BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA: AN TỒN THƠNG TIN 🙟🕮🙝 THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG THỰC HÀNH LAB TRIỂN KHAI, CÀI ĐẶT HỆ THỐNG HONEYPOT …………………………………………………………………………………………… Giảng viên hướng dẫn: Nguyễn Thị Hồng Hà Sinh viên thực hiện: Nguyễn Nhân Hồng Lớp: L06.2 Khóa: K14 Tháng năm 2021 MỤC LỤC CHƯƠNG 1: MỞ ĐẦU 1.1 Tổng quan 1.2 Mục đích CHƯƠNG 2: TIẾN HÀNH TRIỂN KHAI 2.1 Mơ hình 2.2 Q trình cài đặt CHƯƠNG 3: KẾT LUẬN 20 CHƯƠNG 1: MỞ ĐẦU 1.1 Tổng quan Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng, đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý, ngăn không cho chúng tiếp xúc với hệ thống thật Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc hình thức cơng, cơng cụ công hay cách thức tiến hành công Honeypot gồm hai loại chính: + Tương tác thấp: Mơ giả dịch vụ, ứng dụng, hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ + Tương tác cao: Là dịch vụ, ứng dụng hệ điều hành thực Mức độ thông tin thu thập cao Nhưng rủi ro cao tốn thời gian để vận hành bảo dưỡng 1.2 Mục đích Trong thực tế Web Server hệ thống thật giả mạo Khi hacker công vào hệ thống, Honeywall thu thập tất gói tin đến Web Server kết hợp với công cụ Sebek cài đặt server Người quản trị giám sát thời gian thực với liệu thu thập Từ phân tích, đánh giá thông tin cần thiết để đưa phương án phòng chống, nâng cấp hợp lý CHƯƠNG 2: TIẾN HÀNH TRIỂN KHAI 2.1 Mơ hình Các máy ảo công cụ hỗ trợ - Phần mềm Vmware - Máy ảo honeywall cài từ tập tin iso - Máy ảo win dùng làm máy Manager cài chrome: địa 172.16.1.10 - Máy ảo win Server cài sebek, cài XAMPP DVWA để tiến hành thử nghiệm tấncông web : địa 10.0.0.20 - Máy ảo win Hacker cài Nmap :địa 10.0.0.100 Máy ảo honeywall có card mạng theo thứ tự sau: - Card mạng thứ Eth0: Chế độ NAT kết nối Internet - Card mạng thứ hai Eth1: Chế độ Host-Only kết nối với Honeypot - Card mạng thứ ba Eth2: Chế độ Vmnet kết nối máy quản lý 2.2 Quá trình cài đặt Giao diện trình cài đặt -Đăng nhập vào hệ thống sử dụng tài khoản: user: roo password: honey -Tiếp theo chuyển sang tài khoản root với password: honey Truy cập vào tệp cấu hình Honeywall: vi /etc/honeywall.conf -sử dụng lệnh :set nu để thị số dịng sử dụng phím i để thực chỉnh sửa Tìm đến dịng số 44 định nghĩa dải mạng quản lý: 172.16.1.0/24 Dòng số 76 cấu hình Honeywall khởi động: yes Dịng số 85 định nghĩa IP máy chủ Honeypot (Web Server): 10.0.0.20 Dịng số 139 phép nhận thơng tin từ Sebek: yes Dòng số 143 cho phép truy cập quản lý thơng qua trình duyệt web : yes Dòng 152, 156 định nghĩa Ip cổng Honeypot (Web Server): 10.0.0.20 , port 1101 Dòng 175 giao diện quản lý: eth2 dòng 179 địa IP giao diện quản lý:172.16.1.2 dòng 187 gateway mạng quản lý:172.16.1.1 Sử dụng lệnh: [:x] để lưu thoát khỏi trình soạn thảo vi Sử dụng lệnh sau để khởi động lại cấu hình Honeywall: usr/local/bin/hwctl -s -p /etc/honeywall.conf sau cài xong honeywall truy cập vào máy manager để vào trang quản trị địa 172.16.1.2 bị lỗi k truy cập khởi động lại máy manager honeywall user pass lúc vào roo - honey , vào hệ thống yêu cầu đổi lại pass truy cập manager thành cơng , tạo thêm tài khoản quản trị khác 10 xong trình cấu hình honey wall Cài đặt Sebek Cài đặt phần mềm Sebek: Setup.exe 11 Xem địa MAC eth1 Honeywall : ifconfig eth1 Chạy chương trình: Configuration Wizard.exe để cấu hình Sebek, nhập địa MAC eth1 vào 12 Hồn tất q trình cài đặt , chuyển sang thực kịch QUÁ TRÌNH TẤN CƠNG KỊCH BẢN 1: SỬ DỤNG NMAP ĐỂ DÒ QUÉT CỔNG MỞ TRÊN WEBSERVER sử dụng máy hacker dùng nmap để dò quét cổng web server 13 -truy cập thử vào trang manager thu nhiều request vịng 24h 14 có nhiều gói tin gửi tới từ địa 10.0.0.100 máy hacker với cổng khác chứng tỏ công quét cổng Một số thông tin hecker thu thập thực quét cổng: 15 Ví du cổng 80 mở chạy Apache2.4.10(win32 bit) với phiên PHP 5.4.31 KỊCH BẢN 2: TẤN CÔNG SQL INJECTION VÀO DỊCH VỤ WEB TRÊN WEBSERVER (DVWA) thay đổi địa ip máy hacker thực sql injection thay đổi thành 10.0.0.125 16 truy cập vào 10.0.0.125/DVWA-master cài sẵn từ trước user pass DVWA admin - password set mức xuống LOW 17 Hiển thị nội dung cột bảng User CSDL %' and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users # 18 chuyển qua manager honeywall để kiểm tra thu gói tin từ địa 10.0.0.125 vừa thay đổi thử xem gói tin dc gửi tới cổng 80 thấy thơng tin nhật ký ghi lại 19 Liên quan tới công sql injection CHƯƠNG 3: KẾT LUẬN Bài thực hành nhằm giúp hiểu rõ về: - Cấu trúc hệ thống Honeypot - Cấu hình Honeywall - Theo dõi, giám sát liệu thu thập từ Honeywall - Sử dụng công cụ phổ biến để thực cơng: rị qt… 20 ... thông tin thu thập cao Nhưng rủi ro cao tốn thời gian để vận hành bảo dưỡng 1.2 Mục đích Trong thực tế Web Server hệ thống thật giả mạo Khi hacker công vào hệ thống, Honeywall thu thập tất gói tin. .. pháp, thu hút ý, ngăn không cho chúng tiếp xúc với hệ thống thật Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server Honeypot trực tiếp tương tác với tin tặc... ĐẦU 1.1 Tổng quan 1.2 Mục đích CHƯƠNG 2: TIẾN HÀNH TRIỂN KHAI 2.1 Mơ hình 2.2 Q trình cài đặt CHƯƠNG 3: KẾT LUẬN 20 CHƯƠNG 1: MỞ ĐẦU 1.1 Tổng quan Honeypot hệ thống tài nguyên thơng tin xây dựng