Kiểm thử và giám sát an toàn mạng

R11-LROR Status:OK Registrant ID:tuTv2ItRZBMNd4lA Registrant Name: John Smith Registrant Organization:International Council of E-Commerce Consultants Registrant Street1:67 Wall Street, 2

Mô hình CIA (Confidentiality-Integrity-Availability)

Mô hình PARKERIAN HEXAD

Donn B Parker (1998) vào mô hình CIA

Hình 1.2: Mô hình Parkerian Hexad

1.3 CHI C AN NINH M NG AAA h CIA

1.3.1 u khi n truy c p theo ba mô hình sau:

-Role-Based Access Control): tích

PAP Password Authentication Protocol, so sánh credentials (username/ password, Smart Card, PIN -

1.3.3 Ki m tra các thông ti

1.4 T AN NINH M NG tin Các ng

- ngày càng gia theo tinh vi

- Rò thoát trong và nhân viên làm xa

- An ninh di xác và các thông xã

- Khai thác các hành an ninh

- Di (usb, máy tính xách tay, sao

- Công hóa và toán mây

1.6 N GUYÊN T C XÂY D NG M T H TH NG B O M T

Các cô

Ruby và dò xét, (Payload) và các và

MSFconsole, MSFcli, Armitage (GUI); mô- exploit, payload, encoder, auxiliary và nop

show exploits v.v., giúp show payloads show options: ai info : info payload winbind' có use set RHOST set RPORT : nh này set PAYLOAD : set LPORT : exploit: thi khai thác help:

NSLOOKUP VÀ DNSSTUFF

Default Server: cracker.com Address: 10.11.122.133

Default Server: ns.targetcompany.com Address 10.12.133.144 set type=any ls -d target.com systemA 1DINA 10.12.133.147

1DINHINFO "Exchange MailServer" 1DINMX 10 mail1 geekL 1DINA 10.12.133.151 1DINTXT "RH6.0" nslookup dnsstuff www.dnsstuff.com http://www.eccouncil.org

3.5 TÌM KI A CH IP C A M C TIÊU ethical hacker

3.6 CÁC KI U DNS RECORD security365.vn hay tên máy là filesrv.netpro.edu.vn

3.7 S D NG TRACEROUTE TRONG TI N TRÌNH

Internet Control Message Protocol hop) có router hay gateway

ICMP ECHO Reply t Time To

Live hop traceroute ác router hay firewall tracerouter g tracert nh www.yahoo.com

EMAIL TRACKING

Email tracking email tracking readnotify.com

WEB SPIDER

Web Spider MetaGoofil robots.txt

3.10 HO trong reconnaissance check-in reconnaissance un-trust

SCANNING

Port Scanning: port scanning biên là Nmap

Vulnerability Scanning: hay vulnerability scanning

4.2.2.1 Ki m Tra Các H Th ng

ICMP Scanning hay Ping Sweep

Scanning ICMP ECHO Request thông qua tùy sP 192.168.168.5

Ping Sweep Angry IP Scanner và

Trong Hình 5.7 là danh sách các Ping

4.2.2.4 Phòng Ch ng Ping Sweep

4250/4235 Appliance Sensor, Juniper Networks Intrusion Detection dòng IDP75, IDP250 IDS SNORT

Network-base IDS và Host-based IDS

4.2.3 nh Nh ng C ng M Và D ch V ng

-Way Handshake khi các máy

2 máy tính 10.0.0.2 và 10.0.0.3 trên port 21

RST (Reset): ng (Offline) FIN (Finish):

4.2.4 Phòng Ch ng Port-Scan firewall IDS

Matrix Reloaded The Bourne Ultimatum

SYN stealth scan: half-open scanning

4.2.6 SYN, STEALTH,XMAS, NULL, ADLE, và FIN Scan

Netscan Tools Pro 2000, Hping2, KingPingicmpenum, và SNMP Scanner là t

S ping, DNS, và Simple Network Managerment Protocol (SNMP)

4.3 CÁC K THU T KHAI THÁC THÔNG TIN

4.3.1 Tìm hi u v k thu t War-Dialing

- xa là dùng công ng

THC-Scan, Phonesweep, war dialer, và t

4.3.2 Banner Grabing và Operating System Fingerprint

Banner Grabbing và OS Fingerprint

Scanning Passive stack host POF, HTTPRINT, Mairn HTTP Header là nh

4.3.3 i phó v i thu th p thông tin h u hành hình trong file httpd.conf

Header set Server "New Server Name"

4.3.6 Khai Thác Nh ng Thông Tin C t Qua IDS

4.3.7 K Thu t Anonymously we www.target.com www.proxify.com http://www.primedius.com http://www.browzar.com http://www.rorrify.com

4.3.8 K Thu t HTTP TUNNELING khi giao qua HTTP Chúng ch

4.3.9 K Thu t Gi M o IP (Spoofing IP)

4.3.10 Ch ng L i Vi c Gi IP p

4.5.2 Nh ng k thu t li u khi n t ng bên trong các thông tin

NULL SESSION

4.6.1 c ho ng c a Null Session tài nguyên cess Communication) mà còn trao quy

4.6.2 c t n công s d ng Null Session nh

4.6.3 Ch ng t n công b ng Null Session

Hình 4.21: Disable NetBIOS over TCP/IP

4.6.4 Ch n Null Session Trong Registry

4.6.5 Phát Hi n Null Session v i IDS

4.7 T LI T KÊ SNMP (SIMPLE NETWORK

4.7.1 Tìm hi u v SNMP shutdown) các port trên switch

4.7.3 i phó v i k thu t li t kê SNMP read

ACTIVE DIRECTORY (AD)

4.8.3 User Account Enumeration kê các thông tin

Active Online Attack

Offline Attack

Type of Attack Characteristics Example Password

Brute-force-attack Ms!tr245@F5a

Noneelectronic Attack

social engineering, shoulder surfing, keyboard sniffing, dumpster diving

Lan Manager Hash

5.1.6 B Khóa M t Kh u H Th ng Windows 2000

5.1.7 Công c b khóa hay xóa tr ng m t kh u thông d ng

NT Offline Password Recovery: n Boot CD (http://www.hirensbootcd.org/download/)

Downloa http://ophcrack.sourceforge.net

Active Pasword Change: http://www.netpro.edu.vn/download/activepasswordchange.iso

5.1.9 Công C T n Công SMB D ng samdump hay pwdump2

5.1.10 T n Công SMB Relay MITM Và Gi i Pháp Phòng Ch ng

Security Policies/Security Options domain controller arpspoof, dfsniff, ettercap Tr

NetBIOS DoS Attacks

NetBISO Denial of Service (DoS) NetBIOS Name Release NetBIOS Name Service

5.1.12 Phòng Ch ng B B Khóa M t Kh u hay brute- Syskey

5.1.12.2 Theo Dõi Event Viewer Log netbios

GFI (www.gfi.com http://www.ntobjectives.com/)

5.2 C QUY N hay Escalating Privilege chu trình

Rootkit

5.3.1.1 Tri n khai Rootkits trên Windows 2000 & XP rivileges ) trong NT Kernel Do

(kernel mode device driver) _root_.sys

sys và DEPLOY.EXE DEPLOY.EXE Sau

DEPLOY.EXE net stop _root_and _root_

5.3.1.2 c nhúng vào giao th c TCP/IP

HIDING FILES

4 notepad test.txt:hidden.txt

7 type test.txt:hidden.txt

5.4.2 Phòng Ch ng NTFS File Streaming attrib +h [file/directory]

Snow whitespace steganography có ng

CLEAR TRACK

AuditPol tay trong Windows Event Viewer elsave.exe Winzapper

BACKDOOR VÀ TROJAN

5.6.4 Các Lo i Trojan khac nhau :

- Security software disabler Trojan - trojan

5.6.5 Các Trojan Và Backdoor C n Quan Tâm

HKEY_CURRENT_USER\NetBus Server HKEY_CURRENT_USER\NetBus Server\General\TCPPort

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS ervices ComputerSpy Key Logger

CyberSpy nghe qua email hay ICQ

5.6.6 Netcat Trojan Và Nh ng Ch ng

Connection to 192.168.0.1 80 port [tcp/http] succeeded!

5.6.9 Nh n Bi t Máy Tính B Nhi m Trojan

Hình 5.10: nh www.sectools.org

Silk Rope 2000 BackOrifice server và m

5.6.11 Trojan Construction Kit và Trojan Maker

Trojan construction kit va trojan maker

5.6.13 Công C Giám Sát Port Và Dò Tìm Trojan

5.6.14 Ki m Tra Tính Toàn V n C a t p Tin

Click vào Run sugverif Start

System File Checker sfc / scannow

System File Checker Windows\system32\dllcache

VIRUS VÀ WORM

5.7.1 S Khác Bi t Gi a Virus Và Worm i ng Twitter

Các chuyên gia signature máu internet Nên quét virus và

NGHE LÉN THÔNG TIN

Web, FTP, Email, POP3/SMTP

6.1.2 Nh ng giao th c d b t n công promicouse mode

POP3, Simple Network Mnagement Protocol cleartext (không mã hóa)

6.1.3 Các Công C nghe lén thông tin

Sniffer k là WireShark http://sectools.org/

6.1.4 Active Sniff và Passive Sniff chúng ta s active sniff và passive sniff Trong hai active sniff

ARP (Address Resolution Protocol chúng ta có broadcast, nh mà

6.1.6 Wireshark và ng d ng b l c và hoàn toàn mi http://www.wireshark.org/download.html)

- ip.dst eq www.eccouncil.org- trang web www.eccouncil.org

- eth.dst eq ff:ff:ff:ff:ff:ff -

6.1.8 K Thu t DNS Spoofing poisoni www.netpro.edu.vn www.security365.vn g gián

MAC Changer: C trên Unix/Linux, cho phép

6.2 CÁCH PHÒNG CH NG SNIFFER

Shield (http://anchorfree.com/) promicouse http://www.chrismc.de s

SOCIAL ENGINEERING

6.3.1 T ng quan công thì hacker trong phí cho các doanh nghi các hay yêu

6.3.3 Nh ng ki u t n công thông d ng

Computer-based: Computer- các trình

6.3.4 Human-Based Social Engineering là yêu

Shoulder surfing: chúng ta nghe các âm thanh phát ra

Vì lý do này mà khác

Dumpster diving: có hacker làm sinh, nhau tìm các

Dumpster diving Vì chính sách màn hình Saver, và úp các mình reverse social engineering,

6.3.5 Computer-Based Social Engineering computer-based social engineering :

6.4 T N CÔNG V T LÝ VÀ T N CÔNG T BÊN TRONG gian xâm và

USB, insider attack c làm cho

IDENTITY THEFT

ONLINE SCAM

! Messenger và vào email và rõ các trang web Fake (website

Our firewall determined the e-mails containing worm copies are being sent from your computer

Nowadays it happens from many computers, because this is a new virus type (Network Worms)

Using the new bug in the Windows, these viruses infect the computer unnoticeably

After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring Best regards,

URL OBFUSCATION

6.8 P HÒNG CH NG T N CÔNG SOCIAL ENGINEERING và g hành vi xâm lý là thông tin mát -

SMURF Attack

Smurf ICMP ECHO Request (Ping) broadcast

7.1.5 Phòng Ch ng T n Công DOS

Cisco IPS Source IP Reputation Filtering, Black Hole Filtering

- Rate-limiting network system trafic shapping

- Instruction Detect System www.snort.org)

SESSION HIJACKING

7.2.2 Phân bi t Spoofing và Hijacking spoofing hijacking spoofing công hijacking

Hình 7.5: Add-on Firesheep cài trên Firefox,

7.2.3 Các d ng t n công Session Hijacking

TCP session hijacking session khác

ISN (Initial Sequence Number lag

Hình 7.7: -way handshake sniff http://erratasec.blogspot.com) ,

7.2.6 c Trong Quá Trình Session Hijacking

7.2.7 Các Công C T n Công Session Hijacking

Hunt ARP spoofing, reset https

(http://codebutler.github.com/firesheep/)

7.2.8 Nh ng M i Nguy Hi m C a Session Hijacking un-trusted

7.2.9 Phòng Ch ng t n công Session Hijacking niffer chính là mã

7.3 T N CÔNG TRÊN M NG KHÔNG DÂY

7.3.1 Gi i Thi u V M ng Không Dây

- - sau seek4media âu là Unsecured trang web www.security365.vn ã hóa

Ultimat tên là dongduongict@gmail.com

7.3.3 WEP, WPA Và Nh ng K Thu t B Khóa

- dài 64 bit công brute- sau: http://youtu.be/AYWm1wHr5g0

: aircrack- : http://www.aircrack- ng.org/doku.php?id=compatibility_drivers tên Weak Encryption Protocol

WPA TKIP Passphrase hay RADIUS

7.3.6 Các D ng T n Công Trên M ng Không Dây ng

- AP masquerading hay spoofing: Tron

MÔ HÌNH FIREWALL

Vùng -zone, còn phía bên ngoài là untrusted-

Hình 8.2: mô hình back-to- back

Hình 8.3: -to-back firewall hay multi-homed firewall

Packet Fitering Firewall: packet filtering firewall có

Hình 8.4: Packet Filtering Firewall Circuit Level Gateway Firewall three-way handshake

Application Level Firewall: trojan Các máy khách trong vùng trusted-

Hình 8.6: network, session và application trong mô hình OSI

Hình 8.7: Mô hình Stateful Multilayer Inspection Firewall scan port, banner grabing ha port

Webmonitor GFI dùng cho ISA Server Firewall.

HONEYPOT

8.9 CÁC K THU T PHÒNG TRÁNH FIREWALL VÀ

SSH TUNNELING

4899) Cài SSH Server trên remote computer thông qua Cygwin http://sourceforge.net

Freeware Win_Open- http://are-peace.com/v2/download.php ) Trong ows là CYGWIN

Hình 8.10: openssh và openssl trong Seclect Packages

Hình 8.13: ssh client www.sectools.org

- Host Name (or IP address) 203.210.218.12 public remote server

9.2 CÁC CÔNG C GIÁM SÁT H TH NG M NG

Wireshark các gói tin trong phân

Netflow Analyzer dùng phân tích cách chính xác