您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 计算机网络安全实训大纲
《计算机网络安全实训大纲》实训一网络安全解决方案实例目的:通过本次实训,掌握什么是网络安全,网络安全的隐患,网络安全的模型、机制和服务,网络安全系统的等级标准,通过案例分析掌握网络安全如何解决的。要求:1、掌握网络安全隐患的产生原因,解决网络安全的问题的途径有哪些?2、掌握网络安全的模型、机制和服务。3、掌握网络安全等级标准,安全系统的运行和管理的方法。实验课时:2课时。实验内容:一、校园网安全解决方案。(1)首先了解校园的结构:校园网的内网是典型的树形结构。第一层校园主干网采用了先进的1000MB以太网技术,以光缆相互联通。第二层为100MB以太网,以超5类非屏蔽双绞线联通,第三层为10MB以太网,以超5类非屏蔽双绞线交换到桌面。(2)防火墙有3个端口,一个端口联结到内网,另一个端口联结到外网;第三个端口联结到服务器群。这样可以阻止外网发起的攻击,也能阻止内网出现的骚乱,保证服务器群的安全,也阻断了内网和外网的相互撕杀。(3)防火墙是通过路由器联结到外网的。外网包括:使用光缆以100MB带宽接入教育科研网,再联接互联网;以拨入服务器和Modem池通过公共电话网为在校外的散户提供拨入服务;使用微波与海淀走读大学的东校区、南校区、北校区和中关村校区联网。某一大学校园网拓扑结构示意图DNS服务器FTP服务器BBS服务器Mail服务器Acc服务器服务器路由器微波互联网电话网东校区南校区北校区中关村散户散户散户防火墙教育网一级交换机图书馆办公楼一楼二楼二、虚拟私有网VPN解决方案。(1)首先了解什么是虚拟私有网VPN:就是借用四通八达的互联网来营造自己的私有网络,使用的是互联网的廉价、广泛的网络服务,并采用了一定的技术,使得你的信息不被未被授权的人所解读,也不能伪造和篡改。(2)虚拟私有网的建立方法。用一“VPN”网关把可信任的私网或私有的机器,联结到公有的互联网上。由“VPN网关”来保障经由互联网的信息的安全。(3)VPN网关的选择:基于软件的VPN网关;基于专用硬件平台的VPN网关;辅助硬件平台的VPN网关(4)虚拟私有网VPN的有关协议TCP/IP国际互联网采用的协议,由到TCP/IP本身存在的缺陷导致了互联网的不安全,主要表现在TCP/IP协议数据流采用二级交换机三级交换机服务器计算机二级交换机二级交换机二级交换机三级交换机服务器三级交换机服务器三级交换机服务器计算机计算机计算机计算机计算机计算机明文传输、源地址欺骗、源路由选择信息协议攻击、鉴别攻击等几个方面,因此数据信息很容易被在线窃听、篡改和伪造。实现VPN通常用到的安全协议主要包括:SocksV5、IPSec和PPTP/L2TP。PPTP/L2TP用到链路层,IPSec主要应用于网络层,SocksV5应用于会话层。为了解决互联网所面临的不安全因素的威胁,实现在不信任通道上的数据安全传输,合安全功能模块能兼容IPv4和下一代网络协议IPv6,IPsec协议将会是主要的实现VPN的协议。(5)虚拟私有网VPN示意图VPN网关VPN网关VPN网关VPN网关企业本部私网企业本部私网企业本部私网互联网可信任的客户企业派出的雇员实训二网络平台的安全与漏洞目的:通过本次实训,让学生了解漏洞的概念、类型,常见网络平台的漏洞及补救办法。要求:1、掌握漏洞的概念,常见的漏洞有哪些。2、了解Netware系统的安全性及其存在的安全漏洞。3、掌握WindowNT系统的安全及其存在的安全漏洞。实验课时:2课时。实验内容:一、NetWare系统的安全性及存在的安全漏洞。1、NetWare系统的安全性的表现(1)NetWare系统目录服务在访问控制方面,NetWare使用目录服务(DNS)提供层次式的分配和管理网络访问权的方法。可以使用一个控制台对整个网络环境的管理。管理员可以指定子管理员,使之具有对目录对一小部分的超级特权,网络访问活动是集中式的。用户登录进入时,可向整个DNS提出授权检查,而不只是特定的服务器或者目录树的一部分。(2)账户管理器NetWare账户管理非常容易,可使用nwadmn32实用程序来完成。也可直接从服务器中使用ConsoleOne管理账户(3)文件系统NetWare系统对文件的管理是通过nwadmn32进行控制的,可以保证NDS管理员快速识别分配给每个用户的访问权限。(4)日志记录和审核NetWare服务器可以生成两类日志:一种是由console.nlm生成的控制台日志,该日志记录着所有控制台活动和出错的信息;另一种是由auditcon实用程序生成的审核日志。Auditcon程序允许系统管理员监视包括从用户登录到口令修改和特定文件的访问等一系列情况,可以监视约束多达70个事件,还允许系统管理员指定的用户监视服务器的情况。(5)网络安全NetWare系统本身具有一套较为完善的网络安全体系,如对目录和文件的控制就有以下安全规定:禁止删除;隐藏;清除。除此之外,NetWare管理员还提供了对文件更为严格的管理,可设定文件的只读属性、只执行属性和禁止拷贝属性。所有这些使得NetWare系统成为优秀WEB服务器平台的最佳选择,即使有远程黑客的侵入,它也只能危害系统的一个区域,很难访问整个系统。2、NetWare系统的安全漏洞(1)获取账号刚安装的NetWare系统中,有SUPERVISOR和GUEST两个缺省账号,在NetWare4.x中相应的是ADMIN和USER_TEMPLATE。所有这些账号在开始的时候都没设口令。在安装系统时,管理员会马上给supervisor和admin口令,而忽视了GUESTT和USER_TEMPLATE,黑客连上该服务器后,就可以给这个用户设置口令,使用这两个账号把自己隐藏起来。(2)查阅合法账号黑客可以查阅合法账号其方法有以下几种:运行SYSCON;使用CHKNULL.exe程序(3)获得超级用户的账号在NetWare系统刚刚安装到服务器上,安全系统还没有建立,超级用户的口令是空的,可以随便登录。二、WindowsNT的安全性及存在的安全漏洞1、WindowsNT的安全性(1)WindowsNT安全性分析:凡是与互联网相连的WindowsNT计算机都使用NTFS文件系统,主要是基于文件安全性能的考虑;对于试图非法进入系统的用户,由于口令的输入是第一道关卡,所以WindowsNT的用户管理员可以设置措施,在口令加上次数限制;作用WindowsNT的审计功能,可以跟踪一些特殊或非法事件的进程,从事件的日志中分析可能遇到的侵袭或有可能即将遇到的攻击。(2)Kerberos和WindowsNTKerberos是一种验证协议,该验证协议定义了一个客户端和一个密钥分配中心的网络验证服务之间的接口。Kerberos客户端的运行是通过一个基于SSPI的WindowsNT安全性接口来实现的。Kerberos验证过程的初始化集成到WinLogon单一登录的结构中。(3)加密文件系统WindowsNT5.0中提供一种基于新一代NTFSR的加密文件系统(EFS)。一个文件在使用之前不需要手工加密,因为加密和解密对用户是透明的,加密和解密自动地发生在从硬盘中读取数据以及向硬盘写入数据时。同时WindowsNT5.0支持从单一文件到整个目录的加密和解密功能。如对一个目录进行加密,目录中所有的文件都自动地进行加密。(4)WindowsIPSecurity安全性支持为了防止来自网络内部的攻击,WindowsNT推出了一种新的网络安全方案----IPSecurity(IP安全性),它符合IETF宣布的IP安全性协议的标准,支持在网络层一级的验证、数据完整性和加密。它和WindowsNTServer内置的安全性集成在一起,为维护安全的Internet和intranet通信,WindowsNT提供了一个理想的平台。2、WindowsNT的安全漏洞(1)部分安全漏洞:第一个漏洞是建立域名的问题,域用户可以不断的建立新的用户直到系统资源枯竭。WindowsNT能方便地建立组这个特性很容易遭到拒绝服务的攻击。另一个漏洞为PPTP协议的缺口,可使WindowsNT虚拟专用网络的默认口令被破解(2)其他漏洞紧急修复盘产生的安全漏洞;被无限制地尝试联接;最近登录用户名显示问题;打印机问题。实训三病毒和黑客攻击的防范目的:通过本次实训,让学生了解网络病毒的防范,黑客如何攻击及如何防备,了解黑客如何对口令进行破解,口令破解工具的使用。要求:1、了解Web站点安全性及如何保证。2、了解黑客进行系统常使用的方法及使用的工具。3、如何判断机器有黑客闯入的迹像。4、如何正确的使用口令。实验课时:8课时。实验内容:1、WEB的安全问题包括两个方面的问题:WEB服务器端安全和客户端安全。(1)WEB服务器的安全:程序本身的错误;访问权授给所有人;复杂的配置;CGI和表单(2)客户端的安全:用户在不经意的情况下泄露了自己的用户名和口令,或者泄露了自己的电子邮件地址,都有可能为黑客提供作案信息。2、WEB站点面临的威胁:(1)WEB服务器的信息被破译。(2)WEB站点上的数据被非法访问。(3)远程用户向服务器传输的信息被截获。(4)系统中存在BUG。(5)CGI脚本的危害。3、黑客攻击的目的:窃取信息;获取口令;控制中间站点;获得超级用户权限4、口令破解的过程:黑客在破解口令时首先寻找系统是否在存在没有口令的户头,其次试探系统是否有容易猜出的口令,再次寻找存放口令的文件,最后使用口令破译工具,可以得到加密的口令的明文。5、常见的口令破解工具:Unix平台的Crack;NovellNetWare平台的Crack;适用于WindowsNT平台的scannt.exe实训四监听器与扫描器的使用目的:通过本次实训掌握在网上获取的信息的方法及使用形式,掌握扫描器的使用。要求:1、掌握网络监听在不同传输介质上不同效果。2、了解常用的监听工具。3、了解常见的扫描器及使用方法。实验课时:6课时。实验内容:1、网络监听是指:获取在网络上传输的信息。系统管理员为了在效地管理网络、诊断网络问题而进行网络监听,也有黑客为达到某些目的而进行网络监听。2、在不同的传输介质上,信息监听的可能性不同:传输介质监听的可能性原因Ethernet高Ethernet是一个广播型网络,互联网的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果。FDDIToken-ring较高令牌环网不是一个广播型网络,但带有令牌的那些包在传播过程中,平均要以过网络上一半的计算机。电话线中等可被人搭线窃听,在微波线路上的信息也会被截获。IP通过有线电视信道高有线电视信道传输的信息没有加密,可以被一些可以从物理上访问到的TV电缆的人截听。微波和无线电高任何一个有无线电接收机的人都可以截获那些传输的信息。3、常用的监听工具(1)Snoop:可以截获网络上传输的数据包,并显示这些包中的内容。它可以以单行的形式只输出数据包的总结信息,也可以以多行形式对包中信息详细说明。(2)Sniffit软件:该软件运行于Solaris、SGI、Linux等平台的一种免费网络监听软件,具有功能强大且使用方便的特点。用户可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口。4、扫描器简介:扫描器是自动检测远程或本地主机安全性漏洞的程序包。系统管理员使用有助于加强系统安全性,对于黑客,扫描器则是他们进行攻击的入手点。但扫描器不能直接攻击网络漏洞。5、目前流行的扫描器有:NNS网络安全扫描器,stroke超级优化TCP端口检测程序,SATAN安全管理员的网络分析工具、JAKAL、XSCAN等。6、端口扫描(1)端口:每个应用程序被赋予一个唯一的地址,这个地址称为端口。指定的应用程序与特殊端口相连,当任何联接请求到达该端口时,对应的应用程序便被发送出去。修改视频剪辑(2)端口扫描:是一种获取主机信息的好方法。不同的系统所提供的开放端口是不一样,下表列出公共端口与对应的服务或应用程序。服务或应用程序FTPSMTPTelnetGopher
本文标题:计算机网络安全实训大纲
链接地址:https://www.777doc.com/doc-1269225 .html