CRYPTOOLAES, IP SECURITY, UNIFIED THREAT MANAGEMENT

CRYPTOOLAES, IP SECURITY, UNIFIED THREAT MANAGEMENT Cách sử dụng CrypTool với giải thuật AES (Advanced Encryption Standard). Cấu hình IP Security trên máy ảo chống bên thứ 3 hoặc administrator xâm phạm. UTM (UNIFIED THREAT MANAGEMENT) một next generation firewall cung cấp một giải pháp an ninh toàn diện từ firewall đến khả năng antivirus trong một thiết bị duy nhất, đơn giản hóa công việc bảo mật, giao diện cấu hình trực quan giúp bạn tạo ra các chính sách an ninh một cách dễ dàng và quản lí các mối đe dọa về an ninh hiệu quả.

BÀI TẬP LỚN – AN TOÀN MẠNG

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG TPHCM

KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG

BÀI TẬP LỚN

ĐỀ TÀI CRYPTOOL-AES, IP SECURITY, UNIFIED THREAT MANAGEMENT

GV Giảng Dạy: Th.S Nguyễn Duy.

Sinh Viên Thực Hiện:

BÀI TẬP LỚN – AN TOÀN MẠNG

Sau đó ta đi so với bảng S-box :

Ta được kết quả : "00" ta tìm đến hàng 0x cột 0x được giá trị 63

01 00 00 00

+ + =

Quy tắc cộng :

 Chuyển từ hệ hex sang hệ nhị phân "00"= 0000 0000 , "63" = 0110 0011

 Sau đó ta cộng các số với nhau nếu 2 số giống nhau thì = 0 còn khác nhau thì

= 1

 Sau khi tính ta được cột thứ 1 của RoundKey(1)

62 63 93 63

01 00 00 00

BÀI TẬP LỚN – AN TOÀN MẠNG

Vd : 44 + 00

Ta biến đổi 00 từ hệ hex sang hệ nhị phân = 0000 0000.

Ta biến đổi 44 từ hệ hex sang hệ nhị phân = 0100 0100.

0100 0100 (+)

0000 0000

= 0100 0100

Quy tắc cộng : nếu 2 số giống nhau thì = o còn khác nhau thì bằng 1.

Từ kết quả 0100 0100 ta biến đổi sang hệ hex = 44.

Với giá trị "00" ta được giá trị "63"

Với giá trị "44" ta được giá trị "1b"

Tương ứng với các giá trị còn lại ta có bảng :

BÀI TẬP LỚN – AN TOÀN MẠNG

Cột thứ 1:

Ta sẽ lấy cột nhân với hàng theo quy tắc:

(63.02) xor (fc.03) xor (ac.01) xor (c1.01) = X1

Tính (63.02):

• Biến đổi 63 về hệ nhị phân = 0110 0011

• Với số nhân là "02" ta thực hiện như sau:

• Ta thêm 0 vào cuối cùng của dãy sau khi chuyển sang nhị phân sau đó loại bỏ 1 bit đầu tiên của dãy

(ac.01)= 1010 1100

(c1.01)= 1100 0001

Từ đó :

BÀI TẬP LỚN – AN TOÀN MẠNG

Add RoundKey

Từ kết quả của bảng mix column , ta cộng với RoundKey tương ứng (trong vòng lặp thứ 1 sẽ cộng với RoundKey(1) và tương ứng các vòng còn lại).

Sau khi kết thúc AddRoundKey vòng lặp thứ 2 bắt đầu.

đến vòng lặp cuối thì chỉ còn 3 bước:

SubBytes ShiftRows AddRoundKey Trong vòng lặp cuối sẽ bỏ đi bước MixColumn

Kết thúc vòng 10 sẽ thu được kết quả :

Hình ảnh của hóa trình giải mã AES:

BÀI TẬP LỚN – AN TOÀN MẠNG

19

BÀI TẬP LỚN – AN TOÀN MẠNG

21

II BÀI TẬP 2 – IP SECURITY

Dùng phần mềm bắt gói tin để kiểm tra kết nối giữa 2 PC (có và không

có IPSEC)

1 CÀI ĐẶT MÁY ẢO

3 PC được thiết lập địa chỉ IP lần lượt: 192.168.10.1, 192.168.10.2, 192.168.10.3

BÀI TẬP LỚN – AN TOÀN MẠNG

23

Kiểm tra kết nối giữa 3 PC bằng lệnh –ping:

Tiến hành bắt gói tin với lệnh Ping khi chưa sử dụng IPSec

BÀI TẬP LỚN – AN TOÀN MẠNG

Tiến hành bắt gói tin với lệnh Ping khi chưa sử dụng IPSec

29

BÀI TẬP LỚN – AN TOÀN MẠNG

31

BÀI TẬP LỚN – AN TOÀN MẠNG

33

BÀI TẬP LỚN – AN TOÀN MẠNG

35

BÀI TẬP LỚN – AN TOÀN MẠNG

37

BÀI TẬP LỚN – AN TOÀN MẠNG

39

BÀI TẬP LỚN – AN TOÀN MẠNG

Password bắt được là 0404

3 TIẾN HÀNH CÀI ĐẶT IPSEC CHO 2 PC

Cài đặt IPSEC trên PC 1 và PC 2 với khóa là 123

41

Vào Start -> Run -> gõ mmc Sau đó nhấp File -> chọn Add/Remove Snap-in…

BÀI TẬP LỚN – AN TOÀN MẠNG

Trong cửa sổ Add/Remove Snap-in, chọn Add

43

Trong cửa sổ New IP Security Policy Properties, chọn Add

BÀI TẬP LỚN – AN TOÀN MẠNG

47

BÀI TẬP LỚN – AN TOÀN MẠNG

49

BÀI TẬP LỚN – AN TOÀN MẠNG

51

BÀI TẬP LỚN – AN TOÀN MẠNG

Cuối cùng, mở cửa sổ run -> gõ gpudate /force để update hệ thống

53

PC 1 –ping PC 3

BÀI TẬP LỚN – AN TOÀN MẠNG

PC 3 –ping PC 1 và PC 2 thì bị time out do không cài đặt IPSec

5 BẮT GÓI TIN KHI SỬ DỤNG IPSEC

Với Network Monitor (chỉ sử dụng lệnh Ping):

55

BÀI TẬP LỚN – AN TOÀN MẠNG

57

Các gói ICMP đã được đổi thành IKE và ESP

BÀI TẬP LỚN – AN TOÀN MẠNG

Lệnh telnet (PC 2 telnet tới PC 1):

61

BÀI TẬP LỚN – AN TOÀN MẠNG

III BÀI TẬP 3 – TÌM HIỂU VÀ TRIỂN KHAI GIẢI

PHÁP BẢO MẬT UTM

UTM (Unified Threat Management)

UTM là một next generation firewall cung cấp một giải pháp an ninh toàn diện từ firewall đến khả năng antivirus trong một thiết bị duy nhất UTM đơn giản hóa công việc bảo mật Giao diện cấu hình trực quan giúp bạn tạo ra các chính sách

an ninh một cách dễ dàng và quản lí các mối đe dọa về an ninh hiệu quả.

Mô hình triển khai

STT Server Name Interface 1 Interface 2 Interface 3

1 WEB SERVER(DMZ)

IP 172.16.0.100

SM 255.255.0.0

DG 172.16.0.1DNS

DG 192.168.2.1

1 CÀI ĐẶT VÀ CẤU HÌNH UTM

Điều chỉnh 3 network adapter của máy ảo UTM

• Network Adapter 1 sẽ kết nối với WORKSTATION (Internal)

• Network Adapter 2 sẽ kết nối với WEB SERVER (DMZ)

• Network Adapter 3 sẽ dùng card mạng thật để ra internet (External) Tiến hành cài đặt, đăng nhập vào trang quản trị

BÀI TẬP LỚN – AN TOÀN MẠNG

Cấu hình địa chỉ IP cho 3 interface của UTM

2 PACKET FILTER WITH UTM

2.1 Cài đặt rule sao cho vùng internal (WORKSTATION) chỉ có thể sử dụng dịch vụ DNS và HTTP

Trước khi cài đặt rule, user có thể truy cập vào trang web

https://google.com sử dụng HTTPS

65

Tiến hành thiết lập rule như sau

BÀI TẬP LỚN – AN TOÀN MẠNG

Kiểm tra lại xem có sử dụng được HTTPS nữa hay không

Ta thấy trang https://www.google.com không thể truy cập được nữa

Quan sát log của chế độ firewall trong UTM, các gói tin kết nối đến IP của google đều bị drop

Trong khi đó các trang web sử dụng HTTP vẫn truy cập bình thường ( http://bongda.com.vn ), tên miền được DNS phân giải nhanh chóng

67

2.2 Cấm tất cả các user trong internal (WORSTATION) truy cập vào website http://bongda.com.vn

Trước khi lọc URL, website vẫn truy cập bình thường

BÀI TẬP LỚN – AN TOÀN MẠNG

Sau khi lọc, website đã bị chặn và một thông báo của UTM hiện lên như sau

Thông báo với nội dung website đã bị block và yêu cầu người dùng liên hệ với người quản trị nếu cần thiết.

2.3 Chặn các website thuộc loại “Weapons”

Tiến hành thử trên website www.weapons-universal.com , kiểm tra category của website trên trang http://www.brightcloud.com/tools/url-ip-lookup.php để chắc chắn rằng website này thuộc category Weapons.

69

Trước khi lọc, vùng internal (WORKSTATION) vẫn truy cập bình thường

BÀI TẬP LỚN – AN TOÀN MẠNG

Ngoài Weapons còn có hàng loạt các category khác mà chúng ta có thể tiến hành lọc tuyg theo mục đích như các trang web thể loại thuốc, tội phạm, lối sống…

Sau khi lọc, tiến hành truy cập lại Website đã bị block bởi UTM

Tiến hành thử với nhiều website có category là Weapons khác

71

 www.world.guns.ru

BÀI TẬP LỚN – AN TOÀN MẠNGCho phép WORSTATION và EXTERNAL PC sử dụng dịch vụ web của WEB SERVER

Triển khai 1 website trên máy ảo DMZ (WEB SERVER) với địa chỉ truy cập chính là IP của máy 172.16.0.100

Sau khi triển khai website, máy ảo WORSTATION sẽ không truy cập được vì chưa cài đặt rule trên UTM

Tiến hành cài đặt rule cho phép vùng internal (WORKSTATION) truy cập đến vùng DMZ (WEB SERVER)

73

Kiểm tra lại, ta thấy đã có thể truy cập vào website

Tiếp theo, ta thử truy cập vào website này bằng máy EXTERNAL PC (máy thật) đóng vai trò là user ở vùng external, bên ngoài mạng nội bộ truy cập vào vùng DMZ.

Việc truy cập sẽ thất bại do chưa cài đặt rule trên UTM cho phép external truy cập vào DMZ.

BÀI TẬP LỚN – AN TOÀN MẠNG

Tiến hành đặt rule:

Truy cập thành công!

75