Bài tập lớn môn an toàn mang, học viện bưu chính viễn thông (47)

Trong phần này, chúng ta sẽ tìm hiểu công cụ kiểm toán liên quanđến Cisco được cung cấp cùng với Kali Linux.DANH SÁCH CÁC THUẬT NGỮ TIẾNG CAT Cisco auditing tool Công cụ kiểm toán cisco

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Hà Nội, 12/202

MỤC LỤC

LỜI MỞ ĐẦU

Với sự phát triển nhanh chóng của các thiết bị internet và các ứngdụng giao tiếp người dùng qua mạng, nguy cơ chúng ta bị lộ hoặc bị tấncông đánh cắp thông tin có thể xảy ra bất cứ lúc nào Vì thế việc nghiêncứu ra các công cụ giúp chúng ta kiểm toán là rất cần thiết

Các sản phẩm của Cisco là một trong những thiết bị mạng hàngđầu được tìm thấy trong các tổ chức chính phủ và công ty lớn hiệnnay Điều này không chỉ làm tăng mối đe dọa và bối cảnh tấn công đốivới các thiết bị của Cisco mà còn tạo ra một thách thức đáng kể để khaithác chúng Một số công nghệ phổ biến nhất do Cisco phát triển bao gồm

bộ định tuyến, thiết bị chuyển mạch, thiết bị bảo mật, sản phẩm khôngdây và phần mềm như IOS, NX-OS, Security Device Manager,CiscoWorks, Unified Communications Manager, và nhiều công nghệ

khác Trong phần này, chúng ta sẽ tìm hiểu công cụ kiểm toán liên quanđến Cisco được cung cấp cùng với Kali Linux.

DANH SÁCH CÁC THUẬT NGỮ TIẾNG

CAT Cisco auditing tool Công cụ kiểm toán cisco

PERL Practical Extraction and Report

CPU Central Processing Unit Bộ xử lý trung tâm

VPN Virtual Private Network mạng riêng ảo

IOS internetwork operating system hệ điều hành đa nhiệm kiểm

soát tất cả các chức năng của

bộ định tuyến và chuyển mạch Cisco

EDP Electronic Data Process Quy trình Dữ liệu Điện tử

GAS generalized audit software phần mềm kiểm toán tổng

Mục tiêu Kiểm soát đối với Thông tin và Công nghệ liênquan

ISACA Information Systems Audit and

EDPAA Electronic Data Processing Auditors Association Hiệp hội Kiểm toán viên Xử lý Dữ liệu Điện tử

DANH MỤC CÁC HÌNH VẼ

I) Khái quát chung về kiểm toán

1) Lịch sử hình thành

Thuật ngữ “Kiểm toán (audit)” có nguồn gốc từ thuật ngữ “Audire”trong tiếng Latinh có nghĩa là “nghe”, bởi vì trong thời cổ đại, các kiểmtoán viên đã lắng nghe các báo cáo bằng miệng của các quan chức cótrách nhiệm với chủ sở hữu hoặc những người có thẩm quyền và xác nhậntính chính xác của các báo cáo

Kiểm toán Công nghệ Thông tin ( Kiểm toán CNTT) bắt đầu với têngọi Kiểm toán Quy trình Dữ liệu Điện tử (EDP) và được phát triển phầnlớn do sự gia tăng công nghệ trong hệ thống kế toán , nhu cầu kiểm soátCNTT và tác động của máy tính đến khả năng thực hiện các dịch vụchứng thực Vài năm gần đây là khoảng thời gian phát triển cực mạnhtrong thế giới kiểm toán CNTT do hậu quả của các vụ bê bối kế toán vàgia tăng quy định Kiểm toán CNTT đã có một lịch sử tương đối ngắnnhưng phong phú khi so sánh với kiểm toán nói chung và vẫn là một lĩnhvực luôn thay đổi

Việc đưa công nghệ máy tính vào hệ thống kế toán đã thay đổi cáchthức lưu trữ, truy xuất và kiểm soát dữ liệu Người ta tin rằng việc sửdụng hệ thống kế toán máy tính đầu tiên là tại “General Electric” vào năm

1954 Trong khoảng thời gian từ năm 1954 đến giữa những năm 1960,

công việc của nghề kiểm toán vẫn là kiểm toán xung quanh máytính Vào thời điểm này chỉ có máy tính lớn được sử dụng và rất ít người

có kỹ năng và khả năng để lập trình máy tính Điều này bắt đầu thay đổivào giữa những năm 1960 với sự ra đời của những chiếc máy mới, nhỏhơn và ít tốn kém hơn Điều này làm tăng việc sử dụng máy tính trongcác doanh nghiệp và kéo theo đó là sự cần thiết của các kiểm toán viên đểlàm quen với các khái niệm EDP trong kinh doanh Cùng với sự gia tăng

sử dụng máy tính, sự ra đời của các loại hệ thống kế toán khácnhau Ngành công nghiệp sớm nhận ra rằng họ cần phát triển phầnmềm của riêng mình và phần mềm kiểm toán đầu tiên (GAS) đã đượcphát triển Năm 1968, Viện Kế toán Công chứng Hoa Kỳ (AICPA) đã choTám công ty kế toán Big Eight (nay là Big Four ) tham gia vào việc pháttriển kiểm toán EDP Kết quả của việc này là sự ra đời của cuốnsách Kiểm toán & EDP Cuốn sách bao gồm cách ghi lại các cuộc đánhgiá EDP và các ví dụ về cách xử lý các cuộc đánh giá kiểm soát nội bộ

Trong khoảng thời gian này, các kiểm toán viên EDP đã thành lậpHiệp hội Kiểm toán viên Xử lý Dữ liệu Điện tử (EDPAA) Mục tiêu củahiệp hội là đưa ra các hướng dẫn, thủ tục và tiêu chuẩn cho các cuộc đánhgiá EDP Năm 1977, ấn bản đầu tiên của Mục tiêu Kiểm soát được xuấtbản Ấn phẩm này hiện được gọi là Mục tiêu Kiểm soát đối với Thông tin

và Công nghệ liên quan (CobiT) CobiT là tập hợp các mục tiêu kiểm soátCNTT được chấp nhận chung cho các kiểm toán viên CNTT Năm 1994,

EDPAA đổi tên thành Hiệp hội Kiểm tra và Kiểm soát Hệ thống Thôngtin ( ISACA ) Giai đoạn từ cuối những năm 1960 cho đến ngày nay đãchứng kiến những thay đổi nhanh chóng trong công nghệ từ máy vi tính

và mạng cho đến internet và với những thay đổi này, một số sự kiện lớn

đã thay đổi việc kiểm toán CNTT mãi mãi

Sự hình thành và gia tăng phổ biến của Internet và Thương mại điện

tử đã có những ảnh hưởng đáng kể đến sự phát triển của kiểm toánCNTT Internet ảnh hưởng đến cuộc sống của hầu hết mọi người trên thếgiới và là nơi gia tăng hoạt động kinh doanh, giải trí và tội phạm Kiểmtoán CNTT giúp các tổ chức và cá nhân trên Internet tìm thấy sự an toànđồng thời giúp thương mại và truyền thông phát triển

2) Khải quảt về kiểm toán trong CNTT:

Kiểm toán CNTT là việc kiểm tra và đánh giá cơ sở hạ tầng, chínhsách và hoạt động công nghệ thông tin của một tổ chức

Kiểm toán công nghệ thông tin xác định liệu các biện pháp kiểm soátCNTT có bảo vệ tài sản doanh nghiệp, đảm bảo tính toàn vẹn của dữ liệu

và phù hợp với các mục tiêu chung của doanh nghiệp hay không Kiểmtoán viên CNTT không chỉ kiểm tra các biện pháp kiểm soát an ninh vật

lý mà còn kiểm tra tổng thể hoạt động kinh doanh và kiểm soát tài chínhliên quan đến hệ thống công nghệ thông tin

Bởi vì hoạt động tại các công ty hiện đại ngày càng được máy tínhhóa, kiểm toán CNTT được sử dụng để đảm bảo các quy trình và kiểmsoát liên quan đến thông tin hoạt động bình thường Các mục tiêu chínhcủa kiểm toán CNTT bao gồm:

 Đánh giá các hệ thống và quy trình đảm bảo an toàn cho dữ liệucủa công ty

 Xác định rủi ro đối với tài sản thông tin của công ty và giúp xácđịnh các phương pháp để giảm thiểu những rủi ro đó

 Đảm bảo các quy trình quản lý thông tin tuân thủ luật, chínhsách và tiêu chuẩn dành riêng cho CNTT

 Xác định sự kém hiệu quả trong hệ thống CNTT và quản lý liênquan.

Trong môi trường kinh doanh hiện đại, kiểm toán mạng là một thànhphần quan trọng của bảo mật CNTT Bất kỳ thay đổi không phù hợp nàohoặc truy cập trái phép vào các thiết bị mạng Cisco của bạn đều có thểdẫn đến hiệu suất mạng bị giảm sút và thời gian ngừng hoạt động củadoanh nghiệp Do đó, điều cần thiết là phải thiết lập kiểm tra liên tục vàtheo dõi chặt chẽ hoạt động quan trọng nhất xung quanh các thiết bị mạngcủa bạn

Để tiến hành giám sát mạng toàn diện, bạn cần quan tâm trước một sốkhía cạnh cần thiết, chẳng hạn như giao thức nào sẽ sử dụng - SNMPhoặc Telnet và liệu có đủ tài nguyên lưu trữ để lưu giữ tất cả nhật ký đượctạo bởi nhiều thiết bị trong mạng hay không Điều quan trọng hơn, bạncần biết những sự kiện cụ thể nào có thể gây nguy hiểm cho an ninhmạng của bạn Dưới đây là năm điều bạn cần theo dõi để tăng cường anninh mạng của mình:

 Theo dõi kỹ các thay đổi đối với cấu hình thiết bị mạng của bạn,chẳng hạn như nhiều lần đặt lại mật khẩu trên bộ định tuyếnCisco của bạn, điều này có thể khiến kẻ tấn công gặp khó khănkhi sử dụng các tập lệnh đoán mật khẩu

 Kiểm tra các lần đăng nhập vào các thiết bị mạng để xác minhrằng mỗi lần đăng nhập thành công đều được ủy quyền đầy đủ

và điều tra các lần đăng nhập thất bại, vì vậy bạn có thể xácđịnh xem quản trị viên chỉ nhập nhầm mật khẩu không hợp lệhay có kẻ xâm nhập đang kiểm tra danh sách mật khẩu mặcđịnh.

 Theo dõi các lần đăng nhập VPN thành công và thất bại vào cácthiết bị mạng, cũng như truy cập từ xa vào mạng công ty Đảmbảo rằng quản trị viên có lý do hợp lệ cho mỗi lần đăng nhập từxa

 Luôn được cảnh báo về các trục trặc phần cứng, chẳng hạn nhưnhiệt độ CPU nghiêm trọng và lỗi nguồn điện, để giảm thiểunguy cơ hoạt động kém hiệu quả hoặc thậm chí tắt hoàn toànmạng của bạn

 Theo dõi các mối đe dọa quét Trong khi một số lần quét có thể

là do hành vi chặn đứng hợp pháp quét các bộ định tuyến củaCisco để kiểm tra an ninh mạng, một số khác có thể là những kẻtấn công sử dụng các công cụ khai thác để sử dụng các lỗ hổngphổ biến trong mạng của bạn để xâm phạm ngoại vi của bạn

3) Giới thiệu chung về công ty cisco:

Cisco Systems, Inc là một tập đoàn công nghệ đa quốc gia của Mỹ cótrụ sở chính tại San Jose, California Gắn liền với sự phát triển

của Thung lũng Silicon Cisco phát triển, sản xuất và bán phần cứngmạng, phần mềm , thiết bị viễn thông và các dịch vụ và sản phẩm côngnghệ cao khác Thông qua nhiều công ty con được mua lại, chẳng hạnnhư OpenDNS , Webex , Jabber và Jasper, Cisco chuyên về các thị trườngcông nghệ cụ thể, chẳng hạn như Internet of Things(IoT), bảo mậtmiền và quản lý năng lượng Vào ngày 25 tháng 1 năm 2021, Cisco táihợp nhất tại Delaware

Cổ phiếu của Cisco đã được thêm vào Chỉ số Trung bình Công nghiệpDow Jones vào ngày 8 tháng 6 năm 2009, và cũng được bao gồm trongChỉ số S&P 500 , Chỉ số Russell 1000 , Chỉ số NASDAQ-100 và Chỉ sốChứng khoán Tăng trưởng Russell 1000

Vào năm 2020, tạp chí Fortune đã xếp hạng Cisco ở vị trí số một

trong danh sách 100 công ty tốt nhất để làm việc hàng năm vào năm 2021dựa trên khảo sát về mức độ hài lòng của nhân viên

Cisco Systems được thành lập vào tháng 12 năm 1984 bởi LeonardBosack và Sandy Lerner , hai nhà khoa học máy tính của Đại họcStanford , những người đã có công trong việc kết nối các máy tính tạiStanford Họ đi tiên phong trong khái niệm mạng cục bộ (LAN) được sửdụng để kết nối các máy tính khác nhau về mặt địa lý thông qua hệ thống

bộ định tuyến đa giao thức

Mặc dù Cisco không phải là công ty đầu tiên phát triển và bán các nútmạng chuyên dụng, nó là một trong những công ty đầu tiên bán các bộ

định tuyến thành công về mặt thương mại hỗ trợ nhiều giao thứcmạng Kiến trúc cổ điển dựa trên CPU của các thiết bị Cisco đời đầu cùngvới tính linh hoạt của hệ điều hành IOS cho phép theo kịp nhu cầu côngnghệ đang phát triển bằng cách nâng cấp phần mềm thường xuyên Một

số mô hình phổ biến vào thời điểm đó (chẳng hạn như Cisco 250 ) đã cốgắng duy trì hoạt động sản xuất trong gần một thập kỷ mà hầu như khôngthay đổi Công ty đã nhanh chóng nắm bắt môi trường nhà cung cấp dịch

vụ mới nổi, gia nhập thị trường SP với các dòng sản phẩm như Cisco

7000 và Cisco 8500

Dựa vào xu thế phát triển của kiểm toán CNTT, cisco đã đưa ra rấtnhiều công cụ để kiểm toán và môt trog số công cụ tiêu biểu đó là ciscoauditing tool (CAT)

II) Công cụ kiển toán cisco ( CAT)

Công cụ Kiểm toán của Cisco ( CAT ) có cấu trúc tập lênh PERL, làmột công cụ an ninh nhỏ dùng để kiểm toán Nó quét các bộ định tuyến

của Cisco để tìm các lỗ hổng phổ biến như mật khẩu mặc định, chuỗicộng đồng SNMP và một số lỗi IOS cũ.

(Perl (viết tắt của Practical Extraction and Report Language - ngôn ngữ kết xuất và báo cáo thực dụng) được Larry Wall xây dựng từ năm 1987, với mục đích chính là tạo ra một ngôn ngữ lập trình có khả năng chắt lọc một lượng lớn dữ liệu và cho phép xử lý dữ liệu nhằm thu được kết quả cần tìm.

Perl là ngôn ngữ thông dụng trong lĩnh vực quản trị hệ thống và xử lý các trang Web

do có các ưu điểm sau:

• Có các thao tác quản lý tập tin, xử lý thông tin thuận tiện

• Thao tác với chuỗi ký tự rất tốt

• Đã có một thư viện mã lệnh lớn do cộng đồng sử dụng Perl đóng góp.

Cú pháp lệnh của Perl khá giống với C, từ các ký hiệu đến tên các hàm, do đó, nhiều người (đã có kinh nghiệm với C) thấy Perl dễ học Perl khá linh hoạt và cho phép người sử dụng giải quyết với cùng một vấn đề được đặt ra theo nhiều cách khác nhau.)

Công cụ này được đặt trong menu Linux (Kali > VulnerabilityAssessment > Network Assessment > Cisco Tools) được tạo ra để hoànthành ba nhiệm vụ bao gồm:

 Hiển thị mật khẩu telnet trên thiết bị Cisco nếu telnet đang chạy

 Hiển thị Lịch sử iOS trên thiết bị Cisco sử dụng lỗ hổng bảo mật.

 Cưỡng chế các chuỗi cộng đồng SNMP cho thiết bị

CAT thực hiện tấn công vào cổng TELNET do đó công cụ này hiệnnay đã khá lỗi thời do TELNET được phát triển khá lâu nên giao thức nàytồn tại một số điểm yếu sau đây:

 Trong nhiều năm qua, một số điểm yếu (vulnerability) trong

các daemon của TELNET đã bị người ta phát hiện, và có thể vẫncòn những điểm yếu tồn tại chưa tìm thấy Những điểm yếu đó tạo

cơ hội cho những tấn công bên ngoài vào máy, vào người dùng,làm cho việc sử dụng và điều hành máy trở nên một mối lo ngại

 Ở dạng nguyên của mình, TELNET không mật mã hóa các dữ liệutruyền tải qua đường dây kết nối (kể cả mật khẩu), vì thế việc nghetrộm đường truyền thông là một việc tương đối dễ dàng thực hiện.Mật khẩu lấy trộm được có thể được dùng vào những việc có mụcđích hiểm độc

 TELNET thiếu nghi thức xác thực người dùng Nhu cầu xác thựcngười dùng là một nhu cầu quan trọng, đảm bảo sự giao thông giữahai máy chủ trong cuộc, không bị một người trung gian xen vào

(xin xem thêm những tấn công trung gian (Man-in-the-middle attacks).

Trong một môi trường làm việc mà sự an toàn và bí mật là một yêucầu quan trọng, nhưng trên mạng lưới công cộng Internet, việc dùngTELNET là một việc không nên Phiên giao dịch dùng TELNET là mộtphiên giao dịch thường, dữ liệu truyền thông không được mật mãhóa (unencrypted) Nếu có một người ngoài nào có khả năng truy cập,

hoặc đến gần được vào một bộ định tuyến (router), một bộ chuyểnmạch (switch), hoặc một cổng nối (gateway) nằm trên mạng lưới, giữa hai

máy chủ dùng "telnet" ở trên, người đó có thể chặn các gói dữ liệu củaTELNET trên đường truyền, lấy những tin tức về đăng nhập, mật khẩu(và tất cả những gì mà người gửi đã đánh máy), bằng cách sử dụng một

số những công cụ phần mềm như tcpdump hoặc Wireshark chẳng hạn

III) Hướng dẫn cài đặt – hướng dẫn sử dụng CAT:

1) Hướng dẫn cài đặt cisco auditing tool:

Dữ liệu gói tin CAT:

Hình 1: cấu hình gói tin CAT

Để cài đặt cisco auditing tool chúng ta chạy lệnh sau trong kali:

Hình 2: cài đặt CAT

2) Hướng dẫn gỡ cài đặt cisco auditing tool:

Để gỡ cài đặt cisco auditing tool chúng ta chạy lệnh sau trong kali:

- Chỉ gỡ cài đặt CAT:

Hình 3: gỡ cái đặt CAT

- Gỡ cài đặt CAT và các chương trình phụ thuộc của nó:

- Xoá dữ liệu trong CAT:

- Xoá dữ liệu trong CAT và các chương trình phụ thuộc của nó:

3) Hướng dẫn sử dụng cisco auditing tool:

Để biết cấu trúc của một câu lênh trong cisco auditing tool bạn có thể

sử dụng câu lệnh sau đây:

# cd / usr / share / # CAT help

Hình 4: cấu trúc câu lệnh CAT

Sau khi chạy câu lệnh trên chương trình sẽ hiển thị cho bạn một cấutrúc câu lệnh và một số mô tả về việc sử dụng CAT:

• -h: tên máy chủ (địa chỉ IP máy cần quét)

• -f: tệp tin máy chủ (dùng để quét nhiều máy chủ)

• -p: cổng (cổng mặc định là 23)

• -w: danh sách từ (danh sách từ để đoán tên cộng đồng người sửdụng)

• -a: danh sách mật khẩu (danh sách từ để đoán mật khẩu mật khẩungười sử dụng)

• -i: [ioshist] (kiểm tra lỗi Lịch sử iOS)

• -l: tên file để đăng nhập

• -q: chế độ im lặng (không hiển thị đầu ra ở trên màn hình)

Với công cụ này, tin tặc có thể quét một bộ định tuyến để tìm các lỗhổng phổ biến Một tin tặc có thể thực hiện một cuộc tấn công, nhưng tintặc phải có danh sách mật khẩu của riêng mình và khi chạy chương trìnhnên sử dụng hàm “-h” đang quét các máy chủ trên mạng và “-w” cho từ(danh sách để đoán tên cộng đồng) và “-a” để sử dụng tệp đã tạo với danhsách mật khẩu

Ví dụ: #CAT –h <địa chỉ IP> -p <cổng> -a<danh sách mật khẩu>