VI. CÁC CÔNG CỤ ĐÁNH GIÁ VÀ PHÂN TÍCH MẠNG
b. Lab Sử dụng IBM App Scan để Scan lỗ hổng bảo mật trên Web
4. Kỹ thuật phân tích gói tin và nghe nén trên mạng.
a. Bản chất của Sniffer
Sniffer là quá trình chuyển tín hiệu điện sang tín hiệu số rồi Decode chúng lên các Layer cao hơn để đọc được các thông tin cần thiết.
Trên Windows có thư viện WinPcap làm nhiệm vụ này Trên Linux có thư viện LibPcap làm nhiệm vụ này
Tất cả các công cụ đều phải sử dụng WinPcap hoặc LibPcap để có thể Decode được gói tin từ Layer 2 – Layer 7.
Page | 234 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
b. Mơ hình phân tích dữ liệu chun nghiệp cho doanh nghiệp
Dưới đây là một mơ hình tích hợp giải pháp phân tích luồng dữ liệu, ứng dụng của q trình Sniffer.
Dữ liệu đầu tiên được đi qua thiết bị SSL Inspector (toàn bộ traffic sẽ được giải mã) dữ liệu của người dùng vẫn khơng bị gián đoạn. Tồn bộ dữ liệu sẽ được giải mã và nhân bản qua một port khác của thiết bị.
Luồng dữ liệu được đi vào thiết bị phân chia luồng thông tin, những dữ liệu cần thiết sẽ được lọc và phân tích trên thiết bị này.
Forensic là thiết bị lưu trữ tồn bộ băng thơng mạng và đưa ra các báo cáo chi tiết (dạng như Wireshark nhưng chi tiết hơn rất nhiều).
Page | 235 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
c. Môi trường Hub
Hub là một Collision Domain nên việc capture traffic trên mạng là hoàn toàn dễ dàng. Đối với những giao tiếp khơng mã hóa thì dễ dàng đọc được thông tin.
d. Kỹ thuật Sniffer trong môi trường Switch
Switch sử dụng MAC Address Table để forward gói tin tới các port cụ thể. NE-SW1#show mac address-table
Mac Address Table
Vlan Mac Address Type Ports ---- ----------- -------- -----
All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0180.c200.0000 STATIC CPU All 0180.c200.0001 STATIC CPU All 0180.c200.0002 STATIC CPU All 0180.c200.0003 STATIC CPU All 0180.c200.0004 STATIC CPU All 0180.c200.0005 STATIC CPU All 0180.c200.0006 STATIC CPU All 0180.c200.0007 STATIC CPU All 0180.c200.0008 STATIC CPU All 0180.c200.0009 STATIC CPU All 0180.c200.000a STATIC CPU All 0180.c200.000b STATIC CPU All 0180.c200.000c STATIC CPU All 0180.c200.000d STATIC CPU All 0180.c200.000e STATIC CPU All 0180.c200.000f STATIC CPU All 0180.c200.0010 STATIC CPU
Cho nên khi một máy muốn Sniffer trong môi trường Switch cần phải thực hiện:
- Sniffer chính thống: Cấu hìnhPort Monitor trên Switch, muốn giám sát port nào hay
VLAN nào thì đổ luồng traffic vào port đó.
- MAC Spoofing: làm ngập bảng MAC Address Table trên Switch (phương án này
tương đối khó.
- ARP Spoofing: Thay đổi bảng ARP Table trên máy cần sniffer và gateway.
Page | 236 Copyright by Tocbatdat
[TL:ĐàotạovềAntồnthơngtinchoABC 6,2012
- Công cụ SwitchSniffer thực hiện ArpSpoofing
Bước 2: Sau khi cài đặt, hệ thống hiển thị thông tin IP và MAC.
Page | 237 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Bước 3: Thiết lập Option tấn công ARP Spoofing
<-> gateway là giả mảo IP-MAC trên cả Gateway và máy tính tấn cơng <- gateway là chỉ giả mạo MAC với máy tính lựa chọn tấn công
-> gateway là chỉ giả mạo MAC trên Gateway (trường hợp này chống lại các máy tính cài đặt các chương trình bảo mật).
Bước 4: Scan hệ thống mạng và lựa chọn máy tính cần Attack Arp
Page | 238 Copyright by Tocbatdat
Nhân Start để tấn công Arp, sau khi thực hiện tấn cơng ARP tồn bộ traffic từ máy tính bị tấn cơng và gateway đều đi qua máy tính này.
e. Mơ hình Sniffer sử dụng cơng cụ hỗ trợ ARP Attack
Switch
3 2 1 Router
Vmware Bridge Network VM1 cài đặt
Switchsniffer để hướng luồng thông tin
Page | 239 Copyright by Tocbatdat
VM2 cài đặt các
công cụ Sniffer: Wireshark, Cain, Colasoft
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Mơ hình tấn cơng gồm 2 máy ảo:
Máy ảo VM1 cài đặt công cụ Switchsniffer thực hiện việc tấn cơng ARP để tồn bộ traffic của máy bị tấn cơng đi qua máy VM1 mới ra được mạng.
Máy ảo VM2 do cùng hub Bridge với VM1 nên gói tin nào đi vào VM1 thì VM2 cũng nhận được, trên máy ảo VM2 này cài đặt các công cụ Sniffer như: Colasoft, Wireshark, Cain & Abel.. để capture traffice trên mạng.
5. Công cụ khai thác lỗ hổng Metasploit
Page | 240 Copyright by Tocbatdat
Page | 241 Copyright by Tocbatdat
[TL: Đào tạo về An toàn thông tin cho ABC 6, 2012
Page | 242 Copyright by Tocbatdat
Page | 243 Copyright by Tocbatdat
Page | 244 Copyright by Tocbatdat
Page | 245 Copyright by Tocbatdat
Page | 246 Copyright by Tocbatdat
Page | 247 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
c. Kết luận
Metasploit framwork là một công cụ hiệu quả để thực hiện quá trình kiểm tra an ninh mạng cho hệ thống. Metasploit Framwork hỗ trợ công cụ Scan, Exploit và đưa ra các report về các lỗ hổng đó.
6. Sử dụng Wireshark và Colasoft để phân tích gói tin
Sau khi xây dựng được mơ hình Sniffer như trên thực hiện cài đặt các cơng cụ Sniffer trên máy tính VM2 để thực hiện việc Capture
d. Sử dụng Wireshark để phân tích gói tin và traffic của hệ thống mạng
Sau khi cài đặt chạy Wireshark cho phép Capture Filter (chỉ lựa chọn những IP, phiên kết nối, Port dịch vụ) để capture. Hoặc sau khi Capture Wireshark cho phép lọc lấy những thông tin cần thiết.
Wireshark thực hiện capture những thông tin cần thiết Page | 248 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Lựa chọn card mạng thực hiện Capture, thiết lập Capture Filter để capture những gì cần thiết
Thiết lập Capture Filter: to or from host IP net 192.168.0.0/24 to dst host IP dst net IP from src host ip
Page | 249 Copyright by Tocbatdat
[TL: Đào tạo về An toàn thông tin cho ABC 6, 2012
src host IP port port 53 tcp port 80 tcp portrange 1-500 dst port 80 or dst port 443
(host 192.168.0.1 and host 192.168.0.50) and (port 80 or 443)
Thiết lập Filter các gói tin đã capture
to or from
Page | 250 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
ip.addr==IP to ip.dst==IP from ip.src==IP except ip.addr!=IP port tcp.port eq 80 or tcp.port eq 443
(ip.addr==IP1 and ip.addr==IP2) and (tcp.port eq 80 or tcp.port eq 443)
Xem kết quả sẽ thấy được cả một Session telnet giữa máy 192.168.0.121 và máy 192.168.0.194.
Page | 251 Copyright by Tocbatdat
e. Sử dụng Colasoft để phân tích traffic của hệ thống mạng
Nếu như Wireshark là một công cụ Free để người quản trị có thể sử dụng để phân tích gói tin cũng như xem băng thông mạng, nhưng Wireshark cũng chưa thật mạnh trong vấn đề tạo các bảng Drashboard để xem Realtime, tạo report thông minh..
Tất cả những tồn tại của Wireshark đều được khắc phục bởi cơng cụ phân tích gói tin và traffic mạng chuyên nghiệp Colasoft:
Page | 252 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Colasoft có các tính năng phụ trợ cho khả năng Sniffer, sau khi cài đặt cho phép thực hiện capture:
Lựa chọn một hoặc nhiều card mạng để Capture Băng thông mạng hiện nay trên card mạng Capture Nhấn Start
Page | 253 Copyright by Tocbatdat
Giao diện ban đầu
Page | 254 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Thơng tin tổng hợp traffic, packet, address…
Page | 255 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Tổng hợp các giao thức mạng
Page | 256 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Tổng hợp các Session
Page | 257 Copyright by Tocbatdat
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Session Real time
[TL: Đào tạo về An tồn thơng tin cho ABC 6, 2012
Colasoft cũng cho phép lọc thông tin chi tiết hơn Wireshark, cùng các tính năng khác Colasoft đích thực là một cơng cụ phân tích traffic mạng cực mạnh, và có thể sử dụng trong mơ hình mạng thực tế để Troubleshooting sự cố mạng.
VII. KẾT LUẬN
Tài liệu này cung cấp cho người đọc từ khái niệm cơ bản nhất về bảo mật và an tồn thơng tin cũng như các kiến thức chuyên sâu. Từ những kiến thức này người đọc đã có cái nhìn tổng quan về các giải pháp để xây dựng một hệ thống mạng an tồn. Kỹ năng sử dụng các cơng cụ Scan và Exploit giúp người quản trị có khả năng phát hiện các nguy cơ hệ thống trước khi hacker có thể tìm thấy.