《网络安全技术》实验指导书
专业:电子商务 姓名:王彤彤 学号:
山东建筑大学商学院
电子商务教研室
目 录
实验一 系统安全设置…………………………………………………………3 实验二 DES加解密算法的实现………………………………………………5 实验三 网络攻防工具使用………………………………………………………6 实验四 PGP实现邮件加密和签名……………………………………………7 实验五 配置支持SSL协议的安全网站………………………………………9 实验六 防火墙配置 …………………………………………………………17 实验七 VPN……………………………………………………………………18
2
实验一 系统安全设置
一、实验目的及任务:
掌握对Window200系统进行安全设置的过程。
二、实验环境
主机操作系统为Windows2000或Windows XP;
三、 预备知识
要深入理解操作系统安全的定义,具备一定的操作系统设置技能。
四、 实验步骤
系统登陆用户账号保护设置、关闭不必要的服务和端口、开启各项安全策略。
1、停止Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给
Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制用户数量
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策
略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、多个管理员账号、管理员账号改名
创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有
Administrators 权限的用户只在需要的时候使用。将Administrator管理员用户名更改为一个一般的用户名。
4、陷阱账号
创建一个名为“Administrator”的本地用户,把它的权限设置成最低,
什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。。
5、更改默认权限
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共
享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、安全密码、屏幕保护密码
设置足够强度的管理员密码,并定期更改安全密码。 在桌面上单击右键,“属性”,“屏幕保护程序”,选择屏幕保护程序,并
点击“设置”按钮设置屏保时间和密码。
7、开启操作系统安全策略—审核策略、密码策略、账户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁
定时间为20分钟,用户锁定阈值为3次;注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
8、关闭不必要的服务、端口
关闭端口意味着减少功能,在安全和功能上面需要你做一点决策。如果
3
服务器安装在防火墙的后面,冒险就会少些。但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\\system32\\drivers\\etc\\services 文件中有知名端口和服务的对照表可供参考。具体方法为:打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”,添加需要的TCP、UDP协议即可。
9、注册表设置:不显示上次登陆名、禁止建立空连接。 默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以
很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“HKLM\\Software\\Microsoft\\Windows T\\CurrentVersion\\Winlogon\\Dont-Display LastUserName”,把REG_SZ的键值改成1。
默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,
猜测密码。我们可以通过修改注册表来禁止建立空连接:即把“ Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous” 的值改成“1”即可。
10、使用组策略提高系统安全性:在“运行”中输入“gpedit.msc”,即
可打开组策略。然后进行相应的设置。
五、注意事项:
1、不要随意改动不清楚的功能,那样可能会引起系统瘫痪 2、注册表修改要慎重,修改前注意备份注册表。
3、关闭一些服务可能引起系统丧失部分功能,要视情况进行关闭。 4、注意记住更改后的管理员账号及密码。
六、思考题
阐述系统安全设置的重要行。
4
实验二 DES加解密算法的实现
一、实验目的及任务:
掌握DES加密算法的加解密过程。
二、实验环境
TC编程环境;主机操作系统为Windows2000或Windows XP;
三、 预备知识
要深入理解对称加密算法,掌握DES加密过程。具备一定的C语言编程技能。
四、 实验步骤
1、安装编程环境(VC++或TC); 2、将所给程序调试通过; 3、运行程序,检查结果; 4、存盘,写出实验报告。
五、注意事项:
1、VC环境下,需包含相关的头文件,如“stdio.h”、“iostream.h”等。 2、利用编程环境下方的窗口帮助调试。 3、注意各个子函数之间的调用关系。 4、按照DES的加密流程组织函数。
六、思考题
DES算法主要有哪几部分?画出流程。
5
实验三 网络攻防工具使用
一、实验目的及任务:
1、熟悉对计算机的端口进行扫描的原理;
2、熟练使用x-scanner扫描工具对计算机的端口进行扫描 3、熟悉Sniffer Pro 网络分析器的操作
4、使用Sniffer Pro 网络分析器对局域网的数据包进行识别、分析。 5、了解远程控制的基本原理
6、熟悉远程控制软件——冰河的使用。
二、实验环境
安装系列网络攻防软件;主机操作系统为Windows2000或Windows XP;
三、 预备知识
要深入熟悉网络传递信息的原理,理解网络攻击和防护的原理,掌握多种工具的使用。熟悉x-scanner、流光等扫描工具的界面、查看端口信息、发现系统漏洞。
四、 实验步骤
1、设置扫描参数、扫描模块、开始扫描,显示发现的漏洞,声称扫描报告。
2、安装Sniffer Pro;使用Matirx监视网络情况;使用Capture->Define Filter->Advanced,设置要监视的数据包协议类型;用Capture Panel显示捕获的Packet数量。
捕获某个IP的通信数据包:使被监视主机登陆某网站,或建立FTP连结,用sniffer捕获通信数据包(FTP或HTTP数据包)进行分析,完成抓取局域网中ftp用户名及密码的操作。。
3、安装并使用冰河自动跟踪目标机屏幕的变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);记录各种口令信息;获取系统信息;限制系统功能;远程文件操作;注册表操作;发送信息;点对点信息。
五、注意事项:
1、有些黑客软件在安装和使用的时候要关闭杀毒软件,否则将被当作病毒杀掉,影响继续实验。
2、网络扫描和网络嗅探时,要关闭或降低防火墙。
3、安装sniffer等软件过程中要求输入注册码,需要下载相应的注册码。 4、sniffer等安装过程需要重起机器,由于机器都安装了保护卡,所以需要先解保护卡,再安装。
六、思考题
阐述黑客攻击的步骤。
6
实验四 PGP实现邮件加密和签名
一、实验目的及任务:
1、了解加密工具PGP的原理 2、熟悉PGP简单配置方法
二、实验环境
安装PGP加密软件;主机操作系统为Windows2000或Windows XP;
三、 预备知识
要深入理解邮件加密的定义,掌握PGP加密原理及邮件加密过程。
四、 实验步骤
使用PGP软件对邮件等进行加密和签名。 1、使用PGP创建密钥对 A、安装PGP B、电脑重启后将“注册码”拷贝到“PGP LICENSE AUTHORIZATION”,
在PASSPHASE中输入一个N位通行码。
C、打开“PGP DISK”按照步骤创建一对密钥对。
D、创建密钥对也可如此做:打开“PGP KEYS”选择“KEYS”“
NEW KEYS”然后按提示做即可。
2、导出公钥
打开“PGP KEYS”选择“KEYS”“EXPORT”将公钥导出为扩展
名为ASC的文件,将此文件发给朋友。
1、使用PGP加密、解密邮件 加密过程:用朋友发来的公钥对邮件加密,在“PGP KEYS”“KEYS”
“IMPORT”将公钥导入,用此公钥加密。首先将邮件正文拷贝到剪贴板,然后点击“开始”-“程序”-“PGP”-“PGPMail”-“EnCRYPT&Sign”,再将剪贴板的内容粘贴到信件中,即为加密后的密文。
解密过程:解密时,拷贝朋友发过来的密文到剪贴板,然后点击
“DECRYPT&VERIFY”,输入通行码即可。
2、使用PGP签名和验证签名:过程同上。 3、使用PGP加密解密文件:
A、右键单击要加密的文件,选择“PGP”-“EnCrypt”,选择加密文件存放的路径即可。
B、双击PGP加密了的文件,输入私钥通过短语即可。
五、注意事项:
1、安装PGP过程中要求输入注册码,在安装文件目录中有个“注册码.txt”文件,将其中的内容拷贝注册即可。
2、安装过程需要重起机器,由于机器都安装了保护卡,所以需要先解保护卡,再安装。
六、思考题
7
PGP加解密邮件的原理是什么?
8
实验五 配置支持SSL协议的安全网站
一、实验目的及任务:
1、加深对数字证书原理和CA的理解,熟悉数字证书的作用。 2、熟悉数字证书的申请、下载及安装过程。 3、掌握服务器数字证书的使用。
二、实验环境
itrusCA数字证书颁发环境;IIS服务环境;主机操作系统为Windows2000
或Windows XP;
三、 预备知识
要深入理解SSL的定义,掌握建立SSL加密连接的技术。
四、 实验步骤
实验内容:申请、下载证书;利用已下载的证书配置支持SSL协议的安全网站。 1、生成证书请求
(1)在开始菜单中打开“Internet 管理工具”,请在您想设置的服务节点上(例如默认的Web 站点),按下鼠标右键,并选择“属性”选项。
在打开的web站点属性设置窗口中,选择“目录安全性”的页面,如下图 所示。
9
注意:上图“安全通信”的部分,因用户还未获取并安装Web服务器证书,此时“编辑”按钮为不可用的状态。用户必须先安装服务器证书,才能继续编辑安全通信的属性。要安装服务器使用的证书,请按“服务器证书”按钮。
(2)当按下服务器证书按钮后,接着会出现Web 服务器证书向导指导用户进行服务器证书的安装过程,如图所示。
(3)继续按“下一步”按钮进行下一个步骤的服务器证书安装设置过程。接下来,系统会要求用户选择指定服务器证书的来源方式,如果尚未安装过服务器证书,这时候用户必须选择“创建一个新证书”选项。若之前已获取过Web 服务器证书,而且想要重新利用这些已有的证书,请选择“分配一个已存在的证书”、或者“从密钥管理器备份文件导入一个证书”选项,将原有的Web 服务器证书安装到IIS 系统上。
10
如图所示。以下的步骤假设用户选择“创建一个新证书”选项。
(4)设置好上一个设置步骤后,按“下一步”按纽进行下一个步骤的服务器证书安装设置过程。此时系统要求您选择证书要求的时机,您可以按照您的需要来选择是否要先准备好证书要求,稍后再将此证书要求发送到证书颁发机构上,以获取适当的证书信息;或者立即将证书要求传递到您在稍后指定的证书颁发机构上,立即向证书颁发机构要求获取证书信息。
在这里,我们选择“现在准备请求,但稍候发送”。点击“下一步”。
(6) 接下来,系统会出现“命名和安全设置”的设置窗口。在这个窗口中用户可设置此证书的名称以及此证书安全设置项目。在名称对应的文本框中输入一个易于标识的证书名称,在位长对应的下拉菜单处设置此证书要使用的密钥长度。根据应用的需要,设置适当的密钥长度。一般来说大约1024~ 1024 Bits会是比较好的选择。
11
当完成此设置步骤后,按“下一步”按钮,进行下一个步骤的服务器证书安装设置过程。 (7) 接下来,用户需要输入企业组织的一些相关信息,以便让系统将企业以及目前所处的单位等相关信息记录在想获取的证书信息内。如图所示。输入完毕后,按“下一步”按钮继续下一个步骤的设置过程。
(8)命名安装服务器证书的WEB服务器的标识公用名称。
设置好名称后,继续按“下一步”按钮。
(9) 填入当前服务器所在的地理位置信息,以便提供证书信息更详细的数据丰富性。如图所示。
当完成这一个设置步骤后,继续按“下一步”按钮,进行下一步骤的服务器证书安装设置过程。
(10) 当屏幕上出现“证书请求文件名”的设置窗口, 用户可以在这里设置证书请求文件的文件名,并为其选择安装路径,如图所示。
12
(11) 当设置完成后,系统会显示刚刚所设置的证书申请条件,用户可以检查看看是否有错误,若无错误,可以继续按“下一步”按钮,进行下一个步骤的服务器证书安装设置过程。如图所示。
(12) 按“完成”按钮,这时计算机已经把证书请求文件存储下来了,现在,就可以去证书颁发机构去获取证书了。
2、申请证书
登陆数字证书申请页面http://10.17..4.136/certsrv,利用刚刚生成的证书请求代码进行服务器证书的申请。
(13) 完成了证书下载,用户还必须启动证书安装向导来把证书安装在服务器上。有关如何打开证书安装向导请参照第2、 3 步骤。完成证书导入如图所示。
13
选择分配一个已存在的证书,点击“下一步”按照步骤选择证书路径,并完成证书导入。 在安装了服务器的证书后,接下来,用户就可以回到原来所打开的国际互联网络服务器站点(Web 站点)的属性设置窗口上,这时SSL Port 变为可填写状态。这里用户要为该Web 站点填写一个安全通道端口(SSL Port), 推荐填写默认值443。 如图所示。
现在展开“目录安全性”页面,用户可以看到在“安全通信”部分里的“查看证书”以及“编辑”按钮已经呈现启用状态了,表示这时候就可以开始设置该国际互联网服务器的安全性协议使用设置了。如图所示。
14
接下来,用户就可以开始进行此国际互联网服务器使用SSL 安全性协议的设置处理了。要设置此国际互联网服务器使用的安全性协议功能的操作时,按照下列的过程进行设置:
1. 回到该国际互联网服务器的属性设置窗口,并选择“目录安全性”页面,如图所示的画面。
2. 这时候,按下在“安全通信”部分里的“编辑”按钮,来进行该国际互联网服务器的安全设置。当按下“编辑”按钮后,会出现安全通信编辑窗口。
3. 因为我们的目的是要完成设置安全Web 站点,因此,勾选位于窗口上方的“申请安全通道(SSL)”的复选框。在客户证书中选择“申请客户证书”选项,如图所示。以下是关于这些选项的说明。
15
➢ 申请安全通道SSL :一般来说,若没有启动此选项的话,Web服务器默认都会以HTTP 的
通讯协议来提供WWW 服务。但若启动了此选项后, IIS 系统就会强迫WWW 客户端浏览器使用SSL 的通讯协议(采用SSL 安全协议)来使用WWW 的服务。也就是当启用此选项后,系统就会关闭使用http:的连接,仅能使用https:连接来接上Web 服务器(当服务器证书已经安装在您的国际互联网服务器上时,用户服务器就允许接受https:协议方式的联机了,若将该国际互联网服务器上的服务器证书删除,那么就无法使用https 的方式来进行联机)。换句话说,若勾选了这个选项,便是强迫终端用户一定要使用SSL 的安全协议与服务器建立连接,以确保安全。
忽略客户证书:用户可以不提供证书,只使用服务器证书进行SSL通信,就是
说服务器不验证客户身份是否合法。配置此项后,访问这个站点时必须使用https协议。 接收客户证书:客户可以提供也可以不提供证书,服务器都允许客户对服务器
访问,并且客户提供证书时,服务器将对客户身份的合法性进行验证。 申请客户证书:用户必须提供一个证书才能够获得访问权限,这种方式具有较
高的安全性。
当设置完成后,单击“OK”按钮。这时,已经完成了安全Web 站点的设置工作,并已经启用了安全通道,如果再通过http:连接来连接该Web 站点,系统会提示必须要通过https:连接来连接上要访问的站点。用户再通过https:连接来连接上刚刚设置的安全Web 站点。
完成配置后,单击“完成”确认配置,结束SSL安全网站的配置。
五、注意事项:
1、可以把客户机设成证书颁发中心,给自己颁发服务器证书和客户浏览器证书。 2、如果没有下载和安装证书路径,所申请的证书会出现证书异常提示。
六、思考题
1、简述SSL握手的过程。
16
实验六 防火墙配置
一、实验目的及任务:
深入了解防火墙的功能和工作原理。
二、实验环境
安装网络防火墙;主机操作系统为Windows2000或Windows XP;
三、 预备知识
要深入理解防火墙的定义,具备一定的配置防火墙的技能。
四、 实验步骤
使用天网防火墙软件,掌握天网防火墙配置方法。 1、安装天网防火墙
2、使用主界面上的 “应用程序规则”进行应用程序规则设置 3、使用主界面上的“IP规则管理”进行IP规则设置 4、使用主界面上的“系统设置”进行防火墙的系统设置 5、设置防火墙的安全级别(低、中、高)。 6、查看防火墙的日志。
五、注意事项:
1、只要机器上网,就有必要安装防火墙。
2、安装完毕,递一次使用防火墙的时候,需要输入正确的序列号。 3、最好将防火墙设置为开机启动。
六、思考题
1、简述防火墙的分类。 2、简述防火墙的工作原理。
17
实验七 VPN
一、实验目的及任务:
1、熟悉VPN基本知识。
2、熟悉Win2000下VPN的具体配置
二、实验环境
安装路由和远程访问服务;主机操作系统为Windows2000或Windows
XP;
三、 预备知识
要深入理解VPN的定义,具备配置VPN连接的技能。
四、 实验步骤
在Win2000下配置VPN服务器和客户端,并实现客户端对服务器的访问。
1、VPN服务器的配置
(1)选择“管理工具”中的“路由和远程访问”,出现“路由和远程访问”主界面。
(2)右击要配置的服务器,选择“配置并启用路由和远程访问”。
(3)跳过欢迎页面,在“路由和远程访问服务器安装向导”页面中选择“虚拟专用网络(VPN)服务器”,单击下一步。
(4)在“远程客户协议”页面根据需要选择合适的协议,此处选择\"TCP/IP\点选“是,所有可用的协议都在列表上”,再单击“下一步”。
(5)在“internet连接”页面,选择一个用来让远程计算机连接的internet连接,由于我们在虚拟机中做的实验,此处选择“无internet连接”即可,单击下一步。
(6)在“IP地址指定”页面,选择合适的地址分配方案,为灵活起见选择DHCP好一些。如果仅是几个地址的话可以指定一个地址范围。此处我们选择DHCP方式,单击下一步。
(7)在“管理多个远程访问服务器”页面中,选择“不,我现在不想设置此服务器使用RADIUS”,单击下一步。
(8)完成。
2、用户的配置
用户的配置比较简单,作用是给予用户拨入的权限。VPN服务器配置成功后,双击打开“网络和拨号连接”中“传入的连接”,在随之出现的“属性”页面中选择“用户”选项卡,单击允许连接的用户名,确定即可。
3、客户端的配置
(1)选择“开始”->“设置”->“网络和拨号连接”,单击“新建连接”,启动网络连接向导。
(2)跳过欢迎屏幕,在第二页的网络连接类型中选择“通过Internet连接到虚拟专用网络”,单击下一步。
(3)在“目标地址”页面,填写上你的VPN服务器的主机名或IP地址,单
18
击下一步。
(5)在“可用连接“页面,根据需要选择让所有用户都使用此连接或只有自己使用此连接。为简化起见,我们选择“只是我自己使用此连接”,单击下一步。
(6)最后输入合适的连接名称如“VPN连接测试”,完成。
4、客户端与服务器的连接
在网络和拨号连接中,单击“VPN连接测试”,输入正确的用户名和密码,即可进行连接。
五、注意事项:
1、如果以前已经配置过VPN服务器,现在需要重新开始,则在此服务器上单击右键,选“禁用路由和远程访问”,即可停止此服务,以便重新配置。
2、可以用PGP实现VPN联接,有兴趣的同学可以实现一下。注意:需确保在GPG安装过程中勾选了PGP net前面的复选框,否则PGP就没有这个工具选择。
六、思考题
1、简述VPN的原理。
19
因篇幅问题不能全部显示,请点此查看更多更全内容