信息安全實驗報告(共17頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上實 驗 報 告（1 / 1 學(xué)年 第 學(xué)期）課程名稱信息安全技術(shù)實驗名稱防火墻和安全IP實驗實驗時間年月日指導(dǎo)單位指導(dǎo)教師專心-專注-專業(yè)實 驗 報 告實驗名稱防火墻和安全IP實驗指導(dǎo)教師沈蘇彬、王光輝實驗類型上機實驗學(xué)時8實驗時間2015-10-21/22/29一、 實驗?zāi)康暮鸵螅?）理解防火墻技術(shù)和安全IP技術(shù)的原理（2）掌握個人電腦的防火墻、安全IP的配置方法。（3）完成防火墻的配置和測試、安全IP的配置和測試、以及基于報文嗅探軟件的測試。要求獨立完成實驗方案的設(shè)計、配置和測試；要求獨立完成實驗報告的編寫。 二、實驗環(huán)境(實驗設(shè)備)硬件：微機軟件：嗅探軟件Wi

2、reshark，Windows系統(tǒng)三、實驗原理及內(nèi)容實驗1：安全IP實驗。兩個同學(xué)為一組進行試驗；如果沒有找到合作進行實驗的同學(xué)，并且存在多余的實驗電腦，則可以一位同學(xué)通過兩臺電腦完成實驗。1.1實驗和測試在沒有安全IP保護的網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全危險：實驗和測試在沒有安全保護的情況下，通過嗅探報文可以看到在同一個網(wǎng)段內(nèi)傳送的所有IP報文以及這些IP報文包括的內(nèi)容，例如可以通過Ping另一臺電腦，通過嗅探軟件，測試是否能夠分析出Ping報文。1.2配置和測試安全IP：在兩臺電腦上配置安全IP策略，選擇安全關(guān)聯(lián)建立的方法（例如：采用基于共享密鑰的安全關(guān)聯(lián)建立方式），通過嗅探軟件，觀察和分析安全IP

3、的安全關(guān)聯(lián)建立過程，以及嗅探軟件可以窺探到安全IP報文的哪些內(nèi)容。1.3 通過嗅探軟件，對照安全IP的原理，觀察和分析安全IP的特性，例如觀察安全IP的面向連接特性等。實驗2：防火墻實驗。兩個同學(xué)為一組進行試驗；如果沒有找到合作進行實驗的同學(xué)，并且存在多余的實驗電腦，則可以一位同學(xué)通過兩臺電腦完成實驗。2.1通過配置防火墻的“入站規(guī)則”和“出站規(guī)則”，實現(xiàn)訪問控制列表中對某臺聯(lián)網(wǎng)電腦訪問設(shè)置防火墻電腦的限制，以及設(shè)置防火墻電腦對某臺聯(lián)網(wǎng)電腦訪問限制，并且通過相關(guān)網(wǎng)絡(luò)應(yīng)用（例如Ping），測試防火墻的作用。2.2通過配置防火墻的“入站規(guī)則”和“出站規(guī)則”，實現(xiàn)訪問控制列表中對某類應(yīng)用（例如基于I

4、CMPv4的Ping）訪問設(shè)置防火墻電腦的限制，以及設(shè)置防火墻電腦對某類應(yīng)用（例如基于ICMPv4的Ping）訪問限制，并且通過對該應(yīng)用的使用，測試防火墻的作用。2.3 配置和驗證自己認為具有實際應(yīng)用價值的個人電腦防火墻規(guī)則，并且測試該防火墻的作用。2.4 羅列以上防火墻配置對應(yīng)的訪問控制列表。實 驗 報 告實驗1 安全IP實驗1. 安全IP的配置步驟（1） 從系統(tǒng)控制面板出發(fā)，打開系統(tǒng)與安全功能，打開管理工具選項，找到本地安全策略。（2） 點開本地安全策略，找到本地電腦IP策略。新建IP安全策略，描述中填寫“IPSec學(xué)習(xí)練習(xí)”，點擊下一步，進入配 （3）創(chuàng)建IP安全規(guī)則，點擊增加，進入IP

5、安全規(guī)則創(chuàng)建過程；選擇“此規(guī)則不指定隧道”，即選用傳輸模式IPSec，選中后單擊“下一步”按鈕；選擇“所有網(wǎng)絡(luò)連接”，單擊“下一步”按鈕，進入配置IP過濾器列表階段。（4）IP過濾器列表配置。點擊新增按鈕，新建IP過濾器列表，進行過濾器列表配置；點擊新增，進行IP過濾器配置，點擊下一步；描述內(nèi)容“與同組主機進行安全的icmp通信”；源地址選擇“我的IP地址”；目的地址選擇“一個特定的IP地址”，填寫另一臺主機的IP地址，；選擇“ICMP”協(xié)議類型，單擊“下一步”按鈕。單擊“完成”按鈕，完成IP過濾器配置。（5）過濾器行為配置。根據(jù)上圖所示，選擇新增的過濾器列表，點擊下一步，進入過濾器行為配置階

6、段。點擊新增，進行過濾器行為配置。行為命名為“安全的ICMP通信”；“篩選器操作常規(guī)選項”中選中“協(xié)商安全”，單擊“下一步”按鈕；選中“不與不支持IPSec的計算機通信”，單擊“下一步”按鈕；在“IP通信安全措施”中，選擇“完整性和加密”，單擊“下一步”按鈕；最后單擊“完成”；（6）“身份驗證方法”界面。選中“使用此字符串保護密鑰交換(預(yù)共享密鑰)”，填寫共享密鑰“l(fā)in”(主機A、主機B的共享密鑰必須一致)，單擊“下一步”按鈕，直至最終完成。（注意：應(yīng)用策略之前必須指派策略，否則策略不會自動生效。右鍵點擊“IP安全策略”，選擇“指派assign”使策略生效。）（7）完成IPSec配置。2.測

7、試結(jié)果與分析使用wireshark抓去ping的數(shù)據(jù)包的報文通常有其固定的格式：報文長度（98bytes）=以太網(wǎng)頭（14bytes）+IP頭（20bytes）+ICMP報文（64bytes）其中，以太網(wǎng)頭（14bytes）=目的MAC（6bytes）+源MAC（6bytes）+以太網(wǎng)類型0800（2bytes）我們以（a）策略為例進行分析：（a）主機A不指派策略，主機B不指派策略。主機A在“cmd”控制臺中，輸入如下命令：ping 主機B的IP。ping操作反饋信息與報文嗅探軟件給出的結(jié)果：由ping的結(jié)果可以看出兩臺主機連接通道良好，沒有丟包現(xiàn)象，可以進行后續(xù)分析。如上圖報文結(jié)果所示。其中

8、：以太網(wǎng)頭為：eca86ba8cce8eca86ba8ceIP頭：c11a000a144fc10a144fc0IMCP報文：08004d5a68696a6b6c6d6e6f70按照相同的分析方法，我們可以一次分析以下幾種情況：（b）主機A指派策略，主機B不指派策略。主機A在“cmd”控制臺中，輸入如下命令：ping 主機B的IPping操作反饋信息與報文嗅探軟件給出的結(jié)果：在A指派，B不指派的情況下，我們可以發(fā)現(xiàn)在ping的結(jié)果中發(fā)送的報文為4，接受為0。在wireshark的報文接收界面中，按照上述分析，A主機無法ping到B主機。上述報文中恰巧反映這點。（c）主機A指派策略，主機B指派策略

9、。主機A在“cmd”控制臺中，輸入如下命令：ping 主機B的IPping操作反饋信息與報文嗅探軟件給出的結(jié)果： 在A主機和B主機都指派的情況下，A主機成功發(fā)送和接受了數(shù)據(jù)包，因此連接穩(wěn)定無問題。再次基礎(chǔ)上我們對接受的數(shù)據(jù)包進行分析。I、ESP(Encapsulating Security Payload)協(xié)議分析分析析源地址為主機A的IP、目的地址為主機B的IP的數(shù)據(jù)包信息；根據(jù)ESP報文格式，對數(shù)據(jù)進行分析與安全參數(shù)索引SPI。（按照鏈路層報頭（默認14字節(jié)）網(wǎng)絡(luò)層報頭（本實驗中為20字節(jié)）ESP報頭的順序解析數(shù)據(jù)。）在該ESP協(xié)議下的報文中，安全參數(shù)索引SPI為4個字節(jié)，即“bb 15

10、74 d9”。通過這個SPI發(fā)送給對方的時候，對方只需要查看SADB數(shù)據(jù)庫中的SPI來匹配，然后通過該SPI下的加密參數(shù)和策略來進行解密。II、AH(Authentication Header)協(xié)議分析主機A、B同時進行如下操作，修改“ICMP安全通信策略”，利用AH協(xié)議對數(shù)據(jù)源進行身份驗證，而不對傳輸數(shù)據(jù)進行加密處理，選擇MD5，點擊確定。主機A對主機B進行ping操作，待操作完成，協(xié)議分析器停止捕獲數(shù)據(jù)包。切換至“協(xié)議解析視圖”，觀察十六過制顯示區(qū)數(shù)據(jù)，按照鏈路層報頭（默認14字節(jié)）網(wǎng)絡(luò)層報頭（本實驗中為20字節(jié)）AH報頭的順序解析數(shù)據(jù)。 在此情況中，我們探討在AH協(xié)議下的數(shù)據(jù)處理分析思路

11、。如上圖所示，藍色面積即為AH報文，其他內(nèi)容和上述結(jié)論一致。 上圖為AH報文的構(gòu)成方式。其中“下一個報頭”為“01”。報體長度為 “04”。預(yù)留是“00 00”。安全參數(shù)索引SPI為 “47 38 b3 d3”。順序編號為 “00 00 00 05”。剩下字段為身份驗證數(shù)據(jù)和填充數(shù)據(jù)。實驗2 防火墻實驗設(shè)置防火墻的入站和出站規(guī)則，可以實現(xiàn)阻擋或者允許特定程序或者端口進行連接。在windows防火墻高級設(shè)置中可以完成相應(yīng)的設(shè)置。在該實驗中，本機（A機）IP地址為10.20.66.128，同學(xué)電腦（B機）IP為10.20.66.1332.1 通過配置防火墻的“入站規(guī)則”和“出站規(guī)則”，實現(xiàn)訪問控制

12、列表中對某臺聯(lián)網(wǎng)電腦訪問設(shè)置防火墻電腦的限制，以及設(shè)置防火墻電腦對某臺聯(lián)網(wǎng)電腦訪問限制，并且通過相關(guān)網(wǎng)絡(luò)應(yīng)用（例如Ping），測試防火墻的作用。在進行防火墻的相關(guān)設(shè)置之前，將A機嘗試ping B機，結(jié)果如圖?？梢姡谶M行防火墻出入站規(guī)則修改之前，兩者可以聯(lián)通。下面，進行防火墻出站規(guī)則的修改，大致的設(shè)置步驟整理如下：（1）點擊“出站規(guī)則”-“新建規(guī)則”-“自定義”（2）點擊“作用域”，在遠程IP地址中添加目標IP（ ），再確定。（3）點擊“操作”，選擇“阻止連接”選項。（4）最后修改名稱為“阻止連接”，點擊完成。（5）配置完成后，在出站規(guī)則列表中的視圖如下:（6）最后開啟防火墻最后在本機對B機進

13、行PING操作，結(jié)果如下：可見，此時A機無法連接上B機。另外，在B機上Ping A機時，在B機上有如下結(jié)果：發(fā)現(xiàn)，此時B機可以訪問A機，綜合上兩圖，該結(jié)果符合實驗預(yù)期。接下來可以設(shè)置防火墻對于某類應(yīng)用的限制。比如說將PING.exe設(shè)置靜止訪問，那么應(yīng)該可 以拒絕PING語句的作用。比如說如下圖配置，將system32文件夾下面的PING.EXE設(shè)置為阻止連接。 2.2 通過配置防火墻的“入站規(guī)則”和“出站規(guī)則”，實現(xiàn)訪問控制列表中對某類應(yīng)用（例如基于ICMPv4的Ping）訪問設(shè)置防火墻電腦的限制，以及設(shè)置防火墻電腦對某類應(yīng)用（例如基于ICMPv4的Ping）訪問限制，并且通過對該應(yīng)用的使用

14、，測試防火墻的作用。在這部分實驗中，我們嘗試將PING.exe設(shè)置靜止訪問，即可以拒絕PING語句的作用。按照類似實驗2.1的配置，將system32文件夾下面的PING.EXE設(shè)置為阻止連接。配置成功后的截圖如下：再在操作中選擇“阻止連接”選項，點擊完成即可。理論上操作至此已經(jīng)滿足要求，但實際操作卻發(fā)現(xiàn)ping操作仍可用。這是由于ping操作是系統(tǒng)層面上的應(yīng)用，不能僅僅通過禁用某個可執(zhí)行程序就能將它禁用，要達到效果，需要禁用ICMP協(xié)議。于是我們進行了如下操作（在出站設(shè)置當中禁用了這里的ICMP的IPv4當中的協(xié)議）：此時，再進行ping操作發(fā)現(xiàn)A、B兩機無法互相訪問，操作結(jié)果如圖：2.3

15、配置和驗證自己認為具有實際應(yīng)用價值的個人電腦防火墻規(guī)則，并且測試該防火墻的作用。我們可以在出站規(guī)則中禁用有個IP，以禁止訪問某些已知的帶有詐騙、木馬鏈接的有害網(wǎng)站網(wǎng)站，此處我們以禁止訪問IP地址210.59.228.209為例。 具體的設(shè)置步驟與實驗2.1類似，結(jié)果測試如下：可見，符合設(shè)計預(yù)期。2.4羅列以上防火墻配置對應(yīng)的訪問控制列表。表1 實驗2.1訪問控制列表動作源IP地址源端口號目的IP地址目的端口號說明禁止*10.20.66.133*阻止B機訪問允許*表2 實驗2.2訪問控制列表動作源IP地址源端口號目的IP地址目的端口號說明禁止10.20.66.133*1禁止ICMP協(xié)議允許*表3

16、 實驗2.3訪問控制列表動作源IP地址源端口號目的IP地址目的端口號說明禁止10.20.66.133*210.59.228.209*禁止訪問某網(wǎng)站允許*思考題：(1) 安全IP技術(shù)包括哪些？ 答：包括安全協(xié)議、安全關(guān)聯(lián)、密鑰管理、身份驗證算法與加密算法。 (2) 常用的IP報文身份驗證算法有哪些？安全性如何？ 答：IP報文的身份驗證算法MD5、SHA-1、HMAC與數(shù)字簽名等等。SHA-1比MD5更為安全， 如果私鑰不丟失的話，數(shù)字簽名最為保險。(3) 常用的IP報文加密算法有哪些？安全性如何？ 答：報文加密算法有DES、TDES以及RC4算法。 TDES的安全性顯然高于DES，均強于RC4算法，但是RC4算法使用較簡單。實 驗 報 告四、實驗小結(jié)（包括問題和解決方法、心得體會、意見與建議等）通過這幾次實驗，初步掌握了Wireshark軟件的使用，了解了基于安全IP的安全數(shù)據(jù)