网络与信息安全实训指导书.docx
- 文档编号:23449308
- 上传时间:2023-05-17
- 格式:DOCX
- 页数:41
- 大小:1.87MB
网络与信息安全实训指导书.docx
《网络与信息安全实训指导书.docx》由会员分享,可在线阅读,更多相关《网络与信息安全实训指导书.docx(41页珍藏版)》请在冰豆网上搜索。
网络与信息安全实训指导书
网络与信息安全实训指导书
一、课程基本知识
1、实训目的:
《网络与信息安全技术》是信息管理与信息系统专业必修的一门专业课,而且网络与信息安全技术实训课程是一门实践性很强的课程,主要为配合网络安全的相关理论知识,以此为基础进行一系列的实际安全配置实验训练。
在实训学习和实践过程中,学生以解决实际问题为主线,进行相关实际的网络安全配置和制定系统防X措施。
学生通过对网络与信息安全技术课程的学习,已经初步掌握了网络安全技术中所涉及到的基础安全技术。
为了加强网络与信息安全技术的基础,开设课程实训课,使学生对网络安全技术有更全面的理解,进一步提高学生运用网络安全技术解决实际问题的能力,同时为后续课程的学习夯实基础。
课程设计主要目的:
(1)提高实际工作中配置和维护各种服务器的能力。
(2)通过服务器的安全配置与维护,掌握网络中常见安全问题的解决方法。
(3)对系统服务器进行入侵检测操作,能更好的掌握各种协议的应用。
实训的任务主要是使得学生掌握网络与信息安全技术领域的基本理论和方法,具有较强的自律意识和信息安全意识,具有使用网络安全方面的软硬件产品解决实际问题的能力,能够完成一系列的实际安全配置实验内容,并且能够熟练使用相关安全工具和软件。
2、实训内容:
Windows下Snort的安装与配置、利用证书或PGP软件传输加密/签名的附件和正文、防病毒软件的使用、CA证书的安装、申请及在Web中的应用:
证书申请和证书签发;基于SSL的安全Web服务配置;CRL签发;用户管理和证书查询、本地入侵Windows2000系统、远程攻击Windows2000系统、使用X-SCANNER扫描工具发现系统漏洞、用Sniffer软件抓取数据报,分析数据报、木马病毒的查杀、NC实验。
3、实训所用设施:
PC机61台、交换机6台、Windows2000server操作系统、PGP软件、录像软件等
4、实训任务及要求:
根据提供的实训题目,引导学生采用正确的实验、实训方法,启发学生扩大解决问题的思路,从而得到正确的结果,并且分析出现的各种现象,提高实验、实训效果。
实训过程中,注意记录实训步骤。
做完实验、实训,写出实验、实训报告。
二、实训基本操作方法
1、按照系统用户手册及文档规X要求进行操作,养成查阅手册、文档的良好习惯;
2、根据实训步骤要求进行操作,注意积累正确操作方法;
3、操作过程中注意记录错误提示,并利用各种资源进行更正,积累错误诊断经验,增强独立解决问题的能力;
4、对特殊疑难问题采用讨论、协作等方式进行解决,有意识地训练团队合作意识;
5、实训报告应多包含在实训过程中出现的错误及解决方法。
三、实训项目
(一)Windows下Snort的安装与配置(必做)
1.安装Apache_2.0.46ForWindows
安装的时候注意,如果你已经安装了IIS并且启动了WebServer,因为IIS的WebServer默认在TCP80端口监听,所以会和ApacheWebServer冲突,我们可以修改ApacheWebServer为其他端口。
选择定制安装,安装路径修改为c:
\apache安装程序会自动建立c:
\apache2目录,继续以完成安装。
安装完成后在c:
\apache2\conf\httpd.conf中,将apachewebserver默认端口80,修改为其他不常用的高端端口:
修改Listen80为Listen50080
安装apache为服务方式运行,在DOS状态下,输入并运行命令:
c:
\apache2\bin\apache-kinstall
2.安装PHP
1)添加Apache对PHP的支持:
解压缩php-4.3.2-Win32.zip至c:
\php
2)拷贝php4ts.dll至%systemroot%\system32;拷贝php.ini-dist至%systemroot%\system32和%systemroot%下,并改名为php.ini
将php\extensions\下的php_gd2.dll和php_bz2.dll拷贝到%systemroot%\system32下
3)添加gd图形库支持:
修改php.ini中:
extension=php_gd2.dll(可以直接添加,也可以将原有这句话前的“;”删除)
4)在c:
\apache2\conf\httpd.conf中添加
LoadModulephp4_module"c:
/php/sapi/php4apache2.dll"
AddTypeapplication/x-httpd-php.php
5)启动Apache服务
netstartapache2
6)在c:
\apache2\htdocs目录下新建test.php,
test.php文件内容:
phpinfo();?
>
使用127.0.0.1:
50080/test.php
测试php是否安装成功
(备注:
%systemroot%下存储表示在winnt下存储)
3.安装snort
安装Snort_2_0_0使用默认安装路径c:
\snort
4.安装Mysql
1)安装Mysql,默认安装Mysql至c:
\mysql
2)安装mysql为服务方式运行
命令行c:
\mysql\bin\mysqld-nt–install
3)启动mysql服务
netstartmysql
4)连接MYSQL。
格式:
mysql-h主机地址-u用户名-p用户密码
首先在打开DOS窗口,然后进入目录mysql\bin,再键入命令mysql–uroot-p,回车后提示你输密码,如果刚安装好MYSQL,超级用户root是没有密码的,故直接回车即可进入到MYSQL中了,MYSQL的提示符是:
mysql>
(注:
u与root可以不用加空格,其它也一样)
5)建立snort运行必须的snort库和snort_archive库
mysql>createdatabasesnort;
mysql>createdatabasesnort_archive;
6)输入quit退出musql,以root身份,使用c:
\snort\contrib目录下的create_mysql脚本建立Snort运行必须的数据表
c:
\mysql\bin\mysql-Dsnort-uroot-p \snort\contrib\create_mysql c: \mysql\bin\mysql-Dsnort_archive-uroot-p \snort\contrib\create_mysql 7)建立acid(密码: acidtest)和snort用户(密码: snorttest) mysql>grantusageon*.*to“acid”“localhost”identifiedby“acidtest”; mysql>grantusageon*.*to“snort”“localhost”identifiedby“snorttest”; 8)为acid用户和snort用户分配相关权限 mysql>grantselect,insert,update,delete,create,alteronsnort.*to"acid""localhost"; mysql>grantselect,insertonsnort.*to"snort""localhost"; mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to"acid""localhost"; 5.安装adodb 解压缩adodb360.zip至c: \php\adodb目录下 6.安装acid 解压缩acid-0.9.6b23.tar.gz至c: \apache2\htdocs\acid目录下 修改acid_conf.php文件 $DBlib_path="c: \php\adodb" $DBtype="mysql"; $alert_dbname="snort"; $alert_host="localhost"; $alert_port="3306"; $alert_user="acid"; $alert_password="acidtest"; /*ArchiveDBconnectionparameters*/ $archive_dbname="snort_archive"; $archive_host="localhost"; $archive_port="3306"; $archive_user="acid"; $archive_password="acidtest"; $ChartLib_path="C: \php\jpgraph\src";建立acid运行必须的数据库: 127.0.0.1: 50080/acid/acid_db_setup.php,按照系统提示,单击 createACIDAG建立数据库 7.安装jpgrapg库 解压缩jpgraph-1.12.2.tar.gz至c: \php\jpgraph\src下的jpgraph.php文件,去掉下面语句的注释DEFINE("CACHE_DIR","/tmp/jpgraph_cache/"); 8.安装winpcap 按照默认安装即可 9.配置Snort (1)编辑c: \snort\etc\snort.conf,需要修改的地方: includeclassification.config includereference.config 改为绝对路径 includec: \snort\etc\classification.config includec: \snort\etc\reference.config (2)设置snort输出alert到mysqlserver,在文件的最后加入如下语句 Outputdatabase: alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full (3)测试snort是否正常工作: 命令行: c: \snort\bin>snort-c"c: \snort\etc\snort.conf"-l"c: \snort\log"-d-e–X -X参数用于在数据层记录rawpacket数据 -d参数记录应用层的数据 e参数显示/记录第二层报文头数据 -c参数用以指定snort的配置文件的路径 (4)打开ip: 50080/acid/acid_main.php进入acid的分析控制台主界面。 (二)利用证书或PGP软件传输加密/签名的附件和正文 1、配置outlookexpress: 如果要想真正实现加密的传输,需要在配置过程中输入真实的email地址(提示: 一旦起用outlookexpress进行收发,则web中的将都被下载到outlook中,所以为了能更好的做此实验,最好是重新申请一个新) 具体步骤: 打开outlookexpress---“工具”菜单中的“XX”---添加------在“您的XX”页的显示名处输入“XX,如lf”---在“internet电子地址”页中输入自己真实的mail地址,如ghz1126.----在“电子服务器”页中,输入: 接收“pop3.126.”和发送“smtp.126.”---在“internet登录”页中输入真实登录的用户名和密码----…--完成。 选中添加的XX---属性---在“常规”选项卡中,将“pop3.126.”修改为lf126.---在“服务器”选项卡中,将“我的服务器要求身份验证”选中---确定。 此时outlookexpress配置完成,并可以测试是否能正常进行通信。 2、安装PGP软件 在安装完毕后,一定要重新启动计算机。 重启后,需要对PGP进行配置,配置信息参考licenseinfo.txt文件,即为: 用户名: User2004 组织名: Group2004 LicenseNumber: : CUPVJ-RMRME-N4MYZ-M1ZUQ-26CWD-M0A LicenseAuthorization中输入下面的全部内容: -----BEGINPGPLICENSEAUTHORIZATION----- ADIAApAAAKCZEwROEfJ2khJVeBe7UZ9FSHkHGwCeOkt8cL0Qk3GFSp3dEtVcGc4Hs= -----ENDPGPLICENSEAUTHORIZATION----- 3、生成公私钥对,具体步骤 打开安装的PGP软件----“keys”菜单中选择“newkeys”---“expert”---按照向导继续配置下去即可。 4、导出自己的密钥 右击自己创建的密钥----选择“export”---选择保存位置和保存名称---确定 5、把密钥传输给另一个人(需要打开你加密正文或附件的用户) 通过的方法可以传输 可以通过网上邻居传输 6、将接收到的密钥导入到自己的keys中 对方接收到密钥以后,将其导入到自己的“PGPkeys”中,然后选择刚导入的公钥,单击“keys”菜单中的“sign”---在图1中可以选择其他配置信息,单击“ok”---在图2中输入本人的私钥密码----点击“ok”,此时表示对方的公钥已经被导入进来。 图1 图2 7、利用PGP加密附件 右击要加密的附件----选择“PGP”中的“encrypt”—打开如图3所示对话框,在这里把对方的公钥从上面的对话框中拖到下面的对话框,如图4所示结果。 ----选择上对方的公钥,单击“ok”,即对文件进行了加密。 图3 图4 打开outlook---新建---输入收件人地址-----到加密的附件添加进来,并发送给对方即可。 8、对加密附件进行解密 把附件保存到本机---右击该附件---选择“PGP”中的“decypt”---输入私钥密码----确定即可。 (三)防病毒软件的使用 使用RAV瑞星或KV300等杀毒软件的有关杀毒功能,检测Windows2000/XP网络系统,将检测结果和使用步骤写成实训报告。 在网络上搜索目前流行的杀毒软件,并下载一些共享软件或试用版使用。 思考: 恶性病毒的破坏作用主要有哪些? 比较目前流行的杀毒软件的特点。 (四)CA证书的安装、申请及在Web中的应用: 证书申请和证书签发;基于SSL的安全Web服务配置;CRL签发;用户管理和证书查询(必做) 1、实验目的 通过观察和动手实验,使学生更深入理解PKI公钥基础设施中数字证书的作用,以win2000server CA中心为例,学会客户端如何从独立CA中心申请数字证书,CA中心如何签发证书。 2、实验原理 2.1 PKI基础 PKI(PubicKeyInfrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。 PKI基于数字证书基础之上,使用户在虚拟的网络环境下能够验证相互之间的身份,并提供敏感信息传输的XX性、完整性和不可否认性,为电子商务交易的安全提供了基本保障。 一个典型的PKI系统应包括如下组件: (1)安全策略 安全策略建立和定义了组织或企业信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。 (2)证书操作阐述CPS(CertificatePracticeStatement) 一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务,所以需要提供CPS给其使用者参考,以供其了解详细的运作机理。 CPS是一些操作过程的详细文档,一般包括CA是如何建立和运作的,证书是如何发行、接收和废除的,密钥是如何产生、注册和认证的等内容。 (3)证书认证机构CA(CertificateAuthority) CA系统是PKI的核心部分,因为它管理公钥的整个生命周期。 CA的作用主要包括如下几个方面: 发放证书,用数字签名绑定用户或系统的识别号和公钥。 规定证书的有效期。 通过发布证书废除列表(CRL)确保必要时可以废除证书。 (4)注册机构RA(RegistrationAuthority) RA是CA的组成部分,是用户向CA申请服务的注册机构,它负责接收用户的证书申请,审核用户的身份,并为用户向CA提出证书请求,最后将申请的证书发放给用户。 (5)证书分发系统CDS(CertificateDistributionSystem) 证书通过证书分发系统对外公开发布,用户可在此获取其它用户的证书。 证书的发布可以有多种途径,比如,用户可以自己发布,或是通过目录服务器向外发布。 (6)基于PKI的应用接口 PKI是一个安全框架,它的价值在于使用户能够方便地使用加密、数字签名等安全服务,为此一个完整的PKI必须提供良好的应用接口,可以在此基础上提供多种安全应用服务。 2.2 数字证书 数字证书相当于我们平常使用的XX,XX用于标明使用者的身份,数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的XX明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。 数字证书是经证书认证机构数字签名的,包含用户身份信息、用户公开密钥信息的一个文件。 由于证书是由证书认证机构颁发的,有证书认证机构的数字签名,所以证书的拥有者是被证书认证机构所信任的。 如果可以信任证书认证机构,则完全可以信任证书的拥有者。 所以通过证书,可以使证书的拥有者向系统中的其它实体证明自己的身份。 数字证书的存储格式标准有多种,X.509是最基本的证书存储标准格式。 X.509格式的数字证书结构如下图所示。 证书的版本 证书序列号 签名算法标识 证书签发机构名 证书有效期 证书持有者用户名 证书用户公钥信息 签发者唯一标识符 证书持有者唯一标识符 签名值 图4.1 X.509格式的数字证书结构 各项具体内容包括: 证书的版本号(Version): 0表示X.509V1证书标准;1表示X.509V2证书标准;2表示X.509V3证书标准。 证书序列号(SerialNumber): 签发机构分配给证书的一个唯一标识号,同一机构签发的证书不会有相同的序列号。 签名算法(Signature): 包含算法标识和算法参数,标明证书签发机构用来对证书内容进行签名的算法。 证书签发机构名(Issuer): 用来标识签发证书的CA的名字,包括其国家、省市、地区、组织机构、单位部门和通用名。 证书有效期(Validity): 包含两个日期,一个是证书开始生效的日期,一个是证书有效的截止日期。 当前日期在证书有效期之内时,证书的有效性验证才能通过。 证书用户名(Subject): 证书所有者的甄别名。 包括国家、省市、地区、组织机构、单位部门和通用名,还可包含email地址。 证书用户公钥信息(subjectPublicKeyInfo): 包含用户公钥算法和公钥的值。 签发者唯一标识符(IssuerUniqueIdentifier)。 签发者唯一标识符在第2版加入证书定义中。 此域用在当同一个X.500名字用于多个认证机构时,用一比特字符串来唯一标识签发者的X.500名字。 该项可选。 证书持有者唯一标识符(SubjectUniqueIdentifier)。 持有证书者唯一标识符在第2版的标准中加入X.509证书定义。 此域用在当同一个X.500名字用于多个证书持有者时,用一比特字符串来唯一标识证书持有者的X.500名字。 可选 签名值(Issuer’sSignature)。 证书签发机构对证书上述内容的签名值。 除了X.509标准之外,数字证书的存储标准还有PKCS#7、PKCS#12等标准。 其中,PKCS#7标准是用来传输签名数据的标准格式;PKCS#12标准是用来传输证书和私钥的标准格式。 2.3 CA系统 如果将数字证书比喻为出差时能证明我们身份的“介绍信”,那么CA就好比开出“介绍信”的工作单位,它能证明证书持有者的身份。 在互联网上,CA定义为: 一个可信实体,发放和作废公钥证书,并对各作废证书列表签名。 证书认证机构CA(CertificationAuthority)是PKI的核心部分,用于创建和发放数字证书。 创建证书的时候,CA系统首先获取用户的请求信息,其中包括用户公钥(公钥一般可由用户端产生,如电子程序或浏览器等)等。 CA将根据用户的请求信息产生证书,并用自己的私钥对证书进行签名。 证书在使用过程中,其他用户、应用程序或实体需下载安装CA根证书,使用CA根证书中的公钥对CA颁发的证书进行验证,如果对证书中CA的数字签名验证通过,则证明这个证书是CA签发的。 进一步来说,如果一个CA系统是可信的,则此证书的拥有者也是可信的。 3、CA系统的结构 一个典型的CA系统包括安全服务器、登记中心RA服务器、CA服务器、LDAP目录服务器和数据库服务器等。 (1)安全服务器 安全服务器面向普通用户,用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务。 安全服务器与用户的的通信采取安全信道方式(如SSL的方式,不需要对用户进行身份认证),从而保证了证书申请和传输过程中的信息安全性。 (2)CA服务器 CA服务器是整个证书机构的核心,负责证书的签发。 CA服务器是整个结构中最为重要的部分,存有CA的私钥以及发行证书的脚本文件。 出于安全的考虑,应将CA服务器与其他服务器隔离,所有通信采用人工干预的方式,确保认证中心的安全。 (3)登记中心RA 登记中心服务器面向登记中心操作员,在CA体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。 (4)LDAP服务器 LDAP服务器提供目录浏览服务,其他用户通过访问LDAP服务器就能够得到其他用户的数字证书。 (5)数据库服务器 数据库服务器是认证机构中的核心部分,用于认证机构数据(如密钥和用户信息等)、日志和统计信息的存储和管理。 4、CA系统的主要功能 CA系统的主要功能是对证书进行管理,包括颁发证书、废除证书、更新证书、验证证书、管理密钥等。 (1)颁发证书 从使用者角度来看,证书可以分为系统证书和用户证书,系统证书是指CA系统自身使用的证书,例如最高层的根CA自身的根证书等;用户证书按照应用的角度又可以分为个人用户证书、企业用户证书和服务器证书等。 颁发证书的流程如下: 首先用户到CA的注册机构RA或业务受理点或通过web等提交证书申请。 如果用户自己产生公私钥对,证书申请中包含了个人信息和公钥;如果由CA产生公私钥,则证书申请中只包含个人信息。 接着RA等机构对用户的信息进行审核,审核用户的相关关键资料和证书请求中是否一致,更高级别的证书需要CA进行进一步的审核。 审核通过后,CA为审核此用户签发证书,证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 信息 安全 指导书