信息安全实验报告.docx
- 文档编号:25294366
- 上传时间:2023-06-07
- 格式:DOCX
- 页数:19
- 大小:1.49MB
信息安全实验报告.docx
《信息安全实验报告.docx》由会员分享,可在线阅读,更多相关《信息安全实验报告.docx(19页珍藏版)》请在冰豆网上搜索。
信息安全实验报告
实验报告
(201/201学年第学期)
课程名称
信息安全技术
实验名称
防火墙和安全IP实验
实验时间
年
月
日
指导单位
指导教师
实验报告
实验名称
防火墙和安全IP实验
指导教师
沈苏彬、王光辉
实验类型
上机
实验学时
8
实验时间
2015-10-21/22/29
一、实验目的和要求
(1)理解防火墙技术和安全IP技术的原理
(2)掌握个人电脑的防火墙、安全IP的配置方法。
(3)完成防火墙的配置和测试、安全IP的配置和测试、以及基于报文嗅探软件的测试。
要求独立完成实验方案的设计、配置和测试;要求独立完成实验报告的编写。
二、实验环境(实验设备)
硬件:
微机
软件:
嗅探软件Wireshark,Windows系统
三、实验原理及内容
实验1:
安全IP实验。
两个同学为一组进行试验;如果没有找到合作进行实验的同学,并且存在多余的实验电脑,则可以一位同学通过两台电脑完成实验。
1.1实验和测试在没有安全IP保护的网络环境下的网络安全危险:
实验和测试在没有安全保护的情况下,通过嗅探报文可以看到在同一个网段内传送的所有IP报文以及这些IP报文包括的内容,例如可以通过Ping另一台电脑,通过嗅探软件,测试是否能够分析出Ping报文。
1.2配置和测试安全IP:
在两台电脑上配置安全IP策略,选择安全关联建立的方法(例如:
采用基于共享密钥的安全关联建立方式),通过嗅探软件,观察和分析安全IP的安全关联建立过程,以及嗅探软件可以窥探到安全IP报文的哪些内容。
1.3通过嗅探软件,对照安全IP的原理,观察和分析安全IP的特性,例如观察安全IP的面向连接特性等。
实验2:
防火墙实验。
两个同学为一组进行试验;如果没有找到合作进行实验的同学,并且存在多余的实验电脑,则可以一位同学通过两台电脑完成实验。
2.1通过配置防火墙的“入站规则”和“出站规则”,实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制,以及设置防火墙电脑对某台联网电脑访问限制,并且通过相关网络应用(例如Ping),测试防火墙的作用。
2.2通过配置防火墙的“入站规则”和“出站规则”,实现访问控制列表中对某类应用(例如基于ICMPv4的Ping)访问设置防火墙电脑的限制,以及设置防火墙电脑对某类应用(例如基于ICMPv4的Ping)访问限制,并且通过对该应用的使用,测试防火墙的作用。
2.3配置和验证自己认为具有实际应用价值的个人电脑防火墙规则,并且测试该防火墙的作用。
2.4罗列以上防火墙配置对应的访问控制列表。
实验报告
实验1安全IP实验
1.安全IP的配置步骤
(1)从系统控制面板出发,打开系统与安全功能,打开管理工具选项,找到本地安全策略。
(2)点开本地安全策略,找到本地电脑IP策略。
新建IP安全策略,描述中填写“IPSec学习练习”,点击下一步,进入配
(3)创建IP安全规则,点击增加,进入IP安全规则创建过程;选择“此规则不指定隧道”,即选用传输模式IPSec,选中后单击“下一步”按钮;选择“所有网络连接”,单击“下一步”按钮,进入配置IP过滤器列表阶段。
(4)IP过滤器列表配置。
点击新增按钮,新建IP过滤器列表,进行过滤器列表配置;点击新增,进行IP过滤器配置,点击下一步;描述内容“与同组主机进行安全的icmp通信”;源地址选择“我的IP地址”;目的地址选择“一个特定的IP地址”,填写另一台主机的IP地址,;选择“ICMP”协议类型,单击“下一步”按钮。
单击“完成”按钮,完成IP过滤器配置。
(5)过滤器行为配置。
根据上图所示,选择新增的过滤器列表,点击下一步,进入过滤器行为配置阶段。
点击新增,进行过滤器行为配置。
行为命名为“安全的ICMP通信”;“筛选器操作常规选项”中选中“协商安全”,单击“下一步”按钮;选中“不与不支持IPSec的计算机通信”,单击“下一步”按钮;在“IP通信安全措施”中,选择“完整性和加密”,单击“下一步”按钮;最后单击“完成”;
(6)“身份验证方法”界面。
选中“使用此字符串保护密钥交换(预共享密钥)”,填写共享密钥“lin”(主机A、主机B的共享密钥必须一致),单击“下一步”按钮,直至最终完成。
(注意:
应用策略之前必须指派策略,否则策略不会自动生效。
右键点击“IP安全策略”,选择“指派assign”使策略生效。
)
(7)完成IPSec配置。
2.测试结果与分析
使用wireshark抓去ping的数据包的报文通常有其固定的格式:
报文长度(98bytes)=以太网头(14bytes)+IP头(20bytes)+ICMP报文(64bytes)
其中,以太网头(14bytes)=目的MAC(6bytes)+源MAC(6bytes)+以太网类型0800(2bytes)
我们以(a)策略为例进行分析:
(a)主机A不指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:
ping主机B的IP。
ping操作反馈信息与报文嗅探软件给出的结果:
由ping的结果可以看出两台主机连接通道良好,没有丢包现象,可以进行后续分析。
如上图报文结果所示。
其中:
以太网头为:
eca86ba8cce8eca86ba8ce390800
IP头:
4500003c11a10000800100000a144fc10a144fc0
IMCP报文:
08004d5a000100016162636465666768696a6b6c6d6e6f70
71727374757677616263646566676869
按照相同的分析方法,我们可以一次分析以下几种情况:
(b)主机A指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:
ping主机B的IP
ping操作反馈信息与报文嗅探软件给出的结果:
在A指派,B不指派的情况下,我们可以发现在ping的结果中发送的报文为4,接受为0。
在wireshark的报文接收界面中,按照上述分析,A主机无法ping到B主机。
上述报文中恰巧反映这点。
(c)主机A指派策略,主机B指派策略。
主机A在“cmd”控制台中,输入如下命令:
ping主机B的IP
ping操作反馈信息与报文嗅探软件给出的结果:
在A主机和B主机都指派的情况下,A主机成功发送和接受了数据包,因此连接稳定无问题。
再次基础上我们对接受的数据包进行分析。
、ESP(EncapsulatingSecurityPayload)协议分析
分析析源地址为主机A的IP、目的地址为主机B的IP的数据包信息;根据ESP报文格式,对数据进行分析与安全参数索引SPI。
(按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→ESP报头的顺序解析数据。
)
在该ESP协议下的报文中,安全参数索引SPI为4个字节,即“bb1574d9”。
通过这个SPI发送给对方的时候,对方只需要查看SADB数据库中的SPI来匹配,然后通过该SPI下的加密参数和策略来进行解密。
、AH(AuthenticationHeader)协议分析
主机A、B同时进行如下操作,修改“ICMP安全通信策略”,利用AH协议对数据源进行身份验证,而不对传输数据进行加密处理,选择MD5,点击确定。
主机A对主机B进行ping操作,待操作完成,协议分析器停止捕获数据包。
切换至“协议解析视图”,观察十六过制显示区数据,按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→AH报头的顺序解析数据。
在此情况中,我们探讨在AH协议下的数据处理分析思路。
如上图所示,蓝色面积即为AH报文,其他内容和上述结论一致。
上图为AH报文的构成方式。
其中“下一个报头”为“01”。
报体长度为“04”。
预留是“0000”。
安全参数索引SPI为“4738b3d3”。
顺序编号为“00000005”。
剩下字段为身份验证数据和填充数据。
实验2防火墙实验
设置防火墙的入站和出站规则,可以实现阻挡或者允许特定程序或者端口进行连接。
在windows防火墙高级设置中可以完成相应的设置。
在该实验中,本机(A机)IP地址为10.20.66.128,同学电脑(B机)IP为10.20.66.133
2.1通过配置防火墙的“入站规则”和“出站规则”,实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制,以及设置防火墙电脑对某台联网电脑访问限制,并且通过相关网络应用(例如Ping),测试防火墙的作用。
在进行防火墙的相关设置之前,将A机尝试pingB机,结果如图。
可见,在进行防火墙出入站规则修改之前,两者可以联通。
下面,进行防火墙出站规则的修改,大致的设置步骤整理如下:
(1)点击“出站规则”->“新建规则”->“自定义”
(2)点击“作用域”,在远程IP地址中添加目标IP(),再确定。
(3)点击“操作”,选择“阻止连接”选项。
(4)最后修改名称为“阻止连接”,点击完成。
(5)配置完成后,在出站规则列表中的视图如下:
(6)最后开启防火墙
最后在本机对B机进行PING操作,结果如下:
可见,此时A机无法连接上B机。
另外,在B机上PingA机时,在B机上有如下结果:
发现,此时B机可以访问A机,综合上两图,该结果符合实验预期。
接下来可以设置防火墙对于某类应用的限制。
比如说将PING.exe设置静止访问,那么应该可以拒绝PING语句的作用。
比如说如下图配置,将system32文件夹下面的PING.EXE设置为阻止连接。
2.2通过配置防火墙的“入站规则”和“出站规则”,实现访问控制列表中对某类应用(例如基于ICMPv4的Ping)访问设置防火墙电脑的限制,以及设置防火墙电脑对某类应用(例如基于ICMPv4的Ping)访问限制,并且通过对该应用的使用,测试防火墙的作用。
在这部分实验中,我们尝试将PING.exe设置静止访问,即可以拒绝PING语句的作用。
按照类似实验2.1的配置,将system32文件夹下面的PING.EXE设置为阻止连接。
配置成功后的截图如下:
再在操作中选择“阻止连接”选项,点击完成即可。
理论上操作至此已经满足要求,但实际操作却发现ping操作仍可用。
这是由于ping操作是系统层面上的应用,不能仅仅通过禁用某个可执行程序就能将它禁用,要达到效果,需要禁用ICMP协议。
于是我们进行了如下操作(在出站设置当中禁用了这里的ICMP的IPv4当中的协议):
此时,再进行ping操作发现A、B两机无法互相访问,操作结果如图:
2.3配置和验证自己认为具有实际应用价值的个人电脑防火墙规则,并且测试该防火墙的作用。
我们可以在出站规则中禁用有个IP,以禁止访问某些已知的带有诈骗、木马链接的有害网站网站,此处我们以禁止访问IP地址210.59.228.209为例。
具体的设置步骤与实验2.1类似,结果测试如下:
可见,符合设计预期。
2.4罗列以上防火墙配置对应的访问控制列表。
表1实验2.1访问控制列表
动作
源IP地址
源端口号
目的IP地址
目的端口号
说明
禁止
*
*
10.20.66.133
*
阻止B机访问
允许
*
*
*
*
*
表2实验2.2访问控制列表
动作
源IP地址
源端口号
目的IP地址
目的端口号
说明
禁止
10.20.66.133
*
*
1
禁止ICMP协议
允许
*
*
*
*
*
表3实验2.3访问控制列表
动作
源IP地址
源端口号
目的IP地址
目的端口号
说明
禁止
10.20.66.133
*
210.59.228.209
*
禁止访问某网站
允许
*
*
*
*
*
*思考题:
(1)安全IP技术包括哪些?
答:
包括安全协议、安全关联、密钥管理、身份验证算法与加密算法。
(2)常用的IP报文身份验证算法有哪些?
安全性如何?
答:
IP报文的身份验证算法MD5、SHA-1、HMAC与数字签名等等。
SHA-1比MD5更为安全,如果私钥不丢失的话,数字签名最为保险。
(3)常用的IP报文加密算法有哪些?
安全性如何?
答:
报文加密算法有DES、TDES以及RC4算法。
TDES的安全性显然高于DES,均强于RC4算法,但是RC4算法使用较简单。
实验报告
四、实验小结(包括问题和解决方法、心得体会、意见与建议等)
通过这几次实验,初步掌握了Wireshark软件的使用,了解了基于安全IP的安全数据传送方法。
同时学会在电脑上配置防火墙的入站规则与出站规则,对防火墙的功能有了更加直观深入的理解。
实验中,通过分析报文、设置防火墙出入规则,将理论知识应用于实践过程中,不仅增强了对课本理论知识的理解能力,更增强了动手能力,为以后的进一步学习打下了坚实的基础。
理论和实际的结合让我们学到了许多课堂讲义学不到的东西,进一步学会了网络安全知识的概念,初步掌握了各项协议与算法的原理与结构,提升了我们在网络安全方面的能力。
希望以后的课程可以有更多的实验课,加深对课程的理解,锻炼实践能力。
五、指导教师评语
成绩
批阅人
日期
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 实验 报告