入侵检测与安全策略实习报告

实习报告一、认知实习情况概述（一）实习目的对系统安全及系统安全入侵检测的学习和实习，在windows平台和Linux平台下如何对系统安全的加固与防御，包括身份鉴别，密码安全策略，登录失败策略，安全的远程管理方式，访问控制，安全审计，审核策略开启，日志属性设置，入侵防御，系统资源控制，访问控制，超时锁定，完成了对Linux部分入侵检测安装及应用。通过实际操作来巩固学习到的知识，提升自己的专业水平。（二）实习内容任务一：Win 2000 Server1.ARP欺骗2.注册表安全3.IP安全策约4.EFS加密文件破解任务二：Linux平台部分1.samba服务的缓冲区溢出2.系统安全加固3.对Linux主机打上系统补丁，更新系统内核，耍求能在新内核下启动Linux系统任务三：入侵检测（Linux平台）1.Snort+acid的安装和应用2.Snortcent的安装及应用3.Snort-inline的安装与应用4.Guardian的安装和配置5. Linux系统平台知识拓展二、认知实习过程（一）运行环境Win 2000 Server和Linux系统（二）故障现象及原因分析情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者不能正常上网。情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。（三）故障诊断如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击“开始”按钮-选择“运行” -输入“pd”点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。注：arp-d命令用于清除并重建本机arp表。arp-d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。（四）故障处理1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。2、被害者：（1）绑定网关的地址。具体方法如下： 1）首先，获得路由器的内网的MAC地 址（例如网关地址10. 10. 75. 254的MAC地址为0022aa0022aa）。2）编写一个批处理文件 AntiArp.bat 内容如下：echooffarp-darpslO. 10.75. 25400-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖至“Windows- 开始一程序一启动”中。这样开机时这个批处理就被执行了。（2）使用ARP防火墙（例如Anti Arp）软件抵御ARP攻击。Anti Arp软件会在提示框内出现病毒主机的MAC地址。linux安装vpn的步骤：在ssh里而输入命令：cat /etc/issue结果是：CentOS release 4.6 (Final)看来操作系统是CentOS release 4.6 (Final)版本的roottest log# uname -aLinux test 2.6.9-34. EL #1 Fri Feb 24 16:44:51 EST 2006 i686 i686 i386 GNU/Linux再执行如下操作：cd /tmp这个是进入tmp目录，为了下面下载文件提供一个目录，下载以下4个文件：wgethttp:/poptop.sourceforge,net/yum/stab1e/packages/dkms-2.0.17.5-1. noa rch. rpmwgethttp:/p()ptop.sourceforge,net/yum/stable/packages/kernel ppp mppe-l.0.2-3dkms. noarch.rpmwgethttp:/poptop.sourceforge,net/yum/stable/packages/ppp-2.4.3-7. rhel4.i386.rpmwgethttp:/p()ptop.sourceforge,net/yum/stable/packages/pptpd-1.3.4-1.rheid.i386.rpm然后分别运行：rpm -ivh dkms-2.0.17.5-1.noarch,rpmrpm -ivh kernel ppp mppe-1.0.2-3dkms.noarch,rpmrpm -Uvh ppp-2.4.3-7.rhel4.i386.rpmrpm -ivh pptpd-1.3.4-1.rhel4.i386.rpm当运行到第三条命令时，提示错误：root® tmp# rpm -Uvh ppp-2.4.3-7.rhel4.i386.rpmwarning: ppp-2.4.3-7.rhel4.i386.rpm: V3 DSA signature: NOKEY, key ID 862acc42error: Failed dependencies:1 ibpcap. so.0.8.3 is needed by ppp-2.4.3-7.rhel4.i386提示没有安装libpcap.so.0.& 3网上找了一个：ftp:/195.220.108.108/1inux/PLD/dists/ac/ready/i386/1ibpcap-0.8.3-3.i 386rpm运行:rpm -Uvh 1 ibpca.p-0.8.3-3.i386.rpm 成功！然后重新运行:rpm -Uvh ppp-2.4.3-7.rhel4.i386.rpm 成功! 运行:rpm -ivh pptpd-1.3.4-1.rhel4.i386.rpm 也没问题:) 下一步是编辑配置文件：vi /etc/pptpd. conf找到最下面的ttlocalip 192.168.0.1ttremoteip 192.168.0.234-238, 192.168.0.245# orttlocalip 192.168.0.234-238, 192.168.0.245ttremoteip 192.168.1.234-238, 192.168.1.245意思是提供给一个VPN还是多个VPN服务，上面2行是一个VPN的，下面 2行是多个VPN的，我只需要一个，就把上面2行的注释符#去掉然后就可以启动 PPtpd服务了：service pptpd start当然，随时也可以关掉：service pptpd stop启动成功！Starting pptpd: OK 然后就是编辑VPN用户的密码资料了 实时生效vi /etc/ppp/chap-secrets文件里面有提示：#Secrets for authentication using CI1AP#die nt server secre t IP addresses用户名 pptpd 密码 192.168.10.20以上的用户名和密码是VPN拨号的时候用的，如果把后而的IP地址设成*的话，就不限制使用人数了。至此，VPN可以连接了可以自己先拨号看看能不能连上，连接后，还需耍设置NAT JLP转发，否则用户连接上服务器后，是不能访问外网的内容的。iptables -t nat -Fiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT - toXXX. XXX. XXX. XXXXXX. XXX. XXX. XXX是你的服务器的IP地址最后就是找服务器的DNS的IP地址用ns lookup然后输入dns可以找到 DNS的ip地址CentOS 5版本的下载文件和运行的文件：cd /tmpwgethttp:/poptop.sourceforge,net/yum/stable/packages/dkms2.0.17. 5T. noa rch.rpmwge thttp:/poptop.sourceforge,net/yum/stable/packages/kernel ppp mppe-1.0.2-3dkms. noarch. rpmwge thttp:/poptop. sourceforge, net/yum/stable/packages/ppp-2.4.4-9. 0.rhel5.i386.rpmwgethttp:/poptop. sourceforge, net/yum/stable/packages/pptpd-1.3.4T. rhe 15.1.i386.rpmrpm -ivh dkms-2.0.17.5-1. noarch.rpmrpm -ivh kernel ppp mppe-1.0.23dkms.noarch.rpmrpm -Uvh ppp2.4.49.0. rhel5.i386.rpmrpm -ivh pptpdT.3.4T.rhel5.1.i386.rpm三、认知实习总结首先是对Windows平台的系统进行加固和加密操作，使系统的稳定性更强, 防止黑客发现自己系统漏洞而有机可乘，破坏系统的重要数据文件。如在Windows系统中设置的ip安全策略、注册表安全、ARP欺骗及efs加密文件的破解等。在Windows系统里了解了一番之后又跨进了Linux系统的字符海洋，给我最大的感受就是Linux系统完全是在指令的操控下完成任务的，对配置文件作出的修改、删除、写入、执行等操作都使用到了字符命令，这种方法与Windows窗口界面相比更方便、安全、可靠、稳定。学习的过程中我也遇到过或多或少的不同难题，原本以为在自己的努力下可以解决,但是有一些问题还是没有办法解决，比如在做Apache的时候就遇到过提示的错谋信息（80 端口被占用），此时真的不知道怎么解决它，也上过百度杳找资料。最终还是同班同学的帮助下解决了这难题。当这些问题都被一一解决的那一瞬间才能真正的体会到成功來之不易的道理，也有一些激动心情。虽然实习已结束，但是我还是会在以后的学习生活中去深入了解Linux系统知识。从这些收获中积累经验发现问题，以便自己能在这个行业里有所发展，激发兴趣爱好。四、认知实习的体会及思考这次实习时间虽然很短, 但获益不浅，感慨良多。给我感受最深的，有以下几点:（一）实训是个人综合能力的检验。要想学好系统入侵检测与安全策略这一门课程，除了平时多看书，还必须多培养动手能力，操作能力。只有当你操作起来，才知道那一环节不会。另外，还必须有较强的应变能力、独立思考的能力和坚强的毅力。第一次做实践项目需要通过多方面去查阅资料,比如网上查阅、图书馆资料等。尽管累，但这一切让人找到了学习的兴趣。（二）此次实训，我深深体会到了积累知识的重要性。虽有以前的理论知识作为基础，但在实训中常常会涉及到其他方面的知识，还有通过老师同学的指导，使我初步的了解了一些其他系统入侵检测与安全策略的一些知识使用方法。6