2021年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项

  • Post author:
  • Post category:其他



2021


年山东省职业院校技能大赛高职组


“信息安全管理与评估”赛项


扣扣讨论群:


421865857

  • 赛项第一阶段时间

180分钟。


竞赛阶段


任务


阶段


竞赛任务


竞赛


时间


分值

第一阶段

平台搭建与安全设备配置防护

任务1

网络平台搭建

180

分钟

50

任务2

网络安全设备配置与防护

250

赛题第一阶段请按裁判组专门提供的U盘中的“XXX-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作为比赛结果提交。

  • 赛项内容
  • 赛项环境设置

    1. 网络拓扑图
    1. IP地址规划表



设备名称



接口



IP




地址



对端设备


防火墙


DCFW


ETH0/1


200.1.1.1/30


(Untrust安全域)


INTERNET


ETH0/2


10.0.0.254/24


(Trust安全域)


WAF


SSL Pool


192.168.10.1/24


可用IP数量为20


SSL VPN


地址池


WEB


应用防火墙


DCWAF


ETH2


10.0.0.253/24


DCFW


ETH3


DCRS


三层交换机


DCRS

E1/0/16

VLAN 110


10.0.0.252/24


WAF

E1/0/17


NETLOG

E1/0/18


DCST

E1/0/19


DCWS


三层无线交换机


DCWS

E1/0/19

VLAN 110

10.0.0.251/24


DCRS

E1/0/20


AP


日志服务器

DCBI


ETH2


10.0.0.250/24


DCRS

    1. 设备初始化信息


设备名称


管理地址


默认管理接口


用户名


密码

防火墙

DCFW


http://192.168.1.1

ETH0或

Console

波特率9600

admin

admin

网络日志系统DCBI

https://192.168.5.254

ETH0

admin

123456

WEB应用防火墙WAF

https://192.168.45.1

ETH5

admin

admin123

三层交换机DCRS

Console

波特率9600

无线交换机DCWS

Console

波特率9600

admin

admin

备注

所有设备的默认管理接口、管理IP地址、管理员用户名、密码不允许修改;


第一阶段任务书

任务1:网络平台搭建


题号


网络需求

1

按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。(10分)

2

按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。(10分)

3

按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。(10分)

4

按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置。(10分)

5

按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。(10分)

任务2:网络安全设备配置与防护

DCFW:

  1. 在DCFW上配置,连接LAN接口开启PING,HTTP,HTTPS,telnet功能,连接Internet接口开启PING、HTTPS功能;(20分)
  2. DCFW与DCRS之间配置OSPF area0 保证内网与INTERNET通信;(20分)
  3. 配置PAT,使内网用户可以通过出口访问INTERNET,配置LOG开启NAT会话功能;(20分)
  4. DCFW做相应配置,使用L2TP方式让外网移动办公用户能够实现对内网的访问,用户名密码自定义, VPN地址池参见地址表;(20分)
  5. 出于安全考虑,无线用户移动性较强,无线用户访问 Internet是需要采用实名认证,在防火墙上开启web认证,账号密码为自定义。(20分)

DCRS:

      1. 根据下述信息及表,在交换机上完成VLAN配置和端口分配。


设备


VLAN


编号


端口


说明

SW-1

VLAN10

E1/0/1-4

营销1段

VLAN20

E1/0/5-7

产品1段

VLAN30

E1/0/8-10

法务1段

VLAN40

E1/0/11-12

财务1段

VLAN50

E1/0/13-14

人力1段

VLAN10 10.0.10.0/24 GW:最后一个可用地址;

VLAN20 10.0.20.0/24 GW:最后一个可用地址;(10分)

VLAN30 10.0.30.0/24 GW:最后一个可用地址;

VLAN40 10.0.40.0/24 GW:最后一个可用地址;

VLAN50 10.0.50.0/24 GW:最后一个可用地址;

      1. 配置实现交换机上联接口最大传输单元为1600Bytes,满足后续双DC VXLAN等新技术应用;(10分)
      2. 配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号为6200;创建认证用户为DCN2021,采用3des算法进行加密,密钥为:Dcn20212021,哈希算法为SHA,密钥为:DCn20212021;加入组DCN,采用最高安全级别;配置组的读、写视图分别为:Dcn2021_R、DCn2021_W;当设备有异常时,需要使用本地的环回地址发送Trap消息至网管服务器10.0.0.99;(10分)
      3. 要求禁止配置访问控制列表,实现交换机法务业务对应的物理端口间二层流量无法互通;针对交换机人力业务配置相关特性,每个端口只允许的最大安全MAC 地址数为1,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留; (10分)
      4. 为保证DCBI-Netlog能够分析所有访问外网的往返流量,请将流量复制到对应接口;(10分)

WAF:

  1. WAF上配置,防止某源IP地址在短时间内并发访问超过3000次的恶意请求,影响内部网站正常服务;(10分)

  2. WAF


    上配置开启爬虫防护功能,添加爬虫标识组当爬虫标识为360Spider,自动阻止该行为;

    (10分)

  3. 为防止内网用户受到伪装木马攻击,

    WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件; (10分)

DCBI-netlog:

  1. 在DCBI-netlog上配置,设备部署方式为旁路模式,并配置监控接口与管理接口;要求对内网访问Internet全部应用进行记录日志; (10分)

  2. 配置自定义应用及应用组“流媒体”,UDP协议端口号范围10867-10868,在周一至周五8:00-20:00监控内网中所有用户的“流媒体”访问记录;

    (10分)
  3. 配置DCBI-netlog邮件告警功能,邮件服务器IP 10.0.0.98,端口号25,账号与密码自定义,当DCBI磁盘使用率超过80%时发送一次报警;(10分)

DCWS:

  1. 配置VLAN100为AP管理VLAN,VLAN101为业务VLAN;AC

    提供无线管理与业务的DHCP服务,动态分配IP地址和网关;

    使用第一个可用地址作为AC管理地址,AP二层自动注册,启用密码认证,密钥自定义。(10分)

VLAN1OO:172.50.100.0/24 GW:172.50.100.254

VLAN101:172.50.101.0/24 GW:172.50.101.254

  1. 配置一个SSID DCNXX:DCNXX中的XX为赛位号,访问Internet业务,采用WPA-PSK认证方式,加密方式为WPA个人版,密钥自定义。(10分)
  2. 配置所有无线接入用户相互隔离,Network模式下限制SSID DCNXX每天早上0点到4点禁止终端接入,开启SSID DCNXX ARP抑制功能;配置当无线终端支持5GHz网络时,优先引导接入5GHz网络,从而获得更大的吞吐量,提高无线体验。(10分)
  3. AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午7:00触发信道调整功能。(10分)

第二阶段任务书

  • 赛项第二阶段时间

180分钟。

  • 赛项信息

  • 注意事项


竞赛阶段


任务


阶段


竞赛任务


竞赛


时间


分值

第二阶段

系统安全攻防及运维安全管控

任务1

DCNMISC02

180

分钟

150

任务2

DCNCTF01

150

任务3

DCNWEB02

150

赛题第二阶段请按裁判组专门提供的U盘中的“XXX-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作为比赛结果提交。


任务1名称:DCNMISC02(150分)

任务环境说明:

攻击机场景:2021attack

攻击机场景操作系统:Windows7

攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode、winhex、编解码工具等

服务器场景:2021DCNMISC02

服务器场景操作系统: Linux

服务器场景安装服务:apache+php+mysql集成环境

注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新

任务内容:

1. 访问目标IP:80/1,打开第一题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交)(30分)

2. 访问目标IP:80/2,打开第二题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

3. 访问目标IP:80/3,打开第三题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

4. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

5. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)


任务2名称:DCNCTF01(150分)

任务环境说明:

攻击机场景:2021attack

攻击机场景操作系统:Windows7

攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode、winhex、编解码工具等

服务器场景:2021DCNCTF01

服务器场景操作系统: Linux

服务器场景安装服务:apache+php+mysql集成环境

注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新

任务内容:

1. 访问目标IP:80/1,打开第一题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

2. 访问目标IP:80/2,打开第二题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

3. 访问目标IP:80/3,打开第三题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

4. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

5. 访问目标IP:80/5,打开第五题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)


任务3名称:DCNWEB02(150分)

任务环境说明:

攻击机场景:2021attack

攻击机场景操作系统:Windows7

攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode、winhex、编解码工具等

服务器场景:2021DCNWEB02

服务器场景操作系统: Linux

服务器场景安装服务:apache+php+mysql集成环境

注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新

任务内容:

1. 访问目标IP:80/1,打开第一题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

2. 访问目标IP:80/2,打开第二题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

3. 访问目标IP:80/3,打开第三题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

4. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

5. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)

第三阶段任务书

  • 赛项第三阶段时间

90分钟。

  • 赛项信息

  • 提示与注意事项


竞赛阶段


任务


阶段


竞赛任务


竞赛


时间


分值

第三阶段

分组对抗

系统加固

加固自身服务器系统

30分钟

250

系统攻防

渗透他人服务器系统

加固自身服务器系统

60分钟

假定各位选手是某企业的信息安全工程师,负责服务器的维护,该服务器可能存在着各种问题和漏洞(见以下漏洞列表)。你需要尽快对服务器进行加固,30分钟之后将会有很多白帽黑客(其它参赛队选手)对这台服务器进行渗透测试。

提示1:该题不需要保存文档;

提示2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;

提示3:加固常规漏洞;

提示4:对其它参赛队系统进行渗透测试,取得FLAG值并提交到平台。

注意事项:

注意1:禁止攻击攻防竞技平台和网络连接设备;

  1. 网络设备已配置安全策略,WAF已配置安全监控,同时开启日

志记录和告警功能;

  1. 对网络设备和竞技平台的扫描或渗透都会被记录和告警;
  2. 对网络设备和竞技平台的扫描或渗透行为一经发现,安全策略

会阻断流量,上报裁判长按规程处理;

注意2:在加固阶段(前30分钟,具体听现场裁判指令)不得对任何服务器进行攻击;

注意3:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。靶机的Flag值存放在./flag.txt文件内容当中。基础分70分,每提交1次对手靶机的Flag值增加5分,每当被对手提交1次自身靶机的Flag值扣除5分,每个对手靶机的Flag值只能被自己提交一次,

本阶段最高得分250分,最低得分0分。在登录自动评分系统后,提交对手靶机的Flag值,同时需要指定对手靶机的IP地址。

在这个环节里,各位选手可以继续加固自身的服务器,也可以攻击其他选手的服务器。

  • 漏洞列表

1.网站存在代码执行后门

2.网站存在命令执行后门

3.网站存在文件上传

4.部分服务存在未授权访问或弱口令

选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。



版权声明:本文为qq_50377269原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。