bài tập lớn giao thức an toàn mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.99 MB, 83 trang )
<span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">
Danh sách các bài đã làm
</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">Mơ hình thực hiện:
- Gồm hai router Cisco 7200
- Hai router được nối với nhau bằng dây Serial ở port Se3/0 ở cả hai router
- Ứng dụng sử dụng: GNS3, Wireshark
Bài 1
</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">Cấu hình trên router MHD1 Cấu hình trên router MHD2
Triển khai PAP
</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">Bắt gói tin trên Wireshark
</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">Kết luận:
PAP (Password Authentication Protocol)
Là giao thức xác thực bắt tay 2 bước (2-way) Xác thực bằng mật khẩu
Mật khẩu được truyền ở dạng rõ và đã bị chặn thu trên đường truyền
Triển khai PAP
</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">Cấu hình trên router MHD1 Cấu hình trên router MHD2
Triển khai CHAP
</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">Bắt gói tin trên Wireshark
</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">Phân tích:
Giá trị ở trường Value là một số ngẫu nhiên, được sinh ra bởi thuật toán băm - Độ dài của data là 25
Gói challange của MHD1
Gói challange của MHD2
</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">KẾT NỐI VỚI SERVER QUA IP
</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">Mơ hình thực hiện:
- Gồm server Windows 2012, 2 client Windows 8 - Hai máy chung đường mạng 10.3.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro
Bài 2: Triển khai Kerberos
10.1.20.8 10.1.20.10
8
</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">Trên server: nâng cấp lên AD với domain: mhd.domain
tạo user client1
cấu hình mạng
</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">Trên Client1
join domain nguyenxuanhieu-srv.class1
Đặt IP
</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">Bắt gói tin trên Wireshark
</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">Gói tin AS-REQ là yêu cầu người dùng xác thực ban đầu (khởi tạo dịch vụ) yêu cầu này được chuyển trực tiếp tới các thành phần được gọi là KDC Authentication Server (AS).
</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">Gói tin AS-REP là trả lời của máy chủ xác thực để yêu cầu trước đó.
Về cơ bản nó chứa TGT (mã hóa bằng cách sử dụng khóa TGS bí mật) và khóa phiên (được mã hóa bằng khóa bí mật của người dùng yêu cầu).
</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">Gói tin TGS-REQ là yêu cầu từ khách hàng đến Cấp vé máy chủ (TGS) cho một vé thông hành.
Về cơ bản nó chứa TGT (mã hóa bằng cách sử dụng khóa TGS bí mật) và khóa phiên (được mã hóa bằng khóa bí mật của người dùng yêu cầu).
</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">Gói tin TGS-REP là trả lời của Cấp vé máy chủ để yêu cầu trước đó.
Nằm bên trong là vé dịch vụ theo yêu cầu (được mã hóa với khóa bí mật của dịch vụ) và phiên dịch vụ một khóa tạo ra bởi TGS và được mã hóa bằng khóa phiên trước đó được tạo ra bởi AS.
</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">Cài đặt MIT Kerberos bằng command
sudo apt install krb5-admin-server krb5-config
</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">chỉnh sửa /etc/hosts để trỏ vào server
</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">Sửa file /krb5dc/krb5.conf, tạo vùng mới
</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">Tạo admin xác thực
</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">Tạo user để xác thực bằng krb
</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">Cài đặt krb5-user trên client
</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">Sửa file config trên server
/etc/hosts và /etc/krb5.conf
</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">Sửa file config để thêm domain ở /etc/krb5dc/krb5.conf
</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">Kiểm tra xác thực trên client
</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">Gói tin AS-REQ
</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">Gói tin AS-REP
</div><span class="text_page_counter">Trang 37</span><div class="page_container" data-page="37">Gói tin Client gọi dịch vụ từ server
</div><span class="text_page_counter">Trang 38</span><div class="page_container" data-page="38">Gói tin server phản hồi dịch vụ cho client
</div><span class="text_page_counter">Trang 39</span><div class="page_container" data-page="39">Mơ hình thực hiện:
- Gồm server Ubuntu 22.04, client Ubuntu - Hai máy chung đường mạng 10.3.20.0/24 - Ứng dụng sử dụng: VMWare workstation pro
Bài 3: Triển khai VPN sử
</div><span class="text_page_counter">Trang 40</span><div class="page_container" data-page="40">Trên máy chủ và máy khách
Cài đặt Strongswan
</div><span class="text_page_counter">Trang 41</span><div class="page_container" data-page="41">Chia sẻ khóa
Máy kháchMáy chủ
</div><span class="text_page_counter">Trang 42</span><div class="page_container" data-page="42">Thiết lập transport AH
Máy kháchMáy chủ
</div><span class="text_page_counter">Trang 43</span><div class="page_container" data-page="43">Kết quả Transport AH
=> Triển khai thành công transport AH
</div><span class="text_page_counter">Trang 44</span><div class="page_container" data-page="44">PHÂN TÍCH GĨI TIN AH / TRANSPORT
<small>•Protocol: Authentication Header (51) : AH được đóng gói bởi giao thức IP và trường protocol trong IP là 51.</small>
<small>•Next header(1 byte): ICMP(1)_Gói tin ICMP code bằng 1.</small>
<small>•Length (1 byte) = 4, phần payload có 4 byte_Chiều dài của AH Header.</small>
<small>•Reserved:(2 byte) Giá trị được giành để sử dụng trong tương lai ( cho đến thời điểm này nó được biểu thị bởi các chỉ số 0).</small>
<small>•AH SPI(4 byte): Giá trị tuỳ ý mà IPSec lựa chọn, dùng để nhận dạng cho kết nối.</small>
<small>•AH Sequence(4 byte) = 5: Số tuần tự của gói tin AH ( số này bắt đu từ số 1), chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có liên quan đến chính sách SA, nhằm chống lại các cuộc tấn công phát lại bằng cách ngăn chặn truyền các datagram bị bắt.</small>
<small>•AH ICV (12 byte): dữ liệu được xác thực. Có độ dài là 96 bit, là dãy số băm từ (IP Header + Payload + Key)</small>
</div><span class="text_page_counter">Trang 45</span><div class="page_container" data-page="45">Thiết lập transport ESP
Máy kháchMáy chủ
</div><span class="text_page_counter">Trang 46</span><div class="page_container" data-page="46">Kết quả Transport ESP
=> Triển khai thành công transport ESP
</div><span class="text_page_counter">Trang 47</span><div class="page_container" data-page="47">PHÂN TÍCH GĨI TIN ESP / TRANSPORT
<small>•Protocol: Encap Security Payload (50) : ESP được đóng gói bởi giao thức IP và trường protocol trong IP là 50.</small>
<small>•ESP SPI(4 byte): Giá trị tuỳ chọn, phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho gói tin. </small>
<small>•ESP Sequence(4 byte): 1: Số tuần tự của gói tin ESP. Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header.</small>
</div><span class="text_page_counter">Trang 48</span><div class="page_container" data-page="48">Thiết lập tunnel AH
Máy khách
Máy chủ
</div><span class="text_page_counter">Trang 49</span><div class="page_container" data-page="49">Kết quả Tunnel AH
=> Triển khai thành cơng tunnel AH
</div><span class="text_page_counter">Trang 50</span><div class="page_container" data-page="50">PHÂN TÍCH GĨI TIN AH / TUNNEL
<small>•Protocol: Authentication Header (51) : AH được đóng gói bởi giao thức IP và trường protocol trong IP là 51.</small>
<small>•Next header: IPIP (4) : Gói tin IPIP code bằng 1 => Chế độ Tunnel</small>
<small>•Length: 4 (24 bytes): Chiều dài của AH Header.</small>
<small>•AH SPI: Giá trị tuỳ ý mà IPSec lựa chọn, dùng để nhận dạng cho kết nối.</small>
<small>•AH Sequense: 1: Số tuần tự của gói tin AH ( số này bắt đầu từ số 1), chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có liên quan đến chính sách SA, nhằm chống lại các cuộc tấn cơng phát lại bằng cách ngăn chặn truyền các datagram bị bắt.</small>
<small>•AH ICV: dữ liệu được xác thực. Có độ dài là 96 bit, là dãy số băm từ (IP Header + Payload + Key)</small>
</div><span class="text_page_counter">Trang 51</span><div class="page_container" data-page="51">Thiết lập tunnel ESP
Máy khách
Máy chủ
</div><span class="text_page_counter">Trang 52</span><div class="page_container" data-page="52">Kết quả Tunnel ESP
=> Triển khai thành công tunnel ESP
</div><span class="text_page_counter">Trang 53</span><div class="page_container" data-page="53">PHÂN TÍCH GĨI TIN ESP / TUNNEL
<small>•Protocol: Encap Security Payload (50) : ESP được đóng gói bởi giao thức IP và trường protocol trong IP là 50.</small>
<small>•ESP SPI: Giá trị tuỳ chọn, phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho gói tin. </small>
<small>•ESP Sequence: 2: Số tuần tự của gói tin ESP. Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header.</small>
</div><span class="text_page_counter">Trang 54</span><div class="page_container" data-page="54">Mơ hình thực hiện:
- Gồm server Ubuntu 22.04 đường mạng 10.3.20.16 - Client Ubuntu 22.04 đường mạng 10.3.20.1
- Ứng dụng sử dụng: VMWare workstation pro
Bài 4: Triển khai telnet
telnet
10.3.20.1 10.3.20.16
</div><span class="text_page_counter">Trang 55</span><div class="page_container" data-page="55">CẤU HÌNH SERVER
</div><span class="text_page_counter">Trang 56</span><div class="page_container" data-page="56">CẤU HÌNH SERVER
</div><span class="text_page_counter">Trang 57</span><div class="page_container" data-page="57">CẤU HÌNH CLIENT
</div><span class="text_page_counter">Trang 58</span><div class="page_container" data-page="58">CẤU HÌNH CLIENT
</div><span class="text_page_counter">Trang 59</span><div class="page_container" data-page="59">BẮT GĨI TIN TELNET BẰNG WIRESHARK
</div><span class="text_page_counter">Trang 60</span><div class="page_container" data-page="60">XEM TỒN BỘ Q TRÌNH KẾT NỐI
</div><span class="text_page_counter">Trang 61</span><div class="page_container" data-page="61">• Dữ liệu truyền đi
</div><span class="text_page_counter">Trang 62</span><div class="page_container" data-page="62">KẾT NỐI VỚI SERVER QUA TÊN MIỀN
</div><span class="text_page_counter">Trang 63</span><div class="page_container" data-page="63">•Gói tin truyền đi khơng có mã hóa
</div><span class="text_page_counter">Trang 64</span><div class="page_container" data-page="64">Mơ hình thực hiện:
- Gồm server Ubuntu 22.04, client windows 8.1 - Hai máy chung đường mạng 10.1.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro,
</div><span class="text_page_counter">Trang 65</span><div class="page_container" data-page="65">sudo apt install openssh-server systemctl status sshd.service
=> Cài đặt SSH, kiểm tra trạng thái SSH thì thấy đang active
<small>=> Đổi tên file id_rsa.pub thành authorized_keys để máy chủ chấp nhận khóa xác thực vừa tạo</small>
</div><span class="text_page_counter">Trang 66</span><div class="page_container" data-page="66">Session và điền các thông tin IP, Username, và file khóa
</div><span class="text_page_counter">Trang 67</span><div class="page_container" data-page="67">Kết quả: Đã triển khai SSH bằng mật mã khóa cơng khai thành cơng
</div><span class="text_page_counter">Trang 68</span><div class="page_container" data-page="68">Bắt gói tin trên Wireshark
Xác thực bằng mật khẩu
</div><span class="text_page_counter">Trang 69</span><div class="page_container" data-page="69">Bài 6: Cài đặt SMTP, POP3
</div><span class="text_page_counter">Trang 70</span><div class="page_container" data-page="70">Bài 6: Cài đặt SMTP, POP3
Cài đặt Thunderbird <sup>Cài đặt Mdaemon</sup>
</div><span class="text_page_counter">Trang 71</span><div class="page_container" data-page="71">Cấu hình IP Server<sub>Cấu hình IP Client</sub>
</div><span class="text_page_counter">Trang 72</span><div class="page_container" data-page="72">Trên server
<small>Cài đặt Domain</small>
</div><span class="text_page_counter">Trang 73</span><div class="page_container" data-page="73">
