2019年全国职业院校技能大赛高职组
“信息安全管理与评估”赛项任务书
- 赛项时间
xx-xxx,共计x小时x分,含赛题发放、收卷时间。
- 赛项信息
- 赛项内容
| 竞赛阶段 |
任务阶段 |
竞赛任务 |
竞赛时间 |
分值 |
| 第一阶段 平台搭建与安全设备配置防护 |
任务1 |
网络平台搭建 |
xxx-xxx |
100 |
| 任务2 |
网络安全设备配置与防护 |
300 |
||
| 第二阶段 系统安全攻防及运维安全管控 |
任务1 |
代码审计 |
200 |
|
| 任务2 |
恶意代码分析及利用 |
200 |
||
| 任务3 |
web渗透 |
200 |
本次大赛,各位选手需要完成两个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如:08工位,则需要在U盘根目录下建立“GW08”文件夹,并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
- 赛项环境设置
- 网络拓扑图
-
- IP地址规划表
| 设备名称 |
接口 |
IP地址 |
对端设备 |
| 防火墙DCFW |
ETH0/2 |
10.0.0.1/30 |
DCRS |
| ETH0/1 |
218.5.18.1/27 |
PC(218.5.18.2) |
|
| L2TP |
192.168.10.1/24 可用IP数量为20 |
L2TP地址池 |
|
| WEB应用防火墙WAF |
ETH2 |
172.16.100.2/24 |
DCST |
| ETH3 |
DCRS |
||
| 三层交换机DCRS |
VLAN 1001 ETH1/0/2 |
10.0.0.2/30 |
DCFW |
| VLAN 10 |
172.16.10.1/24 |
LAN2 |
|
| VLAN 20 |
172.16.20.1/25 |
LAN1 |
|
| VLAN 40 ETH1/0/6-9 |
192.168.40.1/24 |
PC1 |
|
| 管理VLAN VLAN 100 |
192.168.100.1/24 |
||
| VLAN 200 ETH1/0/10-24 |
172.16.100.1/24 |
WAF、PC2 |
|
| ETH3 |
DCRS(ETH1/0/4) |
||
| 堡垒服务器DCST |
- |
- |
WAF |
-
- 设备初始化信息
| 设备名称 |
管理地址 |
默认管理接口 |
用户名 |
密码 |
| 防火墙DCFW |
ETH0 |
admin |
admin |
|
| WEB应用防火墙WAF |
https://192.168.45.1 |
ETH5 |
admin |
admin123 |
| 三层交换机DCRS |
- |
Console |
- |
- |
| 堡垒服务器DCST |
- |
- |
参见“DCST登录用户表” |
|
| 备注 |
所有设备的默认管理接口、管理IP地址不允许修改; 如果修改对应设备的缺省管理IP及管理端口,涉及此设备的题目按 0 分处理。 |
|||
- 第一阶段任务书(100分)
平台搭建要求如下:
| 题号 |
网络需求 |
| 1 |
根据网络拓扑图所示,按照IP地址参数表,对WAF的名称、各接口IP地址进行配置。 |
| 2 |
根据网络拓扑图所示,按照IP地址参数表,对DCRS的名称、各接口IP地址进行配置。 |
| 3 |
根据网络拓扑图所示,按照IP地址参数表,对DCFW的名称、各接口IP地址进行配置。 |
| 4 |
根据网络拓扑图所示,按照IP地址参数表,在DCRS交换机上创建相应的VLAN,并将相应接口划入VLAN。 |
| 5 |
采用静态路由的方式,全网络互连。 |
| 6 |
防火墙做必要配置实现内网对外网访问 |
任务2:网络安全设备配置与防护(300分)
DCFW:
- 在DCFW上配置,连接LAN接口开启PING,HTTP,HTTPS,telnet功能,连接Internet接口开启PING、HTTPS功能;连接netlog接口为DMZ区域,合理配置策略,让内网用户能通过网络管理netlog;
- DCFW配置 LOG,记录NAT会话, Server IP为172.16.100.10.开启DCFW上snmp服务,Server IP 172.16.100.10 团体字符为public;
- DCFW做相应配置,使用L2TP方式让外网移动办公用户能够实现对内网的访问,用户名密码为dcn2018, VPN地址池参见地址表;合理配置安全策略。
- 出于安全考虑,无线用户移动性较强,无线用户访问 Internet是需要采用实名认证,在防火墙上开启Web认证,账号密码为2018web;
- 为了合理利用网络出口带宽,需要对内网用户访问Internet进行流量控制,园区总出口带宽为200M,对除无线用户以外的用户限制带宽,每天上午9:00到下午6:00每个IP最大下载速率为2Mbps,上传速率为1Mbps;
- DCFW上配置限制内网用户访问www.taobao.com 限制内网用户访问URL中带有taobao关键字的所有网站;
WAF:
- 在公司总部的WAF上配置,编辑防护策略,定义HTTP请求体的最大长度为256,防止缓冲区溢出攻击。
- 在公司总部的WAF上配置,编辑防护策略,要求客户机访问网站时,禁止访问*.exe的文件。
- 在公司总部的WAF上配置,禁止HTTP请求和应答中包含敏感字段“赛题”和“答案”的报文经过WAF设备。
- 在公司总部的WAF上配置,禁止公网IP地址(218.5.18.2)访问网站服务器,网站服务器IP地址是172.16.100.30;
- 在公司总部的WAF上配置,防止某源IP地址在短时间内发送大量的恶意请求,影响公司网站正常服务。大量请求的确认值是:并发访问超过1000次请求;
- 在WAF上配置,开启基于 session cookie的CC防护,最大请求数为1000,超过进行阻止;
DCRS:
- 配置认证服务器,IP地址是192.168.2.100,radius key是dcn2018;
- 在公司总部的DCRS上配置,需要在交换机E1/0/21接口上开启基于MAC地址模式的认证,认证通过后才能访问网络;
- 配置公司总部的DCRS,通过DCP(Dynamic CPU Protection)策略,防止DCRS受到来自于全部物理接口的DOS(Denial Of Service)攻击,每秒最多30个包;
- 为减少内部ARP广播询问VLAN网关地址,在全局下配置DCRS每隔300S发送免费ARP;
- DCRS为接入交换机,为终端产生防止MAC地址防洪攻击,请配置端口安全,每个已划分VLAN的端口最多学习到5个MAC地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG日志;连接PC1的接口为专用接口,限定只允许PC1的MAC地址可以连接;
- 为了防止VLAN40网段arp欺骗,需要在交换机上开启ip dhcp snooping并在接口下绑定用户;
- 在DCRS上配置,配置设备enable密码,密码为dcn2011,并且在登录设备时必须正确输入enable密码才能进入交换机的配置模式;
- DCRS上配置,VLAN40的成员接口开启广播风暴抑制功能,参数设置为2100pps;
- 第二阶段任务书(600分)
任务1:代码审计(200分)
任务环境说明:
DCST:
服务器场景:18web
服务器场景操作系统:Microsoft Windows XP
服务器场景安装服务:apache+php+mysql集成环境
任务内容:
- 访问http://靶机IP:8000(打开靶机控制台,在登陆界面按5次shift获取靶机IP),通过审计第一题的代码并利用获取到隐藏的flag,并对flag进行截图。
- 访问http://靶机IP:8000,通过审计第二题的代码并利用获取到隐藏的flag,并对flag进行截图。
- 访问http://靶机IP:8000,通过审计第三题的代码并利用获取到隐藏的flag,并对flag进行截图。
- 访问http://靶机IP:8000,通过审计第四题的代码并利用获取到隐藏的flag,并对flag进行截图。
- 访问http://靶机IP:8000,通过审计第五题的代码并利用获取到隐藏的flag,并对flag进行截图。
任务2:恶意代码分析及利用(200分)
任务环境说明:
DCST:
服务器场景:18shell
服务器场景操作系统:Centos6.5
服务器场景安装服务:apache+php+mysql
任务内容:
- 通过靶机控制台获取靶机IP地址,访问http://靶机IP,下载靶机源码并进行代码审计,找到黑客上传的木马,并对木马文件进行截图。
- 对找到的木马进行利用,查看当前用户权限,并对回显结果进行截图。
- 通过木马找到flag文件的位置(flag文件名中包含乱码),并对flag文件名进行截图。
- 通过木马查看flag文件内容,并对flag值进行截图。
- 编写脚本对加密的flag进行解密(不限制脚本语言),获得正确的flag(flag格式为flag{*********}),对解密脚本及解密后的flag进行截图。
任务3:web渗透(200分)
任务环境说明:
DCST:
服务器场景:18web
服务器场景操作系统:Microsoft Windows XP
服务器场景安装服务:apache+php+mysql集成环境
任务内容:
- 访问http://靶机IP:8100(打开靶机控制台,在登陆界面按5次shift获取靶机IP),绕过限制进行上传,获取到flag1,并对flag1进行截图。
- 访问http://靶机IP:8100,根据题1结果给出的提示获取flag2,并对flag2进行截图。
- 访问http://靶机IP:8100,根据题2结果给出的提示获取flag3,并对flag3进行截图。
- 访问http://靶机IP:8100,根据题3结果给出的提示获取flag4,并对flag4进行截图。
- 访问http://靶机IP:8100,根据题4结果给出的提示获取flag5,并对flag5进行截图。