TRIỂN KHAI HỆ THỐNG MAIL ỨNG DỤNG HẠ TẦNG PKI Bài lab setup mail server ứng dụng hạ tầng khóa công khai PKI. hướng dẫn tấn công bảo mật test tính năng PKI .
Trang 1BÀI 1: TRIỂN KHAI HỆ THỐNG MAIL ỨNG DỤNG HẠ TẦNG PKI
- Tấn công main in the middle
- Làm quen với quản trị MCSA
2 TÌM HIỂU CHUNG VỀ CÁC CÔNG CỤ SỬ DỤNG
- Các công cự sử dụng bao gồm: 2 máy client sử dụng windows vista, 1 máy Domain Controller, 1 máy Windows XP ( Vista, Win7 ), Công cụ Wireshark
- Việc lựa chọn phiên bản Datacenter hỗ trợ hệ thống mail
2.3.Windows XP
- Xây dựng một máy Windows XP làm máy Attack, đây là hệ điều hành khá gọn nhẹ và có hỗ trợ đầy đủ các công cụ tấn công phổ biến như Wireshark, Can & Able, Ettercap ( Cũng có thể sử dụng các hệ điều hành khác, có hỗ trợ các công cụ tấn công )
2.4.Công cụ WireShark
- Wireshark, hay còn gọi là Ethereal, công cụ này có lẽ không quá xa lạ với phần lớn người sử dụng chúng ta, vốn được xem là 1 trong những ứng dụng phân tích dữ liệu hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện
Trang 23 NỘI DUNG CHUẨN BỊ
(Lưu ý: tắt toàn bộ firewall trên các máy, để quá trình kết nối giữa các máy thuận tiện hơn )
3.1 Cài đặt Windows Server 2008 Datacenter
Cài đặt Windows Server2008 nâng cấp lên máy Domain Controller (DC)
Trên máy DC cấu hình cho 2 tài khoản là User1 và User2
mở Active Directory Users and Computers
Trang 4Chuột phải vào User1 , chọn property , nhập địa chỉ Email User1@SercurityBk.com vào ô Email , OK
Cấu hình chính sách truy cập User1, User2 từ máy DC
Chuột phải chọn Edit
Trang 5Add thêm Users vào Apply ok, và khời động lại DC
3.2 Cài đặt máy Client
Cài đặt 2 máy client hệ điều hành Windows Vista ( Máy vista 1 tương ứng cho tài khoản User1 và máy Vista 2 tương ứng cho tài khoản User2 )
User1: ( Vista1)
Trang 6User2 : (vista2)
Kiểm tra ping thông suốt giữa 3 máy DC, vista1, vista 2
Trang 7Join máy vista1 và vista 2 vào domain SecurityBK.com
3.3 Cài đặt máy Attacker
Cài đặt Windows XP làm máy Attacker, trên Windows XP cài đặt công cụ Whireshark, Can & Able, có thể thêm Ettercap để phục vụ cho các bài thực hành sau
Công cụ Can & Able
Trang 8Công cụ Wireshack
4 NỘI DUNG THỰC HÀNH
4.1 Sơ đồ mạng thực hiện bài thí nghiệm
Sơ đồ triển khai
Trang 9Sơ đồ đi mạng
4.2Chia nhóm thực hiệnChia thành 3 nhóm :
Trang 13Domain : Tên Domain xây dựng
Host Tên máy Windows Server 2008 : DC
Password 123456 , pass này sử dụng để đăng nhập hệ thống Mail Server
Trang 152 Cấu hình Mail Server Kerio
Trang 16Nhấn Add thêm User1, Password : P@ssword1 , tài khoản mail đã cấu hình của User1
3 Cài đặt Desktop Experience
Vì Windows Server 2008 không có cài đặt sẵn các chương trình mail client như Outlook Express trên Windows XP và Windows Mail trên Windows Vista, nên trong bài lab này để trên Windows Server 2008 sử dụng được Windows Mail thì
chúng ta cần cài đặt Desktop Experience trên máy DC
Mở Server Manager từ Administrative Tools, chuột phải Features, chọn Add Features
Trang 17Trong hộp thoại Select Features, đánh dấu chọn Desktop Experience, chọn Next
Hộp thoại Confirm Installation Selections, chọn Install
Trang 18- Hộp thoại Installation Results, chọn Close Hộp thoại Do you want to restart now?, chọn Yes đểrestart.
Sau khi khởi động, logon SecurityBk.com\Administrator, kiểm tra cài
đặt Desktop Experience thành công.
4. Cấu hình Windows Mail cho User
Trên máy Vista1 Cấu hình Mail cho User1
Trang 19Chọn E-mail
Tên người sử dụng và địa chỉ mail sử dụng
Trang 20Cấu hình địa chỉ mail là máy cài đặt Kerio mail server, ở đây là cái trên máy DC
Password : P@ssword1 với User1
Hoàn tất quá trình cài đặt
Trang 215. Trao đổi Email giữa 2 UserUser1 gửi thư cho User2
User2, nhận được kết quả
6. Tấn công quá trình gửi mail
Trang 22Tấn công bằng Can & Able
Tấn công bang Whireshark lựa chọn gói tin và Follow TCP Stream để đọc
Gói tin SMTP và POP3
Trang 23Ngoài ra truy cập vào máy Dc vào đường dẫn C:\Program
Files\Kerio\MailServer\store\mail\SecurityBk.com.com\User1 đọc nội dung bức thư
và sửa đổi, trướ khi User1 đọc thư
7 Cài đặt Enterprise CA
Cài đặt Enterprise CA
Logon SecurityBk.com\Administrator Mở Server Manager từ Administrative Tools, chuột phải Roles chọn Add Roles
Trang 24- Hộp thoại Before You Begin, chọn Next
- Hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Services, chọn Next
Trang 25- Hộp thoại Introdution to Active Directory Certificate Services, chọn Next
- Trong hộp thoại Select Role Services, đánh dấu chọn ô Certification Authority Web Enrollment, Hộp thoại Add role services required for Certification Authority Web Enrollment, chọn Add Required Role Services
Trang 26- Hộp thoại Specify Setup Type, chọn Enterprise, chọn Next
- Hộp thoại Specify CA Type, chọn Root CA, chọn Next
Trang 27- Trong hộp thoại Setup Private Key, chọn Create a new private key, chọn Next
- Hộp thoại Configure Cryptography for CA, chọn Next
- Trong hộp thoại Configure CA Name,
Trang 28- Hộp thoại Set Validity Period, chọn Next Hộp thoại Configure Certificate Database, chọn Next
- Hộp thoại Web Server (IIS), chọn Next, Trong hộp thoại Select Role Services, giữ nguyên các lựa chọn mặc định, chọn Next
Trang 29- Hộp thoại Confirm Installation Selections, chọn Install Hộp thoại Installation
Results, chọn Close
Mở Certification Authoity từ Administrative Tools, kiểm tra CA đã được cài đặt thanh công
Trang 308. Xin Certificate cho User
Trang 32Trong cửa sổ Console1, chuột phải Personal, chọn All tasks, chọn Request New Certificate
Trang 33- Hộp thoại Before You Begin, chọn Next
- Trong hộp thoại Request Certificates, đánh dấu chọn User, chọn Enroll
- Hộp thoại Certificate Installation Results, chọn Finish
Trang 34Chọn Export Certificate gồm cả cặp khóa
Trang 37Đăng nhập trên máy Vista 1 tài khoản User1 thuộc DC, coppy certificate được cấp vào Usbtoken để sử dụng.
Add Certificate mà người quản trị cung cấp cho User vào hệ thống chúng thứ
Trang 409. Trao đổi Public Key và trao đổi mail có mã hóa
User1 gửi thư lần đầu cho User2 với chức năng sign kí số
User2 nhân được bức thư và gửi lại kèm cặp khóa của mình, sau đó là kèm mã hóa
Trang 4210.Tấn công vào hệ thống Mail có mã hóa
vào đường dẫn C:\Program
Files\Kerio\MailServer\store\mail\SecurityBk.com.com\User1\INBOX\#msgs, chuột phải file eml, chọn Open With, chọn Notepa sửa nội dung đã được mã hóa
Trang 434.4Các vấn đề đặt ra
Trang 44Lưu ý: Trong một hệ thống mail thông thường, e-mail được gởi bằng chế độ
cleartext nên không bảo mật được nội dung bên trong Và khi ta nhận một e-mail thông thường, sẽ không có đặc điểm nào để phân biệt được e-mail có bị giả mạo hoặc giả danh hay không?
- Điểm yếu của giao thức POP3 , là khi muốn nhận Email , User phải cung cấp mật khẩu xác thực với Server, mật khẩu này cũng ở dạng Clear text nên dễ dang bị bắt được và tấn công Cách giải quyết là phải mã hóa đường truyền từ quá trình đăng nhập vào tài khoản lẫn lúc xác thực và gửi mail Giải pháp là sử dụng đăng nhập và truyền mail trên internet protocol HTTPS có SSL ( VD: gmail, yahoo đã sử dụng )
- Có rất nhiều cách tấn công mật khẩu vào hệ thống Mail server nằm trên máy chủ, cũng như quyền quản trị admin không có quyền đọc nội dung trao đổi email giữa các thành viên Chính vì thế bức thư cần mã hóa và kí số
- Người quản trị đăng nhập TK User1 và cấp phát chứng thư cho User1, tất
cả quá trình xảy ra trên máy DC và có mật khẩu xác thực mới xin được cấp phát ( mật khẩu này chỉ người quản trị có ) , sau khi xây dựng chứng thư, người quản trị cất chứng thư kèm cặp khóa vào USbtoken và giao cho nhân viên sử dụng
