BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO MƠN HỌC QUẢN LÝ MẠNG MÁY TÍNH Đề tài: Triển khai Hệ thống giám sát Thiết bị, dịch vụ, truyền dẫn hạ tầng mạng Websites Người hướng dẫn : ĐÀM MINH LỊNH Sinh viên thực Mã số sinh viên Lớp Khoá Hệ : : : : : NGUYỄN MẠNH THÌN N18DCAT085 D18CQAT01-N 2018-2023 ĐẠI HỌC CHÍNH QUY TP.HCM, THÁNG 12 NĂM 2021 MỤC LỤC Lab 6: CONFIGURE FIREWALL ASA BASIC .4 1.1 Sơ đồ 1.2 Triển khai Chi tiết bước 1.2.2 Cấu hình định tuyến FW Route Core, đảm bảo người dùng Inside giao tiếp với Server vùng DMZ .8 1.2.3 Cấu hình FW cho phép PC với IP 192.168.2.10 phép SSH vào FW 10 1.2.4 Cấu hình Static NAT FW cho người dùng ngồi Internet truy cập dịch vụ Remote Desktop Server 192.168.10.10 11 1.2.5 Cấu hình PAT FW cho người dùng từ Inside truy cập dịch vụ Internet .16 Lab 7: IPSEC VPN SITE TO SITE 17 2.1 Sơ đồ 17 2.2 Cấu hình .18 2.2.1 Cấu hình default route cho ISP 18 2.2.2 Cấu hình IPSEC cho router site 18 2.2.3 Cấu hình default route cho router site .21 2.2.4 Kiểm tra kết 22 Lab 8:BOTNET - DDoS Distributed Denial of Service 25 LAB – THIẾT LẬP IPSEC CONNECTION DÙNG OPENSWAN 27 4.1 Sơ đồ 27 4.2 Triển khai .28 LAB – THỰC HIỆN AN TOÀN CHO MỘT KẾT NỐI QUẢN TRỊ DATABASE TỪ XA 38 5.1 Chuẩn bị .38 5.2 Thực 38 Phần 1: Remote Access dùng Telnet 38 Phần 2: Remote Access dùng SSH: .43 LAB – THỰC HIỆN REVERSE TCP ĐỂ LẤY SHELL .54 6.1 Sơ đồ 54 6.2 Thực 54 LAB – THỰC HIỆN TẤN CÔNG SOCIAL ENGINEERING THƯỜNG DÙNG TRONG APT 57 7.1 Sơ đồ 57 7.2 Thực 58 7.2.1 Tấn công PowerShell Attack Vector 58 7.2.2 Tấn công cách Clone Website .63 THIẾT LẬP FIREWALL TYPOLOGY CHO MẠNG DOANH NGHIỆP 68 8.1 Chuẩn bị .68 8.2 Thực 69 8.2.1 Bước 1: Cài đặt windows server để làm website: 69 8.2.2 Bước 2: Cài đặt pfsense firewall 71 8.2.3 Bước 3: Cấu hình interface .73 8.2.4 Bước 4: Vào menu firewall, tìm hiểu cấu hình NAT 75 8.2.5 Bước 5: Vào menu firewall, tìm hiêu cấu hình rules 81 8.2.6 Bước 6:Thực kiểm tra 85 TÀI LIỆU THAM KHẢO: 86 Lab 6: CONFIGURE FIREWALL ASA BASIC 1.1 Sơ đồ Hình Sơ đồ yêu cầu Hình Sơ đồ cấu hình 1.2 Triển khai Chi tiết bước 1.2.1 Kết nối cấu hình địa IP theo mơ hình - Cổng inside - - Hình Cấu hình cổng inside ASA Hình Cấu hình cổng DMZ ASA Cổng DMZ Cổng outside Hình Cấu hình cổng outside ASA Hình Show ip address - Cấu hình route core: Hình Hình Cấu hình interface router core Cấu hình mạng máy inside1 Hình Cấu hình mạng máy inside2 Hình 10 Cấu hình mạng máyServer1 Hình 11 Cấu hình mạng máy Server2 1.2.2 Cấu hình định tuyến FW Route Core, đảm bảo người dùng Inside giao tiếp với Server vùng DMZ Trong ASA Firewall có Policy-map, sử dụng class-map Inspection_default class-map dành cho inspection traffic, traffic dành cho việc giám sát, mặc định ASA firewall chưa có inspect icmp Vì vậy, ta thêm inspect icmp vào class inspection_default ASA Firewall Hình 12 Inspect ICMP Cấu hình định tuyến: Hình 13 Định tuyến firewall Hình 14 Định tuyến router core Kiểm tra kết quả: Hình 15 Ping đến máy vùng DMZ thành cơng 1.2.3 Cấu hình FW cho phép PC với IP 192.168.2.10 phép SSH vào FW Hình 16 Cấu hình ssh firewall Với: - user password – tạo user password - crypto key generate rsa general-keys – tạo khóa rsa - ssh 192.168.2.10 255.255.255.255 inside – cho phép ssh từ địa từ vùng inside - ssh version 2: sử dụng ssh version - aaa authentication ssh console LOCAL // Cho phép user tạo đăng nhập SSH Hình 126 Cấu hình LAN Sau cấu hình LAN xong, ta thực truy cập vào web interface để cấu hình interface DMZ Hình 127 Interface assignments web 8.2.4 Bước 4: Vào menu firewall, tìm hiểu cấu hình NAT Tại máy WAN ta cấu hình NAT: Chọn FireWalls -> NAT -> outbound: Hình 128 Giao diện cấu hình NAT Outbound Có chế độ (mode): - Automatic Outbound NAT: tự động NAT từ vùng interal (LAN) vùng external (WAN) Hybrid Outbound NAT: Sử dụng rule tự tạo rule tự động Manual Outbound NAT: Chỉ sử dụng rule tự tạo Disable Outbound NAT: Disable toàn rule Lưu ý: Pfsense xem xét rule từ xuống thực kết phù hợp Ta thực NAT để LAN truy cập WAN sau: Hình 129 Cấu hình rules sau Hình 130 Chọn chế độ Hybrid outbound NAT Hình 131 Cập nhật cấu hình Hình 132 Thực truy cập WAN từ máy PC LAN Cấu hình NAT đưa web lên internet: Chọn Firewall -> NAT -> Port Forwarding -> add Rules với thông số sau: Hình 133 Cấu hình portforwarding Hình 134 Rules nat port forward thiết lập Sau NAT thành công Pfsense tự động thêm rules mạng wan: Hình 135 Rules wan thêm vào sau nat port forward thành cơng Hình 136 Chi tiết rules tự động tạo Truy cập trang web với ip wan: Internet kết nối vào webserver DMZ: Hình 137 Rule kết nối webserver từ internet Block máy từ Internet vào LAN: Hình 138 Rule block traffic tới LAN từ WAN Hình 139 Rule block traffic từ WAN LAN Block máy từ DMZ vào LAN: Hình 140 Khơng cho máy từ vùng DMZ truy cập LAN Hình 141 Không cho traffic từ DMZ đến LAN 8.2.5 Bước 5: Vào menu firewall, tìm hiêu cấu hình rules Thực cấu hình rules Firewall-> Rules: Rules: Là luật firewall Lọc liệu theo nguồn(ip, port), đích, qua giao thức, lưu lượng truy cập, khả giới hạn kết nối,… Giúp tường lửa bảo vệ thành phần quan trọng hệ thống Hình 142 Màn hình tương tác rules Trong đó: - Floating: Các quy Floating loại quy tắc nâng cao đặc biệt thực hành động phức tạp với quy tắc group tab interface Floating rule áp dụng nhiều interface, inbound, outbound - WAN/LAN/DMZ: Các rules ứng với interface cụ thể Rules: - States: Trạng thái luật - Protocol: Giao thức áp dụng luật đó: - Source: IP nguồn - Port: Port nguồn - Destination: IP đích - Port: Port đích - Gateway: Đường dẫn interface - Queue: Quy tắc kiểm soát truy cập cấu trúc queue - Scheldule:Các quy tắc xác định thời gian, lịch trình hoạt động luật Ta cấu hình schedule tương ứng Firewall -> Schedule Hình 143 Danh mục schedule - Hình 144 Chi tiết option cấu hình schedule Decription: Mô tả luật(thường mô tả ngắn gọn chức luật) - Action: Hoạt động rules Các thơng số rules cụ thể: Hình 145 Thông số firewall rules - Action: cho phép traffic qua firewall phù hợp thực action tương ứng pass – cho phép traffic qua, Block – Chặn traffic, Reject – từ chối traffic Hình 146 Action rules - Disable: bật/tắt rules - Interface: áp dụng với interface - Address Family: Loại địa - Protocol: Phương thức truyền tin Hình 147 Các thơng số khác rules Trong đó: - Sources: Các thơng số nguồn - Destination: Các thơng số đích - ExtraOptions: Các thơng tin thêm log, mô tả luật, lựa chọn nâng cao(sources OS, tag, timeout, TCP Flag, Schedule, AckQueue,….) 8.2.6 Bước 6:Thực kiểm tra Máy tính bên ngồi truy cập web: Hình 148 Máy tính bên ngồi truy cập web thành cơng Máy tính từ Internet khơng truy cập LAN Hình 149 Máy tính từ internet khơng truy cập LAN Máy tính từ DMZ khơng truy cập LAN Hình 150 Máy tính từ DMZ khơng truy cập LAN TÀI LIỆU THAM KHẢO: [1] https://vnpro.vn/thu-vien/giao-thuc-internet-key-exchange-ike-trongvpn-2417.html, CÔNG TY TNHH TV & DV CHUYÊN VIỆT TRUNG TÂM TIN HỌC VNPRO, Bài viết đăng 19-05-2016 [2] https://www.kali.org/tools/hping3/ [3] https://libreswan.org/man/ipsec.conf.5.html , Paul Wouters, đăng tải roffit, truy cập ngày 7/3/2022 [4] https://blog.convisoappsec.com/en/setting-up-an-ipsec-vpn-usingopenswan-in-cloud-environments/ , truy cập 2/03/2022 [5] http://shell-storm.org/shellcode/files/shellcode-833.php, truy cập 19/03/2022 [6]https://www.tutorialspoint.com/kali_linux/ kali_linux_social_engineering.htm Tutorialspoint.com, truy cập ngày 24/03/2022 [7] https://defuse.ca/online-x86-assembler.htm, truy cập 20/03/2022 [8] https://docs.netgate.com/pfsense/en/latest/firewall/configure.html, netgates.com, truy cập ngày 11/04/2022