HỌC VIỆN KỸ THUẬT MẬT MÃ Ngành An tồn thơng tin BÁO CÁO THỰC HÀNH Môn : Thực tập sở chuyên ngành Firewall Evasion Lab : Bypassing Firewalls using VPN Giáo viên hướng dẫn : PGS.TS Lương Thế Dũng Sinh viên thực : Đinh Trọng Hòa I Tổng quan Các tổ chức, nhà cung cấp dịch vụ (ISPs), quốc gia thường chặn người dùng nội họ khỏi việc truy cập vào trang web bên Việc gọi lọc đầu Ví dụ, để chống lại việc bị phân tâm, xao lãng lúc làm việc, nhiều công ty thường thiết lập thiết bị lọc tường lửa để chặn trang mạng xã hội, nhân viên họ khơng thể truy cập vào trang web từ mạng nội Vì lí trị, nhiều quốc gia thiết lập lọc đầu từ hệ thống ISPs họ để chặn người muốn truy cập vào trang web nước ngồi Thật khơng may, tường lửa vượt qua cách dễ dàng, dịch vụ, sản phẩm giúp cho người dùng vượt qua tường lửa Virtual Private Network (VPN) (mạng bí mật ảo) Đặc biệt, công nghệ sử dụng rộng rãi từ người sử dụng điện thoại thông minh bị ảnh hưởng lọc đầu ra, có nhiều ứng dụng VPN ( cho android, iOS, tảng khác) giúp người dùng vượt qua lọc tường lửa Mục tiêu học thực hành cho sinh viên biết cách VPN làm việc lúc hoạt động cách mà VPN giúp vượt qua lọc tường lửa thực VPN đơn giản thực hành này, sử dụng để vượt qua tường lửa Loại VPN phụ thuộc vào phần : IP tunneling mã hóa Cơng nghệ tunneling thứ thiết yếu để giúp vượt tường lửa; việc mã hóa dùng cho việc bảo vệ thơng tin lưu lượng qua VPN tunnel Để đơn giản, tập trung vào phần tunneling, lưu lượng bên tunnel không mã hóa Chúng tơi có lab VPN riêng, bảo gồm tunneling mã hóa Nếu người đọc cảm thấy hứng thú, bạn thực thực hành VPN học hỏi cách xây dựng VPN hoàn chỉnh Trong thực hành này, tập trung vào cách sử dụng VPN tunnel để vượt qua tường lửa Bài thực hành gồm chủ đề : Firewall, VPN II Thực hành 2.1 Bài : Cài đặt máy ảo Chúng ta cần máy ảo, máy bên tường lửa, máy cịn lại nằm bên ngồi tường lửa Mục tiêu để giúp máy bên tường lửa đến trang web bên bị chặn tường lửa Chúng ta sử dụng máy ảo, VM1 VM2, cho máy VM1 VM2 cho máy kết nối với thông qua Internet router Việc thiết lập yêu cầu nhiều máy ảo Để đơn giản, sử dụng mạng LAN để mô kết Internet Về bản, cần kết nối VM1 VM2 card mạng “ Nat Network “ Hình miêu tả thực hành Tải giải nén máy ảo Ubuntu 16.04 VMs trang chủ Seedsecuritylabs.org Cài đặt sử dụng máy ảo phần mềm Virtual Box Nhớ chỉnh lại card mạng thành card Nat Network 2.2 Bài : Thiết lập tường lửa Trong này, thiết lập tường lửa máy VM1 (Ubuntu Client) để chặn truy cập vào trang web Bạn cần phải địa IP trang web mục tiêu cố định nằm dãy cố định; Nếu không, bạn gặp cố chặn hồn tồn trang web mục tiêu Vui lòng tham khảo thực hành tường lửa để biết thêm chi tiết cách chặn trang web Trong giới thực, tường lửa nên vận hành máy riêng biệt, máy VM1 (Ubuntu Client) Để giảm thiểu số lượng máy ảo sử dụng thực hành này, đặt tường lửa vào máy VM1 (Ubuntu Client) Thiết lập tường lửa máy VM1 yêu cầu quyền người dùng cao nhất, để thiết lập đường hầm VPN Người ta nói có quyền người dùng cao nhất, tắt tường lửa máy VM1 Đây ý kiến tốt, hay nhớ đặt tường lửa vào máy VM1 không muốn tạo máy ảo khác thực hành Vì vậy, bạn có quyền người dùng cao máy VM1, bạn không phép sử dụng quyền để cấu hình lại tường lửa Bạn phải sử dụng VPN để vượt qua So sánh với việc đặt tường lửa vào máy tính bên ngồi, việc đặt tường lửa VM1 có vấn đề nhỏ mà cần phải giải Khi thiết lập tường lửa để chặn gói tin, cần phải khơng chặn phải gói tin dùng để truy cập vào giao diện ảo VPN sử dụng, không VPN khơng thể nhận gói tin Vì vậy, thiết lập quy tắc tường lửa trước định tuyến, thiết lập quy tắc giao diện ảo Chúng ta cần thiết lập quy tắc giao diện mạng lưới thật máy VM1, khơng ảnh hưởng đến gói tin gửi đến giao diện ảo Chúng ta sử dụng chương trình ufw để thiết lập quy tắc cho tường lửa Chương trình giao diện người dùng chương trình iptables Người ta sử dụng trực tiếp iptables, theo kinh nghiệm, sử dụng ufw tiện lợi + Chỉnh IP cho máy Server Client + Tìm địa trang web, target www.facebook.com (150.240.13.35) + Ping vào địa 157.240.13.35 để kiểm tra kết nối  Kết nối thành công + Thiết lập quy tắc cho tường lửa Chặn truy cập đến địa 157.240.16.35 + Sau thiết lập tường lửa, ta tiến hành ping để kiểm tra xem có ping đến địa 157.240.13.35 không  Ping không thành công Vậy thiết lập tường lửa máy VM1 (Ubuntu Client) để chặn trang web thành công (target website: www.facebook.com 157.240.13.35) 2.3 Bài : Vượt tường lửa sử dụng VPN Ý tưởng việc sử dụng VPN để vượt tường lửa mô tả hình Chúng ta thiết lập đường hầm VPN VM1 (Ubuntu Client) VM2 (Ubuntu Server) Khi người dùng máy VM1 cố gắng truy cập vào trang web bị chặn, lưu lượng truy cập khơng điều hướng qua mạng nó, bị chặn Thay thế, gói tin gửi đến trang web bị chặn từ máy VM1 định tuyến đến đường hầm VPN đến VM2 Một gói tin đến đó, VM2 định tuyến đến đích đến cuối Khi gói tin trả lời trở về, trở VM2, nơi mà điều hướng gói tin vào đường hầm VPN, cuối đưa gói tin VM1 Đó cách mà VPN giúp VM1 vượt qua tường lửa Chúng tạo chương trình VPN mẫu, bao gồm chương trình máy khách (vpnclient) chương trình máy chủ (vpnserver), chương trình tải từ trang web Seedsecuritylabs.org Chương trình VPN đơn giản thiết lập đường hầm VPN máy khách máy chủ, khơng có mã hóa lưu lượng đường hầm Chương trình vpnclient vpnserver hai đầu đường hầm VPN Chúng giao tiếp với cách sử dụng giao thức TCP UDP thông qua sockets miêu tả hình Trong mẫu code chúng tôi, chọn sử dụng UDP cho đơn giản Đường dấu chấm máy client server mô tả đường dẫn đường hầm VPN Chương trình VPN Client Server kết nối với hệ thống chủ thông qua TUN, cách thực bước : (1) : Lấy gói tin IP từ hệ thống lưu trữ, gói tin gửi thơng qua đường hầm, (2) lấy gói tin IP từ đường hầm, sau chuyển hướng đến hệ thống lưu trữ, nơi chuyển tiếp gói tin đến đích đến cuối Mơ tả cách tạo đường hầm VPN cách sử dụng chương trình vpnclient vpnserver Bước : Chạy chương trình VPN Server Đầu tiên, chạy chương trình VPN Server vpnserver máy ảo Ubuntu Server Sau chạy chương trình, cổng mạng ảo TUN xuất hệ thống ( kiểm tra câu lệnh ifconfig -a; tên cổng tun0 hầu hết trường hợp, chúng tunX, với X số) Đây cổng chưa cấu hình, cần phải cấu hình cách đặt địa IP cho Chúng ta sử dụng 192.168.53.1 cho cổng này, ngồi bạn sử dụng địa IP khác Chạy lệnh bên Lệnh khởi động chương trình server, lệnh thứ hai định địa IP cho cổng tun0 kích hoạt Chú ý câu lệnh khóa chờ đợi cho việc kết nối, nên sử dụng cửa sổ dòng lệnh khác để chạy dòng lệnh thứ hai Qua máy Client ping để kiểm tra Bước : Chạy VPN Client Bây chạy chương trình VPN Client máy Ubuntu Client Chúng ta chạy lệnh bên máy ( câu lệnh kết nối đến chương trình VPN Server chạy 10.0.2.8 Câu lệnh chặn, cần phải tìm cửa sổ dịng lệnh khác để cấu hình cổng tun0 tạo chương trình VPN client Chúng ta định địa IP 192.168.53.3 cho cổng tun0 (Bạn chọn địa IP khác) Qua máy Server kiểm tra Đã tạo VPN Tunnel thành công Bước : Thiết lập định tuyến máy Client máy Server Sau hoàn thành bước trên, đường hầm thiết lập Trước sử dụng đường hầm, cần phải thiết lập định tuyến đường dẫn máy Client Server để điều chuyển lưu lượng thơng qua đường hầm Chúng ta sử dụng câu lệnh route để thêm cổng định tuyến Để vượt qua tường lửa máy Client, bạn cần phải thiết lập cổng định tuyến, lưu lượng đến trang web bị chặn định tuyến qua VPN Bạn cần phải nghĩ xem cần thêm cổng định tuyến để vượt qua tường lửa Bên máy Server Bên máy Client Bước : Thiết lập NAT máy Server Khi đích đến cuối gửi gói tin ngược lại cho người dùng, gói tin gửi đến máy chủ VPN Gói tin trả đưa đến cổng NAT máy chủ VPN ( source IP tất gói tin từ máy chủ Server thay đổi địa IP card NAT bên ngồi (Về IP máy chủ thiết lập chúng tơi) Bình thường, mạng NAT thay địa IP đích đến với địa IP gói tin gốc ( ví dụ trường hợp là192.168.53.5) gửi cho người sở hữu địa IP Thật khơng may, có vấn đề Trước mạng NAT gửi gói tin đi, cần phải biết địa MAC máy có IP 192.168.53.5, gửi gói tin ARP Request Mạng nội mạng ảo, địa IP thuộc cổng tun0 máy Client Vì vậy, 192.168.53.5 khơng nhận gói tin ARP Request (kể có nhận, vơ dụng) Mạng NAT bỏ gói tin, người nhận khơng tồn Người nhận thực phải VPN Server VM, khơng sở hữu địa IP 192.168.53.5 Nếu cấu hình NAT làm cổng, yêu cầu NAT định tuyến gói cho 192.168.53.5 tới Máy chủ VPN, máy chủ cuối phân phối gói thơng qua đường hầm đến Máy khách VPN Tuy nhiên, chưa tìm cách định cấu hình NAT làm cổng VirtualBox, đưa hai giải pháp xung quanh công việc Một ý tưởng "đánh lừa" NAT tin địa MAC 192.168.53.5 địa MAC VPN Server VM, gói tin NAT gửi đến Máy chủ VPN đạt điều cách sử dụng nhiễm độc nhớ cache ARP NAT, nói với NAT trước điịa MAC 192.168.53.5 Một giải pháp tốt để vượt qua giới hạn NAT tạo NAT khác Server VM, tất gói khỏi Server VM có địa IP VM làm IP nguồn chúng Để đạt Internet, gói qua NAT khác, cung cấp VirtualBox, nguồn IP Server VM, NAT thứ hai khơng có vấn đề chuyển tiếp lại gói trả từ Internet đến máy chủ ảo Sử dụng giải pháp này, không cần phải sử dụng ARP cache để "đánh lừa" NAT Các lệnh sau kích hoạt NAT Server VM: Sau cấu hình NAT, kiểm tra bypassing Firewall Trên máy Client, ping đến địa facebook chặn trước Ping thành cơng Sử dụng Wireshark để bắt gói tin đường hầm tun0 ... trình VPN mẫu, bao gồm chương trình máy khách (vpnclient) chương trình máy chủ (vpnserver), chương trình tải từ trang web Seedsecuritylabs.org Chương trình VPN đơn giản thiết lập đường hầm VPN. .. đến cuối Mô tả cách tạo đường hầm VPN cách sử dụng chương trình vpnclient vpnserver Bước : Chạy chương trình VPN Server Đầu tiên, chạy chương trình VPN Server vpnserver máy ảo Ubuntu Server Sau... bạn thực thực hành VPN học hỏi cách xây dựng VPN hoàn chỉnh Trong thực hành này, tập trung vào cách sử dụng VPN tunnel để vượt qua tường lửa Bài thực hành gồm chủ đề : Firewall, VPN II Thực hành