程序或实体需下载安装 CA 根证书,使用 CA 根证书中的公钥对 CA 颁发的证书进行验证,如果对证书中 CA 的数字签名验证通过,则证明这个证书是 CA 签发的。进一步来说,如果一个 CA 系统是可信的,则此证书的拥有者也是可信的。3、CA 系统的结构一个典型的 CA 系统包括安全服务器、登记中心 RA 服务器、CA 服务器、LDAP 目录服务器和数据库服务器等。(1)安全服务器安全服务器面向普通用户,用于提供证书申请、浏览、证书撤消列表以及证书
30、下载等安全服务。安全服务器与用户的的通信采取安全信道方式(如 SSL的方式,不需要对用户进行身份认证),从而保证了证书申请和传输过程中的信息安全性。(2)CA 服务器CA 服务器是整个证书机构的核心,负责证书的签发。CA 服务器是整个结构中最为重要的部分,存有 CA 的私钥以及发行证书的脚本文件。出于安全的考虑,应将 CA 服务器与其他服务器隔离,所有通信采用人工干预的方式,确保认证中心的安全。(3)登记中心 RA登记中心服务器面向登记中心操作员,在 CA 体系结构中起承上启下的作用,一方面向 CA 转发安全服务器传输过来的证书申请请求,另一方面向 LDAP 服务器和安全服务器转发 CA 颁发
31、的数字证书和证书撤消列表。(4)LDAP 服务器LDAP 服务器提供目录浏览服务,其他用户通过访问 LDAP 服务器就能够得到其他用户的数字证书。(5)数据库服务器数据库服务器是认证机构中的核心部分,用于认证机构数据(如密钥和用户信息等)、日志和统计信息的存储和管理。4、CA 系统的主要功能CA 系统的主要功能是对证书进行管理,包括颁发证书、废除证书、更新证书、验证证书、管理密钥等。(1)颁发证书从使用者角度来看,证书可以分为系统证书和用户证书,系统证书是指 CA系统自身使用的证书,例如最高层的根 CA 自身的根证书等;用户证书按照应用的角度又可以分为个人用户证书、企业用户证书和服务器证书等。
32、颁发证书的流程如下:首先用户到 CA 的注册机构 RA 或业务受理点或通过 web 网站等提交证书申请。如果用户自己产生公私钥对,证书申请中包含了个人信息和公钥;如果由CA 产生公私钥,则证书申请中只包含个人信息。接着 RA 等机构对用户的信息进行审核,审核用户的相关关键资料和证书请求中是否一致,更高级别的证书需要 CA 进行进一步的审核。审核通过后,CA 为审核此用户签发证书,证书可以灌制到证书介质中,发放给用户;或者将证书发布到 LDAP 服务器上,由用户下载并安装证书。(2)废除证书证书的废除是指证书在到达它的使用有效期之前将不再使用,废除证书的原因有多种,例如:证书用户身份信息的变更,
33、CA 签名私钥的泄漏,证书对应私钥的泄漏,证书本身遭到损坏,以及其他多种原因。废除证书的过程如下:用户到 CA 的业务受理点申请废除证书,CA 审核用户的身份后,将证书吊销,并将吊销的证书加入到证书黑名单 CRL(Certificate Revocation List)中,CRL 是由 CA 认证中心定期发布的具有一定格式的数据文件,它包含了所有未到期的已被废除的证书(由 CA 认证中心发布)信息。CA 会临时或者定期签发证书黑名单 CRL,并将更新的 CRL 通过 LDAP 目录服务器在线发布,供用户查询和下载。(3)证书的更新当用户的私钥被泄漏或证书的有效期快到时,用户应该更新私钥。这时用
34、户可以申请更新证书,以废除原来的证书,产生新的密钥对和新的证书。证书更新的操作步骤与申请颁发证书的类似。(4)证书验证证书验证的内容包括三部分:验证有效性,即证书是否在证书的有效使用期之内?证书有效性的验证是通过比较当前时间与证书截止时间来进行的。验证可用性,即证书是否已废除?证书可用性的验证是通过证书撤销机制来实现的。验证真实性,即证书是否为可信任的 CA 认证中心签发?证书真实性的验证是基于证书链验证机制的。例如对于级联模式的 CA 结构,如图 1.2 所示。它是按照主从 CA 关系建立的分级结构,类似于树形结构,根 CA 是最高级别的也是最可信任的 CA,位于树的顶端,根 CA 的下一层
35、是子 CA。通常根 CA 不直接为最终用户颁发证书,而只为子 CA 颁发证书。子 CA 为为最终用户颁发证书,子 CA可以按照所颁发证书用途的不同有多个,子 CA 也可有更下层的子 CA。最终用户在上述树形结构中处于树叶的位置。在这个级联模式的结构中,建立的是自上而下的信任链,下级 CA 信任上级 CA,下级 CA 由上级 CA 颁发证书并认证,如果一个终端实体信任一个根 CA,通过证书链传递信任,那么该实体可以信任根 CA 所属子 CA 中的最终用户。(5)管理密钥CA 系统提供了基于密钥的管理功能,包括密钥的产生、密钥的备份和恢复,以及密钥的更新等。根据证书类型和应用的不同,密钥对的产生有
36、不同的形式和方法。对普通证书和测试证书,一般由浏览器或固定的终端应用来产生,这样产生的密钥强度较小,不适合应用于比较重要的安全网络交易。而对于比较重要的证书,如商家证书和服务器证书等,密钥对一般由专用应用程序或 CA 中心直接产生,这样产生的密钥强度大,适合于重要的应用场合。在一个 CA 系统中,维护密钥对的备份至关重要,如果没有这种措施,当密钥丢失后,将意味着加密数据的完全丢失,对于一些重要数据,这将是灾难性的。所以,密钥的备份和恢复也是密钥管理中的重要一环。当用户密钥不慎丢失或者被破坏时,可以为用户及时恢复密钥。密钥的使用都有一定的期限,密钥到期后会自动失效,所以密钥应该定时更新。在密钥泄
37、漏时,也需要及时更新密钥,以保证证书应用过程中的安全性。5、实验环境硬件:用作 CA 中心的 PC 机一台,用作客户端申请证书的 PC 机至少一台。软件:CA 中心预装 win2000 server,(可能需要安装光盘,或者安装光盘内容已经拷入硬盘),客户端预装 win 2000 。6、实验步骤(1)在装有 win2000 server 的服务器上安装独立的根 CA 中心。1)点击“开始”按钮,选择“设置”-“控制面板”-“添加和删除程序”,在弹出的窗口中选择“添加和删除 WINDOWS 组件”。注意,安装的过程中可能需要系统安装盘。在弹出的窗口中,选择“证书服务”,这时候会弹出一个对话框,点
38、击确定,然后点击“下一步”开始安装。2)在弹出的配置窗口中,选择“独立根 CA”,并点击“下一步”3)在弹出的窗口中填入数据的存放位置,点击“下一步” 。4)这样会停止本机在 Internet 上运行的信息服务,即完成了证书安装。证书安装后,Internet 上运行的信息服务会自动开启。单击“开始”,选择“程序”-“管理工具”,此时可在该菜单中找到“证书颁发机构”,说明 CA 的安装已经完成(2)通过 WEB 页面申请证书1)在用作证书申请客户端的计算机中打开 IE,在地址栏中输入 http:/根 CA的 IP/certsrv,其中的 IP 指的是建立根 CA 的服务器 IP 地址。选中“申请
39、证书”,并点击“下一步”,以从 CA 申请证书。2)在弹出的页面中选中“用户证书申请”中的“Web 浏览器证书” 。3)在弹出的窗口中填写用户的身份信息,完成后点击“提交” 。在这种情况下,IE 浏览器采用默认的加密算法生成公私钥对,私钥保存在本地计算机中,公钥和用户身份信息按照标准的格式发给 CA 服务器4)选择“是” ,之后弹出页面。5)CA 服务器响应后,出现证书挂起页面,表示 CA 服务器已经收到证书申请,需要进行处理后才能反馈。表示证书申请已经完成,等待根 CA 发布该证书。(3)证书发布1)在根 CA 所在的计算机上,单击“开始”,选择“程序”-“管理工具”-“证书颁发机构”。在弹
40、出的窗口左侧的菜单目录中选择“待定申请”,上一步中申请的证书 web cert 出现在窗口右侧。2)在证书上单击右键,选择“所有任务”-“颁发”,进行证书颁发3)证书颁发后将从“待定申请”文件夹转入到“颁发的证书”文件夹中,表示证书颁发完成7、证书的下载安装(1)在申请证书的计算机上打开 IE 浏览器,在地址栏中输入 http:/根 CA的 IP/certsrv,进入证书申请页面。选择“检查挂起的证书”,查看 CA 是否颁发了证书,单击“下一步”;(2)在弹出的页面中选择已经提交的证书申请,单击“下一步”(3)如果颁发机构已将证书颁发,则将弹出页面。(4)单击“安装此证书”,系统提示,这是由于
41、没有下载安装 CA 系统的根证书,在(6)中我们会安装 CA 的根证书。(5)在这里先点击“是”,完成证书安装,显示页面。(6)由于没有下载安装 CA 系统的根证书,所以无法验证此 CA 系统颁发的证书是否可信任。为此需要安装 CA 系统的根证书,在地址栏中输入 http:/根 CA的 IP/certsrv,进入证书申请页面。选择“检索 CA 证书或证书吊销列表”,在弹出的窗口中单击“下载 CA 证书”超级连接。在弹出的文件下载对话框中选择恰当的保存路径,将证书保存在本地。(7)下载完毕后,在证书保存目录中双击此证书可查看证书信息。单击“安装证书”键,则进入证书导入向导,采用默认设置完成证书的
42、导入,导入成功后,单击“确定”键即可。至此,我们 web 客户端的证书申请。需要说明的是,因为证书的特殊性,存储的物理区域对用户透明,即“导入”的证书存储位置一般不显示,我们可以把它“导出”到可见的存储区,但是,私钥不能导出。没有导出到可见存储区的证书,我们可以通过打开 IE 浏览器,选择菜单中的“工具”“Internet 选项”“内容”“证书”来查看证书的信息。8、实验报告要求配置独立 CA 系统,申请用于电子邮件加密的数字证书,提交实验步骤和结果。(五)本地入侵 Windows 2000 系统(1)实训时每两个人一组,一个人为黑客,另一个人为管理员,以Windows2000 系统为基础做攻
43、击与防范训练。(2)在实训的过程中,注意记录实训步骤。写出实训报告,同时提出针对本地攻击 Windows 2000 的防护措施(六)远程攻击 Windows 2000 系统1、实训要求(1)下载黑客扫描程序(2)学习使用黑客扫描程序。(3)学习使用 Windows 2000 的 Ping 命令、Tracer 命令、Host 命令和 NET 命令收集目标主机的相关信息。2、实训内容(1)学习在客户端 Windows 98 和 MS-DOS 环境使用 Ping 命令、Tracer 命令、Host 命令和 NET 命令收集目标主机的相关信息。(2)利用课堂上介绍的方法入侵 Windows 2000
44、系统。(3)在做实训前,写好实训方案。(4)实训过程中,注意记录实训步骤。(5)写出实训报告,同时针对 Windows 2000 的远程攻击提出防护措施。(七)使用 X-SCANNER 扫描工具发现系统漏洞通过使用网络端口扫描器(如:Fluxay、superscan、winsan2、X-Scan-v3.1-cn 等),可以了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统的安全漏洞。 sniffer:捕获 http 口令和 ftp 口令步骤:第一步:先输入用户名和 password第二步:启动 sniffer,且处于抓信息状态第三步:登陆 http 或 ftp(八)用 Sn
45、iffer 软件抓取数据报,分析数据报1实验目的(1)熟悉嗅探软件使用。(2)通过实验掌握 SNIFFER 工具的安装及使用,理解 TCP/IP 协议中TCP、IP、ICMP 数据包的结构,了解网络中各种协议的运行状况。2实验原理Sniffer 即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过 Sniffer 可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通讯、不同网络协议的通讯流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。通常每个网络接口都有一个互不相同的硬件地址(MAC),同时,每个网段
46、有一个在此网段中广播数据包的广播地址(代表所有的接口地址) 。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,而丢弃不是发给自己的数据帧。而通过 Sniffer 工具,可以将网络接口设置为“混杂” (promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,而它可以监听此网络中传输的所有数据帧,而不管数据帧的目标地址是广播地址还是自己或者其他网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断,交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。当然,如果一个数
47、据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以 Sniffer 所能监听到的信息将仅限于在同一个物理网络内传送的数据帧,就是说和监听的目标中间不能有路由(交换)或其他屏蔽广播包的设备。因此,当 Sniffer 工作在由集线器(HUB)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,sniffer 工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。Sniffer 工作在 OSI 模型中的第 2 层,它一般使用在已经进入
48、对方系统的情况。实验中要注意,虽然 sniffer 能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且将会浪费大量硬盘空间。Sniffer 工具分为软件和硬件两大类,在这里我们主要以 Sniffer Pro 软件为例对 sniffer 工具的使用方法和功能进行简单介绍。当然,sniffer 软件工具还有很多种,例如 SQLServerSniffer、FsSniffer 等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。对于 Sniffer 工具的防范可以从以下几个方面进行:首先,如果通过网管工
49、具发现在局域网内存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探;其次,Sniffer 的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在UNIX 环境下通过 ifconfig a 命令查看网络接口状态) ,则它很可能运行了Sniffer。通过上面的几种方法,可以对 Sniffer 进行分析监测。除了这些间接分析方法外,还可以利用 AntiSniff 工具,它提供了直接检测 Sniffer 的功能,从而可以对 Sniffer 进行有效防范。Sniffer Pro 软件简介:Sniffer 软件是 NAI 公司推出的功能强大的协议分析软件,实验中使用 Sniffer Pro4.7 来截获网络中传输的 FTP、HT
