BÁO cáo môn học QUẢN lý MẠNG máy TÍNH đề tài triển khai hệ thống giám sát thiết bị, dịch vụ, truyền dẫn hạ tầng mạng và websites

Hình 11 Cấu hình mạng của máy Server21.2.2 Cấu hình định tuyến trên FW và Route Core, đảm bảo người dùng Inside có thể giao tiếp với các Server vùng DMZ Trong ASA Firewall có Policy-map,

Cấu hình PAT trên FW sao cho người dùng từ Inside có thể truy cập được các dịch vụ ngoài Internet

Hình 29 Cấu hình object USER

Hình 31 Kiểm tra kết nối mạng và truy cập thành công

TIEU LUAN MOI download : skknchat123@gmail.com

Lab 7: IPSEC VPN SITE TO SITE

Cấu hình

- Bước 1: Cấu hình chính sách IKE( chính sách phase 1) // ISAKMP – quản lý

Hình 34 Cấu hình các cổng serial

Hình 35 Cấu hình default route cho ISP

2.2.2 Cấu hình IPSEC cho router site

Hình 36 Cấu hình chính sách IKE(phase 1) router Sai Gon

Hình 37 Cấu hình chính sách IKE router Vũng Tàu

- isakmp : là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA.

- hash md5: thuật toán hash

- des: Thuật toán mã hóa

- group 2(Thuật toán Diffie hellman)

Bước 2 : Xác định thông tin key và peer:

Hình 38 Xác định key và peer cho router SaiGon

Hình 39 Xác định key và peer cho router VungTau

Bước 3 : Cấu hình chính sách IPSec (phase 2)

Hình 40 Cấu hình chính sách IPSEC(phase 2) router SaiGon

Hình 41 Cấu hình chính sách IPSEC(phase 2) router VungTau

Bước 4 : Xác định luồng dữ liệu sẽ được mã hóa hay được bảo vệ:

Saigon:#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Vungtau:#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Cấu hình access-list cho phép gửi dữ liệu giữa 2 vùng(router SaiGon)

Bước 5 : Cấu hình crypto map

Cấu hình crypto map Vungtau

Cấu hình crypto map trên cổng serial

Hình 43 Crypto map s1/0 router Saigon, vungtau

2.2.3 Cấu hình default route cho các router site

Cấu hình interface s1/0 router saigon

Hình 44 Cấu hình cổng serial 1/0 saigon Cấu hình interface s1/0 router vungtau

Hình 45 Cấu hình cổng serial 1/0 vungtau Cấu hình interface Ethernet saigon

Hình 46 Cấu hình cổng Ethernet 0/0 saigon Cấu hình interface ethernet Vungtau

Hình 47 Cấu hình cổng Ethernet 0/0 vungtau Cấu hình default route

Hình 48 Cấu hình default route

Hình 49 Thử kết nối thông qua ping ICMP

Hình 50 Thông tin isakmp sa

Hình 51 Thông tin ipsec sa của saigon

Hình 52 Thông tin ipsec sa của vungtau

Hình 53 Thông tin kết nối

Lab 8:BOTNET - DDoS Distributed Denial of Service

Giả sử attacker đã xác định được ip máy victim 172.16.1.30

Hình 55 Địa chỉ của máy Victim

Tiến hành tấn công DDOS vào victim bằng lệnh :

Trong đó : sudo: cấp quyền admin để chạy hping3. hping3 : gọi chương trình hping3.

-i u1000: thời gian gửi giữa các gói tin 1000 microseconds -S gửi các gói với cờ SYN.

-c 500000 tổng số packet sẽ gửi.

rand-source : chế độ random địa chỉ nguồn.

Hình 56 Câu lệnh tấn công từ máy Attacker

Kết quả : CPU của máy victim tăng, RAM tăng khiến cho máy victim có thể bị chậm và lag .

Hình 57 Thông số hệ thống của máy Victim

Hình 58 Sử dụng wireshark bắt các gói tin tại máy Victim

LAB 1 – THIẾT LẬP IPSEC CONNECTION DÙNG OPENSWAN

Sơ đồ

- Chuẩn bị 2 ubuntu kết nối trực tiếp với nhau.

- Máy hostname Saigon – Ubuntu 64-bit 1:

Hình 59 Địa chỉ máy 1 có hostname là saigon

- Máy hostname danang – Ubuntu 64-bit 2:

Hình 60 Địa chỉ máy 2 có hostname là danang

Triển khai

- Cài đặt các packet hỗ trợ

Hình 61 Cài đặt packet hỗ trợ libgmp-deb

Hình 62 Cài đặt packet hỗ trợ make

Hình 63 Cài đặt packet hỗ trợ flex

Hình 64 Cài đặt packet hỗ trợ bison

Hình 65 Cài đặt packet hỗ trợ iproute2, libpcap0.8-dev

Hình 66 Cài đặt packet hỗ trợ iptables

Hình 67 Cài đặt packet hỗ trợ libpcap0.8, electric-fence

Hình 68 Cài đặt packet hỗ trợ wireshark để bắt gói tin

Hình 69 Cài đặt packet hỗ trợ git

- Clone IPSec tool từ github

- Khởi động và hiển thị trạng thái

- Sinh khóa RSA trên cả 2 hostname o Có thể chọn chiều dài khóa 512, 1024,2048 bit

Hình 72 Sinh khóa ở cả 2 máy

Hình 73 Lấy hostkey máy client

Hình 74 Lấy hostkey máy server

- Thực hiện thay đổi cấu hình ipsec trên cả 2 host

Hình 75 Cấu hình ipsec.conf

- Protostack = netkey : xác định ngăn xếp giao thức sẽ được sử dụng là netkey

- Conn – connection: là 1 kết nối chứa các thông số kỹ thuật kết nối được xác định thực hiện bởi ipsec

- Auth : rsasig 2 máy xác thực với nhau thông qua khóa RSA

- Left/right : xác định ip hoặc tên máy chủ dns công khai của người tham gia 2 đầu ipsec.

- Leftnexthop – next hop gateway ip address : Chỉ định cổng kết nối public network bên trái

- %defaultroute – phía trái( máy gần) sẽ được tự động điền địa chỉ default route interface(interface mặc định) Ghi đè lên tất cả

TIEU LUAN MOI download : skknchat123@gmail.com các giá trị leftnexthop trước đó.Được xác định tại thời điểm khởi động IPSEC.

Hình 76 Cấu hình tương tự ở hostname danang

- Khởi động lại dịch vụ để cập nhật cấu hình mới

Hình 77 Khởi chạy lại dịch vụ

- Khởi động kết nối ipsec

Hình 79 Thực hiện ping từ Saigon tới danang

- Sử dụng wireshark lắng nghe các gói tin được gửi tới, các gói tin ipsec đến với giao thức truyền tin là ESP.

Với ESP là giao thức cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu.

Hình 80 Bật wireshark bắt gói trên host danang

- Mở xem thông tin của một gói ESP

Hình 81 Thông tin 1 gói ESP nhận được

LAB 2 – THỰC HIỆN AN TOÀN CHO MỘT KẾT NỐI QUẢN TRỊ DATABASE TỪ XA

Chuẩn bị

Thực hiện

- Bước 1: trên máy server chuyển quyền root và cập nhật repository

- Bước 2: Cài đặt Mysql server:

Remote Access dùng Telnet

- Bước 1: trên máy server chuyển quyền root và cập nhật repository

- Bước 2: Cài đặt Mysql server:

- Bước 3: Khởi động mysql: Đăng nhập vào mysql:

- Bước 5: Tạo cơ sở dữ liệu có tên saigondb

- Bước 6: Thiết lập quyền truy suất cho user đó

- Bước 7: Xem cơ sở dữ liệu bằng lệnh show

- Bước 8: Đăng xuất khỏi mysql

- Bước 10: Dùng máy tính của người quản trị cấu hình một kết nói PuTTY đến MySQL server, cần xác định địa chỉ ip của máy chạy MySQL server.

- Bước 11: Mở WireShark ở máy server để quan sát:

- Bước 12: Thực hiện đăng nhập từ xa vào Linux Server Và tiến hành đang nhập vào cơ sở dữ liệu saigondb bằng username

- Bước 13: Phân tích gói tin bắt được trên wireshark và nhận xét:

Nhận xét: Các gói tin truyền qua telnet thì có thể đọc được thông tin tài khoản và kết quả truy vấn do không được mã hóa trong quá trình truyền Có thể thấy telnet không có sự bảo mật trên những gói tin gửi và nhận trong quá trình truyền tin.

Remote Access dùng SSH

LAB 3 – THỰC HIỆN REVERSE TCP ĐỂ LẤY SHELL

- Cài đặt thư viện hỗ trợ: gcc, gcc-multilib

Hình 82 Cài đặt gói gcc-multilib

Sinh shellcode: Sử dụng msfvenom

Hình 83 Sinh shellcode bằng msfvenom

Hình 84 Copy shellcode vào file geshell.c

- Thực hiện reverse: Lắng nghe ở port 55555

Hình 86 Lắng nghe ở port 55555 máy attacker

Thực hiện nc ở máy victim:

Máy victim thực hiện lấy file getservershell, thực hiện cấp quyền: Sudo chmod +x getservershell

Hình 87 Máy victim execute getservershell

Hình 88 Reverse shell thành công

LAB 4 – THỰC HIỆN TẤN CÔNG SOCIAL ENGINEERING THƯỜNG DÙNG

Hình 89 Địa chỉ ip máy attacker Victim : window 7 – 172.16.1.16

Hình 90 Địa chỉ ip máy victim

7.2 Thực hiện 7.2.1 Tấn công bằng PowerShell Attack Vector Bước 1 Chọn Social Engineering:

Hình 91 Chọn social engineering toolkit Chọn powershell attack vector

Hình 92 Chọn option powershell attack vector Thực hiện set LHOST và LPORT

Hình 93 Set ip listener và port

Thực hiện chọn lắng nghe kết nối:

Hình 94 Chọn yes để lắng nghe kết nối

Bước 2 Tạo file viruss và copy file này ra Desktop

Hình 95 Tạo file viruss và copy vào apache2

Bước 3 Đổi đuôi txt thành bat

Hình 96 Đổi định dạng tệp tin thành bat

Bước 4Tích hợp file bat vào các gói miễn phí để nạn nhân download

Trên máy victim giả sử download tệp tin này bằng cách duyệt đường link http://172.16.1.38/app.bat

Hình 97 Victim download tệp tin bat

Bước 5 Trên máy attacker tiến hành lấy thông tin máy victim

Hình 98 Khi máy victim execute file bat thông tin nhận về handler

Thực hiện khai thác trên session đó:

Hình 100 Chọn sessions số 1 và thực hiện thao tác dir Xem thông tin hệ thống bằng câu lệnh sysinfo

Hình 101 Thông tin hệ thống Lấy thông tin về ip:

Hình 102 Thông tin địa chỉ ip Chụp màn hình máy nạn nhân:

Hình 103 Chụp màn hình bằng lệnh screenshot

Hình 104 Xem hình vừa chụp với đường dẫn trên

7.2.2 Tấn công bằng cách Clone Website

Attacker : Linux – 172.16.1.46 Victim : Windows 7 – 172.16.1.16 Tiếp tục chọn social engineering tool kit và chọn website attack vector

Hình 105 Chọn website attack vector

Chọn Credential Harvester Attack Method:

Hình 106 Chọn Credential Harvester Attack

Method Chọn option site cloner

Hình 107 Chọn option site cloner

Hình 108 Nhập địa chỉ ip của website fake

Hình 109 Website clone của facebook.com đã được tạo

Thực hiện cấu hình dns spoof trên ettercap để chuyển hướng các đường dẫn bên dưới tới site clone tại địa chỉ ip 172.16.1.46

Sudo nano /etc/ettercap/etter.dns

Hình 110 Cấu hình dns spoof

Hình 111 Cập nhật cấu hình Tiến hành ping thành công đến facebook.com có địa chỉ ip là 172.16.1.46

Hình 112 Dns spoof thành công.

Giả sử victim thực hiện truy cập và nhập thông tin account facebook như sau: User email : n18dcat085@gmail.com

Hình 113 Victim truy cập website clone và thực hiện đăng nhập Attacker nhận được thông tin đăng nhập:

Hình 114 Thông tin đăng nhập của nạn nhân đã được ghi lại

8 THIẾT LẬP FIREWALL TYPOLOGY CHO MẠNG DOANH NGHIỆP 8.1 Chuẩn bị

- Fire wall pfsense ver 2.5.1: 3 card mạng.

- PC WAN – windows 10(máy chính): bao gồm tất cả các card mạng được sử dụng trong bài.

Hình 115 Mô hình mạng yêu cầu

Cấu hình các card mạng sử dụng cho bài lab: 1 card NAT(kết nối Internet),

2 card custom( 1 card LAN – vmnet18, 1 card DMZ – vmnet19)

Thực hiện cấu hình trên VMWare Workstation -> Edit -> Virtual Network Editor -> thực hiện thiết lập các card mạng :

Hình 116 Thông số card mạng sử dụng

8.2 Thực hiện 8.2.1 Bước 1: Cài đặt windows server để làm website:

Tại màn hình server manager: Add roles and feature wizard -> Lựa chọn Web Server(IIS).

Hình 118 Roles service của webserver IIS Thực hiện thử truy cập vào website:

Hình 119 Truy cập website thành công

Hình 120 Thiết lập IP tĩnh cho webserver

8.2.2 Bước 2: Cài đặt pfsense firewall

Tải và lựa chọn phiên bản pfsense iso phù hợp:

Thực hiện cài đặt với các thông số cơ bản như sau:

Hình 121 Thông số máy Pfsense

Thực hiện truy cập web Interface bằng tài khoản mật khẩu mặc định : admin/pfsense.

Hình 122 Truy cập tới web interface của pfsense từ máy WAN.

Hình 123 Giao diện màn hình sau khi đăng nhập

8.2.3 Bước 3: Cấu hình các interface

Sau khi cài đặt xong ta sẽ có mang hình console của pfsense như sau:

Hình 124 Trên màn hình console của pfsense ta có Thực hiện chọn 2 để cấu hình các interface:

Chú ý: Ban đầu sẽ chỉ có 2 interface mặc định là WAN và LAN Để có được interface khác(DMZ) ta sẽ thực hiện cấu hình 2 interface WAN và LAN trước Interface khác(DMZ) sẽ được cấu hình trên web interface(Hình 126)

Hình 125 Các interface khả dụng để cấu hình

Hình 126 Cấu hình LAN Sau khi cấu hình LAN xong, ta thực hiện truy cập vào web interface để cấu hình interface DMZ.

Hình 127 Interface assignments trên web

8.2.4 Bước 4: Vào menu firewall, tìm hiểu cấu hình NAT

Tại máy WAN ta cấu hình NAT: Chọn FireWalls -> NAT -> outbound:

Hình 128 Giao diện cấu hình NAT Outbound

- Automatic Outbound NAT : tự động NAT từ vùng interal (LAN) ra vùng external (WAN)

- Hybrid Outbound NAT : Sử dụng các rule tự tạo cùng các rule tự động.

- Manual Outbound NAT : Chỉ sử dụng các rule tự tạo

- Disable Outbound NAT : Disable toàn bộ rule

Lưu ý: Pfsense xem xét các rule từ trên xuống và thực hiện kết quả đầu tiên phù hợp nhất.

Ta thực hiện NAT để LAN truy cập được WAN như sau:

Hình 129 Cấu hình rules như sau

Hình 130 Chọn chế độ Hybrid outbound NAT

Hình 131 Cập nhật cấu hình

Hình 132 Thực hiện truy cập ra WAN từ máy PC LAN

Cấu hình NAT đưa web lên internet:

Chọn Firewall -> NAT -> Port Forwarding -> add Rules với thông số như sau:

Hình 134 Rules nat port forward đã được thiết lập

Sau khi NAT thành công Pfsense tự động thêm 1 rules trên mạng wan:

Hình 135 Rules wan được thêm vào sau khi nat port forward thành công

Hình 136 Chi tiết rules được tự động tạo Truy cập trang web với ip wan:

Internet kết nối vào webserver trên DMZ:

Hình 137 Rule kết nối webserver từ internet

Block máy từ Internet vào LAN:

Hình 138 Rule block traffic tới LAN từ WAN

Hình 139 Rule block traffic từ WAN đi LAN

Block máy từ DMZ vào LAN:

Hình 140 Không cho máy từ vùng DMZ truy cập LAN

Hình 141 Không cho các traffic đi từ DMZ đến LAN

8.2.5 Bước 5: Vào menu firewall, tìm hiêu cấu hình rules

Thực hiện cấu hình rules ở Firewall-> Rules:

Rules: Là các luật của firewall Lọc dữ liệu theo nguồn(ip, port), đích, qua các giao thức, lưu lượng truy cập, khả năng giới hạn kết nối,… Giúp tường lửa bảo vệ được các thành phần quan trọng trong hệ thống.

Hình 142 Màn hình tương tác rules.

- Floating: Các quy Floating là một loại quy tắc nâng cao đặc biệt có thể thực hiện các hành động phức tạp với các quy tắc trên các group tab hoặc các interface Floating rule có thể áp dụng trên nhiều interface, inbound, outbound hoặc là cả 2.

- WAN/LAN/DMZ: Các rules ứng với các interface cụ thể.

- States: Trạng thái của luật

- Protocol: Giao thức áp dụng của luật đó:

- Queue: Quy tắc kiểm soát truy cập bằng cấu trúc queue.

- Scheldule:Các quy tắc xác định thời gian, lịch trình hoạt động của bộ luật

Ta có thể cấu hình schedule tương ứng tại Firewall -> Schedule.

Hình 144 Chi tiết các option cấu hình schedule

- Decription: Mô tả về bộ luật(thường mô tả ngắn gọn về chức năng của bộ luật).

- Action: Hoạt động của rules

Các thông số của rules cụ thể:

Hình 145 Thông số firewall rules

- Action: cho phép các traffic qua firewall phù hợp thực hiện các action tương ứng pass – cho phép traffic qua, Block – Chặn traffic, Reject – từ chối traffic

- Interface: áp dụng với interface nào.

- Address Family: Loại địa chỉ

- Protocol: Phương thức truyền tin.

Hình 147 Các thông số khác của rules Trong đó:

- Sources: Các thông số nguồn

- Destination: Các thông số đích

- ExtraOptions: Các thông tin thêm về log, mô tả luật, và các lựa chọn nâng cao(sources OS, tag, timeout, TCP Flag, Schedule, AckQueue,….)

8.2.6 Bước 6:Thực hiện kiểm tra.

Máy tính bên ngoài có thể truy cập web:

Hình 148 Máy tính bên ngoài truy cập web thành công Máy tính từ Internet không truy cập được LAN

Hình 149 Máy tính từ internet không truy cập được LAN Máy tính từ DMZ không truy cập được LAN

Hình 150 Máy tính từ DMZ không truy cập được LAN

Định dạng
Số trang	98
Dung lượng	9,36 MB