Hình 11 Cấu hình mạng của máy Server21.2.2 Cấu hình định tuyến trên FW và Route Core, đảm bảo người dùng Inside có thể giao tiếp với các Server vùng DMZ Trong ASA Firewall có Policy-map,
Lab 6: CONFIGURE FIREWALL ASA BASIC
Sơ đồ
Hình 1 Sơ đồ yêu cầu
Hình 2 Sơ đồ cấu hình
Triển khai Chi tiết từng bước
1.2.1 Kết nối và cấu hình địa chỉ IP theo mô hình
Hình 3 Cấu hình cổng inside ASA
Hình 4 Cấu hình cổng DMZ ASA
Hình 5 Cấu hình cổng outside ASA
Hình 7 Cấu hình các interface trên router core
Hình 8 Cấu hình mạng của máy inside1
Hình 9 Cấu hình mạng của máy inside2
Hình 10 Cấu hình mạng của máyServer1
Hình 11 Cấu hình mạng của máy Server2
1.2.2 Cấu hình định tuyến trên FW và Route Core, đảm bảo người dùng Inside có thể giao tiếp với các Server vùng DMZ
Trong ASA Firewall có Policy-map, sử dụng các class-map
Inspection_default là một class-map dành cho các inspection traffic, là các traffic dành cho việc giám sát, và mặc định ASA firewall chưa có inspect icmp Vì vậy, ta sẽ thêm inspect icmp vào class inspection_default của ASA Firewall.
Hình 13 Định tuyến trên firewall
Hình 14 Định tuyến trên router core
Hình 15 Ping đến máy vùng DMZ thành công
1.2.3 Cấu hình FW chỉ cho phép PC với IP 192.168.2.10 được phép SSH vào FW.
Hình 16 Cấu hình ssh trên firewall
Với: - user password – tạo user password
- crypto key generate rsa general-keys – tạo khóa rsa
- ssh 192.168.2.10 255.255.255.255 inside – cho phép ssh từ địa chỉ này từ vùng inside
- ssh version 2: sử dụng ssh version 2
- aaa authentication ssh console LOCAL // Cho phép user đã tạo được đăng nhập SSH
Hình 17 Kết nối bằng user n18dcat085 vừa tạo trên máy vùng inside
1.2.4 Cấu hình Static NAT trên FW sao cho người dùng ngoài Internet có thể truy cập được dịch vụ Remote Desktop của Server
Nhóm các IP bằng object network
Hình 18 Cấu hình Object network
Nhóm các giao thức với object service
Hình 19 Cấu hình Object Service với eq bằng port 3389
# nat (DMZ,outside) source static DMZ_10.10 interface service RDP RDP
Với: - (DMZ,outside) – (Cổng đích, cổng source).
- source: option của lệnh NAT chỉ cho phép thực hiện nat các tham số phía sau
- DMZ_10.10 : nhóm các IP đích của NAT
- service RDP RDP: dịch vụ Remote Desktop vừa tạo
# access-list POLICY extended permit tcp any host 192.168.10.10 eq 3389
Hình 21 Cấu hình access list ACL
Hình 22 Chỉnh sửa cấu hình Server cho phép remote
Hình 23 IP của eth2 khi chưa được cấp phát.
Hình 24 Sử dụng máy VPC nhận DHCP IP
Hình 25 Thực hiện Remote Desktop cổng NAT của ASA
Hình 26 Đăng nhập với user đã tạo
1.2.5 Cấu hình PAT trên FW sao cho người dùng từ Inside có thể truy cập được các dịch vụ ngoài Internet
Hình 29 Cấu hình object USER
Hình 31 Kiểm tra kết nối mạng và truy cập thành công
Lab 7: IPSEC VPN SITE TO SITE
Sơ đồ
Hình 32 Mô hình yêu cầu
Hình 33 Sơ đồ triển khai
Cấu hình
2.2.1 Cấu hình default route cho ISP
- Bước 1: Cấu hình chính sách IKE( chính sách phase 1) // ISAKMP – quản lý
Hình 34 Cấu hình các cổng serial
Hình 35 Cấu hình default route cho ISP
2.2.2 Cấu hình IPSEC cho router site
Hình 36 Cấu hình chính sách IKE(phase 1) router Sai Gon
Hình 37 Cấu hình chính sách IKE router Vũng Tàu
- isakmp : là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA.
- hash md5: thuật toán hash
- des: Thuật toán mã hóa
- group 2(Thuật toán Diffie hellman)
Bước 2 : Xác định thông tin key và peer:
Hình 38 Xác định key và peer cho router SaiGon
Hình 39 Xác định key và peer cho router VungTau
Bước 3 : Cấu hình chính sách IPSec (phase 2)
Hình 40 Cấu hình chính sách IPSEC(phase 2) router SaiGon
Hình 41 Cấu hình chính sách IPSEC(phase 2) router VungTau
Bước 4 : Xác định luồng dữ liệu sẽ được mã hóa hay được bảo vệ:
Saigon:#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Vungtau:#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Cấu hình access-list cho phép gửi dữ liệu giữa 2 vùng(router SaiGon)
Bước 5 : Cấu hình crypto map
Cấu hình crypto map Vungtau
Cấu hình crypto map trên cổng serial
Hình 43 Crypto map s1/0 router Saigon, vungtau
2.2.3 Cấu hình default route cho các router site
Cấu hình interface s1/0 router saigon
Hình 44 Cấu hình cổng serial 1/0 saigon
Cấu hình interface s1/0 router vungtau
Hình 45 Cấu hình cổng serial 1/0 vungtau
Cấu hình interface Ethernet saigon
Hình 46 Cấu hình cổng Ethernet 0/0 saigon
Cấu hình interface ethernet Vungtau
Hình 47 Cấu hình cổng Ethernet 0/0 vungtau
Hình 48 Cấu hình default route
Hình 49 Thử kết nối thông qua ping ICMP
Hình 50 Thông tin isakmp sa
Hình 51 Thông tin ipsec sa của saigon
Hình 52 Thông tin ipsec sa của vungtau
Hình 53 Thông tin kết nối
Lab 8:BOTNET - DDoS Distributed Denial of Service
Giả sử attacker đã xác định được ip máy victim 172.16.1.30
Hình 55 Địa chỉ của máy Victim
Tiến hành tấn công DDOS vào victim bằng lệnh :
Trong đó : sudo: cấp quyền admin để chạy hping3. hping3 : gọi chương trình hping3.
-i u1000: thời gian gửi giữa các gói tin 1000 microseconds -S gửi các gói với cờ SYN.
-c 500000 tổng số packet sẽ gửi.
rand-source : chế độ random địa chỉ nguồn.
Hình 56 Câu lệnh tấn công từ máy Attacker
Kết quả : CPU của máy victim tăng, RAM tăng khiến cho máy victim có thể bị chậm và lag .
Hình 57 Thông số hệ thống của máy Victim
Hình 58 Sử dụng wireshark bắt các gói tin tại máy Victim
LAB 1 – THIẾT LẬP IPSEC CONNECTION DÙNG OPENSWAN
Sơ đồ
- Chuẩn bị 2 ubuntu kết nối trực tiếp với nhau.
- Máy hostname Saigon – Ubuntu 64-bit 1:
Hình 59 Địa chỉ máy 1 có hostname là saigon
- Máy hostname danang – Ubuntu 64-bit 2:
Hình 60 Địa chỉ máy 2 có hostname là danang
Triển khai
- Cài đặt các packet hỗ trợ
Hình 61 Cài đặt packet hỗ trợ libgmp-deb
Hình 62 Cài đặt packet hỗ trợ make
Hình 63 Cài đặt packet hỗ trợ flex
Hình 64 Cài đặt packet hỗ trợ bison
Hình 65 Cài đặt packet hỗ trợ iproute2, libpcap0.8-dev
Hình 66 Cài đặt packet hỗ trợ iptables
Hình 67 Cài đặt packet hỗ trợ libpcap0.8, electric-fence
Hình 68 Cài đặt packet hỗ trợ wireshark để bắt gói tin
Hình 69 Cài đặt packet hỗ trợ git
- Clone IPSec tool từ github
- Khởi động và hiển thị trạng thái
- Sinh khóa RSA trên cả 2 hostname o Có thể chọn chiều dài khóa 512, 1024,2048 bit
Hình 72 Sinh khóa ở cả 2 máy
Hình 73 Lấy hostkey máy client
Hình 74 Lấy hostkey máy server
- Thực hiện thay đổi cấu hình ipsec trên cả 2 host
Hình 75 Cấu hình ipsec.conf
- Protostack = netkey : xác định ngăn xếp giao thức sẽ được sử dụng là netkey
- Conn – connection: là 1 kết nối chứa các thông số kỹ thuật kết nối được xác định thực hiện bởi ipsec
- Auth : rsasig 2 máy xác thực với nhau thông qua khóa RSA
- Left/right : xác định ip hoặc tên máy chủ dns công khai của người tham gia 2 đầu ipsec.
- Leftnexthop – next hop gateway ip address : Chỉ định cổng kết nối public network bên trái
- %defaultroute – phía trái( máy gần) sẽ được tự động điền địa chỉ default route interface(interface mặc định) Ghi đè lên tất cả các giá trị leftnexthop trước đó.Được xác định tại thời điểm khởi động IPSEC.
Hình 76 Cấu hình tương tự ở hostname danang
- Khởi động lại dịch vụ để cập nhật cấu hình mới
Hình 77 Khởi chạy lại dịch vụ
- Khởi động kết nối ipsec
Hình 79 Thực hiện ping từ Saigon tới danang
- Sử dụng wireshark lắng nghe các gói tin được gửi tới, các gói tin ipsec đến với giao thức truyền tin là ESP.
Với ESP là giao thức cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu.
Hình 80 Bật wireshark bắt gói trên host danang
- Mở xem thông tin của một gói ESP
Hình 81 Thông tin 1 gói ESP nhận được
LAB 2 – THỰC HIỆN AN TOÀN CHO MỘT KẾT NỐI QUẢN TRỊ DATABASE TỪ XA
Chuẩn bị
Remote Access dùng Telnet
- Bước 1: trên máy server chuyển quyền root và cập nhật repository
- Bước 2: Cài đặt Mysql server:
- Bước 3: Khởi động mysql: Đăng nhập vào mysql:
- Bước 5: Tạo cơ sở dữ liệu có tên saigondb
- Bước 6: Thiết lập quyền truy suất cho user đó
- Bước 7: Xem cơ sở dữ liệu bằng lệnh show
- Bước 8: Đăng xuất khỏi mysql
- Bước 10: Dùng máy tính của người quản trị cấu hình một kết nói PuTTY đến MySQL server, cần xác định địa chỉ ip của máy chạy MySQL server.
- Bước 11: Mở WireShark ở máy server để quan sát:
- Bước 12: Thực hiện đăng nhập từ xa vào Linux Server Và tiến hành đang nhập vào cơ sở dữ liệu saigondb bằng username
- Bước 13: Phân tích gói tin bắt được trên wireshark và nhận xét:
Nhận xét: Các gói tin truyền qua telnet thì có thể đọc được thông tin tài khoản và kết quả truy vấn do không được mã hóa trong quá trình truyền Có thể thấy telnet không có sự bảo mật trên những gói tin gửi và nhận trong quá trình truyền tin.
Remote Access dùng SSH
LAB 3 – THỰC HIỆN REVERSE TCP ĐỂ LẤY SHELL
- Cài đặt thư viện hỗ trợ: gcc, gcc-multilib
Hình 82 Cài đặt gói gcc-multilib
Sinh shellcode: Sử dụng msfvenom
Hình 83 Sinh shellcode bằng msfvenom
Hình 84 Copy shellcode vào file geshell.c
Hình 86 Lắng nghe ở port 55555 máy attacker
Thực hiện nc ở máy victim:
Máy victim thực hiện lấy file getservershell, thực hiện cấp quyền: Sudo chmod +x getservershell
Hình 87 Máy victim execute getservershell
Hình 88 Reverse shell thành công
LAB 4 – THỰC HIỆN TẤN CÔNG SOCIAL ENGINEERING THƯỜNG DÙNG
Hình 89 Địa chỉ ip máy attacker
Hình 90 Địa chỉ ip máy victim
7.2.1 Tấn công bằng PowerShell Attack Vector
Hình 91 Chọn social engineering toolkit
Hình 92 Chọn option powershell attack vector
Thực hiện set LHOST và LPORT
Hình 93 Set ip listener và port
Thực hiện chọn lắng nghe kết nối:
Hình 94 Chọn yes để lắng nghe kết nối
Bước 2 Tạo file viruss và copy file này ra Desktop
Hình 95 Tạo file viruss và copy vào apache2
Bước 3 Đổi đuôi txt thành bat
Hình 96 Đổi định dạng tệp tin thành bat
Bước 4 Tích hợp file bat vào các gói miễn phí để nạn nhân download
Trên máy victim giả sử download tệp tin này bằng cách duyệt đường link http://172.16.1.38/app.bat
Hình 97 Victim download tệp tin bat
Bước 5 Trên máy attacker tiến hành lấy thông tin máy victim
Hình 98 Khi máy victim execute file bat thông tin nhận về handler
Thực hiện khai thác trên session đó:
Hình 100 Chọn sessions số 1 và thực hiện thao tác dir
Xem thông tin hệ thống bằng câu lệnh sysinfo
Hình 101 Thông tin hệ thống
Lấy thông tin về ip:
Hình 102 Thông tin địa chỉ ip
Chụp màn hình máy nạn nhân:
Hình 103 Chụp màn hình bằng lệnh screenshot
Hình 104 Xem hình vừa chụp với đường dẫn trên
7.2.2 Tấn công bằng cách Clone Website
Tiếp tục chọn social engineering tool kit và chọn website attack vector
Hình 105 Chọn website attack vector
Chọn Credential Harvester Attack Method:
Hình 106 Chọn Credential Harvester Attack Method
Hình 107 Chọn option site cloner
Hình 108 Nhập địa chỉ ip của website fake
Hình 109 Website clone của facebook.com đã được tạo
Thực hiện cấu hình dns spoof trên ettercap để chuyển hướng các đường dẫn bên dưới tới site clone tại địa chỉ ip 172.16.1.46
Sudo nano /etc/ettercap/etter.dns
Hình 110 Cấu hình dns spoof
Hình 111 Cập nhật cấu hình
Tiến hành ping thành công đến facebook.com có địa chỉ ip là 172.16.1.46
Hình 112 Dns spoof thành công.
Giả sử victim thực hiện truy cập và nhập thông tin account facebook như sau: User email : n18dcat085@gmail.com
Hình 113 Victim truy cập website clone và thực hiện đăng nhập
Attacker nhận được thông tin đăng nhập:
Hình 114 Thông tin đăng nhập của nạn nhân đã được ghi lại
THIẾT LẬP FIREWALL TYPOLOGY CHO MẠNG DOANH NGHIỆP
- Fire wall pfsense ver 2.5.1: 3 card mạng.
- PC WAN – windows 10(máy chính): bao gồm tất cả các card mạng được sử dụng trong bài.
Hình 115 Mô hình mạng yêu cầu
Cấu hình các card mạng sử dụng cho bài lab: 1 card NAT(kết nối Internet), 2 card custom( 1 card LAN – vmnet18, 1 card DMZ – vmnet19)
Thực hiện cấu hình trên VMWare Workstation -> Edit -> Virtual Network Editor-> thực hiện thiết lập các card mạng :
Hình 116 Thông số card mạng sử dụng
8.2.1 Bước 1: Cài đặt windows server để làm website:
Tại màn hình server manager: Add roles and feature wizard -> Lựa chọn Web Server(IIS).
Hình 118 Roles service của webserver IIS
Thực hiện thử truy cập vào website:
Hình 119 Truy cập website thành công
Hình 120 Thiết lập IP tĩnh cho webserver
8.2.2 Bước 2: Cài đặt pfsense firewall
Tải và lựa chọn phiên bản pfsense iso phù hợp:
Thực hiện cài đặt với các thông số cơ bản như sau:
Hình 121 Thông số máy Pfsense
Thực hiện truy cập web Interface bằng tài khoản mật khẩu mặc định : admin/pfsense.
Hình 122 Truy cập tới web interface của pfsense từ máy WAN.
Hình 123 Giao diện màn hình sau khi đăng nhập
8.2.3 Bước 3: Cấu hình các interface
Sau khi cài đặt xong ta sẽ có mang hình console của pfsense như sau:
Hình 124 Trên màn hình console của pfsense ta có
Thực hiện chọn 2 để cấu hình các interface:
Chú ý: Ban đầu sẽ chỉ có 2 interface mặc định là WAN và LAN Để có được interface khác(DMZ) ta sẽ thực hiện cấu hình 2 interface WAN và LAN trước. Interface khác(DMZ) sẽ được cấu hình trên web interface(Hình 126)
Hình 125 Các interface khả dụng để cấu hình
Sau khi cấu hình LAN xong, ta thực hiện truy cập vào web interface để cấu hình interface DMZ.
Hình 127 Interface assignments trên web
8.2.4 Bước 4: Vào menu firewall, tìm hiểu cấu hình NAT
Tại máy WAN ta cấu hình NAT: Chọn FireWalls -> NAT -> outbound:
Hình 128 Giao diện cấu hình NAT Outbound
- Automatic Outbound NAT : tự động NAT từ vùng interal (LAN) ra vùng external (WAN)
- Hybrid Outbound NAT : Sử dụng các rule tự tạo cùng các rule tự động.
- Manual Outbound NAT : Chỉ sử dụng các rule tự tạo
- Disable Outbound NAT : Disable toàn bộ rule
Lưu ý: Pfsense xem xét các rule từ trên xuống và thực hiện kết quả đầu tiên phù hợp nhất.
Ta thực hiện NAT để LAN truy cập được WAN như sau:
Hình 129 Cấu hình rules như sau
Hình 130 Chọn chế độ Hybrid outbound NAT
Hình 131 Cập nhật cấu hình
Hình 132 Thực hiện truy cập ra WAN từ máy PC LAN
Cấu hình NAT đưa web lên internet:
Chọn Firewall -> NAT -> Port Forwarding -> add Rules với thông số như sau:
Hình 134 Rules nat port forward đã được thiết lập
Sau khi NAT thành công Pfsense tự động thêm 1 rules trên mạng wan:
Hình 135 Rules wan được thêm vào sau khi nat port forward thành công
Hình 136 Chi tiết rules được tự động tạo
Truy cập trang web với ip wan:
Internet kết nối vào webserver trên DMZ:
Hình 137 Rule kết nối webserver từ internet
Block máy từ Internet vào LAN:
Hình 138 Rule block traffic tới LAN từ WAN
Hình 139 Rule block traffic từ WAN đi LAN
Block máy từ DMZ vào LAN:
Hình 140 Không cho máy từ vùng DMZ truy cập LAN
Hình 141 Không cho các traffic đi từ DMZ đến LAN
8.2.5 Bước 5: Vào menu firewall, tìm hiêu cấu hình rules
Thực hiện cấu hình rules ở Firewall-> Rules:
Rules: Là các luật của firewall Lọc dữ liệu theo nguồn(ip, port), đích, qua các giao thức, lưu lượng truy cập, khả năng giới hạn kết nối,… Giúp tường lửa bảo vệ được các thành phần quan trọng trong hệ thống
Hình 142 Màn hình tương tác rules.
- Floating: Các quy Floating là một loại quy tắc nâng cao đặc biệt có thể thực hiện các hành động phức tạp với các quy tắc trên các group tab hoặc các interface Floating rule có thể áp dụng trên nhiều interface, inbound, outbound hoặc là cả 2.
- WAN/LAN/DMZ: Các rules ứng với các interface cụ thể.
- States: Trạng thái của luật
- Protocol: Giao thức áp dụng của luật đó:
- Queue: Quy tắc kiểm soát truy cập bằng cấu trúc queue.
- Scheldule:Các quy tắc xác định thời gian, lịch trình hoạt động của bộ luật
Ta có thể cấu hình schedule tương ứng tại Firewall -> Schedule.
Hình 144 Chi tiết các option cấu hình schedule
- Decription: Mô tả về bộ luật(thường mô tả ngắn gọn về chức năng của bộ luật).
- Action: Hoạt động của rules
Các thông số của rules cụ thể:
Hình 145 Thông số firewall rules
- Action: cho phép các traffic qua firewall phù hợp thực hiện các action tương ứng pass – cho phép traffic qua, Block – Chặn traffic, Reject – từ chối traffic
- Interface: áp dụng với interface nào.
- Address Family: Loại địa chỉ
- Protocol: Phương thức truyền tin.
Hình 147 Các thông số khác của rules
- Sources: Các thông số nguồn
- Destination: Các thông số đích
- ExtraOptions: Các thông tin thêm về log, mô tả luật, và các lựa chọn nâng cao(sources OS, tag, timeout, TCP Flag, Schedule, AckQueue,….)
8.2.6 Bước 6:Thực hiện kiểm tra.
Máy tính bên ngoài có thể truy cập web:
Hình 148 Máy tính bên ngoài truy cập web thành công
Máy tính từ Internet không truy cập được LAN
Hình 149 Máy tính từ internet không truy cập được LAN
Máy tính từ DMZ không truy cập được LAN
Hình 150 Máy tính từ DMZ không truy cập được LAN