Báo cáo thực hành lab07 network security

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.67 MB, 55 trang )

<span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>PHẦN 1: PORT SECURITY</b>

<b>1. Khái niệm: Port Security là một tính năng trong mạng máy tính và các thiết bị</b>

mạng như switch hoặc router, được sử dụng để bảo vệ mạng khỏi các cuộc tấn công hoặc sự xâm nhập thông qua các cổng kết nối (port) trên thiết bị mạng. Tính năng này cho phép người quản trị mạng thiết lập các quy tắc và hạn chế truy cập vào các cổng cụ thể dựa trên địa chỉ MAC (Media Access Control) của các thiết bị

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>Bước 2: Cấu hình cho PC0 và PC1, ta set các thông số về địa chỉ IPv4 của 2 máy trên.</b>

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>Bước 3: Cấu hình Switch bằng các lệnh sau</b>

<i>Switch(config)#interface fa0/1</i>

<i>Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-security</i>

<i>Switch(config-if)#switchport port-security maximum 1Switch(config-if)#switchport port-security mac-address sticky</i>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>Bước 4: Ping từ PC0 sang PC1 bằng lệnh</b><i>ping 192.168.2.2</i>(IP PC1)

<b>Bước 5: Tạo 1 PC2 mới, ngắt kết nối qua Ethernet Fa0/1 từ PC0 tới Switch, sau đó kết</b>

nối PC2 tới Switch bằng cổng Ethernet Fa0/1.

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<b>Bước 7.1: Kiểm tra trạng thái của Switch port bằng lệnh</b>#show interface switchport

<b>Bước 7.2: Kiểm tra Fa0/2 ta thấy mặc dù cổng Fa0/1 đã bị tắt nhưng Fa0/2 vẫn hoạt động</b>

bình thường

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>Bước 8: Tiếp tục kiểm tra các Port bằng lệnh</b>#show port-security

<b>Bước 9: Đưa ra kết luận, ta thấy màn hình console xuất hiện</b>SecurityViolation(1), do đó dẫn tới hành động Security Action được đưa ra nhằm khắc phục tình trạng này là

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

<b>PHẦN 2: DHCP SNOOPING</b>

<b>Bước 1: Thiết lập sơ đồ mạnh như sau với</b>IP Server0 là 192.168.1.0/24vàIP Server1 là 172.16.1.0/24

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>Bước 2: Cấu hình DHCP Server0 và Server1 như hình</b>

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<b>Bước 3: Cấu hình DHCP Server1 như hình</b>

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>Bước 4: Cấu hình Switch sao cho các Client chỉ nhận địa chỉ IP từ DHCP của Server0</b>

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>Bước 5: Test thử kết quả, ta thấy trạng thái</b><i>DHCP request successful.</i>

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

Bước 6: Ngắt kết nối giữa Server0 với Switch rồi xin địa chỉ IP từ DHCP trên PC4. Ta thấy kết quả không xin được địa chỉ IP, trạng thái lúc này hiển thị<i>DHCP failed. APIPA isbeing used.</i>

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

<b>Bước 7: Kết nối lại giữa Server0 và Switch. Rồi xin địa chỉ IP từ DHCP đến PC4. Ta thấy</b>

kết nối thành công

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

<b>PHẦN 3.1: WIFI SECURITY - CẤU HÌNH CƠ BẢN</b>

<b>Bước 1: Thiết lập sơ đồ mạng</b>

<b>Bước 2: Lắp card Wifi cho 3 Laptop-PT bằng cách tắt nguồn rồi gắn card mạng, sau đó</b>

bật nguồn trở lại

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

<b>Bước 4: Cấu hình AP sao cho chỉ cho phép Client 1 và Client 2 connect to wifi.</b>

Ta tiến hành kiếm địa chỉ MAC của Client 03.

<b>Bước 5: Wireles → Enable Wireless MC Filter. Nhập địa chỉ MAC của Client03 theo</b>

định dạng xx.xx.xx.xx.xx.xx → Save Settings.

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

<b>Bước 6: Kết nối Client01, Client02 tới AP.</b>

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

<b>Bước 7: Ta thấy Client03, không thể kết nối với AP</b>

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

<b>Bước 8: Cấu hình</b><i>WPA2-Personal</i>cho AP

<b>Bước 9.1: Sau đó kết nối Client01 với mạng Wifi.</b>

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

<b>Bước 9.2: Tương tự kết nối Client02 với mạng Wifi.</b>

<b>Bước 9.3: Client03 vẫn không thể kết nối với Wifi.</b>

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

<b>Bước 10.1: Xin địa chỉ IP từ DHCP của AP với Client01.</b>

<b>Bước 10.2: Xin địa chỉ IP từ DHCP của AP với Client02.</b>

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

<b>Bước 11: Kết quả ta được mơ hình mạng với Client01 và Client 02 connect to wifi.</b>

<b>Bước 12: Hoàn thành bài thực hành.</b>

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

<b>PHẦN 3.2: CẤU HÌNH CHỨNG THỰC-RADIUS SERVER</b>

<b>Bước 1: Thiết lập sơ đồ mạng</b>

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

<b>Bước 3: Cấu hình</b><i>Authentication Server</i>tạo Account chứng thực.

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

<b>Bước 4: Cấu hình AP đóng vai trị</b><i>Authenticator (WPA2-Enterprise).</i>

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

<b>Bước 5: Cấu hình</b><i>DHCP Server</i>

Bước 6: Thiết lập IP cho server đảm bảo<i>IP Address</i>trùng với<i>Radius Server</i>của AP.

</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">

<b>Bước 7.1: Ta tiến hành kết nối Laptop0 tới AP. Đầu tiên ta tạo Profile mới để kết nối</b>

<b>Bước 7.2: Điền thông tin khớp với các Account ở Bước 3.</b>

</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">

<b>Bước 7.3: Confirm</b>

<b>Bước 7.4: Hoàn tất tạo Profile.</b>

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

<b>Bước 8: Laptop0 kết nối Wifi thành công. Làm tương tự với Laptop1 và Laptop2</b>

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

<b>Bước 10.1: Tiến hành xin IP từ</b><i>DHCP Server</i>đối với Laptop0.

<b>Bước 10.2: Tương tự với Laptop1, và Laptop2.</b>

</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">

<b>Bước 11: Từ Laptop0 ta Ping tới PC.</b>

<b>Bước 12: Ping thành công, kết thúc bài thực hành.</b>

</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">

<b>PHẦN 4: FIREWALL</b>

<b>Bước 1: Thiết lập mơ hình mạng</b>

<b>Bước 2.: Cấu hìnhServer Switch</b>

</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">

(Thiết lập địa chỉ IP cổng Fa0/1) (IP Routing)

(Kiểm tra lại, thấy có 2 subnets)

<b>Bước 3: Cấu hìnhCore Switch</b>

● Đặt hostname

● Thiết lập địa chỉ IP cổng G0/1 ● Thiết lập địa chỉ IP cổng Fa0/1 ● Thiết lập địa chỉ IP cổng Fa0/2 ● Thiết lập địa chỉ IP cổng Fa0/3 ● IP Routing

● Kiểm tra lại bằng lệnh<i>show ip route</i>

(Đặt hostname) <sub>(Thiết lập địa chỉ IP cổng G0/1)</sub>

</div><span class="text_page_counter">Trang 37</span><div class="page_container" data-page="37">

(Kiểm tra lại, thấy có 4 subnets)

<b>Bước 3: Định tuyến CoreSW đến mạng10.10.50.0</b>

(Định tuyến bằng ip route)

(Thiết lập địa chỉ IP cổng Fa0/1) <sub>(Thiết lập địa chỉ IP cổng Fa0/2)</sub>

(Thiết lập địa chỉ IP cổng Fa0/3)

(IP Routing)

</div><span class="text_page_counter">Trang 38</span><div class="page_container" data-page="38">

(Kiểm tra lại, thấy có 5 subnets)

<b>Bước 4: Định tuyến choServer Switch</b>

(Định tuyến bằng ip route đến 3 subnets)

(Kiểm tra lại, kết quả thành cơng)

<b>Bước 5: Cấu hình Static IP cho Server</b>

</div><span class="text_page_counter">Trang 39</span><div class="page_container" data-page="39">

<b>Bước 6.1: Cấp phát Dynamic IP cho Server</b>

<b>Bước 6.2: Làm tương tự cho IP172.16.20.1</b>và<b>172.16.30.1</b>

<b>Bước 7: Đặt Helper IP Address tạiCore Switch</b>

</div><span class="text_page_counter">Trang 40</span><div class="page_container" data-page="40">

<b>Bước 8: Kiểm tra lại bằng lệnh</b><i>sh running-config, sau đó ping thử 2 máy để kiểm tra(Success rate is 100%)</i>

<b>Bước 9: Kiểm tra địa chỉ IP của PC, từ đó lấy được địa chỉ IP của Server.</b>

</div><span class="text_page_counter">Trang 41</span><div class="page_container" data-page="41">

<b>Bước 10: Thiết lập mơ hình mạng như sau</b>

<b>Bước 11: Kiểm ra 2 cổng inside và outside bằng lệnh</b>sh run

</div><span class="text_page_counter">Trang 42</span><div class="page_container" data-page="42">

(Ta thu được kết quả)

(Đặt IP cho 3 cổng) <sup>(Kiểm tra lại)</sup>

</div><span class="text_page_counter">Trang 43</span><div class="page_container" data-page="43">

<b>Bước 12: Cấu hình cho cácRouter</b>

<b>Bước 13: Cấu hình cho cácServer</b>

SERVER1

</div><span class="text_page_counter">Trang 44</span><div class="page_container" data-page="44">

<b>Bước 14: Show route và Route IP của Firewall</b>

(Sau khi<i>show route</i>, ta thấy chỉ tồn tại 2 subnets)

(Route IP)

</div><span class="text_page_counter">Trang 45</span><div class="page_container" data-page="45">

(Kiểm tra lại)

<b>Bước 15: Đường đi củaRouter R1</b>

(Chạy lệnh<i>ip route</i>để định tuyến đường đi của R1)

(Chạy lệnh<i>sh ip route</i>để kiểm tra)

Ta thấy đã có các subnets rồi. Do đó ta đặt địa chỉ IP cho cổng Fa0/4 của CoreSwitch và định tuyến tới đó. Ta dùng cú pháp sau<i>IP add <IP> <sub_mask></i>

(Kiểm tra lại, thì thành cơng)

</div><span class="text_page_counter">Trang 46</span><div class="page_container" data-page="46">

<b>Bước 16: Route tại Firewall</b>

(Kiểm tra lại, thì thành công)

<b>Bước 17: RouteRouter R1</b>

(Dùng lệnh ip route để định tuyến)

(Kiểm tra lại, thì thành cơng)

<b>Bước 18: Ping từ CoreSwitch để kiểm tra kết nối</b>

(Kiểm tra lại, thất bại do bị chặn bởi Firewall)

<b>Bước 19: Mở access control list ở Firewall</b>

</div><span class="text_page_counter">Trang 47</span><div class="page_container" data-page="47">

Dùng lệnh sh run để kiểm tra, sau đó ping lại để kiểm tra

</div><span class="text_page_counter">Trang 48</span><div class="page_container" data-page="48">

2. Truy cập vào web server 8.8.8.8

3. Giới hạn quyền truy cập của các PC: Chỉ cho phép ping và truy cập vào web

(Kiểm tra thấy rằng các PC chỉ có thể ping và truy cập web server, nhưng khơng thể truy cập các thứ khác như FTP)

</div><span class="text_page_counter">Trang 49</span><div class="page_container" data-page="49">

4. Thiết lập FTP Server

5. Ping từ PC0 đến FTP Server

</div><span class="text_page_counter">Trang 50</span><div class="page_container" data-page="50">

6. Tạo file “hello.txt” có nội dung để chuyển qua FTP Server nếu kết nối được

7. Tiến hành kết nối FTP 10.10.5.254 (IP của FTP Server đã được thiết lập ở các bước trên). Tuy nhiên<b>không thể kết nối với FTP Server</b>

</div><span class="text_page_counter">Trang 51</span><div class="page_container" data-page="51">

<b>PHẦN 5: SNORT - IDS</b>

<b>1. Khái niệm: Snort, một phần mềm IDS, đã được phát triển dưới hình thức mã</b>

nguồn mở bởi Martin Roesh. Ban đầu, Snort đã được thiết kế cho hệ điều hành Unix, nhưng sau đó đã mở rộng hỗ trợ cho nhiều nền tảng khác. Snort đã nhận được đánh giá cao về khả năng phát hiện xâm nhập. Mặc dù Snort miễn phí, nhưng nó có nhiều tính năng ấn tượng. Với kiến trúc dạng module, người dùng có khả năng tùy chỉnh và mở rộng tính năng theo nhu cầu của họ cho hệ thống Snort. Snort có khả năng hoạt động trên nhiều nền tảng, bao gồm Windows, Linux, OpenBSD, FreeBSD,...

<b>Bước 1: Cài đặt Snort trên Ubuntu 32 bit bằng</b>lệnh<i>sudo apt-get install snort</i>

</div><span class="text_page_counter">Trang 52</span><div class="page_container" data-page="52">

<b>Bước 2: Kiểm tra Card mạng mà Snort truy cập bằng lệnh</b><i>ifconfig.</i>

<b>Bước 3: Sử dụng câu lệnh</b><i>cd /etc/snort</i>để cấu hình Snort. Ta tiến hành chỉnh sửa file snort.conf.

<b>Bước 4: Dùng lệnh</b><i>sudo gedit snort.conf</i>để chỉnh sửa

</div><span class="text_page_counter">Trang 53</span><div class="page_container" data-page="53">

Màn hình lúc này hiển thị, như sau:

</div><span class="text_page_counter">Trang 54</span><div class="page_container" data-page="54">

<b>Bước 5: Ta cấu hình Snort</b>

</div><span class="text_page_counter">Trang 55</span><div class="page_container" data-page="55">

<b>Bước 6: Ta thiết lập các quy tắc trên Snort</b>

<b>Bước 7: Hoàn thành bài thực hành</b>

</div>