Bài 1: Xây dựng DMZ cho mạng doanh nghiệp e Sử dụng câu lệnh: labtainer dmz-lab -r Dinh cau hình công bên trong và công bên ngoài sao cho: « Người dùng từ xa chỉ có thẻ truy cập may c
Trang 1
HOC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG
KHOA AN TOÀN THÔNG TIN
BẢO CÁO THỰC HÀNH
Giảng viên : TS.Đặng Minh Tuấn
Tổ thực hành : 02
Mã sinh viên : B18DCAT153
Hà Nội, 2023
Trang 2
MỤC LỤC
Bài 1: Xây dựng DMZ cho mạng doanh nghiệp SH Hee 3
=I28//238.42110nii90/219.-i=9 01177 7 Bài 3: Xác thực thiết bị mạng băng dịch vụ Radius ác Series 24
Bài 4: VPN hos†-†O-hOST nh KHE kh khu 33
Bài 5: Sử dụng VNP Gateway dé đảm bảo truyền tin trên mạng 39
Trang 3Bài 1: Xây dựng DMZ cho mạng doanh nghiệp
e Sử dụng câu lệnh:
labtainer dmz-lab -r
Dinh cau hình công bên trong và công bên ngoài sao cho:
« Người dùng từ xa chỉ có thẻ truy cập may chi web, vi du: qua wget www.example.com,
e Sử dụng các tập lệnh “/etc/rc.local' trên các công bên trong và bên ngoài để đưa ra các
chi thị iptables Tôn trọng các nhận xét trong tập lệnh rc.local về các phản không nên sửa
đôi Chứng minh DMZ của bạn bằng cách đưa ra các lệnh sau mà không có bát kỳ thay
đôi bố sung nào đối với iptables
Trang 4udp anywhere anywhere udp dpt:
hain FORWARD (policy ACCEPT)
prot opt source destination
tcp anywhere anywhere tcp dpt:ssh
tcp anywhere anywhere tcp dpt:http
tcp anywhere anywhere tcp dpt:https
tcp anywhere anywhere tcp dpt:mysql
udp anywhere anywhere udp dpt:mysql
all anywhere anywhere limit: avg 2/min burst 5 nflog-pr IPTABLES DROPPED
hatn OUTPUT (potLicy ACCEPT)
arget prot opt source desttnatton
CCEPT all anywhere anywhere
oot@outer _gw: /etc# a
! /btn/bash
Configure the inner gateway of a DMZ
where 198.18.1.146 and 198.18.1.210 are internal LANs
and 198.18.1.10 is connected to the outer gateway
Trang 5prting Nmap 7.01 ( https://nmap.org ) at 2023-05-10 16:35 UTC
Bp scan report for www.example.com (198.18.1.26)
St is up (6.0011s Latency)
S record for 198.18.1.26: example.com
shown: 996 closed ports
e Trén ws1 (tom): sudo nmap
tom@wsi:~$ sudo nmap www.example.com
Starting Nmap 7.61 ( https://nmap.org ) at 2023-05-19 16:47 UTC
Nmap scan report for www.example.com (198.18.1.26)
Cn) Gals yee hel
shown: 996 closed ports
Trang 62023-05-10 16:46:59 http: //www qgoog1e con/
Resolving www.google.com (www.google.com) 142.250.204.100, 2404:6800:400
Connecting to www.google.com (www.google.com) |142.250.204.100|:80 connected
HTTP request sent, awaiting response 200 OK
Length: unspectfted [text/htm
Saving to: ‘index.html.1
index.html.1 ie Y -~„~-KB/s "`
2023-05-10 16:46:59 (270 KB/s) ‘index.html.1' saved [16632]
Trang 7Bài 2: Triển khai HIDS với OSSEC
1 Định cầu hình OSSEC đề giám sát máy trạm client1
+ Khởi động bài lab: labtainer -r ossec
« Các tệp cáu hình cho từng tác nhân trong bài lab đã được cầu hình sẵn đề xác định địa chi IP cua may chu Vi vậy, bạn chí cần lấy key vào từng tác nhân đề nó giao tiếp với
máy chủ Hàu hét các hoạt động của OSSEC đều yêu cầu sử dụng sudo, vù vậy bạn cũng
có thẻ chỉ cần “sudo su”
+ Kiém tra IP trên máy client1
les [) Terminal + Sun 01:13 @ 4&4” O-
ubuntu@client1: ~ File Edit View Search Terminal Help
ubuntu@client1:~$ ifconfig
ethô: fLags=4163<UP ,BROADCAST ,RUNNING,MULTICAST> mtu 1500
inet 172.0.0.3 metmask 255.255.255.0 broadcast 172.0.0.255
ether 02:42:ac:00:00:03 txqueuelen © (Ethernet)
Trang 8OSSEC HIDS v3.6.0 Agent manager af
The following options are available: *
*xwi + .* * * *.*ẻ.****************************
(A)dd an agent (A)
(E)xtract key for an agent (E)
(L)ist already added agents (L)
(R)emove an agent (R)
(Q)uit
hoose your action: A,E,L,R or Q: A
Adding a new agent (use '\q' to return to the main menu)
Please provide the following:
* A name for the new agent: client1
onfirm adding it?(y/n): y
Agent added with ID 001
+ Emport key cho client đó và sao chép key đã được tao trén server
FRI RR TTR TT TTT RICK Tt TTR TOTO tt Rk tke
* OSSEC HIDS v3.6.0 Agent manager
* The following options are available: *
ee ee
(A)dd an agent (A)
(E)xtract key for an agent (E)
(L)ist already added agents
(R)emove an agent (R)
(Q)uit
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 001, Name: clienti, IP: 172.0.0.3
Provide the ID of the agent to extract the key (or ‘'\q' to quit): 001
e001
Agent key information for '001' 1s:
MDAxIGNsaWVudDEgMTcyL jAUMC4zZIDJ JNWY4MDLLOTKOMTZiLNMUyZDZmZWIKN JQ3N JRLOTASODI2NDM
Trang 9File Edit View Search Terminal Help
* The following options are available: *
TTT TT TTT TTT TET TE TLL LEE LEE
(1)mport key from the server (I)
(Q)utt
Choose your action: I or Q: 1
I
* Provide the Key generated by the server
* The best approach is to cut and paste it
*** OBS: Do not include spaces or new Lines
Paste it here (or ‘'\q' to quit): MDAxIGNsaWVUdDEgMTcyL jAUMC4ZIDJI jJNWY4MDLLOTKOMT ZiNmUyZDZMZWIKNjJQ3NjIRLOTASODI 2NDM3ZGE2N 3 YZNMMXNTNIUNZKZYWIXxZTA4ZTAOZTU=
MDAXIGNsaWVudDEgMTcyL jAUMC4zZ IDI JNWY4MDLLOTKOMTZiNmUyZDZMZWIKNIJIQ3NJRLOTASODI2NDM 3ZGE2NJYZNMMXNTNUNzkzYWIXxZTA4ZTAOZTU=
2023/05/14 09:49:44 manage_agents: ERROR: Cannot unlink /queue/rids/sender: No
such file or directory
Added
+ Khởi động lại ossec trên máy client1 và máy server
root@clienti1:/var/ossec/bin# systemctl restart ossec
root@ossec:/var/ossec/bin# systemctl restart ossec
2 Tạo và quan sát cảnh báo
4 } moreterm.py ossec ossec
* Trong terminal cua Labtainer, tao mét terminal méi cho may OSS:
* Trong terminal mới sử dụng lệnh: tail -f alerts.log
Trang 10alerts.log
root@ossec:/var/ossec/logs/alerts# tail -f alerts.log
** Alert 1684057855.2009: - pam,syslog,authenticattion_success,
2023 May 14 09:50:55 ossec->/var/log/auth.log
Rule: 5501 (level 3) -> ‘Login session opened.'
May 14 09:50:55 ossec sudo: pam_untx(sudo:session): session opened for user roo
ran SYA QTR: to)
** Alert 1684057855.2259: - pam,syslog,authentication_success,
2023 May 14 09:50:55 ossec->/var/log/auth log
Rule: 5501 (level 3) -> ‘Login session opened.’
May 14 09:50:55 ossec su: pam_unix(su:session): session opened for user root by
2023 May 14 09:51:49 (client1) 172.0.0.3->/var/log/auth log
Rule: 5502 (level 3) -> ‘Login session closed.’
May 14 09:51:48 clienti su: pam_unix(su:session): session closed for user root
** Alert 1684057909.2733: - pam,syslog,
2023 May 14 09:51:49 (client1) 172.0.0.3->/var/log/auth.log
Rule: 5502 (level 3) -> ‘Login session closed.'
May 14 09:51:48 clienti sudo: pam_unix(sudo:session): session closed for user r
oot
** Alert 1684057913.2965: mail - syslog,sudo
2023 May 14 69:51:53 (cttentl) 172.0.0.3->/var/log/auth.log
Rule: 5403 (level 4) -> ‘First time user executed sudo.'
User: ubuntu
May 14 09:51:53 clienti sudo: ubuntu : TTY=pts/1 ; PWD=/home/ubuntu ; USER=ro
ot ; COMMAND=/usr/bin/su
** Alert 1684057913.3246: - pam,syslog,authentication_success,
2023 May 14 09:51:53 (clienti1) 172.0.0.3->/var/log/auth.log
Rule: 5501 (level 3) -> ‘Login session opened.'
May 14 09:51:53 clienti sudo: pam_unix(sudo:session): session opened for user r oot by (uid=0)
** Alert 1684057913.3512: - pam,syslog,authentication_success,
2023 May 14 09:51:53 (client1) 172.0.0.3->/var/log/auth.log
Rule: 5501 (level 3) -> ‘Login session opened '
Oe : i ia FT a =i- oan
3 Thém máy chủ web server và giám sat test log
+ Kiém tra IP may web server
10
Trang 11File Edit View Search Terminal Help
Last togin: Sun May 14 08:54:04 UTC 2023
[admin@web_server ~]$ ifconfig
ethô: fLags=4163<UP ,BROADCAST ,RUNNING,MULTICAST> mtu 1500
tnet 172.0.0.4 metmask 255.255.255.0 broadcast 172.0.0.255
ether 02:42:ac:00:00:04 txqueuelen © (Ethernet)
RX packets 52 bytes 6164 (6.0 KiB)
RX errors © dropped © overruns © frame 0
TX packets © bytes © (0.0 B)
TX errors © dropped © overruns © carrier © collisions 0
- Sử dụng câu lệnh manage agents trén may server dé thém agent webserver
File Edit View Search Terminal Help
Ce ee ee ee eee eee eee ee
* OSSEC HIDS v3.6.0 Agent manager *
* The following options are available: *
+ tt + te + + + +4 +4 *+ 44 444x444 4444 ***¿**4******** *
(A)dd an agent (A)
(E)xtract key for an agent (E)
(L)ist already added agents (L)
(R)emove an agent (R)
(Q)uit
hoose your action: A,E,L,R or Q: A
- Adding a new agent (use '\q' to return to the main menu)
Please provide the following:
* A name for the new agent: webserver
Trang 12* OSSEC HIDS v3.6.0 Agent manager =
* The following options are available: *
REE KEKE EERE EEE
(A)dd an agent (A)
(E)xtract key for an agent (E)
(L)ist already added agents (L)
ID: 001, Name: clienti, IP: 172.0.0.3
ID: 002, Name: webserver, IP: 172.0.0.4
Provide the ID of the agent to extract the key (or '\q' to quit): 962
TTT ttt Te tee et ete eee eee eee ee ee ee ee ee ee es
* OSSEC HIDS v3.6.0 Agent manager -
* The following options are available: *
* Provide the Key generated by the server
* The best approach is to cut and paste it
*** OBS: Do not include spaces or new Lines
Paste tt here (or '\q' to qutt): MDAyTHdLYnNtcnZLcLAxNz1uMC4wL jQgMmQ1YTBiNGExZD IxMzRhYzQ5OWM1Mm3hNDAzM3UwNm1zZmY2Y 1AzMDAxNzE3NTc2MDBhMmF+tY 1Y1ZmEyNTNhNA==
2023/05/14 09:54:30 manage_agents: ERROR: Cannot unlink /queue/rids/sender: No
such file or directory
Trang 13
root@ossec:/var/ossec/bin# systemctl restart ossec
« Ta sẽ thấy các cảnh báo log về việc agent mới được kết nói với server
** Alert 1684058108.3774: mail - ossec,
2023 May 14 09:55:08 (webserver) 172.0.0.4->ossec
Rule: 501 (level 3) -> 'New ossec agent connected.'
ossec: Agent started: 'webserver->172.0.0.4'
« Truy cập may client! va ssh đến máy chủ web, nhập mật khâu bát kỳ, alert sẽ thu được
các log về lần đăng nhập này
root@cLient1: /home/ubuntu# ssh 172.0.0.4
The authenticity of host '172.0.0.4 (172.0.0.4)' can't be established
ECDSA key fingerprint is SHA256:LkwhMaPZFSooDfK/zy6UVdVvpntkApgLg jTFRFE+cUI Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Permanently added '172.0.0.4' (ECDSA) to the List of known hosts
Permission denied, please try again
root@172.0.0.4's password:
** Alert 1684058183.3964: - pam,syslog,authentication_failed,
2023 May 14 09:56:23 (webserver) 172.0.0.4->/var/log/secure
5503 (level 5) -> ‘User Login failed.'
2023 May 14 09:56:25 (webserver) 172.0.0.4->/var/log/secure
Rule: 5716 (level 5) -> 'SSHD authentication failed.'
- Lặp lại các lần ssh không thành công như trên từ máy clientI đến máy chủ web Có thê
sử dụng lệnh ctrl-C đề thoát khỏi lần thử mật khâu không thành công đầu tiên đề tiền
trình được nhanh hơn vì chung ta muốn thử ssh nhiều lần
13
Trang 14« Tiếp tục ssh đến khi ta nhận được cảnh báo như sau
** Alert 1684058305.379326: mail - syslog,sshd,authentication_failures,
2023 May 14 09:58:25 (webserver) 172.0.0.4->/var/log/secure
Rule: 5720 (level 10) -> ‘Multiple SSHD authentication failures '
Src IP: 172.0.0.3
User: root
« Rule xác định cánh báo này gán tàm quan trọng của nó là mức 10 và bất kỳ mức nào
trên 6 sẽ kích hoạt phản hồi tích cực Phản hỏi là thay đổi iptables trên máy chủ web dé chặn tất cả lưu lượng truy cập từ client1 Đề quan sát, ta sử dụng câu lệnh iptables -L trên
máy chú web Mặc định, thời gian chặn mạng được đặt trong 10 phút
[root@web_server bin]# tptabtes -L
\Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all clienti anywhere
Chatn FORWARD (poLicy ACCEPT)
target prot opt source destination
DROP all clienti anywhere
Chatn OUTPUT (poLicy ACCEPT)
target prot opt source destination
5 Giám sát các thay đổi với đầu ra lệnh
- Trong phần này sẽ cầu hình ossec đề tạo cảnh báo nếu có bất kỳ thay đôi nào đồi với
các công mạng được máy chủ web lắng nghe Đầu tiên là thông báo cho ossec trên máy
Trang 15- Dâu ra hiên thị công mạng nào đang được máy chủ web lắng nghe Mục tiêu là tạo cảnh báo khi đầu ra đó thay đổi
[root@web_ server etc]# Ls
oa lái 42 /~ Localtime OSsec.conf
internal_options.conf ossec-agent.conf ossec.conf.sample
[root@web_server etc]#
+ Chỉnh sửa file ossec.conf của máy chủ web Thêm một local file dưới cùng Trong đó,
mục log_format cho ossec biết ta đang xác định lệnh chạy định kỳ Mục command là lệnh
mà ta muốn chạy Mục frequency là tan suat, tính bằng giây mà ta muốn chạy lệnh Sau
đó, khởi động lại dịch vụ ossec-hids, ossec sẽ bắt đầu chạt lệnh theo định kỳ và gửi kết
- Trên server, cần tạo một rule đề giám sát output đó, vào ñle dưới đây dé xem rule 533
Rule này có thể hiểu như sau:
- ld: là một số tùy ý xác định rule
- Level 7: đủ cao đề tạo cảnh báo
- lÝ_ sid: phán ảnh chiến lược xâu chuỗi rule ossec Nó cho biết chỉ xem xét rule này néu
Sự kiện khớp với rule ¡d 530, đây là rule xác định output từ các lệnh được giám sát
- Pcre2: xác định lệnh output nào cần đánh giá, trong trường hợp này, đầu ra netstat được
xác định đề chạy trên máy chủ web
15
Trang 16- Check_ diff: yêu cầu ossec tạo ra cảnh báo khi các thông báo được giám sát có sự thay
đối
root@ossec: /var/ossec/rules
File Edit View Search Terminal Help
GNU nano 4.8 ossec rules.xml
Ignoring external medias
530
ossec: output: ‘netstat -tan
Ltistened ports status (netstat) changed (new port opened or &
+ Đóng tệp và khởi động lai dich vu ossec
root@ossec:/var/ossec/rules# systemctl restart ossec
Trang 172023 May 14 10:05:39 (webserver) 172.0.0.4->netstat -tan |grep LISTEN|grep -v 1
** Alert 1684058881.385212: mail - ossec,
2023 May 14 10:08:01 (webserver) 172.0.0.4->netstat -tan |grep LISTEN|grep -v 1 27.0.0.1
Rule: 533 (level 7) -> ‘Listened ports status (netstat) changed (new port opene
HE LISTEN c::22 LISTEN
127.6.0.1°:
sở LISTEN
PS 9: LISTEN
os -0:
Trang 18« Vị trÍ của log được xác định trong tệp ossec.conf của máy client1 Mỏ tệp đó trên máy chủ web và tìm mục nhập cho máy chủ web là apache Ở đây ta tgaats hai mục, một cho access_ log và một cái cho crror log như sau
* Sau đó khởi động lại dịch vụ ossec-hids
b Kiểm tra rule
« Ossec cung cáp công cụ giúp tạo và thử nghiệm các rule mới và ta sẽ sử dụng công cụ này đề hiểu câu trúc của chuỗi rule
- Tại máy client1, dùng câu lệnh đẻ đưa ra yêu cầu truy cập web
18
Trang 19<!DOCTYPE html>
<html>
<title>Hunderblunder and Thunder</title>
<body>
<h1>Hunderbtunder and Thunder Turkey Ranch</hi>
<p>Watch this space!</p>
root@web_server httpd]# tail -f /var/log/httpd/access_log
- [14/May/2023:10:11:13 +0000] "GET / HTTP/1.1" 200 163 "-" "curl/7
- Tại máy server, khởi động chương trình ossec-logtest trong chẻ độ chỉ tiết
root@ossec:/var/ossec/bin# /ossec-logtest -v
2023/05/14 10:17:23 ossec-testrule: INFO: Reading local decoder file
2023/05/14 10:17:23 ossec-testrule: INFO: Started (pid: 1043)
lossec-testrule: Type one log per line
172.0.0.3 - - [14/May/2023:10:11:13 +0000] "GET / HTTP/1.1" 200 163 "-" "“curl/7
[14/May/2023:10:11:13 +0000] "GET / HTTP/1.1" 200 163 "-" "“curl/7
**Phase 1: Completed pre-decoding
full event: '172.6.0.3 - - [14/May/2023:10:11:13 +0000] "GET / HTTP/1.1"
Trang 20File Edit View Search Terminal Help
+ Sau d6 chay lại ossec-logtest (sử dụng ctrl-C đê thoát khỏi chương trình trước đó và
khởi động lại chương trình) Kiểm tra rule và thây nó hoạt động, khởi động lại dịch vụ trên máy chủ và chạy lại lệnh curl trên máy client1 để xác nhận cảnh báo xuất hiện trong alerts.log
<hi>Hunderblunder and Thunder Turkey Ranch</hi>
<p>Watch this space!</p>
[root@web_server httpd]# tail -f access log
[15/May/2023:12:14:35 +0000] "GET / HTTP/1.1" 200 163 "-" "curl/7
c Pham vi sự kiện
20