《网络安全与管理实训》实训指导书

1．用PGP组件保证邮件安全实验目的掌握在Windows下安装和使用PGP软件，保证电子邮件的安全性。预备知识1．密码学基础；2．对称式、非对称式、Hash加密的原理；3．PGP软件的原理。建议实验环境1．使用Windows系统（Windows2000professional简体中文版）的PC机；建议实验工具1．软件包PGP；2．软件包GnuGP。实验用时180分钟。实验步骤任务一配置OutlookExpress程序1．打开OutlookExpress，输入用户名。图5-1输入邮件客户端用户名2．输入邮件地址。图5-2输入邮件地址3．输入收件服务器和发件服务器的IP地址或域名。图5-3定义邮件服务器4．输入账户名和密码，OutlookExpress配置完毕。图5-4输入账户名和密码任务二在Windows下安装PGP软件1．运行PGP软件的安装程序，点击“Next”。图5-5PGP组件安装提示界面2．输入用户名称和公司名称。图5-6输入用户名称和公司名称3．出现提示“是否已经有密钥”，选择“否”。图5-7密钥判定问询4．暂时不发送密钥，点击“完成”。图5-8安装完成任务三在Windows下运行PGP软件，并创建密钥对1．在开始菜单→programes→PGP下运行PGPtray。图5-9打开PGP主窗口2．在右下脚会出现一个小锁的图标，表示PGP软件已经运行。图5-10PGP运行图标3．用鼠标右键点击小锁图标，选择PGPkeys来创建密钥。图5-11运行PGPKeys程序4．选择“下一步”进行创建密钥的活动。5．输入用户名和电子邮件地址。图5-12输入用户名和电子邮件地址6．选择创建密钥对的算法。图5-13选择创建密钥对的算法7．选择密钥的长度。图5-14选择密钥长度8．选择密钥是否过期，如果选择过期，需要确定失效的时间。图5-15设置密钥时效9．输入私钥保护密码。图5-16输入私钥保护密码10．点击“下一步”后，看到生成的密钥。图5-17察看生成的密钥11．鼠标右键点击密钥，选择Export项导出公钥。图5-18导出密钥12．选择存储公钥的位置。图5-19选择存储公钥的位置13．成功导出后，互换密钥，在“资源管理器”中双击导入他人的公钥，选择Import。图5-20导入他人的公钥14．导入成功后可以看到自己的一对秘钥和他人的公钥。图5-21查阅导入的密钥任务四在Windows下用PGP软件加密电子邮件1．打开OutlookExpress写一封测试邮件。图5-22书写一封测试邮件2．光标放在信件内容中，鼠标右键点击小锁图标，选择CurrentWindows→Encrypt&Sign。图5-23邮件加密3．选择收信人的密钥。图5-24选择收信人的密钥4．输入发信人的私钥保护密钥。图5-25输入发信人的私钥保护密钥5．产生一封加密的电子邮件图5-26加密的电子邮件任务五在Windows下解密用PGP软件加密的电子邮件1．用OutlookExpress收邮件。图5-27接收邮件2．双击邮件，记入查看状态，把光标设在邮件的内容上，鼠标右键点击小锁图标，选择CurrentWindows→Decrypt&Verify。图5-28解密并验证邮件3．输入自己私钥密码。图5-29输入自己私钥密码4．看到信件原文内容。图5-30信件原文内容第一行：表示邮件状态良好；第二行：表示邮件的发件人地址；第三行：签名时间；第四行：验证时间；第五行至结尾：信件内容。2．配置SSL连接实验目的掌握在Windows下安装和使用安全的Web服务——SSL，从而用HTTPS（安全的HTTP）协议替换HTTP协议，实现安全的Web浏览访问。预备知识1．密码学基础；2．SSL实现的原理。建议实验环境1．使用Windows系统（Windows2000Professional简体中文版）的PC机；建议实验工具1．软件包WindowsIIS证书服务；实验用时200分钟。实验过程与步骤任务一在Windows上安装证书服务1．安装Windows2000证书服务，单击开始→设置→控制面板，选择添加/删除程序选取添加/删除Windows组件，选取证书服务。图3-1添加证书服务组件2．证书服务的安装比较重要，因此安装后不能修改计算机名，同时不能改变域的关系，选择是，继续安装。3．选择安装证书服务机构的类型，是从级别高到低，只有安装作为域控制器的Windows2000Server才能安装企业根CA和企业从属CA，本实验选择独立根CA安装。图3-2选择安装证书服务机构的类型4．输入CA的注册信息，说明CA的属性。图3-3编辑CA属性5．确定CA数据库的文件存放位置。图3-4设定CA数据库的文件存放位置6．在安装CA的过程中，需要停止IIS服务。图3-5停止IIS服务7．安装证书服务成功后，IIS服务和证书服务都会自动开启。任务二Web网站申请证书1．从开始→程序→管理工具→Internet服务管理器，选中IIS中的默认Web网站，点击鼠标右键，选取属性。图3-6选择编辑默认Web站点属性2．选取目录安全性，鼠标点击服务器证书。图3-7站点属性对话框3．选取创建一个新证书。图3-8创建新证书4．现在是创建一个证书请求文件。5．设置Web站点信息。图3-9证书参数设置——名称和密钥长度6．设置组织信息。图3-10证书参数设置——组织和部门7．设置站点的公用名称。图3-11证书参数设置——站点公用名称8．设置站点地理信息。图3-12证书参数设置——地理信息9．选取存放请求文件的位置。图3-13证书参数设置——请求文件位置10．确认信息，完成请求证书文件。任务三Web服务提交申请1．证书是通过Web方式提交，打开IE选择申请证书。图3-14证书申请页面2．在申请类型方面，选择高级申请。图3-15高级申请页面3．高级证书申请中，选择Base64编码方式。图3-16设定申请方法4．把刚才申请的证书请求文件的内容复制在框内，进行提交。图3-17提交申请5．看到内容，提交成功。图3-18申请成功提示页面任务四CA颁发证书1．选取开始→程序→管理工具→证书颁发机构。图3-19打开证书颁发机构窗口2．在待定申请中看到刚才的申请证书的请求。图3-20证书颁发机构窗口3．鼠标右键点击证书请求，选择所有任务→颁发。图3-21颁发待定申请4．在颁发的证书中看到刚才的申请。图3-22查阅已颁发证书任务五Web网站下载CA颁发的证书1．打开IE，输入，选择检查挂起的证书。图3-23检查挂起的证书2．看到刚才申请的证书，将该证书选中。图3-24选中申请的证书3．下载CA证书。图3－25下载CA证书4．保存到文件，选取存放位置。图3-26保存CA证书任务六在Web服务器上安装证书1．还是通过IIS选项，找到目录安全性，选择服务器证书。图3-27编辑目录安全性2．选择处理挂起的请求并安装证书。图3-28处理并安装证书3．选择刚才存放证书的位置。图3-29选择证书4．确认证书信息。图3-30确认证书信息5．安装证书成功，需要开启SSL通道。图3-31开启SSL通道6．选择申请安全通道（SSL）。图3-32选择开启方式任务七访问Web网站，进行验证通过IE浏览器Web网站，看到证书。图3-33使用SSL的提示信息注意：这时候在IE中输入的是HTTPS协议，不是HTTP。任务八客户端证书1．安装客户端证书，与前面介绍的提交服务器的证书请求的位置一样。图3-34申请客户端证书2．选择申请类型时，选择Web浏览器证书。图3-35选择浏览器证书3．填写客户端用户信息。图3-36填写证书信息4．提交后，等待服务器颁发证书。5．CA颁发客户端证书，与前面颁发服务器端证书相同。图3-37待颁发的客户端证书6．客户端下载并安装证书，选择检查挂起的证书。图3-38检查挂企的客户端证书7．选定证书，选择下一步。图3-39选中客户端证书8．点击安装证书。图3-40安装客户端证书9．证书安装成功。图3-41证书安装成功提示页面10．需要配置Web服务器，开启对于客户端证书的需求。客户证书，选择申请客户证书。图3-42配置客户端证书要求整个实验完成后，从客户选取存放位置到服务器端的数据传输都是安全的，数据是以密文方式传输的，同时可以通过证书进行认证，即认证客户端也认证服务器端。3．实现安全的SSH管理实验目的掌握在Linux和Windows下安装和使用SSH，在Windows下安装pcanywhere、终端服务，替代Telnet等明文传输协议。预备知识1．密码学基础；2．SSH实现的原理；3．终端服务的概念。建议实验环境1．使用Windows系统（Windows2000professional简体中文版）的PC机；2．RedHatLinux操作系统建议实验工具1．软件包F-securessh（Windows版客户端和服务器端）；2．软件包ssh-3.0.1.tar.gz；任务一在Linux下创建分发密钥1．以root用户身份登录。退出到根目录：host#cd/2．创建密钥对：host#/usr/local/bin/ssh-keygen2随后ssh-keuygen2将开始执行并创建密钥对。3．当ssh-keygen2提示时，输入password作为私钥密码并加以确认；在这一步，私钥设为password；ssh2-keygen2将在登录的宿主目录下自动创建名为.ssh2的隐藏目录。4．进入ssh-keygen2程序创建的.ssh2隐藏目录：host#cd.ssh25．使用ls命令列出该目录下的所有内容。注意在列出的清单中名称类似于id_dsa_1024_a和id_dsa_1024_a.pub的两个文件。在这里，id_dsa_1024_a应该是私钥文件，而id_dsa_1024_a.pub为公钥文件，dsa是算法名称，1024指加密长度/强度。6．创建上述两个文件的拷贝，分别命名为sx和sx.pub(x为自己的座位号)。host#cpid_dsa_1024_asxhost#cpid_dsa_1024_a.pubsx.pub注意：不要将公钥文件和私钥文件混淆。7．FTP连接到teacher，将sx.pub文件上传到teacher的FTP目录下在同一处下载合作伙伴的公钥文件。任务二在Linux下实现SSH安全认证1．以root用户身份登录到Linux。2．进入.ssh目录：host#cd/.ssh/。3．创建名为identification和authorization的文件：host#touchidentificationhost#touchauthorization4．用vi编辑identification文件，加入下面一行并加以保存：IdkeyPrivateKey_Name这里PrivateKey_Name为自己的私钥文件名称。5．获得合作伙伴的公钥文件sx.pub并将其放置在.ssh2目录下。用vi编辑authorization文件，加入下面一行并加以保存：KeyPublicKey_Name.pub这一步中的PublicKey_Name.pub为合作伙伴的公钥文件名称。6．确信/usr/local/sbin/sshd2正常运行。执行以下命令实施公钥体系：host#/usr/local/bin/ssh2–lrootpartner’s_machine7．在提示状态下输入自己的私钥，密码为password，一旦通过认证，将获得合作伙伴系统的rootshell权限。注意：如果在这一步有异常现象，可能由以下原因引起：（1）合作伙伴没有受到自己的公钥文件或没有将公钥文件置于它的.ssh目录下。（2）合作伙伴没有在他的authorization文件中添加针对自己的认证项(Keysx.pub)。退出合作伙伴的系统，再重新连接，在要求输入密码时输入错误的密码；接下来系统要求输入合作伙伴的root密码，这一过程仍然是加密传输的，正确输入后同样可以登录，但是不再使用公钥认证。8．执行以下命令，建立