M学院西南科技大实验名称交换机安全测评及加固实验地点实验日期指导教师学生班级学生姓名学生学号提交日期2015年3月信息安全系制、实验目的通过对交换机进行安全测评和安全加固，掌握交换机安全测评方案的设计、安全测 评实施及结果分析；了解安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求，按照实验指导书中的 示范，对交换机进行安全测评，安全等级为三级。三、实验设计应从结构安全、访问控制、 安全审计、边界完整性检查、入侵防范、恶意代码防 范、网络设备防护这七个方面入手，按照信息系统安全等级保护基本要求的第三级 基本要求进行测评，重点查看交换机中的各项配置信息，密码等设置是否符合要求。结构安全（G3）c）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的，动态路由是 路由器动态建立的，为了保证网络安全，应添加认证功能。此外，采用内部路由和外部路由。对于外部路由要进行验证，例如ospf协议要进行验证， 对于内部路由要按照访问路径进行访问，可以 tracert 一下，检查是否按照设计的路径进行 访问。f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之 间采取可靠的技术隔离手段；针对大型的网络，采用动态路由，对进出各区域的路由进行控制（特别在不同动态路由协议 之间的重分布如 OSPF， EIGRP 等之间，路由过滤，路径选择等控制），允许必要的外部 路由进入，允许向外通告内部路由。可通过询问管理员的方式看是否采用了隔离手段。g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优 先保护重要主机。对数据包进行过滤和流量控制。访问控制（ G3）c） 应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制；询问系统管理员是否对进出网络的信息内容进行过滤。d）应在会话处于非活跃一定时间或会话结束后终止网络连接； 使会话处于非活跃一定时间或会话结束后看是否终止网络连接。e）应限制网络最大流量数及网络连接数； 打开防火墙，查看网络是否限制了上行和下行的带宽，以及容许连接的最大值。f）重要网段应采取技术手段防止地址欺骗；方法：重要网段绑定MAC地址和IP地址。安全审计（G3）c）应能够根据记录数据进行分析，并生成审计报表； 查看日志系统。d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 查看日志系统的读、写、可执行的权限。边界完整性检查（ S3）本项要求包括：a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有 效阻断；b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行 有效阻断。手段：访问网络管理员，询问采用了何种技术手段或管理措施对“非法外联”行为进行检查， 以及对非授权设备私自联到内部网络的行为进行检查。在网络管理员配合下验证其有效性。入侵防范（ G3）b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入 侵事件时应提供报警。询问管理员是否有报警措施。恶意代码防范（ G3）a）应在网络边界处对恶意代码进行检测和清除； 查看防火墙设置，是否安装杀毒软件。b）应维护恶意代码库的升级和检测系统的更新。 查看是否安装杀毒软件，杀毒软件版本是否是最新。查看系统版本信息。网络设备防护（ G3）d） 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别； 重新启动设备，查看登录设备所需的条件。（即是否进行认证，认证方法有几种）h）应实现设备特权用户的权限分离。查看是否有管理员，审计员等除了管理员的其他特权用户，查看用户的权限。四、实验记录结构安全本项要求包括：a）设备的业务处理能力具备冗余空间，满足业务高峰期需要;1打开putty，输入用户名和密码，登录终端10. 11.5.251 - PuTTT叵|冈login 3 : student|_|stuzlentH 10.11 5 2 5 L 1 3 pasiTiTcrd:Access deniedIstudent 10 c 11.5 2 511 a passwarcL:.古：3opvight. c； 2034-2008 Hangzlio i H3 3 Teel:匚口.Ltd All rights reserved -H * DI it ho lit the OLaner1 s pt ior written, consent古 no dEconipiling or reverse-engineering shal 1 be alLooTed古KirKKKKKKTKTKTKFKFKKKKKKKKKKTKTKTKFKPKKKKKKKKTKTKTKTKPKITKKKKKKKKTKTKFKFKPKKKKKKK TTIkpr LB : : J7 : Ui j zuuu丄 uu rijiELL/i/Lui；丄 II:- 1 - SLUdeiLE i 丄 LI.：丄m uHmu丄丄匚gin|I2. 输入display epu查看CPU使用率:H3C-53 ：L卜upu|Unit 1Board 0 CPU busy status: 19 in last 5 seconds 22k in last 1 minute 20% in last S minu.t己m3. 输入display memory查看内存使用情况H3 C-S3 100t-display meniotryUnit 1Syst亡in kvailatole Hertiory (bytes ) : 33 141504System Hsd Memory(bytesJ : 944 6366ITsed. Rate: 28：4. 输入display eonneetion查看会话连接数情况display conn亡匸匕:1口口 Unit iIndex=lUser naitie = stud 亡口匸 日卩日匸亡 niIP=10.11.5.35Index=4User naitie = student 373 teniIP=10.11.5.37Index=5 U3er= student systemIP=10.11.5.58Index = 6f User najne = studentsyst已rtiIP=10.11.5.52Index=7 sUsername=studentsystemIP=1 ：L：L耳On Unit. 1:Total 5 con.nect.ion5 matched 5 listed.Total 5 connections mat-ched, 5 listed.实际情况：CPU、内存使用率不超过50%, connection会话数不超过最大值70%。b) 应保证网络各个部分的带宽满足业务高峰期需要。(1)键入display brief interface，查看端口使用情况,卫匚3戸丄日丫 birie：土 匚肚匕吕匕壬曰亡启：Interface:Eth 一 Et-heriiet.GE一 GiitEthernet TENGE 一 t.eiiGig：=Jj itEthL口p L口cpBac k V1an 一 V1an-int euf ace Cas一 Case adeSpeecl/11 up lex :k autonegotiat ionInterface L i nkSpeed Di.iplex Type PVID Leser ip t iuiiAukI/口/口UPEthl/0/1:血Aaccess1Ethl/口&DOWN血Aaccess1Ethl/0/3UPAIODMAfullaccess1Ethl/0/4UPAIODMAfullaccess1Ethl/0/5UPAIODMAfullaccess1Fr.hl /n/ inITPAIOMAfullaccess1Ethl/0/7DOOTAAaccess1Ethl/O/BDoraAAaccess1Ethl/0/9Dora1Aaccess1Ethl/0/10Dora1Aaccess1Ethl/0/11UP止 ICICI IIAfullaccess1 i-si /n /1 auna r newt i_i实际结果：Eth1/0/1 处于 DOWN 状态，Eth1/0/3, Eth1/0/4, Eth1/0/5, Eth1/0/11 等处 于UP状态。2)找到处于 UP 状态的端口 Ethl/0/3,键入 display interface Ethl/0/3,查看接口Ethl/0/3的详细信息。:modeLink speed 七ype is 曰u七匚|匕1已9匚|七：1包七：1匚|工1丁 1 ink dup lex t ype is autoneg口七丨优七:1匚111Flou-Eontuol is not enabledThe Max irciuin Fuaitie Length is 153 6B匚oadcast MAX一匚atio:1口PV1D; 1Hdi type: autoPort. Linlr-type: accessTagged VLAN ID : noneUnt目目旦 WLAN ID :1Last. 300 seconds input: 1 packets/sec 11址 loytes/secLast. 300 seconds output:5 packets/sec 482 loyt&s/s&cInput Ctotal) :B379 packets1049103 toytes119 tiroadcasts, 537 multicasts, 0 pausesInput Cnoritial) :8379 packets1049103 bytes119 broadcasts, 537 multicasts, 0 pausesEt hl/0/3(114+482)/(100*1024*1024)=596/10