HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN Báo cáo thực hành An tồn mạng nâng cao Họ tên: Phạm Khánh Hưng MSV: B19DCAT096 Nhóm mơn học: 01 Tổ thực hành: 02 Giảng viên hướng dẫn: TS Đặng Minh Tuấn Hà Nội, 05/2023 Mục lục Triển khai HIDS với OSSEC I Lý thuyết OSSEC II Ossec lab Xác thực thiết bị mạng dịch vụ Radius 41 I Lý thuyết Radius 41 II Radius lab 43 Triển khai VPN host-to-host đơn giản 58 I Lý thuyết VPN 58 II VPN Lab1 66 Sử dụng vpn gateway để đảm bảo truyền tin mạng 72 II VPN Lab2 72 Xây dựng DMZ cho mạng doanh nghiệp 79 I Lý thuyết DMZ 79 II DMZ Lab 84 Tài liệu tham khảo 88 Triển khai HIDS với OSSEC I Lý thuyết OSSEC OSSEC hệ thống phát xâm nhập dựa host (HIDS) dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều chế bảo mật khác OSSEC phát xâm nhập chữ ký dấu hiệu bất thường Các dấu hiệu bình thường bất thường mơ tả luật OSSEC OSSEC có cơng cụ phân tích tương quan mạnh mẽ, tích hợp giám sát phân tích log, kiểm tra tính toàn vẹn file, kiểm tra registry Windows, thực thi sách tập trung, giám sát sách, phát rootkit, cảnh báo thời gian thực phản ứng cách chủ động công diễn Các hành động định nghĩa trước luật OSSEC để OSSEC hoạt động theo ý muốn người quản trị Ngoài việc triển khai HIDS, thường sử dụng cơng cụ phân tích log, theo dõi phân tích ghi lại, IDS, máy chủ Web ghi xác thực OSSEC chạy hầu hết hệ điều hành, bao gồm Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris Microsoft Windows OSSEC tích hợp trong hệ thống bảo mật lớn SIEM (Security information and event management) OSSEC cài đặt Windows với tư cách agent • Ưu điểm HIDS • HIDS có số điểm cải tiến so với NIDS: • o Phù hợp với mơi trường liệu mã hóa ngày phổ biến HIDS có khả đọc liệu (log) mã hóa server nhận o Thích hợp mạng chuyển đổi nơi mà có máy chủ lưu trữ cuối nhìn thấy lưu lượng truy cập o Theo dõi tiến trình sử dụng người dùng máy chủ o Có khả phát phản ứng với thời gian thực o Xác minh khả công NIDS thường đưa cảnh báo sớm, cịn HID có khả xác minh xem công hay xâm nhập trái phép có khả thành cơng hay thất bại o Khắc phục công mà NIDS cảnh báo công phân mảnh hay ghép nối phiên o => Vì lý mà OSSEC phát triển theo HIDS khơng phải NIDS Các tính bật OSSEC là: o Theo dõi phân tích log: OSSEC thu thập log theo thời gian thực từ nhiều nguồn khác để phân tích (giải mã, lọc phân loại) đưa cảnh báo dựa luật xây dựng trước OSSEC phát công mạng, hệ thống ứng dụng cụ thể cách sử dụng log làm nguồn thông tin Log hữu ích để phát việc khai thác lổ hổng phần mềm, vi phạm sách hình thức hoạt động khơng phù hợp khác Một số loại log mà OSSEC phân tích log proxy, log web, log ghi lại xác thực, system log o Kiểm tra tính tồn vẹn file: Sử dụng hàm băm mật mã, tính toán giá trị băm file hệ điều hành dựa tên file, nội dung file giá trị băm OSSEC giám sát ổ đĩa để phát thay đổi giá trị băm có đó, điều đó, sửa đổi nội dung file thay phiên file phiên file khác o Giám sát Registry: Hệ thống Registry danh sách thư mục tất cài đặt phần cứng phần mềm, cấu hình hệ điều hành, người dùng, nhóm người dùng, preference hệ thống Microsoft Windows Các thay đổi thực người dùng quản trị viên hệ thống ghi lại khóa registry để thay đổi lưu người dùng đăng xuất hệ thống khởi động lại Registry cho thấy kernel hệ điều hành tương tác với phần cứng phần mềm máy tính HIDS giám sát thay đổi khóa registry quan trọng để đảm bảo người dùng ứng dụng khơng cài đặt chương trình sửa đổi chương trình có với mục đích xấu o Phát Rootkit: OSSEC phát hiên Rootkit dựa chữ ký, rootkit công cụ cho phép kẻ đột nhập khả xâm nhập trở máy tính bị cài rootkit xóa dấu vết tồn Kẻ xâm nhập sử dụng rootkit để ăn cắp thông tin tài nguyên từ máy tính nạn nhân OSSEC có khả phát rootkit cách đọc file sở liệu rootkit tiến hành quét hệ thống định kỳ, thực lời gọi hệ thống để phát file khơng bình thường, tiến trình ấn, dấu hiệu vượt quyền, cổng ẩn so sánh chúng với sở liệu để phát rootkit o Phản ứng chủ động: Phản ứng chủ động cho phép IDS nói chung OSSEC nói riêng tự động thực thi lệnh phản ứng kiện tập hợp kiện cụ thể kích hoạt Phản ứng chủ động xác định luật Các lợi ích phản ứng chủ động lớn, nguy hiểm, ngăn chặn kết nối hợp pháp lổ hổng để kẻ cơng khai thác Ví dụ: quản trị viên hợp pháp tạo báo động sai chặn người dùng/máy chủ hợp pháp truy cập luật thiểt kế II Ossec lab Tổng quan Bài tập cung cấp kinh nghiệm thực hành với hệ thống phát xâm nhập dựa máy chủ OSSEC (IDS) IDS thường sử dụng đóng vai trị cốt lõi sản phẩm IDS thương mại Giống hầu hết sản phẩm IDS, áp dụng quy tắc để xác định cơng vào máy tính Và với nhiều hệ thống IDS dựa máy chủ, OSSEC phụ thuộc phần lớn vào thông báo nhật ký ghi lại hệ điều hành Phịng thí nghiệm bao gồm mục tiêu sau: • Cấu hình tác nhân OSSEC cho máy khách, tức người có hoạt động giám sát máy chủ OSSEC • Tạo kiện dựa nhật ký quan sát cảnh báo kết OSSEC tạo • Quan sát tác động "phản ứng tích cực" kiện hệ thống, ví dụ: vơ hiệu hóa lưu lượng truy cập từ nguồn vi phạm • Cấu hình tác nhân máy khách để cảnh báo thay đổi cổng mà máy tính nghe • Xác định quy tắc để cảnh báo quyền truy cập máy chủ web vào URL cụ thể • Khám phá hạn chế phức tạp liên quan đến IDS dựa quy tắc • Hãy xem xét đánh đổi bề mặt công bảo mật hệ thống liên quan đến việc giới thiệu 5MB mã đặc quyền, số tiêu thụ thứ kẻ cơng cung cấp cho máy tính ta Môi trường lab - Khởi động lab: labtainer -r ossec Mơ hình Lab Document continues below Discover more from: máy tính Mang INT1336 Học viện Cơng ng… 266 documents Go to course Luận văn nghiên cứu 59 ứng dụng Blockchain Mang máy tính 100% (12) NHDT MMT - Đề ơn 42 thi trắc nghiệm… Mang máy tính 92% (26) De tai iot su dung 84 esp - hệ thống cảm… Mang máy tính 100% (7) Bai giang Computer 193 Network 2012 1118 Mang máy tính 93% (14) DE-thi kì tin học sở Mang máy tính 100% (5) 300 cau hoi trac Hoạt động OSSEC 53 nghiem kien truc… Máy chủ OSSEC nhận mục nhật ký từ máy tính đượ c giám sát thơng qua Mang máy 100% (5) tínhtính không tác nhân OSSEC chạy máy tính giám sát Một máy giám sát trừ có tác nhân cài đặt cấu hình để giao tiếp với máy chủ OSSEC Thơng tin liên lạc yêu cầu: • Tác nhân khách hàng đăng ký máy chủ OSSEC khóa mật mã tạo cho máy khách Cả hai bước xảy cách sử dụng lệnh manageagents máy chủ • Khóa nhập vào tác nhân máy khách, sử dụng lệnh manageagents máy khách • Địa IP máy chủ định nghĩa tệp client /var/ossec/etc/ossec.conf • Dịch vụ ossec máy khách máy chủ khởi động lại Khi bước hồn tất, máy chủ bắt đầu giám sát máy khách dựa mục nhật ký gửi từ máy khách đến máy chủ Tập hợp ghi máy khách theo dõi xác định tệp ossec.conf máy khách Tệp có tệp nhật ký ban đầu rộng xác định, số tên nhật ký yêu cầu sửa đổi thấy phòng thực hành Những máy chủ làm với thơng báo nhật ký nhận chủ yếu định nghĩa tập hợp quy tắc nằm thư mục máy chủ /var/ossec/rules Các hành động máy chủ bao gồm tạo cảnh báo gây phản hồi tích cực, ví dụ: đạo máy khách tạm thời vơ hiệu hóa lưu lượng mạng từ nguồn vi phạm Thơng báo nhật ký phân tích cú pháp phân loại dựa quy tắc giải mã xác định / var / ossec / etc / decoder xml OSSEC bao gồm giải mã cho hầu hết định dạng nhật ký phổ biến Bộ giải mã gán số nhận dạng cho loại thông báo nhật ký khác mã định danh sau đặt tên quy tắc Ví dụ: giải mã gán thông điệp chọn tạo máy chủ web loại web-accesslog Sau đó, quy tắc xác định cảnh báo tạo tìm thấy thơng báo thuộc loại web-accesslog để chứa chuỗi ký tự cơng SQL injection Nhiệm vụ 5.1 Cấu hình OSSEC để giám sát máy trạm client1 Các tệp cấu hình cho tác nhân phịng thí nghiệm định cấu hình sẵn để xác định địa IP máy chủ Vì ta cần lấy key vào tác nhân để họ nói chuyện với máy chủ Hầu hết hoạt động OSSEC yêu cầu sử dụng sudo, ta nên sử dụng "sudo su" tất máy a) Trên máy Ossec Server, ta chạy lệnh /var/ossec/bin/manage_agents để xác định tác nhân cho máy client1 xuất khóa cho máy khách này: - Thêm máy Client1: Trên máy client1, sử dụng lệnh ifconfig để xem địa IP máy này, ta thấy địa IP máy client1 172.0.0.3: Trở lại máy ossec server, ta sử dụng lựa chọn A (thêm tác nhân) để thực thêm tác nhân vào hệ thống quản lý tác nhân ossec server Sau ta nhập thông tin tên tác nhân (ở client1), địa IP tác nhân client1 vừa tìm trên, mã ID tác nhân (mặc định tác nhân ban đầu 001, tùy chỉnh) Sau nhập đầy đủ thông tin, ta sử dụng “y” để xác thực thơng tin: - Tạo khóa để trao đổi xác thực cho máy client1: Hiển thị tcpdump 75 3.2 Khởi động VPN Khởi động chương trình openvpn gateway: sudo openvpn config gateway.conf –daemon Khởi động chương trình openvpn máy khách: sudo openvpn config client.conf –daemon 76 Sử dụng wget lần nữa, giống thực trước Lưu ý wget thành công lần Lưu ý ta sử dụng địa mạng máy chủ thay địa liên kết với đường hầm mã hóa Quan sát lưu lượng mạng tcpdump 77 Thực checkwork 78 Xây dựng DMZ cho mạng doanh nghiệp I Lý thuyết DMZ Khái niệm DMZ từ sử dụng thông dụng khu quân lĩnh vực tin học DMZ viết tắt từ Demilitarized Zone Được hiểu khu phi quân sự, giới tuyến quân sự, hay vùng phi quân Khu vực khơng có hoạt động qn diễn ra, nơi khu vực thị n bình cách xa lãnh thổ băng đảng Tuy nhiên, DMZ thuật ngữ viết tắt sử dụng tin lĩnh vực tin học Trong tin học DMZ thiết bị kết nối mạng (phạm vi thiết bị nối mạng mạng con), ví dụ : máy tính, đặt bên tường lửa biện pháp bảo mật khác mạng Phân biệt khái niệm DMZ 2.1 Khái niệm DMZ tour Được thành lập vào năm 1953 tuyên bố ngừng bắn Chiến tranh Triều Tiên, DMZ đại diện cho khu vực km phía bắc phía nam từ đường phân giới quân Tạo vùng phi quân rộng 4km dài 256km, coi vùng phi quân lớn giới Khu phi quân khu vực cam kết hịa bình, khơng xảy chiến tranh, nằm biên giới Triều Tiên Hàn Quốc Trong khu DMZ, việc tiếp cận văn minh bị hạn chế, đảm bảo an toàn cho du khách Nơi không bị ảnh hưởng sinh hoạt người dân khu vực bảo tồn sinh thái DMZ không địa điểm tổ chức họp 79 trị chiến lược mà cịn nơi thu hút khách du lịch Hiện nay, Việt Nam Hàn Quốc quốc gia có DMZ tour mở rộng đến Triều Tiên tương lai 2.2 Khái niệm DMZ host DMZ host máy chủ DMZ, hoạt động vùng phân cách người dùng bên (Internet) máy chủ riêng (mạng cục mạng diện rộng) DMZ thường tập đoàn sử dụng chứa thiết bị chấp nhận lưu lượng truy cập Internet DNS, FTP máy chủ Web Các tập đoàn sử dụng DMZ host mạng tách biệt với mạng cục nội (LAN) khỏi mạng không tin cậy khác, thường internet Các máy chủ, liệu dịch vụ bên đặt DMZ Vậy nên, chúng truy cập từ internet, phần cịn lại mạng LAN nội khơng thể truy cập Điều tạo lớp bảo mật bổ sung cho mạng LAN giúp giảm thiểu khả hacker truy cập trực tiếp vào máy chủ liệu nội qua internet 2.3 Khái niệm DMZ host ip address Máy chủ DMZ truy cập DMZ host ip address giao diện WAN định tuyến để định lưu lượng không mong muốn giao diện WAN Khi tacần chuyển tiếp lưu lượng đến máy chủ LAN xác định lưu lượng theo cổng UDP TCP dùng phương pháp • Để thêm host ip address vào DMZ, talàm theo thao tác đây: • Đầu tiên truy cập NAT >> DMZ Host tới tab giao diện WAN mà tamuốn máy chủ truy cập từ: 80 • Đối với mạng WAN 1, chọn “IP riêng” Đối với mạng WAN khác, chọn ô “Enable” • Tanhấn chọn IP IP riêng chọn địa IP máy chủ DMZ • Để cài đặt nhấn OK 2.4 DMZ modem DMZ lựa chọn tốt tamuốn chạy máy chủ gia đình truy cập từ bên ngồi mạng gia đình ta(ví dụ: máy chủ web, ssh, vnc giao thức truy cập từ xa khác) Khi tamuốn số cổng cụ thể phép truy cập từ máy tính cơng cộng, tasẽ chạy tường lửa máy chủ Thiết lập cổng chuyển tiếp (port forwarding) cách khác để sử dụng DMZ Với cổng chuyển tiếp, tachỉ cho phép cổng cụ thể thơng qua định tuyến tacũng định số cổng đến máy khác tacó nhiều máy chủ chạy phía sau định tuyến 2.5 DMZ router DMZ router máy chủ lưu trữ mạng Bên DMZ router có tất cổng UDP TCP mở hiển thị không bao gồm cổng chuyển cách khác DMZ frouter sử dụng phương pháp đơn giản để chuyển tiếp tất cổng sang thiết bị tường lửa NAT khác 2.6 Phân vùng DMZ DMZ zone tên tiếng anh DMZ DMZ zone xem vùng mạng trung lập mạng riêng công cộng Là vùng quản lý liệu cung cấp dịch vụ bảo mật cho người dùng mạng cục để truy cập email, ứng dụng web, ftp ứng dụng khác yêu cầu truy cập Internet 81 Kiến trúc xây dựng vùng DMZ hệ thống mạng nội Các thành phần tạo nên DMZ là: Các địa IP firewall Tacần nhớ hai đặc điểm nhận dạng quan trọng DMZ là: Nó có network ID khác so với mạng internal Nó bị phân tách khỏi mạng Internet mạng internal (các) firewall 3.1 Địa IP dùng DMZ DMZ sử dụng public IP private IP cho server tùy vào cấu hình firewall cấu trúc DMZ Khi tasử dụng public IP cho DMZ, thường tasẽ cần chia mạng (subnetting) khối địa IP mà ISP cấp cho tađể tacó hai network ID tách biệt Khi network ID dùng cho external interface (card mạng nối trực tiếp tới ISP) firewall network ID lại dùng cho mạng DMZ Lưu ý chia subnet khối public IP này, taphải cấu hình cho router tađể gói tin từ Internet vào tới DMZ, chia subnet khối public bày Bằng cách sử dụng VLAN Tagging (IEEE 802.1q) tacũng tạo DMZ có network ID giống với mạng internal mà đảm bảo có cách ly DMZ mạng internal 82 Khi server DMZ máy trạm mạng internal cắm chung vào switch (hoặc khác switch switch nối với nhau) gán vào VLAN khác Trong trường hợp tasử dụng private IP cho DMZ, tasẽ cần đến NAT (một số firewall hỗ trợ sẵn tính này) để chuyển private IP sang public IP (mà gán cho external interface firewall nằm Internet DMZ) Tuy nhiên số ứng dụng khơng làm việc tốt với NAT (ví dụ, Java RMI) nên tacân nhắc việc chọn cấu hình NAT hay định tuyến Internet DMZ 3.2 Các Firewall: Single firewall Dual firewall hai mơ hình thường gặp Single firewall (three legged firewall) Tasẽ cần tới thiết bị có ba NIC (network interface card) Trong đó, NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, NIC lại nối với mạng internal “Three legged firewall” có tên “chân” firewall NIC Lúc phải có khả kiểm sốt tồn traffic vào/ra ba mạng (internal, external DMZ) trở thành điểm chịu lỗi (single point of failure) cho toàn hệ thống mạng Khi có cố xảy với “three legged firewall” DMZ mạng internal khơng cịn bảo vệ Tuy nhiên tasẽ khơng tốn chi phí đầu tư thêm firwewall mơ hình dual firewall Tạo DMZ single firewall, ta có khái niệm trihomed DMZ Tacũng tạo hai (hoặc nhiều hơn) vùng DMZ tách biệt có network ID khác trang bị thêm số NIC tương ứng cho single firewall Với dual firewall Tasẽ cần tới hai thiết bị firewall, firewall có hai NIC bố trí sau: Firewall thứ (được gọi front-end firewall) có NIC nối với mạng external (external interface) NIC lại nối với DMZ (internal interface) Firewall thứ có nhiệm vụ kiểm sốt traffic từ Internet tới DMZ mạng internal Firewall thứ hai (được gọi back-end firewall) có NIC nối với DMZ (external interface) NIC lại nối với mạng internal (internal interface) Firewsll thứ có nhiệm vụ kiểm soát traffic từ DMZ Internet tới mạng internal Xét hiệu suất độ an tồn dual firewall giúp tathực tốt Tuy nhiên thấy việc sử dụng phương pháp tốn so với single firewall Các tanên lựa chọn phù hợp với nhu cầu điều kiện 83 Một số lời khuyên cho nên chọn hai firewall từ hai nhà cung cấp (vendor) khác Vì tạo nên theo cách khác nên hacker bẻ gãy firewall cũng khó khăn việc phá vỡ firewall thứ hai II DMZ Lab Tổng quan Phòng thực hành yêu cầu ta định cấu hình DMZ cách sử dụng iptables hai thành phần cổng Môi trường lab Trên terminal nhập: labtainer dmz-lab Cấu hình mạng Phịng thí nghiệm bao gồm số máy tính nối mạng thể Hình Tuy nhiên, lưu ý phiên phịng thực hành tasẽ có địa IP khác cho 84 số thành phần Khi phịng thí nghiệm bắt đầu, tasẽ nhận số thiết bị đầu cuối ảo, thiết bị kết nối với thành phần Cổng cổng từ xa truy cập Internet thông qua ISP có địa 198.18.0.1 Trang web cục có địa mạng 198.18.1.0/24 Trang web từ xa có địa mạng 203.0.113.0/24 Ban đầu, DMZ có tên Hình Network topology for dmz-lab Thực hành lab Cấu hình cổng bên cổng ngồi cho: 85 • Người dùng từ xa truy cập máy chủ web, ví dụ: thơng qua wget www.example.com, sử dụng HTTP, HTTPS SSH • Người dùng địa phương truy cập internet thơng qua ISP, ví dụ: wget www.google.com • Người dùng cục truy cập máy chủ web cục thơng qua HTTP, HTTPS, SSH MYSQL Sử dụng tập lệnh /etc/rc.local cổng bên bên để ban hành thị iptables Tôn trọng nhận xét tập lệnh rc.local liên quan đến phần không nên sửa đổi Chứng minh DMZ ta cách ban hành lệnh sau, mà khơng có thay đổi bổ sung iptables • Trên điều khiển từ xa ws (hank): sudo nmap www.example.com • Trên ws1 (tom): sudo nmap www.example.com 86 • Trên ws1 (tom): wget www.google.com Nếu ta thực thay đổi iptables trình thử nghiệm, khởi động lại thử nghiệm từ mục (1) 87 Tài liệu tham khảo [1] [Trực tuyến] Available: https://dsec.ptit.edu.vn/student/question [2] “PLP Soft,” [Trực tuyến] Available: https://plpsoft.vn/30247-Tim-hieu-ve-DMZtrong-mang-maytinh#:~:text=DMZ%20zone%20%C4%91%C6%B0%E1%BB%A3c%20xem%20l%C3% A0,y%C3%AAu%20c%E1%BA%A7u%20truy%20c%E1%BA%ADp%20Internet.&text =C%C3%A1c%20th%C3%A0nh%20ph%E1%BA%A7n%20c%C6%A1%20b%E1%BA %A3n,ch%E1%BB%89%20IP%20v%C3%A0%20c%C3%A1c%20firewall.[ Đã truy cập 19 05 2023] [3] P.Đ.Bảo, “Viblo,” [Trực tuyến] Available: https://viblo.asia/p/tim-hieu-ve-he-thongphat-hien-xam-nhap-ossec-phan-i-m68Z03JzKkG [ Đã truy cập 10 05 2023] [4] “HostingViet” [Trực tuyến] Available: https://viblo.asia/p/tim-hieu-ve-he-thong-phathien-xam-nhap-ossec-phan-i-m68Z03JzKkG [ Đã truy cập 02 05 2023] [5] “QuanTriMang”[Trực tuyến].Available: https://quantrimang.com/cong-nghe/ly-thuyetvpn-la-gi-117232 [ Đã truy cập 01 05 2023] 88 89