2021年山东省职业院校技能大赛高职组
“信息安全管理与评估”赛项
- 赛项第一阶段时间
180分钟。
- 赛项信息
- 注意事项
竞赛阶段 |
任务 阶段 |
竞赛任务 |
竞赛 时间 |
分值 |
第一阶段 平台搭建与安全设备配置防护 |
任务1 |
网络平台搭建 |
180 分钟 |
50 |
任务2 |
网络安全设备配置与防护 |
250 |
赛题第一阶段请按裁判组专门提供的U盘中的“XXX-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作为比赛结果提交。
- 赛项内容
- 赛项环境设置
- 网络拓扑图
-
- IP地址规划表
设备名称 |
接口 |
IP地址 |
对端设备 |
防火墙 DCFW |
ETH0/1 |
200.1.1.1/30 (Untrust安全域) |
INTERNET |
ETH0/2 |
10.0.0.254/24 (Trust安全域) |
WAF |
|
SSL Pool |
192.168.10.1/24 可用IP数量为20 |
SSL VPN地址池 |
|
WEB应用防火墙 DCWAF |
ETH2 |
10.0.0.253/24 |
DCFW |
ETH3 |
DCRS |
||
三层交换机 DCRS |
E1/0/16 |
VLAN 110 10.0.0.252/24 |
WAF |
E1/0/17 |
NETLOG |
||
E1/0/18 |
DCST |
||
E1/0/19 |
DCWS |
||
三层无线交换机 DCWS |
E1/0/19 |
VLAN 110 10.0.0.251/24 |
DCRS |
E1/0/20 |
- |
AP |
|
日志服务器 DCBI |
ETH2 |
10.0.0.250/24 |
DCRS |
-
- 设备初始化信息
设备名称 |
管理地址 |
默认管理接口 |
用户名 |
密码 |
防火墙 DCFW |
ETH0或 Console 波特率9600 |
admin |
admin |
|
网络日志系统DCBI |
https://192.168.5.254 |
ETH0 |
admin |
123456 |
WEB应用防火墙WAF |
https://192.168.45.1 |
ETH5 |
admin |
admin123 |
三层交换机DCRS |
- |
Console 波特率9600 |
- |
- |
无线交换机DCWS |
- |
Console 波特率9600 |
admin |
admin |
备注 |
所有设备的默认管理接口、管理IP地址、管理员用户名、密码不允许修改; |
第一阶段任务书
任务1:网络平台搭建
题号 |
网络需求 |
1 |
按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。(10分) |
2 |
按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。(10分) |
3 |
按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。(10分) |
4 |
按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置。(10分) |
5 |
按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。(10分) |
任务2:网络安全设备配置与防护
DCFW:
- 在DCFW上配置,连接LAN接口开启PING,HTTP,HTTPS,telnet功能,连接Internet接口开启PING、HTTPS功能;(20分)
- DCFW与DCRS之间配置OSPF area0 保证内网与INTERNET通信;(20分)
- 配置PAT,使内网用户可以通过出口访问INTERNET,配置LOG开启NAT会话功能;(20分)
- DCFW做相应配置,使用L2TP方式让外网移动办公用户能够实现对内网的访问,用户名密码自定义, VPN地址池参见地址表;(20分)
- 出于安全考虑,无线用户移动性较强,无线用户访问 Internet是需要采用实名认证,在防火墙上开启web认证,账号密码为自定义。(20分)
DCRS:
-
-
- 根据下述信息及表,在交换机上完成VLAN配置和端口分配。
-
设备 |
VLAN编号 |
端口 |
说明 |
SW-1 |
VLAN10 |
E1/0/1-4 |
营销1段 |
VLAN20 |
E1/0/5-7 |
产品1段 |
|
VLAN30 |
E1/0/8-10 |
法务1段 |
|
VLAN40 |
E1/0/11-12 |
财务1段 |
|
VLAN50 |
E1/0/13-14 |
人力1段 |
VLAN10 10.0.10.0/24 GW:最后一个可用地址;
VLAN20 10.0.20.0/24 GW:最后一个可用地址;(10分)
VLAN30 10.0.30.0/24 GW:最后一个可用地址;
VLAN40 10.0.40.0/24 GW:最后一个可用地址;
VLAN50 10.0.50.0/24 GW:最后一个可用地址;
-
-
- 配置实现交换机上联接口最大传输单元为1600Bytes,满足后续双DC VXLAN等新技术应用;(10分)
- 配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号为6200;创建认证用户为DCN2021,采用3des算法进行加密,密钥为:Dcn20212021,哈希算法为SHA,密钥为:DCn20212021;加入组DCN,采用最高安全级别;配置组的读、写视图分别为:Dcn2021_R、DCn2021_W;当设备有异常时,需要使用本地的环回地址发送Trap消息至网管服务器10.0.0.99;(10分)
- 要求禁止配置访问控制列表,实现交换机法务业务对应的物理端口间二层流量无法互通;针对交换机人力业务配置相关特性,每个端口只允许的最大安全MAC 地址数为1,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留; (10分)
- 为保证DCBI-Netlog能够分析所有访问外网的往返流量,请将流量复制到对应接口;(10分)
-
WAF:
- WAF上配置,防止某源IP地址在短时间内并发访问超过3000次的恶意请求,影响内部网站正常服务;(10分)
- WAF上配置开启爬虫防护功能,添加爬虫标识组当爬虫标识为360Spider,自动阻止该行为;(10分)
- 为防止内网用户受到伪装木马攻击,WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件; (10分)
DCBI-netlog:
- 在DCBI-netlog上配置,设备部署方式为旁路模式,并配置监控接口与管理接口;要求对内网访问Internet全部应用进行记录日志; (10分)
- 配置自定义应用及应用组“流媒体”,UDP协议端口号范围10867-10868,在周一至周五8:00-20:00监控内网中所有用户的“流媒体”访问记录;(10分)
- 配置DCBI-netlog邮件告警功能,邮件服务器IP 10.0.0.98,端口号25,账号与密码自定义,当DCBI磁盘使用率超过80%时发送一次报警;(10分)
DCWS:
- 配置VLAN100为AP管理VLAN,VLAN101为业务VLAN;AC提供无线管理与业务的DHCP服务,动态分配IP地址和网关;使用第一个可用地址作为AC管理地址,AP二层自动注册,启用密码认证,密钥自定义。(10分)
VLAN1OO:172.50.100.0/24 GW:172.50.100.254
VLAN101:172.50.101.0/24 GW:172.50.101.254
- 配置一个SSID DCNXX:DCNXX中的XX为赛位号,访问Internet业务,采用WPA-PSK认证方式,加密方式为WPA个人版,密钥自定义。(10分)
- 配置所有无线接入用户相互隔离,Network模式下限制SSID DCNXX每天早上0点到4点禁止终端接入,开启SSID DCNXX ARP抑制功能;配置当无线终端支持5GHz网络时,优先引导接入5GHz网络,从而获得更大的吞吐量,提高无线体验。(10分)
- AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午7:00触发信道调整功能。(10分)
第二阶段任务书
- 赛项第二阶段时间
180分钟。
- 赛项信息
- 注意事项
竞赛阶段 |
任务 阶段 |
竞赛任务 |
竞赛 时间 |
分值 |
第二阶段 系统安全攻防及运维安全管控 |
任务1 |
DCNMISC02 |
180 分钟 |
150 |
任务2 |
DCNCTF01 |
150 |
||
任务3 |
DCNWEB02 |
150 |
赛题第二阶段请按裁判组专门提供的U盘中的“XXX-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作为比赛结果提交。
任务1名称:DCNMISC02(150分)
任务环境说明:
攻击机场景:2021attack
攻击机场景操作系统:Windows7
攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode、winhex、编解码工具等
服务器场景:2021DCNMISC02
服务器场景操作系统: Linux
服务器场景安装服务:apache+php+mysql集成环境
注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新
任务内容:
1. 访问目标IP:80/1,打开第一题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交)(30分)
2. 访问目标IP:80/2,打开第二题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
3. 访问目标IP:80/3,打开第三题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
4. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
5. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
任务2名称:DCNCTF01(150分)
任务环境说明:
攻击机场景:2021attack
攻击机场景操作系统:Windows7
攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode、winhex、编解码工具等
服务器场景:2021DCNCTF01
服务器场景操作系统: Linux
服务器场景安装服务:apache+php+mysql集成环境
注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新
任务内容:
1. 访问目标IP:80/1,打开第一题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
2. 访问目标IP:80/2,打开第二题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
3. 访问目标IP:80/3,打开第三题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
4. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
5. 访问目标IP:80/5,打开第五题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
任务3名称:DCNWEB02(150分)
任务环境说明:
攻击机场景:2021attack
攻击机场景操作系统:Windows7
攻击机场景工具:wireshark、firefox、IDAPRO、Burpsuite、VSCode、winhex、编解码工具等
服务器场景:2021DCNWEB02
服务器场景操作系统: Linux
服务器场景安装服务:apache+php+mysql集成环境
注意:服务器IP在控制台显示,如IP不显示,按ENTER刷新
任务内容:
1. 访问目标IP:80/1,打开第一题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
2. 访问目标IP:80/2,打开第二题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
3. 访问目标IP:80/3,打开第三题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
4. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
5. 访问目标IP:80/4,打开第四题,根据页面提示,将获取的flag提交。提交格式:flag{xxx}、Key{}、CTF{} (提交花括号里面的字段,截图保存文档提交) (30分)
第三阶段任务书
- 赛项第三阶段时间
90分钟。
- 赛项信息
- 提示与注意事项
竞赛阶段 |
任务 阶段 |
竞赛任务 |
竞赛 时间 |
分值 |
第三阶段 分组对抗 |
系统加固 |
加固自身服务器系统 |
30分钟 |
250 |
系统攻防 |
渗透他人服务器系统 加固自身服务器系统 |
60分钟 |
假定各位选手是某企业的信息安全工程师,负责服务器的维护,该服务器可能存在着各种问题和漏洞(见以下漏洞列表)。你需要尽快对服务器进行加固,30分钟之后将会有很多白帽黑客(其它参赛队选手)对这台服务器进行渗透测试。
提示1:该题不需要保存文档;
提示2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
提示3:加固常规漏洞;
提示4:对其它参赛队系统进行渗透测试,取得FLAG值并提交到平台。
注意事项:
注意1:禁止攻击攻防竞技平台和网络连接设备;
- 网络设备已配置安全策略,WAF已配置安全监控,同时开启日
志记录和告警功能;
- 对网络设备和竞技平台的扫描或渗透都会被记录和告警;
- 对网络设备和竞技平台的扫描或渗透行为一经发现,安全策略
会阻断流量,上报裁判长按规程处理;
注意2:在加固阶段(前30分钟,具体听现场裁判指令)不得对任何服务器进行攻击;
注意3:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。靶机的Flag值存放在./flag.txt文件内容当中。基础分70分,每提交1次对手靶机的Flag值增加5分,每当被对手提交1次自身靶机的Flag值扣除5分,每个对手靶机的Flag值只能被自己提交一次,
本阶段最高得分250分,最低得分0分。在登录自动评分系统后,提交对手靶机的Flag值,同时需要指定对手靶机的IP地址。
在这个环节里,各位选手可以继续加固自身的服务器,也可以攻击其他选手的服务器。
- 漏洞列表
1.网站存在代码执行后门
2.网站存在命令执行后门
3.网站存在文件上传
4.部分服务存在未授权访问或弱口令
选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。