BÀI THỰC HÀNH AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

Trong Start Page, lựa chọn mạng muốn thực hiện bắt giữ gói tin trong số các mạng mà máy tính có kết nối tới chẳng hạn các mạng đƣợc nối tới qua giao diện mạng Ethernet LAN hoặc mạng Wire

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

1

MỤC LỤC

Bài thực hành số 1 ……… 1

Bài thực hành số 2 ……… 6

Bài thực hành số 3 ……… 19

Bài thực hành số 4 ……… 34

2

BÀI THỰC HÀNH SỐ 1

MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

1 TÊN BÀI: Bắt giữ và đọc nội dung gói tin với phần mềm Network Monitor

2 MỤC ĐÍCH CỦA BÀI THỰC HÀNH : Giúp cho SV nắm đƣợc cách các phần mềm có thể bắt giữ và phân tích nội dung các gói tin trên mạng

Chạy phần mềm Microsoft Network Monitor đã cài đặt sẵn trên máy

Trong Start Page, lựa chọn mạng muốn thực hiện bắt giữ gói tin trong số các mạng mà máy tính có kết nối tới (chẳng hạn các mạng đƣợc nối tới qua giao diện mạng Ethernet LAN hoặc mạng Wireless LAN) Sau đó chọn New Capture trên thanh công cụ

3

Bước 2:

Trong cửa sổ Capture hiện ra, tiến hành lựa chọn bộ lọc các gói tin sẽ được bắt giữ

Bộ lọc sẽ cho phép người dùng bắt giữ các gói tin theo yêu cầu, chẳng hạn lựa chọn bắt các gói tin trao đổi giữa 2 máy bất kỳ hoặc, các gói tin đi hoặc đến 1 máy bất kỳ, hoặc lọc các gói tin cần bắt theo giao thức, theo số hiệu cổng v.v

Trong bài thực hành này, để đơn giản chúng ta lựa chọn việc bắt các gói tin được gửi bởi lệnh Ping giữa máy chúng ta và các máy khác, do vậy chúng ta sẽ thêm một dòng lệnh Filter theo cú pháp vào của sổ Filter như sau:

4

Bước 4:

Kiểm tra trong cửa số các gói tin bắt giữ đƣợc có gói tin ICMP (giao thức của lệnh Ping) giữa máy cục bộ và máy đƣợc Ping

5

Kiểm tra phần chi tiết của gói tin bắt giữ đƣợc trong phần Frame Details và Hex Details Frame Details cho biết các tham số của gói tin và Hex Details cho biết nội dung gói tin Nhƣ vậy, gói tin Ping đã đƣợc bắt giữ và bị xem hoàn toàn nội dung gốc

7 BÁO CÁO:

Hãy cho biết:

- Mỗi lần thực hiện lệnh Ping có bao nhiêu gói tin ICPM đƣợc trao đổi giữa 2 máy: …

- Nội dung các gói tin ICMP có đặc điểm gì? ………

8 SINH VIÊN TỰ THỰC HÀNH:

Tiến hành tạo các bộ lọc để bắt gói tin theo nhiều hình thức lọc

- Lọc theo địa chỉ nguồn/đích

- Lọc theo giao thức

- Lọc theo các tham số khác của gói tin

6

BÀI THỰC HÀNH SỐ 2 MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

1 TÊN BÀI: Thiết lập Giao thức IP Security trên máy tính cá nhân

2 MỤC ĐÍCH CỦA BÀI THỰC HÀNH : Giúp cho SV nắm đƣợc cách thiết lập giao thức

IP Security trên máy tính nhằm bảo vệ dữ liệu khi trao đổi với máy tính khác qua mạng

7

Management và IP Security Policy Monitor rồi rồi bấm Add

Do chúng ta đang thực hiện trên máy cục bộ nên chọn Local và bấm Finish

9

Bước 4:

Cửa sổ tạo IP Security Policy hiện ra, click Next, rồi gõ tên cho Policy đang tạo, chẳng hạn

đặt tên là Test Policy Rồi tiếp tục chọn Next Sau đó bấm Finish để kết thúc và chuyển

sang bước chỉnh sửa các thuộc tính của Policy

Bước 5:

Trong cửa sổ thuộc tính của Policy, có một Rule (luật) mặc định là Default, nhưng chúng ta không sử dụng mà tạo Rule mới bằng cách bấm nút Add

10

Bước 6:

Trong cửa sổ tạo Rule hiện ra, bấm Next để tiếp tục Trong cửa sổ Tunel Endpoint, chọn

lựa chọn This rule does not specify a tunnel vì chúng ta đang thiết lập IP Security trong

chế độ Transport

Trong cửa sổ Network Type, chọn các mạng muốn áp dụng Rule, ở đây chúng ta chọn All network connections

11

Bước 7:

Cửa sổ IP Filter list hiện ra Bấm nút Add để thêm Filter list

Cửa sổ IP Filter List hiện ra Gõ tên của Filter List vào ô Name, chẳng hạn đặt tên là ICMP Filter Rồi bấm Add

12

Bước 8:

Cửa sổ tạo IP Filter mới hiện ra Bấm nút Next để tiếp tục Thêm mô tả nếu cần thiết, đồng thời chọn lựa chọn Mirror nếu muốn luật đƣợc áp dụng cả cho 2 chiều, rồi bấm Next

Trong cửa sổ IP Traffic Source hiện ra, chọn địa chỉ nút nguồn muốn áp dụng luật Chẳng

hạn chọn My IP Address Tiếp tục bấm Next

13

Tương tự với IP Traffict Destination, chẳng hạn chọn Any IP Address

Trong cửa sổ IP Protocol Type, lựa chọn giao thức tương ứng muốn áp dụng luật Chẳng

hạn chọn ICMP vì chúng muốn dùng lệnh Ping để kiểm tra việc áp dụng IP Security Chú

ý là nếu chọn TCP hoặc UDP thì sẽ phải chọn thêm cổng (Port)

14

Bấm Finish để kết thúc việc tạo Filter Tiếp theo bấm OK để kết thúc cập nhật Filter List

Ở cửa sổ tạo Rule, chọn Filter vừa tạo là ICMP Filter và bấm Next

Bước 9:

Tiếp theo, chúng ta cần tạo Action cho Rule này Ở cửa sổ Filter Action, chọn ICMP Filter

và bấm Edit

15

Trong cửa sổ Filter properties hiện ra, chọn Negotiate security rồi bấm OK

Ở cửa sổ Filter Action tiếp tục bấm Next Trong cửa sổ Authentication Method, chúng ta lựa chọn phương pháp chứng thực là preshared key và đưa khóa chia sẻ vào ô bên dưới,

chẳng hạn khóa là 12345 Sau đó tiếp tục bấm Next

Kể từ đây, tất cả các gói tin Ping đi hoặc đến máy cục bộ sẽ bị mã hóa

Chúng ta hãy kiểm tra bằng cách thực hiện Ping và bắt lại gói tin Ping để xem nội dung đã được mã hóa hay chưa?

Bước 10:

Chạy phần mềm Network Monitor và tiến hành các bước để bắt giữ gói tin Ping như đã làm ở bài trước Lưu ý lần này ngoài bắt gói tin Ping chúng ta muốn bắt giữ thêm các gói tin trong quá trình trao đổi khóa của IP Security nên tạo bộ lọc để lọc các gói tin của 2 giao thức này bằng cách gõ câu lệnh Filter vào cửa sổ Filter như sau:

ICMP or IKE

17

Thực hiện lệnh Ping:

Lệnh Ping không thành công?

Bây giờ chúng ta xem trong cửa sổ bắt giữ gói tin của Network Monitor xem chúng ta đã bắt giữ đƣợc các gói tin gì và nội dung của gói tin Ping đã đƣợc mã hóa hay chƣa?

18

7 BÁO CÁO:

Hãy cho biết:

- Tại sao lệnh Ping lại không thành công? …

………

- Để lệnh Ping thành công thì cần làm gì? ………

- Trong các gói tin bắt đƣợc, ngoài các gói tin ICMP thì còn các gói tin IKE, tại sao lại có các gói tin này? ………

- Quan sát nội dung các gói tin ICMP và so sánh với nội dung gói tin ICMP khi chƣa áp dụng IP Security xem có thay đổi nhƣ thế nào? ………

………

8 SINH VIÊN TỰ THỰC HÀNH:

Tạo các Rule để áp dụng IP Security lên các giao thức khác nhƣ HTTP, DNS, v.v để kiểm tra

19

BÀI THỰC HÀNH SỐ 3 MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

1 TÊN BÀI: Thiết lập hệ thống luật cho Firewall ISA Server

2 MỤC ĐÍCH CỦA BÀI THỰC HÀNH : Giúp cho SV nắm đƣợc cách thiết lập các luật kiểm soát truy cập qua phần mềm ISA Server

Bài thực hành gồm những thao tác chính sau:

1 Tạo rule cho phép traffic DNS Query để phân giải tên miền

2 Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )

3 Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc

4 Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế

5 Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao

6 Cấm xem trang www.tuoitre.com.vn

Các bước thực hiện:

1 - Tạo rule cho phép traffic DNS Query để phân giải tên miền

B1: ISA Management -> Firewall Policy -> New -> Access Rule

20

B2: Gõ “DNS Query” vào ô Access Rule Name Bấm Next

B3: Action chọn “Allow”, rồi bấm Next

21

B4: Trong “This Rule Apply to:” chọn “Selected Protocols” > Add > Common Protocol

-> DNS > OK > Next

B5: Trong “Access Rule Source” -> Add -> Networks -> Internal -> add -> Close -> Next

B6: Trong “Access Rule Destination” -> add -> Networks -> External -> close -> Next

22

B7: Trong “User Sets” chọn giá trị mặc định “All Users” -> Next -> Finish

Chọn nút “apply” (phía trước có dấu chấm than)

Thực hiện tại máy chẳn

B8: dùng lện NSLOOKUP để phân giải thử một tên miền bất kỳ

2 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )

23

B1: Tạo Access rule theo các thông số sau:

Rule Name: Allow Mail (SMTP + POP3)

B2: Kiểm tra - Thực hiện tại máy chẳn

Setup Outlook theo các thông số email của mình và thử gửi/nhận mail

3 - Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc

a – Định nghĩa nhóm “Nhan Vien”

b – Định nghĩa URL Set chứa trang vnexpress.net

c – Định nghĩa “giờ làm việc”

d – Tạo rule

e – Kiểm tra

a – Định nghĩa nhóm “Nhan Vien”:

B1: Dùng chương trình “Active Directory User and Computer” tạo 2 user u1, u2 (password

123)

Tạo Group “Nhan Vien”

Đưa 2 user u1, u2 vào Group “Nhan Vien”

24

B2: ISA Server Management -> Firewall Policy -> Toolbox -> Users -> New

B3: Nhập chuỗi “Nhan Vien ” vào ô User set name -> Next

25

B4: Add -> Windows User and Group

B5: Chọn Group “Nhan Vien”

Next -> Finish

26

b – Định nghĩa URL Set chứa trang vnexpress.net

B1: ISA Server Management -> Firewall Policy -> Toolbox -> Network Objects -> New ->

URL Set

B2: Dòng name đặt tên “vnexpress”

Chọn New, khai 2 dòng

http://vnexpress.net

27

http://*.vnexpress.net

Bấm OK

c – Định nghĩa “giờ làm việc””

B1: ISA Server Management -> Firewall Policy -> Toolbox -> Schedule -> New

Name: Gio Lam Viec

Chọn Active từ 8am -6 pm

Bấm OK

28

d – Tạo rule:

B1: Tạo Access rule theo các thông số sau:

Rule Name: Nhan Vien – Trong Gio

Action: Allow

Protocols: HTTP + HTTPS

Source: Internal

Destination: URL Set -> vnexpress

User: Nhan Vien

Các thao tác làm tương tự như phần 1

B2: click nút phải chuột trên rule vừa tạo và chọn Properties

29

B3: Chọn Schedule -> Gio Lam Viec

Bấm OK

Bấm Apply Rule

30

e – Kiểm tra:

Logon U1, kiểm tra giờ của máy: 8am-6pm, mở thử vnexpress, mở thử google

Logon User khác (không phải U1, U2), mở thử vnexpress, mở thử google

4 - Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế

31

Tạo Group “Sep”

Đưa 2 user U3, U4 vào Group “Sep”

Các bước còn lại làm tương tự phần 3a

b - Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: Sep

Logon U4, thử truy cập internet …

5 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao

a - Định nghĩa giờ giải lao

Tạo Access rule theo các thông số sau:

Rule Name: Giai Lao

32

Các thao tác làm tương tự như phần 1

Sau khi tạo rule xong, chọn properties của rule vừa tạo -> Schedule -> Giai Lao

c – Kiểm tra:

Logon U1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet

6 - Cấm xem trang www.tuoitre.com.vn :

a - Định nghĩa các trang web muốn cấm

b - Tạo Rule

c - Kiểm tra

a - Định nghĩa các trang web muốn cấm:

Tạo URL Set tương tự phần 3b, đặt tên là “Nhung Trang Web Bi Cam”, trong URL Set

khai báo:

33

http://*.tuoitre.com.vn

http://tuoitre.com.vn

b – Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: Web bi cam

Action: Deny

Protocols: All Outbound Traffic

Source: Internal

Destination: URL Set -> Nhung Trang Web Bi Cam

User: All Users

34

BÀI THỰC HÀNH SỐ 4 MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

1 TÊN BÀI: Thiết lập SSL cho Web Server IIS

2 MỤC ĐÍCH CỦA BÀI THỰC HÀNH : Giúp cho SV nắm được cách thiết lập giao thức SSL trên Web Server Micrcosoft Interner Information Server để bảo vệ các giao dịch Web

Bước 1: Tạo vào cài đặt certificate cho Web Server

Mở chương trình quản lý Web Server Internet Information Services Manager, rồi click vào Server Certificates

35

Cửa sổ hiện ra liệt kê các Certificates đã cài đặt cho Web Server trước đây Nếu chưa có certificate nào thì danh sách certificate để trống

Để tạo certificate cho Web Server, có thể dùng các cách sau:

- Xin certificate từ một nhà cung cấp dịch vụ CA

- Xin certificate từ một CA Server đã cài đặt và cấu hình trong Domain

- Tự tạo 1 certificate (tự ký)

Trong bài thực hành này, chúng ta sẽ dùng cách thứ nhất Trên thực tế, đây là cách tốt nhất

và tin cậy nhất để tạo và cài đặt certificate cho Web server

Để xin certificate từ một nhà cung cấp dịch vụ CA, đầu tiên chúng ta phải tạo một yêu cầu cấp certificate bằng cách chọn Create Certificate Request trên cửa sổ Action bên phải Cửa sổ Request Certificate hiện ra, đưa vào các thông tin cần thiết:

36

Trong cửa sổ này, thông tin quan trọng nhất cần chú ý là Common name Cần đưa vào đúng tên miền của Web site cần xin certificate, chẳng hạn ta đang xin certificate cho Web server trên máy cục bộ hiện tại nên đặt là localhost Các thông tin khác đặt tùy ý

Bấm Next để tiếp tục

Trong cửa sổ hiện ra chọn kiểu mã hóa và kích thước khóa rồi bấm Next

Cuối cùng, đưa vào đường dẫn và tên file được dùng để lưu yêu cầu cấp certificate rồi bấm Finish

37 Sau bước này, chúng ta đã tạo được 1 yêu cầu cấp certificate và yêu cầu này được lưu trong

1 file TestCertRequest.txt lưu trên máy của chúng ta File này có dạng:

38

Sau khi tạo xong yêu cầu cấp certificate cho Web server này, chúng ta sẽ tiến hành xin cấp

từ một nhà cung cấp dịch vụ CA Có một số nhà cung cấp dịch vụ CA nổi tiếng và được tin cậy trên thế giới, chúng ta có thể chọn một trong số đó Chẳng hạn chúng ta lựa chọn nhà cung cấp dịch vụ CA rất phổ biến là VeriSign

Việc xin cấp certificate cũng được thực hiện khá thuận tiện, chủ yếu thông qua Web site của nhà cung cấp dịch vụ Để xin cấp certificate của VeriSign, chúng ta vào web site

Trên web site này, có thể thấy rằng để xin cấp certificate chính thức, chúng ta phải đăng ký mua Tuy nhiên, để thử nghiệm, chúng ta có thể xin cấp certificate thử nghiệm Khi đó chúng ta chọn mục Free Trial trên web site và chọn thử dùng SSL Test Certificate, sau đó theo các bước hướng dẫn Khi hệ thống yêu cầu điền thông tin liên hệ của người xin cấp, lưu ý ghi đúng địa chỉ email để sau này certificate sẽ được gửi về email này (phần Zip Code gõ 10000)

Cuối cùng, trong cửa sổ điền thông tin yêu cầu cấp certificate, chúng ta phải copy yêu cầu cấp certificate đã tạo và lưu trong file ở bước trước, rồi paste vào ô Paste Certificate Signing Request Chú ý chọn Server platform là Microsoft và phiên bản IIS 7.0

39

Bấm Continue để tiếp tục và cuối cùng bấm Submit để gửi yêu cầu cấp certificate đi

Sau khi Submit, gần như ngay lập tức, nhà cung cấp dịch vụ sẽ gửi mail lại, cung cấp thông tin về certificate và hướng dẫn cài đặt

Để lấy về certificate của Test Root CA và Intermediate CA, click vào các link được gửi về trong email đã nói ở trên, rồi tiến hành copy và ghi lại các certificate như hướng dẫn ở trên Giả sử các certificates này được lưu trong các file TestRootCert.txt và IntermediateRootCert.txt

Tiến hành cài đặt lên máy như sau:

Từ cửa sổ run, gõ mmc để chạy chương trình Management Console

Trên cửa sổ này, chọn File > Add/Remove Snap-in

Sau bước này, certificate của Test Root CA đã được cài đặt vào máy Làm tương tự với Intermediate CA

Đóng cửa sổ Console và quay lại cửa sổ IIS Manager

Để hoàn thành việc cài đặt certificate, chọn Complete Certificate Reqquest ở bên dưới của mục Create Certificate Request

Trong cửa sổ hiện ra, chọn file certificate đã tạo trước đó (TestCert.txt) và gõ 1 tên cho certificate này (chẳng hạn TestCert), rồi bấm OK

43

Như vậy là certificate đã được cài đặt vào Web server Chúng ta có thể xem thông tin về certificate bằng cách click đúp chuột vào certificate tương ứng trong danh sách

Bước 2: Cài đặt SSL cho Web server sử dụng certificate vừa tạo

Đầu tiên, chọn Web site cần cài đặt SSL, giả sử là Default Web Site Chọn mục Bindings bên dưới Edit Sites trên cửa sổ Action ở bên phải

Cửa sổ Site Bindings hiện ra Mặc định chúng ta thấy chỉ có 1 binding là http