THỰCHÀNHCÀIĐẶTCÔNGCỤHỖTRỢKIỂMTHỬ TƯỜNG LỬA... Vào terminal, sử dụng câu lệnh:sudo apt-get install tracerouteđể thực hiện cài đặt công cụ traceroute.... Kiểmthửtườnglửavớinmap.Nmap là một
Trang 1KHOAANTOÀNTHÔNGTIN
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
THỰCHÀNH ĐÁNHGIÁ,KIỂMĐỊNHANTOÀNHỆTHỐNGTHÔNGTIN
BÀITHỰCHÀNHSỐ08
KIỂMTHỬANTOÀNMẠNGCÓSỬDỤNG TƯỜNG
LỬA
Ngườixâydựngbàithựchành:
PhạmMinhThuấn
HÀNỘI,2019
Trang 2-2-MỤCLỤC
Mụclục 2
Phần1.Thựchànhcàiđặtcôngcụhỗtrợkiểmthửtườnglửa 3
1.1 Chuẩnbị 3
1.2 Thựchiện 3
1.2.1 Càiđặtcôngcụnmap 4
1.2.2 Càiđặtcôngcụtraceroute 4
1.2.3 Càiđặtcôngcụhping3 4
1.2.4 Càiđặtcôngcụfirewalk 5
Phần2.Thựchànhxácđịnhtườnglửa 10
2.1 Môhìnhthựchiện 10
2.2 Kiểmtrakếtnối 10
2.3 Xácđịnhtườnglửatronghệthống 10
2.4 Kiểmtra thôngtintườnglửa 11
Phần3.Thựchànhkiểmthửtườnglửa 13
3.1 Kiểmthửtườnglửavớinmap 13
3.2 Kiểmthửtườnglửavớihping 14
3.3 Kiểmthửtườnglửavớifirewalk 14
Trang 3Bridge Internet
PHẦN1 THỰCHÀNHCÀIĐẶTCÔNGCỤHỖTRỢKIỂMTHỬ TƯỜNG
LỬA
1.1 Chuẩnbị
01 máyảoVMWarechạyHĐHUbuntu32bithoặc64bit
Đặtchếđộcardm ạ n g Bridge v à đặt địac h ỉ IPđểcóthểkết nốiran g o à i
m ạ n g I n t e r n e t
Môhìnhnhưsau:
Pentester
1.2 Thựchiện
Thựchiệnđăngnhậpvàohệthống,sửdụngcôngcụterminalđểcàiđặt
Để mở giao diện terminal, sử dụng tập phím: Ctrl+Shift+T hoặc vào
thanhm e n u t ì m k i ế m t e r m i a l
Giaodiệnterminal:
Trang 41.2.1 Càiđặtcôngcụnmap
Đểthựchiệncàiđặtcôngcụnmap,tạiterminalnhậpcâulệnh:
sudoapt-getinstallnmap
Saukhicàiđặtxong,nhậpnmap–hđểkiểmtra
Xuất hiệnthôngbáonhưtrênlàđãcàiđặtthànhcông
1.2.2 Càiđặtcôngcụtraceroute.
Vào terminal, sử dụng câu lệnh:sudo apt-get install tracerouteđể thực hiện
cài đặt công cụ traceroute
Nhậptraceroute –hđểkiểmtrachắcchắncôngcụđãhoạtđộng
Xuấthiệnthôngbáonhưtrênlàđãcàiđặtthànhcông
1.2.3 Càiđặtcôngcụhping3
Vào terminal, sử dụng câu lệnh:sudo apt-get install hping3để thực hiện cài
đặt công cụ hping3
Trang 5Xuất hiệnthôngbáonhưtrênlàđãcàiđặtthànhcông
1.2.4 Càiđặtcôngcụfirewalk.
Trước tiên, download firewalk tại trang
mcácgóilibnet,lipcap,libdnetđikèm
Sauk h i d o w n l o a d v ề t h ự c h i ệ n g i ả i n é n c á c f i l e d o w n l o a d v ề b ằ n g c
á c h : c k i c k chuột phải=> clickExtract here.
Trang 7Sửdụngterminaltruycậpvàothư mụ cl i b n e t v à sử dụngcâulệnhsauđể tiến hành cài đặt
./configure&&make&&sudomakeinstall
./configure: kiểm tra sự đầy đủ của các thư viện hoặc trình biên
dịchgcc
make:thựchiệnbiêndịchmãnguồnthànhfilethựcthi.
makeinstall:copyfilethựcthivàothưmụcbincủahệthống.
Càiđặtgóilibpcap:
Sửdụngterminaltruycậpvàothưmụclibpcap:cdlibpcap-1.7.2
Sửdụngcâulệnhsauđểtiếnhànhcàiđặt:
./configure &&make&&sudomakeinstall
/configure: kiểm tra sự đầy đủ của các thư viện hoặc trình biên
dịchgcc
make:thựchiệnbiêndịchmãnguồnthànhfilethựcthi
make install:copyfilethựcthivàothưmụcbincủahệthống
Trang 8Sửdụngterminaltruycập vàothưmụclibpcap:cdlibdnet-1.11
Sửdụngcâulệnhsauđểtiếnhànhcàiđặt:
./configure&&make&&sudomakeinstall
/configure: kiểm tra sự đầy đủ của các thư viện hoặc trình biên
dịchgcc
make:thựchiệnbiêndịchmãnguồnthànhfilethựcthi
make install:copyfilethựcthivàothưmụcbincủahệthống
Sauk h i c à i đ ặ t đ ầ y đ ủ c á c g ó i t r ê n t i ế n h à n h t h ự c h i ệ n c à i đ ặ t c ô n g c ụ firewalk
Sửdụngterminaltruycậpvàothưmụclibpcap:cdFirewalk
Sửdụngcâulệnhsauđểtiếnhànhcàiđặt:
./configure&&make&&sudomakeinstall
/configure: kiểm tra sự đầy đủ của các thư viện hoặc trình biên
dịchgcc
make:thựchiệnbiêndịchmãnguồnthànhfilethựcthi
make install:copyfilethựcthivàothưmụcbincủahệthống
Trang 9Xuấthiệnthôngbáonhưtrênlàđãcàiđặtthànhcôngfirewalk
Trang 10Trong bài thực hành này sẽ thực hiện kiểm tra để xác định sự hiện diện của tường lửa cũng như loại tường lửa
2.1 Môhìnhthựchiện
115.146.127.72
Máy Pentester được kết nối ra ngoài mạng Internet, để có thể truy cập tới WebServer có địa chỉ: 115.146.127.72
Đầu tiên sẽ kiểm tra xem hệ thống này có sử dụng firewall hay không, nếu
có thực hiên kiểm tra thông tin về firewall
2.2 Kiểmtrakếtnối.
TạimáyPentestervàoterminal
TạicửasổTerminalthựchiệnpingtớiđịachỉIPcủamáyWebServer
2.3 Xácđịnhtườnglửatronghệthống.
Sửdụngcôngcụtracerouteđểthựchiệnxácđịnhfirewalltronghệthống
Traceroute làcông cụ dòng lệnh dùng để xác định đường đi từ nguồn tớiđ í c h c ủ a m ộ t g ó i G i a o t h ứ c m ạ n g I n t e r n e t T ì m đ ư ờ n g t ớ i
đ í c h b ằ n g c á c h g ử i c á c t h ô n g b á o E c h o R e q u e s t ( y ê u c ầ u b á o
h i ệ u l ạ i ) I n t e r n e t C o n t r o l M e s s a g e P r o t o c o l ( I C M P ) t ớ i t ừ n g
đ í c h S a u m ỗ i l ầ n g ặ p m ộ t đ í c h , g i á t r ị T i m e t o L i v e ( T T L ) ,
t ứ c t h ờ i g i a n c ầ n đ ể g ử i đ i s ẽ đ ư ợ c t ă n g l ê n c h o t ớ i k h i g ặ p
đ ú n g đ í c h c ầ n đ ế n Đ ư ờ n g đ i đ ư ợ c x á c đ ị n h t ừ q u á t r ì n h n à y
TạimáyPentester vàocửasổterminal
Trang 11Tại cửa sổ terminal thực hiện câu lệnh:traceroute 115.146.127.72để xác
định các hop mà gói tin đi qua
Trang 12Từ kết quả trêncó thể thấycác góitinchỉđi đếnhop thứ 9 là dừnglạikhông thể đi tiếp
Tiếpt ụ c s ử d ụ n g l ệ n h : t r a c e r o u t e –
I 1 1 5 1 4 6 1 2 7 7 2 đ ể g ử i c á c g ó i t i n ICMP.
Vậytừ2kếtquảtrên, chúngtacóthể xác địnhđược ip183.91.5.2 là firewall vì có sự cản lọc các gói tin
2.4 Kiểmtrathôngtintườnglửa.
Saukhixácđịnhđượcfirewall,tiếnhànhxácđịnhthôngtinfirewall Tại máy Pentester
vào terminal và nhập câu lệnh:
sudo–sVnmap–script=banner183.91.5.2
Trang 13 Firewallcủacisco
OS:IOS
CPE:cpe:/o:cisco:ios
Trang 143.1 Kiểmthửtườnglửavớinmap.
Nmap là một công cụ rất hữu hiệu để phát hiện thông tin về tường lửa Khi nmap quét một hệ chủ, nó không chỉ đưa ra thông báo về các cổng, dịch vụ đang hoạt động mà còncho biết cáccổngđangbịphongtỏa Lượngthôngtinnhậnđược từ một lần quét cổngcó thể cho biết khá nhiều về cấu hìnhcủa bức tường lửa Một cổng đã lọc trong nmap biểu hiện cho một trong ba nội dung sau:
khôngnhậngóitinSYN/ACKnào
khôngnhậngóitinRST/ACKnào
Ðã nhận một thông báo ICMP type 3 (Destination Unreachable) có một mã 13 (Communication Administratively Prohibited -[RFC1812])
TạimáyPentestervàoterminal
Tạiterminalsửdụngcâulệnhsauđểthựchiệnkiểmtrafirewall
nmap script=firewalk–traceroute115.146.127.72
script=firewalk:sửd ụ n g optionscript
traceroute:kiểmtracáchopmàgóitinđiqua.
Kếtquảthuđược:
Trang 15Từ kết quả trên có thể thấyđịa chỉ IP 183.91.5.2 có sự cản lọc các gói tin và chỉ cho phép các port 80, 1521, 8389 vào server
3.2 Kiểmthửtườnglửavớihping.
Hping của Salvatore Sanfilippo, làm việc bằng cách gửi các gói tin TCP đến một cổng đích và báo cáo các gói tin mà nó nhận trở lại Hping trả về nhiều đáp ứng khác nhau tùy theo vô số điều kiện Mỗi gói tin từng phần và toàn thể có thể cung cấp một bức tranh khá rõ về các kiểu kiểm soát truy cập của bức tường lửa.V í d ụ , k h i d ù n g h p i n g t a c ó t h ể p h á t h l ệ n c á c g ó i t i n m ở ,
b ị p h o n g t ỏ a , t h ả , v à l o ạ i bỏ
TạimáyPentestervàoterminal
Tạiterminalsửdụngcâulệnhsauđểthựchiệnkiểmtraport80củafirewall
hping3183.91.5.2-c2–S–p80
-c:gửi2góitin.
-p:port muốngửiđến.
Theokếtquảthìport80cóthểđiquafirewall
Đểxácđịnhnhiềuportcùng1lúcthìtạiterminalsửdụngcâulệnhsau:
hping3183.91.5.2-c100–S–p++1
Theokếtquảtrênthìcónhiềuportcóthểđiquađượcfirewallnày
3.3 Kiểmthửtườnglửavớifirewalk.
Firewalk là một côngcụnhỏ tiệndụng, như một bộ quét cổng, được dùngđể phát hiện các cổng mở đằng sau một bức tường lửa Ðược viết bởi MikeS c h i f f n l a n , c ò n g ọ i l à R o u t e v à D a v e G o l d s m i t h , t r ì n h
t i ệ n í c h n à y s ẽ q u é t m ộ t s e r v e r x u a d ò n g t ừ m ộ t b ứ c t ư ờ n g
l ử a v à b á o c á o t r ở l ạ i c á c q u y t ắ c đ ợ c p h é p đ ế n s e r v e r đ ó m à
Trang 16k h ô n g p h ả i t h ự c t ế c h ạ m đ ế n h ệ đ í c h F i r e w a l k l à m v i ệ c b ằ n g
c á c h k i ế n tạocácgóitinvớimộtIPTTLđượctínhtoánđểkếtthúcmộtchặngvượtqua
Trang 17bức tường lửa Về lý thuyết, nếu gói tin được bức tường lửa cho phép, nó sẽ đợc phép điqua và sẽ kết thúc như dự kiến, suy ra một thôngđiệp "ICMP TTLexpired intransit."Mặtkhác, nếugóitinbịACLcủa bức tường lửa phongtỏa, nósẽ bịthả, hoặc không có đáp ứng nào sẽ được gửi, hoặc một gói tin lọc bị ICMP type 13 admin ngăn cấm sẽ được gửi
TạimáyAttackervàoterminal
Tạiterminalsửdụngcâulệnhsauđểthựchiệnkiểmtrafirewall
firewalk-pTCP183.91.5.2115.146.127.72
Kếtquảthuđược
Theokếtquảtrênthìcó1portopen