信息安全實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)報(bào)告（２０1/２０1年第學(xué)期）課程名稱信息安全技術(shù)實(shí)驗(yàn)名稱防火墻和安全I(xiàn)P實(shí)驗(yàn)實(shí)驗(yàn)時(shí)間年月日指導(dǎo)單位指導(dǎo)教師實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱防火墻和安全I(xiàn)P實(shí)驗(yàn)指導(dǎo)教師沈蘇彬、王光輝實(shí)驗(yàn)類型上機(jī)實(shí)驗(yàn)學(xué)時(shí)8實(shí)驗(yàn)時(shí)間-10-21/22/29實(shí)驗(yàn)?zāi)康暮鸵?guī)定（1）理解防火墻技術(shù)和安全I(xiàn)P技術(shù)的原理（2）掌握個(gè)人電腦的防火墻、安全I(xiàn)P的配備辦法。（3）完畢防火墻的配備和測(cè)試、安全I(xiàn)P的配備和測(cè)試、以及基于報(bào)文嗅探軟件的測(cè)試。規(guī)定獨(dú)立完畢實(shí)驗(yàn)方案的設(shè)計(jì)、配備和測(cè)試；規(guī)定獨(dú)立完畢實(shí)驗(yàn)報(bào)告的編寫。二、實(shí)驗(yàn)環(huán)境(實(shí)驗(yàn)設(shè)備)硬件：微機(jī)軟件：嗅探軟件Wireshark，Windows系統(tǒng)三、實(shí)驗(yàn)原理及內(nèi)容實(shí)驗(yàn)1：安全I(xiàn)P實(shí)驗(yàn)。兩個(gè)同窗為一組進(jìn)行實(shí)驗(yàn)；如果沒有找到合作進(jìn)行實(shí)驗(yàn)的同窗，并且存在多出的實(shí)驗(yàn)電腦，則能夠一位同窗通過(guò)兩臺(tái)電腦完畢實(shí)驗(yàn)。1.1實(shí)驗(yàn)和測(cè)試在沒有安全I(xiàn)P保護(hù)的網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全危險(xiǎn)：實(shí)驗(yàn)和測(cè)試在沒有安全保護(hù)的狀況下，通過(guò)嗅探報(bào)文能夠看到在同一種網(wǎng)段內(nèi)傳送的全部IP報(bào)文以及這些IP報(bào)文涉及的內(nèi)容，例如能夠通過(guò)Ping另一臺(tái)電腦，通過(guò)嗅探軟件，測(cè)試與否能夠分析出Ping報(bào)文。1.2配備和測(cè)試安全I(xiàn)P：在兩臺(tái)電腦上配備安全I(xiàn)P方略，選擇安全關(guān)聯(lián)建立的辦法（例如：采用基于共享密鑰的安全關(guān)聯(lián)建立方式），通過(guò)嗅探軟件，觀察和分析安全I(xiàn)P的安全關(guān)聯(lián)建立過(guò)程，以及嗅探軟件能夠窺探到安全I(xiàn)P報(bào)文的哪些內(nèi)容。1.3通過(guò)嗅探軟件，對(duì)照安全I(xiàn)P的原理，觀察和分析安全I(xiàn)P的特性，例如觀察安全I(xiàn)P的面對(duì)連接特性等。實(shí)驗(yàn)2：防火墻實(shí)驗(yàn)。兩個(gè)同窗為一組進(jìn)行實(shí)驗(yàn)；如果沒有找到合作進(jìn)行實(shí)驗(yàn)的同窗，并且存在多出的實(shí)驗(yàn)電腦，則能夠一位同窗通過(guò)兩臺(tái)電腦完畢實(shí)驗(yàn)。2.1通過(guò)配備防火墻的“入站規(guī)則”和“出站規(guī)則”，實(shí)現(xiàn)訪問控制列表中對(duì)某臺(tái)聯(lián)網(wǎng)電腦訪問設(shè)立防火墻電腦的限制，以及設(shè)立防火墻電腦對(duì)某臺(tái)聯(lián)網(wǎng)電腦訪問限制，并且通過(guò)有關(guān)網(wǎng)絡(luò)應(yīng)用（例如Ping），測(cè)試防火墻的作用。2.2通過(guò)配備防火墻的“入站規(guī)則”和“出站規(guī)則”，實(shí)現(xiàn)訪問控制列表中對(duì)某類應(yīng)用（例如基于ICMPv4的Ping）訪問設(shè)立防火墻電腦的限制，以及設(shè)立防火墻電腦對(duì)某類應(yīng)用（例如基于ICMPv4的Ping）訪問限制，并且通過(guò)對(duì)該應(yīng)用的使用，測(cè)試防火墻的作用。2.3配備和驗(yàn)證自己認(rèn)為含有實(shí)際應(yīng)用價(jià)值的個(gè)人電腦防火墻規(guī)則，并且測(cè)試該防火墻的作用。2.4羅列以上防火墻配備對(duì)應(yīng)的訪問控制列表。實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)1安全I(xiàn)P實(shí)驗(yàn)安全I(xiàn)P的配備環(huán)節(jié)從系統(tǒng)控制面板出發(fā)，打開系統(tǒng)與安全功效，打開管理工具選項(xiàng)，找到本地安全方略。點(diǎn)開本地安全方略，找到本地電腦IP方略。新建IP安全方略，描述中填寫“IPSec學(xué)習(xí)練習(xí)”，點(diǎn)擊下一步，進(jìn)入配（3）創(chuàng)立IP安全規(guī)則，點(diǎn)擊增加，進(jìn)入IP安全規(guī)則創(chuàng)立過(guò)程；選擇“此規(guī)則不指定隧道”，即選用傳輸模式IPSec，選中后單擊“下一步”按鈕；選擇“全部網(wǎng)絡(luò)連接”，單擊“下一步”按鈕，進(jìn)入配備IP過(guò)濾器列表階段。（4）IP過(guò)濾器列表配備。點(diǎn)擊新增按鈕，新建IP過(guò)濾器列表，進(jìn)行過(guò)濾器列表配備；點(diǎn)擊新增，進(jìn)行IP過(guò)濾器配備，點(diǎn)擊下一步；描述內(nèi)容“與同組主機(jī)進(jìn)行安全的icmp通信”；源地址選擇“我的IP地址”；目的地址選擇“一種特定的IP地址”，填寫另一臺(tái)主機(jī)的IP地址，；選擇“ICMP”合同類型，單擊“下一步”按鈕。單擊“完畢”按鈕，完畢IP過(guò)濾器配備。（5）過(guò)濾器行為配備。根據(jù)上圖所示，選擇新增的過(guò)濾器列表，點(diǎn)擊下一步，進(jìn)入過(guò)濾器行為配備階段。點(diǎn)擊新增，進(jìn)行過(guò)濾器行為配備。行為命名為“安全的ICMP通信”；“篩選器操作常規(guī)選項(xiàng)”中選中“協(xié)商安全”，單擊“下一步”按鈕；選中“不與不支持IPSec的計(jì)算機(jī)通信”，單擊“下一步”按鈕；在“IP通信安全方法”中，選擇“完整性和加密”，單擊“下一步”按鈕；最后單擊“完畢”；（6）“身份驗(yàn)證辦法”界面。選中“使用此字符串保護(hù)密鑰交換(預(yù)共享密鑰)”，填寫共享密鑰“l(fā)in”(主機(jī)A、主機(jī)B的共享密鑰必須一致)，單擊“下一步”按鈕，直至最后完畢。（注意：應(yīng)用方略之前必須指派方略，否則方略不會(huì)自動(dòng)生效。右鍵點(diǎn)擊“IP安全方略”，選擇“指派assign”使方略生效。）（7）完畢IPSec配備。2.測(cè)試成果與分析使用wireshark抓去ping的數(shù)據(jù)包的報(bào)文普通有其固定的格式：報(bào)文長(zhǎng)度（98bytes）=以太網(wǎng)頭（14bytes）+IP頭（20bytes）+ICMP報(bào)文（64bytes）其中，以太網(wǎng)頭（14bytes）=目的MAC（6bytes）+源MAC（6bytes）+以太網(wǎng)類型0800（2bytes）我們以（a）方略為例進(jìn)行分析：（a）主機(jī)A不指派方略，主機(jī)B不指派方略。主機(jī)A在“cmd”控制臺(tái)中，輸入以下命令：ping主機(jī)B的IP。ping操作反饋信息與報(bào)文嗅探軟件給出的成果：由ping的成果能夠看出兩臺(tái)主機(jī)連接通道良好，沒有丟包現(xiàn)象，能夠進(jìn)行后續(xù)分析。如上圖報(bào)文成果所示。其中：以太網(wǎng)頭為：eca86ba8cce8eca86ba8ce390800IP頭：4500003c11a00a144fc10a144fc0IMCP報(bào)文：08004d5a8696a6b6c6d6e6f70按攝影似的分析辦法，我們能夠一次分析下列幾個(gè)狀況：（b）主機(jī)A指派方略，主機(jī)B不指派方略。主機(jī)A在“cmd”控制臺(tái)中，輸入以下命令：ping主機(jī)B的IPping操作反饋信息與報(bào)文嗅探軟件給出的成果：在A指派，B不指派的狀況下，我們能夠發(fā)現(xiàn)在ping的成果中發(fā)送的報(bào)文為4，接受為0。在wireshark的報(bào)文接受界面中，按照上述分析，A主機(jī)無(wú)法ping到B主機(jī)。上述報(bào)文中恰巧反映這點(diǎn)。（c）主機(jī)A指派方略，主機(jī)B指派方略。主機(jī)A在“cmd”控制臺(tái)中，輸入以下命令：ping主機(jī)B的IPping操作反饋信息與報(bào)文嗅探軟件給出的成果：在A主機(jī)和B主機(jī)都指派的狀況下，A主機(jī)成功發(fā)送和接受了數(shù)據(jù)包，因此連接穩(wěn)定無(wú)問題。再次基礎(chǔ)上我們對(duì)接受的數(shù)據(jù)包進(jìn)行分析。=1\*ROMANI、ESP(EncapsulatingSecurityPayload)合同分析分析析源地址為主機(jī)A的IP、目的地址為主機(jī)B的IP的數(shù)據(jù)包信息；根據(jù)ESP報(bào)文格式，對(duì)數(shù)據(jù)進(jìn)行分析與安全參數(shù)索引SPI。（按照鏈路層報(bào)頭（默認(rèn)14字節(jié)）→網(wǎng)絡(luò)層報(bào)頭（本實(shí)驗(yàn)中為20字節(jié)）→ESP報(bào)頭的次序解析數(shù)據(jù)。）在該ESP合同下的報(bào)文中，安全參數(shù)索引SPI為4個(gè)字節(jié)，即“bb1574d9”。通過(guò)這個(gè)SPI發(fā)送給對(duì)方的時(shí)候，對(duì)方只需要查看SADB數(shù)據(jù)庫(kù)中的SPI來(lái)匹配，然后通過(guò)該SPI下的加密參數(shù)和方略來(lái)進(jìn)行解密。=2\*ROMANII、AH(AuthenticationHeader)合同分析主機(jī)A、B同時(shí)進(jìn)行以下操作，修改“ICMP安全通信方略”，運(yùn)用AH合同對(duì)數(shù)據(jù)源進(jìn)行身份驗(yàn)證，而不對(duì)傳輸數(shù)據(jù)進(jìn)行加密解決，選擇MD5，點(diǎn)擊擬定。主機(jī)A對(duì)主機(jī)B進(jìn)行ping操作，待操作完畢，合同分析器停止捕獲數(shù)據(jù)包。切換至“合同解析視圖”，觀察十六過(guò)制顯示區(qū)數(shù)據(jù)，按照鏈路層報(bào)頭（默認(rèn)14字節(jié)）→網(wǎng)絡(luò)層報(bào)頭（本實(shí)驗(yàn)中為20字節(jié)）→AH報(bào)頭的次序解析數(shù)據(jù)。在此狀況中，我們探討在AH合同下的數(shù)據(jù)解決分析思路。如上圖所示，藍(lán)色面積即為AH報(bào)文，其它內(nèi)容和上述結(jié)論一致。上圖為AH報(bào)文的構(gòu)成方式。其中“下一種報(bào)頭”為“01”。報(bào)體長(zhǎng)度為“04”。預(yù)留是“0000”。安全參數(shù)索引SPI為“4738b3d3”。次序編號(hào)為“00000005”。剩余字段為身份驗(yàn)證數(shù)據(jù)和填充數(shù)據(jù)。實(shí)驗(yàn)2防火墻實(shí)驗(yàn)設(shè)立防火墻的入站和出站規(guī)則，能夠?qū)崿F(xiàn)阻擋或者允許特定程序或者端口進(jìn)行連接。在windows防火墻高級(jí)設(shè)立中能夠完畢對(duì)應(yīng)的設(shè)立。在該實(shí)驗(yàn)中，本機(jī)（A機(jī)）IP地址為10.20.66.128，同窗電腦（B機(jī)）IP為10.20.66.1332.1通過(guò)配備防火墻的“入站規(guī)則”和“出站規(guī)則”，實(shí)現(xiàn)訪問控制列表中對(duì)某臺(tái)聯(lián)網(wǎng)電腦訪問設(shè)立防火墻電腦的限制，以及設(shè)立防火墻電腦對(duì)某臺(tái)聯(lián)網(wǎng)電腦訪問限制，并且通過(guò)有關(guān)網(wǎng)絡(luò)應(yīng)用（例如Ping），測(cè)試防火墻的作用。在進(jìn)行防火墻的有關(guān)設(shè)立之前，將A機(jī)嘗試pingB機(jī)，成果如圖?？梢姡谶M(jìn)行防火墻出入站規(guī)則修改之前，兩者能夠聯(lián)通。下面，進(jìn)行防火墻出站規(guī)則的修改，大致的設(shè)立環(huán)節(jié)整頓以下：（1）點(diǎn)擊“出站規(guī)則”->“新建規(guī)則”->“自定義”（2）點(diǎn)擊“作用域”，在遠(yuǎn)程IP地址中添加目的IP（），再擬定。（3）點(diǎn)擊“操作”，選擇“制止連接”選項(xiàng)。（4）最后修改名稱為“制止連接”，點(diǎn)擊完畢。（5）配備完畢后，在出站規(guī)則列表中的視圖以下:（6）最后啟動(dòng)防火墻最后在本機(jī)對(duì)B機(jī)進(jìn)行PING操作，成果以下：可見，此時(shí)A機(jī)無(wú)法連接上B機(jī)。另外，在B機(jī)上PingA機(jī)時(shí)，在B機(jī)上有以下成果：發(fā)現(xiàn)，此時(shí)B機(jī)能夠訪問A機(jī)，綜合上兩圖，該成果符合實(shí)驗(yàn)預(yù)期。接下來(lái)能夠設(shè)立防火墻對(duì)于某類應(yīng)用的限制。例如說(shuō)將PING.exe設(shè)立靜止訪問，那么應(yīng)當(dāng)可以回絕PING語(yǔ)句的作用。例如說(shuō)以下圖配備，將system32文獻(xiàn)夾下面的PING.EXE設(shè)立為制止連接。2.2通過(guò)配備防火墻的“入站規(guī)則”和“出站規(guī)則”，實(shí)現(xiàn)訪問控制列表中對(duì)某類應(yīng)用（例如基于ICMPv4的Ping）訪問設(shè)立防火墻電腦的限制，以及設(shè)立防火墻電腦對(duì)某類應(yīng)用（例如基于ICMPv4的Ping）訪問限制，并且通過(guò)對(duì)該應(yīng)用的使用，測(cè)試防火墻的作用。在這部分實(shí)驗(yàn)中，我們嘗試將PING.exe設(shè)立靜止訪問，即能夠回絕PING語(yǔ)句的作用。按照類似實(shí)驗(yàn)2.1的配備，將system32文獻(xiàn)夾下面的PING.EXE設(shè)立為制止連接。配備成功后的截圖以下：再在操作中選擇“制止連接”選項(xiàng)，點(diǎn)擊完畢即可。理論上操作至此已經(jīng)滿足規(guī)定，但實(shí)際操作卻發(fā)現(xiàn)ping操作仍可用。這是由于ping操作是系統(tǒng)層面上的應(yīng)用，不能僅僅通過(guò)禁用某個(gè)可執(zhí)行程序就能將它禁用，要達(dá)成效果，需要禁用ICMP合同。于是我們進(jìn)行了以下操作（在出站設(shè)立當(dāng)中禁用了這里的ICMP的IPv4當(dāng)中的合同）：此時(shí)，再進(jìn)行ping操作發(fā)現(xiàn)A、B兩機(jī)無(wú)法互相訪問，操作成果如圖：2.3配備和驗(yàn)證自己認(rèn)為含有實(shí)際應(yīng)用價(jià)值的個(gè)人電腦防火墻規(guī)則，并且測(cè)試該防火墻的作用。我們能夠在出站規(guī)則中禁用有個(gè)IP，以嚴(yán)禁訪問某些已知的帶有詐騙、木馬鏈接的有害網(wǎng)站網(wǎng)站，此處我們以嚴(yán)禁訪問IP地址210.59.228.209為例。具體的設(shè)立環(huán)節(jié)與實(shí)驗(yàn)2.1類似，成果測(cè)試以下：可見，符合設(shè)計(jì)預(yù)期。2.4羅列以上防火墻配備對(duì)應(yīng)的訪問控制列表。表1實(shí)驗(yàn)2.1訪問控制列表動(dòng)作源IP地址源端標(biāo)語(yǔ)目的IP地址目的端標(biāo)語(yǔ)闡明嚴(yán)禁**10.20.66.133*制止B機(jī)訪問允許*****表2實(shí)驗(yàn)2.2訪問控制列表動(dòng)作源IP地址源端標(biāo)語(yǔ)目的IP地址目的端標(biāo)語(yǔ)闡明嚴(yán)禁10.20.66.133**1嚴(yán)禁ICMP合同允許*****表3實(shí)驗(yàn)2.3訪問控制列表動(dòng)作源IP地址源端標(biāo)語(yǔ)目的IP地址目的端標(biāo)語(yǔ)闡明嚴(yán)禁10.20.66.133*210.59.228.209*嚴(yán)禁訪問某網(wǎng)站允許******思考題：(1)安全I(xiàn)P技術(shù)涉及哪些？答：涉及安全合同、安全關(guān)聯(lián)、密鑰管理、身份驗(yàn)證算法與加密算法。(2)慣用的IP報(bào)文身份驗(yàn)證算法有哪些？安全性如何？答：IP報(bào)文的身份驗(yàn)證算法MD5、SHA-1、HMAC與數(shù)字簽名等等。SHA-1比MD5更為安全，如果私鑰不丟失的話，數(shù)字簽名最為保險(xiǎn)。(3)慣用的IP報(bào)文加密算法有哪些？安全性如何？答：報(bào)文加密算法有DES、TDES以及RC4算法。TDES的安全性顯然高于DES，均強(qiáng)于RC4算法，但是RC4算法使用較簡(jiǎn)樸。實(shí)驗(yàn)報(bào)告四、實(shí)驗(yàn)小結(jié)（涉及問題和解決辦法、心得體會(huì)、意見與建議等）通過(guò)這幾次實(shí)驗(yàn)，初步掌握了Wireshark軟件的使用，理解了基于安全I(xiàn)P的安全數(shù)據(jù)傳送辦法。同時(shí)學(xué)會(huì)在電腦上配備防火墻的入站規(guī)則與出站規(guī)則，對(duì)防火墻的功效有了更加直觀進(jìn)一步的理解。實(shí)驗(yàn)中，通過(guò)分析報(bào)文、設(shè)立防火墻出入規(guī)則，將理論知識(shí)應(yīng)用于實(shí)踐過(guò)程中，不僅增強(qiáng)了對(duì)課本理論知識(shí)的理解能力，更增強(qiáng)了動(dòng)手能力，為后來(lái)的進(jìn)一步學(xué)習(xí)打下了堅(jiān)實(shí)的基礎(chǔ)。理論和實(shí)際的結(jié)合讓我們學(xué)到了許多課堂講義學(xué)不到的東西，進(jìn)一步學(xué)會(huì)了網(wǎng)絡(luò)安全知識(shí)的概念，初步掌握