Đăng ký

Không cho máy từ WAN kết nối vào máy máy trên LAN

Một phần của tài liệu BÁO cáo THỰC HÀNH môn an toàn mạng nâng cao LAB 1 THIẾT lập IPSEC CONNECTION DÙNG OPENSWAN (Trang 54)

III. Remote Access dung SSH

4. Cấu hình Ruler Firewall và kiểm tra:

4.2 Không cho máy từ WAN kết nối vào máy máy trên LAN

Hình 85 Rules không cho máy từ WAN kết nối vào máy máy trên LAN

Hình 86. Tiến hành kiểm tra 4.3 Không cho các PC từ DMZ kết nối vào PC trên LAN

Hình 87 Rules không cho các PC từ DMZ kết nối vào PC trên LAN Tiến hành kiểm tra ping từ máy DMZ đến máy LAN(192.168.10.5)

Trước khi apply rules, ta vẫn ping được từ DMZ đến LAN( 192.168.10.5)

Hình 88. Tiến hành kiểm tra

LAB 6 : CONFIG ASA BACSIC

Yêu cầu:

1. Kết nối và cấu hình địa chỉ IP thiết bị theo mô hình

2. Cấu hình định tuyến trên FW và router R2 , đảm bảo người dùng trong vùng inside cóthể giao tiếp được với các server vùng DMZ thể giao tiếp được với các server vùng DMZ

3. Cấu hình FW chỉ cho phép PC với IP 192.168.2.10 được phép SSH vào FW

4. Cấu hình static NAT trên FW sao cho người dùng ngoài inetrnet chí có thể truy cập được dịch vụ Remote Desktop của server 192.168.10.10

5. Cấu hình PAT trên FW sao cho người dùng từ vùng inside có thể truy cập được các dịch vụ ngoài internet

Hình 89. Mô hình ASA

1. Cấu hình thông tin trên các cổng của FWCổng inside Cổng inside

Hình 90. Thông tin cấu hình trên cổng inside Cổng DMZ

Hình 92. Thông tin cấu hình trên cổng outside 2. Cấu hình định tuyến

Cấu hình default-route trên router R2 Cấu hình static route trên FW

Hình 93. Thông tin cấu hình static route trên FW Mặc định ASA không cho phép icmp giữa các vùng, cần cấu hình thêm:

Hình 94. Thông tin cấu hình icmp trên FW 3. Cấu hình SSH trên FW

Hình 95. Thông tin cấu hình SSH trên FW Sau đó ta có thể truy cập SSH từ PC 192.168.2.10

Hình 96. Kết quả SSH vào FW trên ( PC 192.168.2.10)

4. Cấu hình static NAT và ACL để cho từ bên ngoài có thể truy cập dịch vụ Remote Desktop trên vùng DMZ Desktop trên vùng DMZ

Bước 1: Cấu hình object network:

Hình 97. Thông tin cấu hình object network Bước 2: Cấu hình object service:

Hình 98. Thông tin cấu hình object service

Hình 101 kết quả remote desktop vào PC 192.168.10.10

Hình 102. Kết quả truy cập dịch vụ remote desktop từ PC ngoài vùng outside 5. Cấu hình PAT để cho phép người dùng từ inside có thể truy cập internet

Hình 103. Thông tin cấu hình PAT cho phép inside truy cập internet Sau khi cấu hình xong, ta có thể truy cập internet

Hình 104. Kết quả truy cập internet từ PC (192.168.2.10) (inside)

Hình 105. Kết quả ping từ PC ( 192.168.2.10 inside) đến PC (192.168.10.10 DMZ)

Hình 106. Mô hình thực hiện cấu hình IPSEC VPN SITE TO SITE 1. Mô tả

Thực hiện cấu hình IPSec VPN giữa hai site đảm bảo mạng LAN thuộc SAIGON và VUNGTAU có thể giao tiếp đươc với nhau

2. Cấu hình

2.1 Cấu hình trên router SAIGON

Bước 1: Cấu hình chính sách IKE (chính sách pha 1)

Hình 107. Thông tin cấu hình chính sách IKE trên router SAIGON Bước 2: Xác định thông tin key và peer

Hình 108. Thông tin key và peer trên router SAIGON Bước 3: Cấu hình chính sách IPSec ( chính sách pha 2)

Hình 109. Thông tin cấu hình chính sách IPSEC trên router SAIGON Bước 4: Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ

Hình 110. Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ trên souter SAIGON Bước 5: Cấu hình crypto map

Hình 111. Cấu hình crypto map trên router SAIGON 2.2 Cấu hình trên router VUNGTAU

Bước 1: Cấu hình chính sách IKE (chính sách pha 1)

Hình 113. Thông tin key và peer trên router VUNGTAU Bước 3: Cấu hình chính sách IPSec ( chính sách pha 2)

Hình 114. Thông tin cấu hình chính sách IPSEC trên router VUNGTAU Bước 4: Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ

Hình 115. Xác định luồng dữu liệu được mã hóa hay bảo về trên router VUNGTAU Bước 5: Cấu hình crypto map

Hình 116. Thông tin cấu hình crypto map trên router VUNGTAU 3. Kiểm tra

Kích hoạt kết nối VPN dựa vào lưu lượng xác định trên acl 100

Sauk hi kết nối VPN được thiết lập có thể kiểm tra thông tin về pha 1 và pha 2 Trạng thái isakmp sa:

Hình 118. Trạng thái crypto isakmp sa Trạng thái ipsec sa:

Số lượng kết nối được mở ( 1 IKE và 2 IPSEC)

Hình 120. Số lượng kết nối

LAB 8 TẤN CÔNG DDOS BẰNG SYNFLOOD VÀ HPING3

1. Tấn công ddos bằng synflood

SYN flood ( half-open attack) là một kiểu tấn công từ chối dịch vụ (DDos), tấn công này với mục đích làm cho Server không có lưu lượng để truy cập hợp pháp bằng cách tiêu thụ tất cả tài nguyên server đang có sẵn. Bằng việc gửi liên tục gửi các packet tin yêu cầu kết nối ban đầu (SYN).

Hình 122. Thông tin máy nạn nhân Bước 1 : Kiểm tra port 445 của máy nạn nhân có mở không

Bước 2 : Tiến hành giả lập máy ảo với địa chỉ 192.168.0.1 để tấn công máy nạn nhân với địa chỉ 192.168.36.142

Hình 125. Dùng msfconsole để show các options Mở wireshark để xem thông tin các gói tin:

Đầu tiên, máy tấn công gửi 1 packet tin SYN đến Server để yêu cầu kết nối.

Sau khi tiếp nhận packet SYN, Server phản hồi lại máy khách bằng một packet SYN/ACK, để xác nhận thông tin từ Client.

Bước 3: Mở wireshark và theo dõi

Cuối cùng, Client nhận được packet tin SYN/ACK thì sẽ trả lời server bằng packet tin ACK báo với server biết rằng nó đã nhận được packet tin SYN/ACK, kết nối đã được thiết lập và sẵn sàng trao đổi dữ liệu.

Hình 126. Gói tin bắt được khi tấn công Mở task manager và quan sát biểu đồ hoạt động

Hình 127. Biểu đồ hoạt động của cpu trên máy nạn nhân 2. Tấn công với hping 3

Hping3 là một ứng dụng đầu cuối dành cho Linux điều đó sẽ cho phép chúng tôi dễ dàng phân tích và lắp ráp các gói TCP / IP. Không giống như một ping thông thường được sử dụng để gửi các gói ICMP, ứng dụng này cho phép gửi các gói TCP, UDP và RAW-IP.

Hping3 –S 192.168.36.133 –a 192.168.36.142 –p 335 –flood ( với 192.168.36.133 là ip máy tấn công, 192.168.36.142 là ip máy nạn nhân )

Hình 128. Tấn công với câu lệnh hping3 Mở task manager để xem thông tin cpu của máy nạn nhân

Hình 129. Mở taskmanager trên máy nạn nhân và theo dõi bểu đồ Mở wireshark và theo dõi gói tin

Hình 130. Mở wireshark và theo dõi gói tin 3. Tấn công ddos bằng botnet:

Botnet là một mạng lưới các máy tính được cài phần mềm để làm 1 công việc nào đó. Người ta thường nói về botnet với nghĩa xấu hơn là tốt vì botnet hay được hacker mũ đen sử dụng để tấn công một website hay một dịch vụ online nào đó

Mô hình gồm 2 máy : 1 máy attack , 1 máy victim Máy attack (linux với IP 192.168.36.155)

Hình 131. Thông tin máy server Máy client (win 2012 với IP 192.168.36.162)

Bước 2: Cấu hình file client.py trên máy client Trên máy client ta có file client.py như sau

Bước 3 : Thực thi file server.py trên máy server

Hình 135. Thực thi file server.py để tạo botnet Bước 4: Thực thi file client.py trên máy client

Hình 136. Thực thi file client.py để kết nối đến máy server Bước 5: Kiểm tra đã có kết nối trên máy attack

Hình 137. Kiểm tra kết nối trên máy server bằng lệnh list Bước 6: Tấn công đến máy nạn nhân

Bước 7 : Mở taskmanager trên máy nạn nhân và theo dõi Ta thấy , cpu tăng đột ngột

Hình 139. Thông tin cpu trên máy nạn nhân khi bị tấn công Khi tiến hành ngừng tấn công, cpu giảm nhanh dần

Hình 140. Thông tin cpu trên máy nạn nhân khi ngừng tấn công Bước 8: Mở wireshark trên máy nạn nhân và theo dõi

Một phần của tài liệu BÁO cáo THỰC HÀNH môn an toàn mạng nâng cao LAB 1 THIẾT lập IPSEC CONNECTION DÙNG OPENSWAN (Trang 54)

Tải bản đầy đủ (PDF)

(84 trang)