《信息安全实验报告(共17页).doc》由会员分享,可在线阅读,更多相关《信息安全实验报告(共17页).doc(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上实 验 报 告(1 / 1 学年 第 学期)课程名称信息安全技术实验名称防火墙和安全IP实验实验时间年月日指导单位指导教师专心-专注-专业实 验 报 告实验名称防火墙和安全IP实验指导教师沈苏彬、王光辉实验类型上机实验学时8实验时间2015-10-21/22/29一、 实验目的和要求(1)理解防火墙技术和安全IP技术的原理(2)掌握个人电脑的防火墙、安全IP的配置方法。(3)完成防火墙的配置和测试、安全IP的配置和测试、以及基于报文嗅探软件的测试。要求独立完成实验方案的设计、配置和测试;要求独立完成实验报告的编写。 二、实验环境(实验设备)硬件:微机软件:嗅探软件Wi
2、reshark,Windows系统三、实验原理及内容实验1:安全IP实验。两个同学为一组进行试验;如果没有找到合作进行实验的同学,并且存在多余的实验电脑,则可以一位同学通过两台电脑完成实验。1.1实验和测试在没有安全IP保护的网络环境下的网络安全危险:实验和测试在没有安全保护的情况下,通过嗅探报文可以看到在同一个网段内传送的所有IP报文以及这些IP报文包括的内容,例如可以通过Ping另一台电脑,通过嗅探软件,测试是否能够分析出Ping报文。1.2配置和测试安全IP:在两台电脑上配置安全IP策略,选择安全关联建立的方法(例如:采用基于共享密钥的安全关联建立方式),通过嗅探软件,观察和分析安全IP
3、的安全关联建立过程,以及嗅探软件可以窥探到安全IP报文的哪些内容。1.3 通过嗅探软件,对照安全IP的原理,观察和分析安全IP的特性,例如观察安全IP的面向连接特性等。实验2:防火墙实验。两个同学为一组进行试验;如果没有找到合作进行实验的同学,并且存在多余的实验电脑,则可以一位同学通过两台电脑完成实验。2.1通过配置防火墙的“入站规则”和“出站规则”,实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制,以及设置防火墙电脑对某台联网电脑访问限制,并且通过相关网络应用(例如Ping),测试防火墙的作用。2.2通过配置防火墙的“入站规则”和“出站规则”,实现访问控制列表中对某类应用(例如基于I
4、CMPv4的Ping)访问设置防火墙电脑的限制,以及设置防火墙电脑对某类应用(例如基于ICMPv4的Ping)访问限制,并且通过对该应用的使用,测试防火墙的作用。2.3 配置和验证自己认为具有实际应用价值的个人电脑防火墙规则,并且测试该防火墙的作用。2.4 罗列以上防火墙配置对应的访问控制列表。实 验 报 告实验1 安全IP实验1. 安全IP的配置步骤(1) 从系统控制面板出发,打开系统与安全功能,打开管理工具选项,找到本地安全策略。(2) 点开本地安全策略,找到本地电脑IP策略。新建IP安全策略,描述中填写“IPSec学习练习”,点击下一步,进入配 (3)创建IP安全规则,点击增加,进入IP
5、安全规则创建过程;选择“此规则不指定隧道”,即选用传输模式IPSec,选中后单击“下一步”按钮;选择“所有网络连接”,单击“下一步”按钮,进入配置IP过滤器列表阶段。(4)IP过滤器列表配置。点击新增按钮,新建IP过滤器列表,进行过滤器列表配置;点击新增,进行IP过滤器配置,点击下一步;描述内容“与同组主机进行安全的icmp通信”;源地址选择“我的IP地址”;目的地址选择“一个特定的IP地址”,填写另一台主机的IP地址,;选择“ICMP”协议类型,单击“下一步”按钮。单击“完成”按钮,完成IP过滤器配置。(5)过滤器行为配置。根据上图所示,选择新增的过滤器列表,点击下一步,进入过滤器行为配置阶
6、段。点击新增,进行过滤器行为配置。行为命名为“安全的ICMP通信”;“筛选器操作常规选项”中选中“协商安全”,单击“下一步”按钮;选中“不与不支持IPSec的计算机通信”,单击“下一步”按钮;在“IP通信安全措施”中,选择“完整性和加密”,单击“下一步”按钮;最后单击“完成”;(6)“身份验证方法”界面。选中“使用此字符串保护密钥交换(预共享密钥)”,填写共享密钥“lin”(主机A、主机B的共享密钥必须一致),单击“下一步”按钮,直至最终完成。(注意:应用策略之前必须指派策略,否则策略不会自动生效。右键点击“IP安全策略”,选择“指派assign”使策略生效。)(7)完成IPSec配置。2.测
7、试结果与分析使用wireshark抓去ping的数据包的报文通常有其固定的格式:报文长度(98bytes)=以太网头(14bytes)+IP头(20bytes)+ICMP报文(64bytes)其中,以太网头(14bytes)=目的MAC(6bytes)+源MAC(6bytes)+以太网类型0800(2bytes)我们以(a)策略为例进行分析:(a)主机A不指派策略,主机B不指派策略。主机A在“cmd”控制台中,输入如下命令:ping 主机B的IP。ping操作反馈信息与报文嗅探软件给出的结果:由ping的结果可以看出两台主机连接通道良好,没有丢包现象,可以进行后续分析。如上图报文结果所示。其中
8、:以太网头为:eca86ba8cce8eca86ba8ceIP头:c11a000a144fc10a144fc0IMCP报文:08004d5a68696a6b6c6d6e6f70按照相同的分析方法,我们可以一次分析以下几种情况:(b)主机A指派策略,主机B不指派策略。主机A在“cmd”控制台中,输入如下命令:ping 主机B的IPping操作反馈信息与报文嗅探软件给出的结果:在A指派,B不指派的情况下,我们可以发现在ping的结果中发送的报文为4,接受为0。在wireshark的报文接收界面中,按照上述分析,A主机无法ping到B主机。上述报文中恰巧反映这点。(c)主机A指派策略,主机B指派策略
9、。主机A在“cmd”控制台中,输入如下命令:ping 主机B的IPping操作反馈信息与报文嗅探软件给出的结果: 在A主机和B主机都指派的情况下,A主机成功发送和接受了数据包,因此连接稳定无问题。再次基础上我们对接受的数据包进行分析。I、ESP(Encapsulating Security Payload)协议分析分析析源地址为主机A的IP、目的地址为主机B的IP的数据包信息;根据ESP报文格式,对数据进行分析与安全参数索引SPI。(按照链路层报头(默认14字节)网络层报头(本实验中为20字节)ESP报头的顺序解析数据。)在该ESP协议下的报文中,安全参数索引SPI为4个字节,即“bb 15
10、74 d9”。通过这个SPI发送给对方的时候,对方只需要查看SADB数据库中的SPI来匹配,然后通过该SPI下的加密参数和策略来进行解密。II、AH(Authentication Header)协议分析主机A、B同时进行如下操作,修改“ICMP安全通信策略”,利用AH协议对数据源进行身份验证,而不对传输数据进行加密处理,选择MD5,点击确定。主机A对主机B进行ping操作,待操作完成,协议分析器停止捕获数据包。切换至“协议解析视图”,观察十六过制显示区数据,按照链路层报头(默认14字节)网络层报头(本实验中为20字节)AH报头的顺序解析数据。 在此情况中,我们探讨在AH协议下的数据处理分析思路
11、。如上图所示,蓝色面积即为AH报文,其他内容和上述结论一致。 上图为AH报文的构成方式。其中“下一个报头”为“01”。报体长度为 “04”。预留是“00 00”。安全参数索引SPI为 “47 38 b3 d3”。顺序编号为 “00 00 00 05”。剩下字段为身份验证数据和填充数据。实验2 防火墙实验设置防火墙的入站和出站规则,可以实现阻挡或者允许特定程序或者端口进行连接。在windows防火墙高级设置中可以完成相应的设置。在该实验中,本机(A机)IP地址为10.20.66.128,同学电脑(B机)IP为10.20.66.1332.1 通过配置防火墙的“入站规则”和“出站规则”,实现访问控制
12、列表中对某台联网电脑访问设置防火墙电脑的限制,以及设置防火墙电脑对某台联网电脑访问限制,并且通过相关网络应用(例如Ping),测试防火墙的作用。在进行防火墙的相关设置之前,将A机尝试ping B机,结果如图。可见,在进行防火墙出入站规则修改之前,两者可以联通。下面,进行防火墙出站规则的修改,大致的设置步骤整理如下:(1)点击“出站规则”-“新建规则”-“自定义”(2)点击“作用域”,在远程IP地址中添加目标IP( ),再确定。(3)点击“操作”,选择“阻止连接”选项。(4)最后修改名称为“阻止连接”,点击完成。(5)配置完成后,在出站规则列表中的视图如下:(6)最后开启防火墙最后在本机对B机进
13、行PING操作,结果如下:可见,此时A机无法连接上B机。另外,在B机上Ping A机时,在B机上有如下结果:发现,此时B机可以访问A机,综合上两图,该结果符合实验预期。接下来可以设置防火墙对于某类应用的限制。比如说将PING.exe设置静止访问,那么应该可 以拒绝PING语句的作用。比如说如下图配置,将system32文件夹下面的PING.EXE设置为阻止连接。 2.2 通过配置防火墙的“入站规则”和“出站规则”,实现访问控制列表中对某类应用(例如基于ICMPv4的Ping)访问设置防火墙电脑的限制,以及设置防火墙电脑对某类应用(例如基于ICMPv4的Ping)访问限制,并且通过对该应用的使用
14、,测试防火墙的作用。在这部分实验中,我们尝试将PING.exe设置静止访问,即可以拒绝PING语句的作用。按照类似实验2.1的配置,将system32文件夹下面的PING.EXE设置为阻止连接。配置成功后的截图如下:再在操作中选择“阻止连接”选项,点击完成即可。理论上操作至此已经满足要求,但实际操作却发现ping操作仍可用。这是由于ping操作是系统层面上的应用,不能仅仅通过禁用某个可执行程序就能将它禁用,要达到效果,需要禁用ICMP协议。于是我们进行了如下操作(在出站设置当中禁用了这里的ICMP的IPv4当中的协议):此时,再进行ping操作发现A、B两机无法互相访问,操作结果如图:2.3
15、配置和验证自己认为具有实际应用价值的个人电脑防火墙规则,并且测试该防火墙的作用。我们可以在出站规则中禁用有个IP,以禁止访问某些已知的带有诈骗、木马链接的有害网站网站,此处我们以禁止访问IP地址210.59.228.209为例。 具体的设置步骤与实验2.1类似,结果测试如下:可见,符合设计预期。2.4罗列以上防火墙配置对应的访问控制列表。表1 实验2.1访问控制列表动作源IP地址源端口号目的IP地址目的端口号说明禁止*10.20.66.133*阻止B机访问允许*表2 实验2.2访问控制列表动作源IP地址源端口号目的IP地址目的端口号说明禁止10.20.66.133*1禁止ICMP协议允许*表3
16、 实验2.3访问控制列表动作源IP地址源端口号目的IP地址目的端口号说明禁止10.20.66.133*210.59.228.209*禁止访问某网站允许*思考题:(1) 安全IP技术包括哪些? 答:包括安全协议、安全关联、密钥管理、身份验证算法与加密算法。 (2) 常用的IP报文身份验证算法有哪些?安全性如何? 答:IP报文的身份验证算法MD5、SHA-1、HMAC与数字签名等等。SHA-1比MD5更为安全, 如果私钥不丢失的话,数字签名最为保险。(3) 常用的IP报文加密算法有哪些?安全性如何? 答:报文加密算法有DES、TDES以及RC4算法。 TDES的安全性显然高于DES,均强于RC4算
17、法,但是RC4算法使用较简单。实 验 报 告四、实验小结(包括问题和解决方法、心得体会、意见与建议等)通过这几次实验,初步掌握了Wireshark软件的使用,了解了基于安全IP的安全数据传送方法。同时学会在电脑上配置防火墙的入站规则与出站规则,对防火墙的功能有了更加直观深入的理解。实验中,通过分析报文、设置防火墙出入规则,将理论知识应用于实践过程中,不仅增强了对课本理论知识的理解能力,更增强了动手能力,为以后的进一步学习打下了坚实的基础。理论和实际的结合让我们学到了许多课堂讲义学不到的东西,进一步学会了网络安全知识的概念,初步掌握了各项协议与算法的原理与结构,提升了我们在网络安全方面的能力。希望以后的课程可以有更多的实验课,加深对课程的理解,锻炼实践能力。五、指导教师评语 成 绩批阅人日 期