HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Khoa cơng nghệ thông tin BÁO CÁO AN TỒN MẠNG TÌM HIỂU VỀ FIREWALL VÀ ỨNG DỤNG CÔNG CỤ KALI - FIREWALK Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực hiện: Phạm Ngọc Minh Mã sinh viên: B18DCAT163 Hà Nội - 2021 Mục lục LỜI MỞ ĐẦU DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ .4 Chương 1: Giới thiệu .5 I Tường lửa firewall II Traceroute III Công cụ Firewalk [2] Chương 2: Cách thức hoạt động I Traceroute II Firewalk .10 Chương 3: Hướng dẫn sử dụng 14 I Cài đặt Firewalk Kali - Linux 14 II Cách sử dụng .15 Chương 4: Demo 20 I Bài lap 1: Kiểm tra Firewall Rules với Firewalking .20 II Bài lap 2: Kết hợp nmap với firewalk traceroute 30 Tài liệu tham khảo .32 LỜI MỞ ĐẦU Mặc dù Internet nguồn thông tin giao tiếp xã hội q giá, khơng phải lúc thân thiện an tồn Thay vào đó, có nhiều kẻ xấu rình rập mạng với mưu đồ xâm nhập vào máy tính kết nối với Internet Sau hàng loạt vụ công mạng quy mô lớn diễn gần đây, vấn đề bảo mật máy tính trở nên nóng hết Bên cạnh phần mềm diệt virus, cổng giao tiếp hệ thống, bạn cần ý đến yếu tố tường lửa – Firewall [1]: tập hợp thủ thuật chuyên môn giúp ngăn chặn ý đồ xâm nhập xấu vào máy tính kiểm sốt vào khỏi máy Trong báo cáo này, em xin giới thiệu Firewalk, công cụ Kali dùng để thám, thu thập thông tin mạng bảo vệ tường lửa Em hy vọng giúp bạn hiểu công cụ Firewalk vấn đề liên quan đến thông tin bảo mật tường lửa Em xin gửi lời cảm ơn đến TS Đặng Minh Tuấn giúp đỡ em trình nghiên cứu cơng cụ Hà Nội, ngày 20 tháng 12 năm 2021 Sinh viên thực Phạm Ngọc Minh DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Thuật ngữ Thuật ngữ tiếng Việt/Giải thích Access Control List (ACL) Một tập hợp quy tắc thực thi sách bảo mật Thiết bị định tuyến, cấu hình để chuyển tiếp IPdatagram Bước nhảy Máy chủ Gateway/Router Hop Host Internet Protocol (IP) Ingress traffic Egress traffic Firewall Packet filter Request for Comments (RFC) Địa chỉ giao thức internet Mô tả lưu lượng mạng bắt nguồn từ bên phạm vi mạng tiến dần vào bên Mô tả lưu lượng mạng bắt nguồn từ bên mạng tiến dần bên Một máy chủ đa kênh sử dụng ACL để lọc gói tin IPdatagram, kiểm sốt lưu lượng mạng Bộ lọc gói Một chuỗi ghi nhớ chứa đựng nghiên cứu mới, đổi mới, phương pháp luận ứng dụng cho công nghệ Internet Round-Trip Time Thời gian (RTT) Rules Các luật lệ Tranmission Control Giao thức truyền tải hướng kết nối Protocol (TCP) Thời gian tồn liệu máy tính Time to live (TTL) mạng Traceroute Công cụ kiểm tra đường liệu User Datagram Giao thức truyền tải hướng không kết nối Protocol (UDP) DANH MỤC CÁC HÌNH VẼ Hình Traceroute sử dụng UDP .7 Hình Traceroute sử dụng ICMP Hình Thực traceroute với cổng bắt đầu 28 .9 Hình Thực Traceroute thêm dòng lệnh dung tăng cổng Hình Tổng quan hoạt động Firewalk 10 Hình Quá trình quét Firewalk 11 Hình Đầu dò bị lọc bị từ chối gateway khác 12 Hình Update database Kali .14 Hình Cài đặt Firewalk 14 Hình 10 Firewalk khơng sử dụng tuỳ chọn kết 15 Hình 11 Firewalk với tuỳ chọn -d12345 .15 Hình 12 Firewalk với tuỳ chọn -h 16 Hình 13 Firewalk với tuỳ chọn -i eth0 16 Hình 14 Firewalk với tuỳ chọn -n 16 Hình 15 Firewalk với tuỳ chọn -p TCP 16 Hình 16 Firewalk với tuỳ chọn -r 17 Hình 17 Firewalk với tuỳ chọn -S 53 -d 53 17 Hình 18 Firewalk với tuỳ chọn -s 12345 .18 Hình 19 Firewalk với tuỳ chọn -T 18 Hình 20 Firewalk với tuỳ chọn -t .18 Hình 21 Firewalk với tuỳ chọn -v 18 Hình 22 Firewalk với tất tuỳ chọn -S 80,443 -p TCP -n -i eth0 19 Hình 23 Cài đặt UFW 20 Hình 24 Khởi động UFW 21 Hình 25 Xem tình trạng hoạt động UFW .21 Hình 26 Các Rule mặc định UFW 21 Hình 27 Thêm Rule cho phép truy cập từ tất gói tin ssh 22 Hình 28 Thêm Rule cho phép truy cập từ tất gói tin từ địa chỉ IP 192.168.1.176 22 Hình 29 Xem rule cài đặt UFW 23 Hình 30 Xố rule vị trí .23 Hình 31 Kiểm tra firewall host nmap .24 Hình 32 Kiểm tra IP gateway mục tiêu firewalk khơng dùng tuỳ chọn thêm .25 Hình 33 Qt IP firewalk với tuỳ chọn -n -p TCP -S 23 -d 23 26 Hình 34 Quét Firewalk với cổng 25 27 Hình 35 Quét Firewalk với cổng từ 21-81 28 Hình 36 Quét Firewalk với cổng 53 tuỳ chọn UDP 29 Chương 1: Giới thiệu I Tường lửa firewall a) Tường lửa firewall [1] - Tường lửa thiết bị bảo mật mạng giám sát lưu lượng mạng đến và định cho phép lưu lượng qua chặn lưu lượng dựa quy tắc bảo mật xác định - Chúng thiết lập rào cản mạng nội mạng bên ngồi, xác định mạng mạng tin cậy không đáng tin cậy, chẳng hạn Internet - Tường lửa phần cứng, phần mềm hai b) Phân loại - Proxy firewall: Tường lửa proxy • Một loại thiết bị tường lửa đời sớm nhất, đóng vai trị cổng giao tiếp từ mạng sang mạng khác cho ứng dụng cụ thể • Máy chủ proxy cung cấp chức ngăn chặn kết nối trực tiếp từ bên mạng nội dung bảo mật từ nhớ đệm - Stateful inspection firewall: Tường lửa kiểm tra trạng thái • Được coi tường lửa truyền thống, kiểm tra trạng thái, cổng, giao thức kết nối định cho phép chặn truy cập Nó giám sát hoạt động từ kết nối mở đóng • Các định thực dựa quy tắc quản trị viên xác định hay sử dụng thông tin từ liệu kết nối kết nối trước - Unified threat management (UTM) firewall: Tường lửa quản lý mối đe doạ hợp • Một thiết bị UTM thường kết hợp chức Stateful inspection firewall với ngăn chặn xâm nhập chống virus • UTM tập trung vào đơn giản dễ sử dụng, bao gồm dịch vụ bổ sung thường quản lý đám mây - Next-generation firewall (NGFW): Tường lửa hệ • Ngồi việc lọc gói tin kiểm tra trạng thái, NGFW ngăn chặn mối đe doạ phần mềm đọc hại cao cơng thuộc lớp ứng dụng • Theo định nghĩa Gartner, Inc., tường lửa hệ phải bao gồm: o Khả tường lửa tiêu chuẩn kiểm tra trạng thái o Tích hợp ngăn chặn xâm nhập o Kiểm sốt ứng dụng để ngăn chặn ứng dụng có rủi ro o Có khả nâng cấp từ nguồn thơng tin tương lai để giải mối đe doạ phát triển Threat-focused NGFW: NGFW tập trung vào mối đe doạ • Bao gồm khả NGFW truyền thống cung cấp thêm khả phát khắc phục mối đe doạ nâng cao • Với bạn có thể: o Biết tài sản có rủi ro cao với hồn cảnh o Nhanh chóng phản ứng với cơng tính tự động bảo mật khả phòng thủ linh hoạt o Phát hoạt động đáng ngờ tốt o Giảm đáng kể thời gian từ phát đến xử lý xong o Dễ dang quản lý giảm độ phức tạp với sách bảo mật thống tồn q trình - Virtual firewall: Tường lửa ảo • Được triển khai dạng thiết bị ảo private cloud (VMware ESXi, Microsoft Hyper-V, KVM) hay public cloud (AWS, Azure, Google, Oracle) để giám sát bảo mật truy cập qua mạng vật lý mạng ảo • Là thành phần quan trọng mạng phần mềm xác định (software-defined networks SDN) Traceroute - Traceroute công cụ để theo đõi đường liệu đường truyền, giúp cho quản trị viên đo lường chậm trễ, xác định vị trí tồn cố giải vấn đề kết nối tốt - Kết đầu danh sách định tuyến qua định dạng văn đơn giản, với thông tin thời gian Lệnh traceroute có sẵn số hệ điều hành đại Công cụ Firewalk [2] - Trong traceroute ứng dụng hữu ích, khơng có khả mở rộng cho hình thức quét thám nghiêm trọng nào; cuối cùng, Firewalk xây dựng - Firewalk công cụ bảo mật mạng thám tích cực nhằm xác định giao thức lớp mà IP chuyển tiếp qua - Được phát triển năm 1998 từ trình thử nghiệm Traceroute, cụ thể với việc chỉ định cổng theo nguyên tắc - Là dự án mã nguồn mở nên người tìm hiểu Tác giả hoang nghêng đóng góp - Firewalk giúp đánh giá cấu hình bảo mật thiết bị lọc gói, chẳng hạn thiết bị sử dụng hệ thống tường lửa Nó có liên quan đến đánh giá an ninh mạng, kiểm tra thâm nhập mạng (pentest) - II III Chương 2: Cách thức hoạt động I Traceroute - Traceroute tìm đường tới đích cách gửi gói tin UDP Echo Request (yêu cầu báo hiệu lại) Internet Control Message Protocol (ICMP) tới IP đích với đầu dò mặc định Traceroute TTL, địa chỉ cổng RTT - Ban đầu gói tin có giá trị TTL gửi đi, sau bắt đầu lắng nghe câu trả lời ICMP "time exceeded" từ gateway Bắt đầu thăm dò với giá trị tăng dần đơn vị nhân tin nhắn ICMP "port unreachable" (hoặc TCP reset), điều có nghĩa gói tin đến máy chủ (hoặc đạt giới hạn hop tối đa 30 hop) - Sau thời gian thăm dò, số thích bổ sung in ra: ! H , ! N , hay ! P (máy chủ, mạng giao thức unreachable), ! S (đường nguồn thất bại), ! F (phân mảnh cần thiết), ! X (giao tiếp hành bị cấm) ,! v (vi phạm ưu tiên máy chủ) ,! c (giới hạn ưu tiên có hiệu lực) ! (mã truy cập ICMP ) Nếu hầu hết tất kết thăm dị cho kết khơng thể tiếp cận (unreachable), quy trình thăm dị bị dừng - Có cách hoạt động Traceroute khác dùng cho việc theo dõi, thực số hoạt động thám mạng tuỳ theo tình a) Protocol subterfuge – Giao thức phụ • Tình liên quan đến mạng bảo vệ tường lửa chặn tất lưu lượng truy cập, ngoại trừ ping phản hồi ping (ICMP loại tương ứng) • Thay hành vi mặc định việc sử dụng UDP (Hình 1), muốn traceroute buộc phải phải sử dụng gói ICMP(Hình 2) Lần xem máy chủ sau tường lửa Hình Traceroute sử dụng UDP Hình Traceroute sử dụng ICMP b) Nascent port seeding • Tình thứ hai liên quan đến ví dụ phổ biến mạng bảo vệ tường lửa chặn tất lưu lượng truy cập ngoại trừ cổng UDP 53 ((Domain Name Service DNS) • Như bạn thấy hình 1, trình quét theo dõi bị chặn bước thứ khơng có lưu lượng phép truy cập vào mạng ngoại trừ truy vấn DNS Tuy nhiên dễ dàng lập đồ host sau cổng • Chúng ta xác định kiểm soát điều sau: o Cổng nguồn bắt đầu quy trình theo dõi o Số lượng đầu dò gửi vòng (theo mặc định 3) o Số hop máy chủ thăm dò tường lửa mục tiêu • Do tường lửa khơng phân tích nội dung, đánh lừa gói tin chúng tơi truy vấn DNS đó, ta vượt qua ACL Chúng ta chỉ cần bắt đầu trình quét với số cổng bắt đầu là: (target_port - (number_of_hops * num_of_probes)) – Trong trường hợp ta có (53 - (8 * 3)) - = 28 • Đầu dị đến lọc có cổng chấp nhận theo quy định ACL tường lửa phép vượt qua mà khơng bị kiểm tra (Hình 3) Hình Thực traceroute với cổng bắt đầu 28 • Nhận thấy trình quét kết thúc sau cổng đích chuyển qua Điều thực tế traceroute tiếp tục tăng số cổng cho đầu dò gửi Traceroute sau thành công bị ACL tường lửa từ chối • Để tiến xa hơn, ta thực sửa đổi đơn giản định tuyến để thêm dòng lệnh để dừng việc tăng cổng (Hình 4) Điều cho phép ta buộc thăm dị chúng tơi gửi phải ACL tường lửa chấp nhận Hình Thực Traceroute thêm dòng lệnh dung tăng cổng i) [-s – 65535] Chỉ định cổng nguồn cho trình quét (cả hai giai đoạn) Hình 18 Firewalk với tuỳ chọn -s 12345 j) [-T 1-1000] Thời gian chờ đọc gói mạng Đây khoảng thời gian mà lối chữa cháy dành để chờ phản hồi trước hết thời gian Mặc định Hình 19 Firewalk với tuỳ chọn -T k) [-t 1-25] Đặt giá trị TTL Nếu gateway đích biết cách máy chủ nguồn (ít nhất) n hop, TTL tải trước để tạo điều kiện quét nhanh Hình 20 Firewalk với tuỳ chọn -t l) [-v] Kiểm tra phiên chương trình Hình 21 Firewalk với tuỳ chọn -v 18 m) [-x 1-8] Expire vector số hop mà đầu dò quét hết hạn, vượt qua máy chủ gateway Hopcount ràng buộc hopcount gateway + expire vector Mặc định  Firewalk với tất tuỳ chọn Hình 22 Firewalk với tất tuỳ chọn -S 80,443 -p TCP -n -i eth0 19 Chương 4: Demo I Cài đặt Firewall cho Kali-Linux Cập nhật database apt update Cài đặt UFW apt install ufw Hình 23 Cài đặt UFW 20 Bật UFW để bắt đầu Ufw enable Hình 24 Khởi động UFW Đảm bảo UFW chạy: sudo ufw status Hình 25 Xem tình trạng hoạt động UFW Sau cài đặt, ta xem Rul mặc định UFW: có sách a) INPUT — lưu lượng truy cập vào máy tính b) OUTPUT — lưu lượng truy cập khỏi máy tính c) FORWARD — lưu lượng truy cập chuyển tiếp từ điểm đến đến điểm đến khác d) APPLICATION POLICY — lưu lượng xác định ứng dụng (khơng phải cổng mạng) Hình 26 Các Rule mặc định UFW 21 INPUT/OUTPUT/FORWARD đặt thành ACCEPT, DROP, or REJECT - APPLICATION đặt thành ACCEPT, DROP, REJECT, or SKIP • ACCEPT — Cho phép lưu lượng truy cập qua tường lửa • REJECT — Khơng cho phép lưu lượng truy cập qua tường lửa gửi lại thông báo ICMP khơng thể truy cập đích đến nguồn gửi • DROP — Cấm gói tin qua tường lửa không gửi phản hồi Cài đặt ufw cho phép lưu lượng đến từ gói tin ssh sudo ufw allow ssh - Hình 27 Thêm Rule cho phép truy cập từ tất gói tin ssh Cài đặt ufw cho phép lưu lượng đến từ máy tính cụ thể (ví dụ từ địa chỉ 192.168.1.176) sudo ufw allow from 192.168.1.176 to any port 22 Hình 28 Thêm Rule cho phép truy cập từ tất gói tin từ địa IP 192.168.1.176 22 Xem rule cài đặt sudo ufw status numbered Hình 29 Xem rule cài đặt UFW Xố rule sudo ufw delete Hình 30 Xố rule vị trí 23 II Bài lap 1: Kiểm tra Firewall Rules với Firewalking Kiểm tra firewall IP mục tiêu nmap 18.142.49.202 Hình 31 Kiểm tra firewall host nmap 24 Thử quét IP firewalk không dùng tuỳ chọn Hình 32 Kiểm tra IP gateway mục tiêu firewalk không dùng tuỳ chọn thêm 25 Kiểm tra Firewalk với tất tuỳ chọn Hình 33 Quét IP firewalk với tuỳ chọn -n -p TCP -S 23 -d 23 - Ta thấy cổng quét cồng 23, nhiên khơng có phản hồi từ cồng 26 Quét Firewalk với cổng chọn 25 Hình 34 Quét Firewalk với cổng 25 - Tuy nhiên quét cổng 25 kết giống quét cổng 23, khơng có phản hồi từ gói tin 27 Quét Firewalk với cổng nằm từ 21 đến 81 Hình 35 Quét Firewalk với cổng từ 21-81 28 Quét Firewalk với cồng 53 tuỳ chọn UDP Hình 36 Quét Firewalk với cổng 53 tuỳ chọn UDP 29 III Bài lap 2: Kết hợp nmap với firewalk traceroute nmap script=firewalk traceroute nmap script=firewalk traceroute script-args=firewalk.max-retries=1 30 nmap script=firewalk traceroute script-args=firewalk.probetimeout=400ms nmap script=firewalk traceroute script-args=firewalk.max-probed-ports=7 31 Tài liệu tham khảo [1] "What is a Firewall," [Online] Available: https://www.cisco.com/c/en/us/products/security/firewalls/what-is-a-firewall.html [2] "Firewalk," [Online] Available: http://packetfactory.openwall.net/projects/firewalk/ [3] M S David Goldsmith, Firewalking, 1998 [4] B D G G a E Y.Rekhter, Address Allocation for Private, 1996 [5] "traceroute," [Online] Available: https://linux.die.net/man/8/traceroute [6] A Heyen, "Firewalk Tool Intro," [Online] Available: https://www.defensivestance.com/firewalk-intro/ [7] "Traceroute," [Online] Available: https://networklessons.com/cisco/ccna-routingswitching-icnd1-100-105/traceroute [8] "Traceroute - Linux," [Online] Available: https://linux.die.net/man/8/traceroute6 [9] R Belleville, "Traceroute Limitations Explained," 2017 [Online] Available: https://www.netbraintech.com/blog/limitations-of-traceroute/ 32 ... bị bảo mật mạng giám sát lưu lượng mạng đến và định cho phép lưu lượng qua chặn lưu lượng dựa quy tắc bảo mật xác định - Chúng thiết lập rào cản mạng nội mạng bên ngoài, xác định mạng mạng tin... lượng mạng bắt nguồn từ bên phạm vi mạng tiến dần vào bên Mô tả lưu lượng mạng bắt nguồn từ bên mạng tiến dần bên Một máy chủ đa kênh sử dụng ACL để lọc gói tin IPdatagram, kiểm sốt lưu lượng mạng. .. hoang nghêng đóng góp - Firewalk giúp đánh giá cấu hình bảo mật thiết bị lọc gói, chẳng hạn thiết bị sử dụng hệ thống tường lửa Nó có liên quan đến đánh giá an ninh mạng, kiểm tra thâm nhập mạng