XXXX江西电信网络安全攻防演练指引.docx

2010江西电信网络安全攻防演练 指引 中国电信江西公司 省网支SOC中心 目录 1演练项目 3 2演练拓扑 3 2.1拓扑 3 2.2演练环境说明 4 2.3设备列表 5 3演练步骤 6 3.1模拟场景1. 6 江西-城域网遭到大规模DDOS攻击 6 3.2模拟场景2. 6 江西电信网络安全攻防演练 6 3.2.1 任务 6 3.2.2对抗分组 7 3.2.3职责 7 3.2.4判断标准 8 3.2.5演练步骤： 8 4联系方式 9 附件1演练环境配置 10 附件2演练接入 10 附件3攻击流量监控方法 10 1演练项目 演练项目如下： 1、 模拟场景1.江西某城域网遭到DDOS攻击 2、 模拟场景2.江西电信网络安全攻防演练 2演练拓扑 2.1拓扑 模拟场景1.江西某城域网遭到DDOS攻击拓扑： （待添加） 模拟场景2.亚运网络安全攻防演练的演练拓扑： 2.2演练环境说明 模拟场景1.江西某城域网遭到DDOS攻击： （待添加） 模拟场景2.亚运网络安全攻防演练的环境说明： 在场景2演练平台中，采用思科2800作为VPDN的LNS设备，同时兼为实验室内网地址NAT转换外网地址，该LNS上联省NOC的接入路由上，分配的外网IP地址网段为：61.131.214.192/26，LNS（cisco2800）的外网接口地址为61.131.214.194，另外以太口连接内网的华为NE80核心路由器上，公网用户通过VPDN拨号，认证通过后，获得内网地址为10.10.10.2-254，再访问实验室内网。 核心为华为的NE80和7806设备，下挂华为ME60设备，作为宽带接入服务器（BRAS）用户。在ME60设备上开静态IP用户，地址段为：10.10.17.0/24、10.10.18.0/24，分别作为安全设备的管理地址用和接入服务器或主机使用。 华为S7806作汇聚交换机，上联ME60的G1/0/1，透传管理VLAN2，用户VLAN20、30；下接入天融信的防火墙和Macfee2600设备。 整个实验用采用的IGP协议为OSPF协议，本规划模拟现城域网中的路由协议，如BGP、ISIS和OSPF协议，将CISCO2800、7609、NE80、ME60全部开IGP协议OSPF，并规划在用一个OSPF号（791）和同一个域（area 0），这样内网用户可通过CISCO2800NAT访问公网，对于公网用户，也可通过VPDN拨号访问内网服务。 系统方面，新添服务器5台，操作系统分别为Linux、Sun solaris、Win2003 server、Winxp、Win2008 server。服务器上的应用包括：Web、Ftp、Smtp、DNS、SQLserver、Oracle、telnet、ssh等常见应用。 2.3设备列表 层面 设备名称 厂家 数量 作用 核心层设备 NE80 华为 1 核心路由设备 CISCO7806 思科 1 核心路由设备 业务接入设备 ME60 华为 1 BRAS接入设备 汇聚设备 S7806 华为 1 汇聚交换机 LNS 路由器 CISCO2800 思科 1 小型路由设备 交换机 CISCO3550 思科 1 接入交换机 CISCO3560 思科 1 接入交换机 流量监控 Genie NTG 2100 威睿 1 NetFlow异常流量监控设备 安全设备 Mcafee 2600 迈克菲 1 IPS 入侵防御设备 IPS 天融信 1 IPS 入侵防御设备 防火墙 天融信 1 访问控制设备 其他配套 维护终端 HP DX 2000 MT 4 CPU：Intel Core 2 Duo E4500 双核（2.2G） ，内存1G，160G硬盘，Combo光驱，128M独立显卡，17寸液晶显示器 操作台 10 实验室操纵台 机架 6 600*900*2200 3演练步骤 3.1模拟场景1. 江西-城域网遭到大规模DDOS攻击 依据：《中国电信互联网网络安全应急预案》、《中国电信DDoS攻击应急响应流程》 步骤： 1. 参演的分公司通过WEB登录到GenieATM流量分析系统以及IP城域网网络设备。 2. 参演分公司提前熟悉GenieATM流量分析系统和操作脚本后，开始监测IP网异常流量。 3. 演练指挥通过NOC进行攻击流量的发送。（为了增加突然性，可选择不定时发送） 4. 参演的分公司根据流量的情况启动ACL防护，但由于攻击类型复杂，ACL效果不好。 5. 参演分公司启用黑洞路由，对攻击流量进行丢弃。 6. 参演分公司观察网络流量恢复正常后，向省SOC报告处理结果。 7. 参演分公司向演练指挥报告演练完成。 8. 演练指挥通知NOC停止攻击流量发送。 9. 参演的各分公司提交演练报告。 3.2模拟场景2. 江西电信网络安全攻防演练 依据：《中国电信互联网网络安全应急预案》 3.2.1 任务 攻击方（红队）：接入一个模拟城域网的演练网络后，可以采用各种黑客攻击手段，如：远程溢出攻击、密码暴力破解、脚本漏洞、网站挂马、ARP欺骗等，针对该模拟网络的网络设备、操作系统、应用系统等各个方面进行破坏，尽量影响目标网络的服务正常提供，所需的一切攻击工具和方法可与红队技术支持方联系获取。 防守方（蓝队）：将有1周时间对一个模拟城域网的网络和服务进行加固，之后一周会正面与攻击方对抗，如发现某系统被攻破，要在最短的时间内恢复。可以利用各种安全配置和安全设备加强对于攻击的检测和控制。所需的一切防御软件和技术与蓝队技术支持方联系获取。 在规定时间内，如果红队成功攻破蓝队的系统、造成网络或业务中断，则判红队获胜。如果蓝队在演练时间一直内保证网络和服务的正常，则蓝队获胜。 3.2.2对抗分组 攻击队（红队） 红队队长 副队长 成员 支持 待定 省SOC 黄协 九江、宜春、景德镇、吉安、赣州、萍乡 绿盟 防守队（蓝队） 蓝队队长 副队长 成员 支持 待定 省SOC 谭立佳 南昌、新余、上饶、抚州、鹰潭 启明 3.2.3职责 队长： 1. 确定攻击或防守思路，制定攻防方案并向演练指挥提交。 2. 组织、协调本队队员，分配攻防任务，检验效果。 3. 听从演练指挥的命令，开始、停止攻防行动。 4. 在演练对抗过程中，向组员下达攻防命令，记录并向演练指挥汇报所有的操作。对攻击成功或发现入侵的情况要立即报告。 5. 汇总队员的需求，与演练支持方联系，获取攻防工具和技术指导。 6. 实时关注演练命令发布群里面的信息。 7. 演练过程中如出现问题，及时向演练指挥反映。 8. 演练结束后负责编写团队演练情况报告提交给演练指挥。 副队长 1. 协助队长进行协调、联络事宜。 2. 监督、检查队伍的行为，是否有超出范围的行为。 3. 实时关注演练命令发布群里面的信息。 队员： 1. 听从队长指挥，按照队长分配的任务进行攻防操作。 2. 准备相关攻防知识，熟悉演练环境设备，需要工具和协助及时向队长提出。 3. 实时关注演练命令发布群里面的信息，保持联络畅通。 4. 演练结束后负责编写本省演练报告并提交给演练指挥。 技术支持： 1. 演练期间提供现场或远程协助。 2. 只能对支持的队伍提供工具和技术指导，不能进行实际操作。 3. 与所在的队伍密切配合，协助队长制定攻防方案。 4. 听从队长的命令，不允许私自行动。 3.2.4判断标准 攻防双方在演练过程中的表现，从以下几个方面进行判断： 1. 攻防思路。思路是否严谨、可行，方向是否正确，考虑是否完备。 2. 组织协调能力。是否进行了有效的组织协调，任务分配是否合理，组员是否对任务理解透彻，行动是否有配合，相互之际是否进行了有效的沟通。 3. 攻防表现。对网络攻防的了解是否透彻，能否自主选择合适的攻防工具，工具的使用是否熟练。 3.2.5演练步骤： 1. 将参加演练的江西省内的11个分公司分为红队和蓝队，红队负责进攻，蓝队负责防守。 2. 提前一周将蓝队的队员接入网络，对各个方面进行加固，做好防守准备。 3. 一周后，允许攻方的红队接入网络，在一周时间内，对网络设施、服务器、应用等各个方面展开进攻。 4. 演练过程中有任何进展，攻防双方都必须向演练指挥汇报。 5. 演练过程有任何情况，演练指挥可以暂时中断演练进程。 6. 演练时间到后，攻防双方停止攻击。演练指挥评估攻击对网络和服务造成的影响，根据双方的表现打分。 攻防双方提交演练过程报告，演练指挥对比赛进行点评和总结。 4联系方式 省网运负责人：李文君 18979176255 演练指挥：郑玉谦 协助：张静静 演练命令发布/讨论QQ群： 攻击队（红队）：队长 副队长 黄协 防守队（蓝队）：队长 副队长 谭立佳 红队技术支持——绿盟： 待定 白队技术支持——启明： 待定 附件1演练环境配置 模拟场景1.江西某城域网遭到DDOS攻击环境配置： （待添加） 模拟场景2.江西电信网络安全攻防演练环境配置： 附件2演练接入 江西网络实验室vpn(pptp)winxp接入指南 附件3攻击流量监控方法