Kết luận:PAP Password Authentication ProtocolLà giao thức xác thực bắt tay 2 bước 2-way Xác thực bằng mật khẩuMật khẩu được truyền ở dạng rõ và đã bị chặn thu trên đường truyềnTriển khai
Trang 2Danh sách các bài đã làm
Trang 3Mô hình thực hiện:
- Gồm hai router Cisco 7200
- Hai router được nối với nhau bằng dây Serial ở port Se3/0 ở cả hai router
- Ứng dụng sử dụng: GNS3, Wireshark
Bài 1
Trang 4Cấu hình trên router MHD1 Cấu hình trên router MHD2
Triển khai PAP
Trang 5Bắt gói tin trên Wireshark
Trang 9Kết luận:
PAP (Password Authentication Protocol)
Là giao thức xác thực bắt tay 2 bước (2-way) Xác thực bằng mật khẩu
Mật khẩu được truyền ở dạng rõ và đã bị chặn thu trên đường truyền
Triển khai PAP
Trang 10Cấu hình trên router MHD1 Cấu hình trên router MHD2
Triển khai CHAP
Trang 11Bắt gói tin trên Wireshark
Trang 12Phân tích:
Giá trị ở trường Value là
một số ngẫu nhiên, được
sinh ra bởi thuật toán băm
- Độ dài của data là 25
Gói challange của MHD1
Gói challange của MHD2
Trang 14KẾT NỐI VỚI SERVER QUA IP
Trang 15Mô hình thực hiện:
- Gồm server Windows 2012, 2 client Windows 8
- Hai máy chung đường mạng 10.3.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro
Bài 2: Triển khai
Kerberos
10.1.20.810.1.20.10
8
Trang 16Trên server: nâng cấp lên AD với domain: mhd.domain
tạo user client1
cấu hình mạng
Trang 17Trên Client1
join domain nguyenxuanhieu-srv.class1
Đặt IP
Trang 18Bắt gói tin trên Wireshark
Trang 19Gói tin AS-REQ là yêu cầu người dùng xác thực ban đầu (khởi tạo dịch vụ) yêu cầu này được chuyển trực tiếp tới các thành phần được gọi là KDC Authentication Server (AS).
Trang 20Gói tin AS-REP là trả lời của máy chủ xác thực để yêu cầu trước đó
Về cơ bản nó chứa TGT (mã hóa bằng cách sử dụng khóa TGS bí mật) và khóa phiên (được mã hóa bằng khóa bí mật của người dùng yêu cầu)
Trang 21Gói tin TGS-REQ là yêu cầu từ khách hàng đến Cấp vé máy chủ (TGS) cho một vé thông hành
Về cơ bản nó chứa TGT (mã hóa bằng cách sử dụng khóa TGS bí mật) và khóa phiên (được mã hóa bằng khóa bí mật của người dùng yêu cầu)
Trang 22Gói tin TGS-REP là trả lời của Cấp vé máy chủ để yêu cầu trước đó
Nằm bên trong là vé dịch vụ theo yêu cầu (được mã hóa với khóa bí mật của dịch vụ) và phiên dịch vụ một khóa tạo ra bởi TGS và được mã hóa bằng khóa phiên trước đó được tạo
ra bởi AS
Trang 23Ubuntu server10.1.20.16
Ubuntu 22.04
10.1.20.109
MIT Kerberos
Trang 24Cài đặt MIT Kerberos bằng command
sudo apt install krb5-admin-server krb5-config
Trang 25chỉnh sửa /etc/hosts để trỏ vào server
Trang 26Sửa file /krb5dc/krb5.conf, tạo vùng mới
Trang 28Tạo admin xác thực
Trang 29Tạo user để xác thực bằng krb
Trang 30Cài đặt krb5-user trên client
Trang 31Sửa file config trên server
/etc/hosts và /etc/krb5.conf
Trang 32Sửa file config để thêm domain ở /etc/krb5dc/krb5.conf
Trang 33Kiểm tra xác thực trên
client
Trang 35Gói tin AS-REQ
Trang 36Gói tin AS-REP
Trang 37Gói tin Client gọi dịch vụ từ server
Trang 38Gói tin server phản hồi dịch vụ cho client
Trang 39Mô hình thực hiện:
- Gồm server Ubuntu 22.04, client Ubuntu
- Hai máy chung đường mạng 10.3.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro
Bài 3: Triển khai VPN sử
dụng IPSEC
VPN (Strongswan)
10.3.20.1510.3.20.10
5
Trang 40Trên máy chủ và máy khách
Cài đặt Strongswan
Trang 41Chia sẻ khóa
Máy
khách
Máy chủ
Trang 42Thiết lập transport AH
Máy
khách
Máy chủ
Trang 43Kết quả Transport AH
=> Triển khai thành công transport AH
Trang 44PHÂN TÍCH GÓI TIN AH / TRANSPORT
• Protocol: Authentication Header (51) : AH được đóng gói bởi giao thức IP và trường protocol trong IP
• AH SPI(4 byte): Giá trị tuỳ ý mà IPSec lựa chọn, dùng
để nhận dạng cho kết nối.
• AH Sequence(4 byte) = 5: Số tuần tự của gói tin AH (
số này bắt đu từ số 1), chỉ số này tăng lên 1 cho mỗi
AH datagram khi một host gửi có liên quan đến
chính sách SA, nhằm chống lại các cuộc tấn công phát lại bằng cách ngăn chặn truyền các datagram bị bắt.
• AH ICV (12 byte): dữ liệu được xác thực Có độ dài là
96 bit, là dãy số băm từ (IP Header + Payload + Key)
Trang 45Thiết lập transport ESP
Máy
khách
Máy chủ
Trang 46Kết quả Transport ESP
=> Triển khai thành công transport ESP
Trang 47PHÂN TÍCH GÓI TIN ESP / TRANSPORT
• Protocol: Encap Security Payload (50) : ESP được đóng gói bởi giao thức IP và trường protocol trong IP
là 50.
• ESP SPI(4 byte): Giá trị tuỳ chọn, phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho gói tin
• ESP Sequence(4 byte): 1: Số tuần tự của gói tin ESP Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header.
Trang 48Thiết lập tunnel AH
Máy khách
Máy chủ
Trang 49Kết quả Tunnel AH
=> Triển khai thành công tunnel AH
Trang 50PHÂN TÍCH GÓI TIN AH / TUNNEL
• Protocol: Authentication Header (51) : AH được đóng gói bởi giao thức IP và trường protocol trong IP
là 51.
• Next header: IPIP (4) : Gói tin IPIP code bằng 1 => Chế độ Tunnel
• Length: 4 (24 bytes): Chiều dài của AH Header.
• AH SPI: Giá trị tuỳ ý mà IPSec lựa chọn, dùng để
nhận dạng cho kết nối.
• AH Sequense: 1: Số tuần tự của gói tin AH ( số này bắt đầu từ số 1), chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có liên quan đến chính sách SA, nhằm chống lại các cuộc tấn công phát lại bằng cách ngăn chặn truyền các datagram bị bắt.
• AH ICV: dữ liệu được xác thực Có độ dài là 96 bit, là dãy số băm từ (IP Header + Payload + Key)
Trang 51Thiết lập tunnel ESP
Máy khách
Máy chủ
Trang 52Kết quả Tunnel ESP
=> Triển khai thành công tunnel ESP
Trang 53PHÂN TÍCH GÓI TIN ESP / TUNNEL
• Protocol: Encap Security Payload (50) : ESP được đóng gói bởi giao thức IP và trường protocol trong IP
là 50.
• ESP SPI: Giá trị tuỳ chọn, phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho gói tin
• ESP Sequence: 2: Số tuần tự của gói tin ESP Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1
và được đặt trong ESP header.
Trang 54Mô hình thực hiện:
- Gồm server Ubuntu 22.04 đường mạng 10.3.20.16
- Client Ubuntu 22.04 đường mạng 10.3.20.1
- Ứng dụng sử dụng: VMWare workstation pro
Bài 4: Triển khai telnet
telnet
10.3.20.110.3.20.16
Trang 55CẤU HÌNH SERVER
Trang 56CẤU HÌNH SERVER
Trang 57CẤU HÌNH CLIENT
Trang 58CẤU HÌNH CLIENT
Trang 59BẮT GÓI TIN TELNET BẰNG WIRESHARK
Trang 60XEM TOÀN BỘ QUÁ TRÌNH KẾT NỐI
Trang 61• Dữ liệu truyền đi
Trang 62KẾT NỐI VỚI SERVER QUA TÊN MIỀN
Trang 63• Gói tin truyền đi không có mã hóa
Trang 64Mô hình thực hiện:
- Gồm server Ubuntu 22.04, client windows 8.1
- Hai máy chung đường mạng 10.1.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro, MobaXterm
Bài 5: Triển khai SSH
SSH (MobaXterm)
10.1.20.16Ubuntu10.1.20.129
Windows 8.1
Trang 65=> Đổi tên file id_rsa.pub thành authorized_keys để máy chủ chấp nhận khóa xác thực vừa tạo
Trang 67Kết quả: Đã triển khai SSH bằng mật mã khóa công khai thành công
Trang 68Bắt gói tin trên Wireshark
Xác thực bằng mật khẩu
Trang 69Bài 6: Cài đặt SMTP, POP3
10.3.20.1Windows server 201210.3.20.100
Ubuntu
Trang 70Bài 6: Cài đặt SMTP, POP3
Cài đặt Thunderbird Cài đặt Mdaemon
Trang 71Cấu hình IP Server Cấu hình IP Client
Trang 72Trên server
Cài đặt Domain
Trang 73Tạo tài khoản cho client1
Trang 74Đăng nhập vào thunderbird trên server
Trang 75Đăng nhập vào thunderbird trên client
Trang 76Trên Server và Client, gửi thư để kiểm tra
Trang 77Chặn bắt gói tin trên
Wireshark
Trang 78Client gửi EHELO đến Server
Trang 79Gửi thư bằng SMTP
Trang 80Bắt đầu phiên TLS
Trang 81Nhận thư bằng POP3
Trang 82Nội dung thư bị mã hóa