Add to collection(s) Add to saved
  1. No category
Uploaded by Nam Le

Huong dan thuc hanh

advertisement 
Lab1: Khai thác lỗ hổng trên website (joomla 1.5)
1.
2.
3.
4.
5.
6.
Khởi động máy chủ Server 2003 cài sẵn joomla và Windows XP
Gõ http://192.168.1.1/joomla/ vào trình duyệt của XP. Chọn Features
Thay index.php?option=com_user&view=reset&layout=confirm vào địa chỉ trình duyệt
Trên thẻ Token gõ ký tự ‘ và chọn Submit
Reset lại pass là admin
Gõ http://192.168.1.1/joomla/administrator vào trình duyệt và đăng nhập với quyền quản trị với
Username: admin pass admin
Lab2: Dùng chương trình Cain để khai thác lỗ hổng trên mạng: Lấy pass yahoo mail
1. Khởi động Windows XP và Download Cain từ google.com
2. Cài đặt và khởi động cain. Sau đó chọn các bước như hình vẽ
3. Dùng APR để đảo lộn bảng địa chỉ MAC giúp gói tin máy 192.168.1.6 gửi về máy của mình.
1
4. Sử dụng máy khác đăng nhập vào yahoo mail bởi tài khoản nndung84a pass 123456
Tiếp theo ta bắt password tài khoản người dùng của windows server 2003
1. Mở Server 2003 và Windows XP có cài Cain, dùng cain để bắt mật khẩu của tài khoản người dùng
như hình vẽ bên dưới:
2. Chọn như hình vẽ dưới
2
3. Cuối cùng ta cũng được mật khẩu như bên dưới
-
Dùng công cụ Web Brower password viewer trên đĩa Hirents boot có thể đánh cắp thông tin tài khoản
cá nhân trên máy tính cục bộ
3
Lab3: BẮT NỘI DUNG CHAT YAHOO MESSENGER
Yêu cầu:
-
Từ máy Hacker có thể bắt được nội dung chat Yahoo mesenger của 2 nhân viên A, B ngồi chat ở máy
số 2 và số 3.
Cài đặt chi tiết:
1. Cài đặt 3 máy XP và cài yahoo messenger cho 2 nhân viên A và B
2. Cài immonitor_yahoo_messenger_spy_v2.2.9 lên máy Hacker và Crack bằng file patch
3. Chạy chương trình để bắt tin nhắn giữa A và B.
Lab4: Hack Gmail, Yahoo mail, Facebook bằng cách nghe lén cookie (mô hình Lab3):
1. Cài đặt 1 máy Hacker (Server 2003) với các phần mềm:
- Cain và Abel
- Wireshark-win32
- Firefox
- https://addons.mozilla.org/vi/firefox/addon/add-n-edit-cookies/
- Ferret.exe và hamster.exe
Ferret.exe –i – w: xem card mạng
Ferret.exe – i <số hiệu card mạng>: tạo file cookie hamster.txt nhận được từ card mạng
Ferret.exe –r <pcap file>: tạo file cookie hamster.txt nhận được từ pcap
2. Các bước thực hiện:
a. Dùng Cain để tấn công MAC máy cần hack, có thể dùng Wireshark để chụp các gói tin.
b. Trên máy XP, đăng nhập các tài khoản
c. Máy Hacker: dò cookie và thử đăng nhập
4
Lab5: BẢO MẬT EMAIL VỚI MDAEMON
Nội dung:
- Với MDaemon người dùng đăng nhập cục bộ trên máy chủ mail có thể đọc và thay đổi email trao đổi
giữa u1 và u2.
- Cài CA (Cerificate Authority) cho u1 và u2 nhằm gửi thư được ký (sign) và mã hoá (encry).
Các bước triển khai:
1. Triển khai MDeamon (Xem tài liệu triển khai MDaemon)
Cài DNS và cấu hình DNS record Cname là: mail.netclass.com với máy Server2003
Cài MDeamon và cấu hình:
- Vào Setup/Default Domain... và khai báo Domain là: netclass.com
- Đăng nhập từ máy trạm với địa chỉ: http://mail.netclass.com:3000/
Với Admin: Vào C:\Mdaemon\Users\Tên Domain\Folder tên User (Đường dẫn khi cài đặt Mdaemon)
Mở File Md5XXXXXXX bằng Notepad để xem nội dung email.
2. Triển khai CA để cấp dịch vụ mã hoá email
- Cài thêm các dịch vụ trên Server2003:
(Vào Application Server: chọn ASP.NET, vào IIS chọn: NNTP và SMTP)
Chọn Certification Services. Nhấn Next
5
Chọn Stand-alone root CA, nhấn Next
Gõ tên cho CA, Nhấn Next
Nhấn Next
Chọn Yes 2 lần.
Tiếp theo cấp CA cho u1
Tại máy trạm vào trang: http://mail.netclass.com/certsrv
6
Chọn Request a certificate
Chọn Email Protection Ceritificate
Chọn u1 và nhấn Submit
7
Chọn Yes
User u1 đã xin cấp chứng chỉ xong
Tiếp theo, Admin cần xác nhận yêu cầu của user trên máy Server2003:
Chọn Certification Authority như hình dưới:
Chọn issue
8
Bây giờ nếu User gửi email sẽ bị lỗi. Vậy trước khi gửi mail cần cài đặt chứng chỉ.
Tại Client vào trang: http://mail.netclass.com/certsrv. Chọn View the …
Chọn E-Mail Protection Certificate
Chọn Install this certificate
Chọn Yes 2 lần thì nhận được kết quả cài đặt thành công
Thực hiện tương tự như vậy cho u2 trên máy trạm thứ 2.
(Nếu sau khi cài IIS mà báo lỗi gửi email thì disable Default SMTP Virtual Server trong IIS)
9
Lab6: BẢO MẬT Web IIS VỚI HTTPS
Chuẩn bị:
-
Windows Server 2003 đã nâng cấp lên Domain Controller với tên miền netclass.edu.vn
-
Cấu hình DNS cho WebServer
-
Cài Web IIS
Triển khai:
1. Cài IIS:
Chọn dịch vụ IIS như hình bên dưới
Cấu hình IIS:
- Chọn Start\ Administrative Tools\ Internet Information Services (IIS) Manager
- Tại Web Sites, nhấn chuột phải chọn New/ Web Site… và tạo một website.
- Cấu hình DNS để có thể truy cập website theo địa chỉ www.netclass.edu.vn từ máy trạm
10
2. Cấu hình https:
-
Cài đặt CA.
Vào Start -> Settings -> Control Panel -> Add or Remove Programs -> WindowsComponent Wizard -> Check vào
Certificate Services
Nhấn Next
Nhấn Next
Tiếp tục nhấn Next cho đến khi hoàn thành (tương tự Lab5)
11
Cấu hình IIS xin Certificate:
Start -> Programs -> Administrative Tools -> Internet Information Services (IIS) Manager
Chọn Properties của Website (MyHome)
Chọn thẻ Directory Security
Chọn Server Certificate, chọn Next, chọn Create a new ceritificate
Chọn Send the … và nhấn Next
12
Đặt tên cho chứng chỉ:
Nhấn Next
Nhấn Next
13
Chọn như hình bên dưới và nhấn Next
Nhấn Next cho đến khi nhận hộp thoại Finish
Và kiểm tra kết quả tại máy trạm:
14
Lab7: CẤU HÌNH QUYỀN NTFS
Cho sơ đồ mạng như sau:
Yêu cầu:
-
Xây dựng hệ thống mạng trên cho 2 chi nhánh Hà Nội và Tp. HCM
-
Máy PC tại Hà Nội có thể join vào máy miền đặt tại Tp. Hồ Chí Minh
-
Tại máy QL miền có tên là netclass.edu.vn tạo cây thư mục:
-
Trên máy QL miền, tạo các Domain group: QUANLY, KETOAN với các user tương ứng:
Group KETOAN: KT1 với pass: 123; KT2 với pass là 123
Group QUANLY: QL1 với pass: 123; QL2 với pass là 123
-
Share và phân quyền NTFS như sau :

Thư mục Data : share toàn quyền

Thư mục Dungchung : chỉ có các user trong Group QUANLY và KETOAN có quyền Thêm,
Xóa, Sửa đối với dữ liệu do họ tạo, còn các dữ liệu khác họ chỉ có quyền xem. Tất cả user còn lại
không có quyền gì.

Thư mục QuanLy: chỉ có các user trong group QUANLY có quyền Thêm, Xóa, Sửa đối với dữ
liệu do họ tạo, còn các dữ liệu khác họ chỉ có quyền Xem. Tất cả user còn lại không có quyền gì.

Thư mục KeToan: chỉ có các user trong group KETOAN có quyền Thêm, Xóa, Sửa đối với dữ
liệu do họ tạo, còn các dữ liệu khác họ chỉ có quyền Xem. Tất cả user còn lại không có quyền gì.
Chuẩn bị:
-
1 Windows Server 2003 đã nâng cấp lên Domain Controller với tên miền netclass.edu.vn
-
2 Server 2003 làm router
-
1 Windows XP làm máy trạm
-
Cấu hình DNS cho WebServer
Triển khai:
1. Cấu hình mạng:
15
Sau khi chọn kiểu kết nối mạng và đặt địa chỉ mạng như trên thì từ PC vẫn chưa thể ping được đến
Domain controller (10.0.0.2). Để làm được việc này chúng ta cần bật tính năng định tuyến tại Router1
và Router 2.
Nâng cấp Server 10.0.0.2 lên Domain Controller. Sau đó, gia nhập máy PC vào DC.
2. Trên DC:
-
Tạo cây thư mục theo yêu cầu
-
Tạo tài khoản người dùng và nhóm
Group KETOAN: KT1 với pass: 123; KT2 với pass là 123
Group QUANLY: QL1 với pass: 123; QL2 với pass là 123
16
-
Chia sẻ thư mục Data cho phép toàn quyền đối với mọi người dùng:
Nhấn chuột phải thư mục Data chọn Sharing and Security…
Chọn Permission
Chọn như hình dưới và nhấn OK
17
Thư mục Dungchung : chỉ có các user trong Group QUANLY và KETOAN có quyền Thêm, Xóa,
Sửa đối với dữ liệu do họ tạo, còn các dữ liệu khác họ chỉ có quyền xem. Tất cả user còn lại không
có quyền gì
Nhấn chuột phải thư mục Dungchung chọn Sharing and Security… Sau đó chọn thẻ Security, rồi
Advanced như hình bên dưới
Bỏ chọn Allow inheritable …
18
Chọn Copy
Nhấn Add để thêm nhóm KETOAN
Chọn các quyền NTFS như hình bên dưới và nhấn OK
19
Sau đó loại bỏ nhóm Users để được như hình bên dưới:
Thư mục QuanLy: chỉ có các user trong group QUANLY có quyền Thêm, Xóa, Sửa đối với dữ
liệu do họ tạo, còn các dữ liệu khác họ chỉ có quyền Xem. Tất cả user còn lại không có quyền gì.
Thực hiện tương tự cho thư mục QuanLy để được như hình sau và nhấn Add…
Thêm vào nhóm QUANLY:
20
Chọn các quyền như bên dưới và nhấn OK
Cuối cùng ta được kết quả như sau:
Tương tự như vậy, ta có thể cấu hình quyền cho thư mục KeToan.
Đến đây ta có thể kiểm tra quyền NTFS từ máy PC.
21
Lab8: XÂY DỰNG TƯỞNG LỬA VỚI FIREWALL ISA 2006:
Cho mô hình mạng như sau:
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet, các Công ty thường có yêu cầu:
- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
- Ngăn chặn các tấn công, thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu
việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006
Chuẩn bị:
- 1 Server 2003 làm DC với tên miền netclass.abc
-
1 Server 2003 có 2 card mạng cài ISA 2006.
-
2 máy Windows XP dùng trong LAN1 và LAN2.
Và cấu hình mạng như mô hình cho ở trên.
Trên máy ISA 2006
Bật Rouring và NAT để giúp các máy trong LAN kết nối được Internet
1. Start -> Programs -> Administrative Tools -> Routing and Remote Access
2. Right click server (local) -> Configure and Enable Routing and Remote Access. Sau đó chọn Next
3. Chọn Custom configuration -> Next
4. Chọn LAN routing và NAT and basic firewall -> Next
5. Chọn Finish
22
6. Nhấn Yes
7. B5: Nhấn chuột phải vào NAT/Basic Firewall, chọn New Interface…
8. Chọn WAN to ADSL (interface nối trực tiếp với Router ADSL)
23
9. Chọn như hình dưới và nhấn OK
10. Tiếp tục nhấn chuột phải vào NAT/Basic Firewall, chọn New Interface…
11. Chọn như hình bên dưới
Đến đây từ máy DC và Client đều có thể sử dụng dịch vụ từ mạng Internet.
24
CÀI ISA 2006 TRÊN MÁY ISA2006
Join máy ISA2006 vào miền bằng tài khoản miền netclass.abc thuộc nhóm Domain Admins (có thể dùng tài
khoản Administrator)
1. Tại máy ISA vào thư mục chứa bộ cài đặt ISA SERVER 2006, chạy file isaautorun.exe
2. Chọn Install ISA Server 2006
3. Hộp thoại Welcome to the Install Wizard…, nhấn Next
4. Chọn I accept the terms in the license agreement, nhấn Next
5. Nhập Username, Organization, Product Serial Number, sau đó Bấm Next
25
6. Chọn Typical và bấm Next
7. Trong hộp thoại Internal Network, nhấn chọn Add
8. Sau đó bạn chọn Add Adapter …
26
9. Bạn chọn Card Lan, để khai báo đường mạng nội bộ mà bạn cần quản lý.
10. Nhấn OK để tiếp tục.
11. Kiểm tra lại và nhấn Next
27
12. Tiếp theo trong hộp thoại Firewalll Client Connections, nhấn Next
13. Tiếp theo bạn để theo mặc định và nhấn Next
14. Hộp thoại Ready Install to Program. Bấm Install để bắt đầu quá trình cài đặt
28
15. Hộp thoại Installation Wizard Completed, nhấn Finish
Mặc định sau khi cài ISA server xong, Default rule sẽ cấm các traffict từ bên ngoài kết nối tới máy ISA, từ
bên trong kết nối tới máy ISA.
Thật vậy, chúng ta có thể kiểm tra:
1. Từ máy ISA ping đến máy DC cho kết quả thành công
29
2. Từ máy DC ping đến ISA cho kết quả timeout
3. DC, Client không thể phân giải tên miền
4. Máy DC, Client không thể truy cập Web
30
MỘT SỐ MINH HOẠ XÂY DỰNG CHÍNH SÁCH BẢO MẬT TRÊN ISA SERVER 2006
1. Tạo rule phân giải tên miền DNS:
-
Mở ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule
Hộp thoại Access Rule Names, đặt tên rule là: DNS
Hộp thoại Rule Action, bạn chọn Allow
31
Hộp thoại Protocols, chọn 2 giao thức: DNS và DNS Server
Hộp thoại Access Rule Sources, nhấn Add, chọn 2 mục: Internal và Local Host
Trong hộp thoại Accsess Rule Destinations nhấn add, chọn External
32
Hộp thoại User Sets, chọn All User
Nhấn Finish để hoàn tất rule
Nhấn OK để hoàn thành rule.
33
(Lưu ý: Chính sách trong ví dụ trên được áp dụng cho tất cả các người dùng qua ISA. Trong tình huống
mốn áp dụng cho các nhân viên phòng Kế toán thì làm như sau:
Ở bước chọn người dùng cho hộp thoại User Sets (như cửa sổ bên dưới): Chọn All Users và nhấn Remove.
Sau đó nhấn Add… để thêm nhóm phongKeToan
Chọn New
Đặt tên cho tập users. Nhấn Next
34
Chọn Add. Sau đó chọn Windows users and groups
Chọn Locations…
Chọn miền netclass.abc
35
Nhập tên nhóm (ví dụ phongKetoan). Chọn OK
Chọn Next
Nhấn Finish để hoàn thành việc thêm nhóm
36
Chọn NV phong KT. Nhấn Add và chọn Close
Nhấn Next
Cuối cùng chọn Finish
)
37
Kiểm tra kết quả :
Gõ lệnh nslookup <địa chỉ> <DNS> để kiểm tra kết quả
2. Tạo rule cho phép truy cập web Internet
-
Mở ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule
-
Hộp thoại Access Rule Names, đặt tên rule là: Cho phép truy cập web
38
-
Hộp thoại Rule Action, bạn chọn Allow
-
Hộp thoại Protocols, chọn 3 giao thức: DNS, HTTP, HTTPS
-
Hộp thoại Access Rule Sources, nhấn Add, chọn 2 mục: Internal
39
-
Hộp thoại Access Rule Destinations, nhấn Add, chọn External
-
Hộp thoại User Sets, chọn All User
-
Nhấn Finish để hoàn tất rule
40
-
Nhấn Apply
Nhấn OK để hoàn thành
Kiểm tra việc truy cập đến http://www.msn.com
Hay http://hcm.24h.com.vn
41
3. Cho phép truy cập một số trang web trong một khoảng thời gian nào đó:
-
Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3 tại tab Toolbox,
bung mục Network Objects, nhấn New, chọn URL Set
-
Trong hộp thoại New, chọn URL Set. Ô Name, nhập tên: Trang cho phep, sau đó nhấn add để nhập
các trang web cho phép. Tương tự như vậy, định nghĩa các trang Web không cho phép với tên là
Trang cấm.
-
Tiếp theo, ta sẽ định nghĩa khoảng giờ làm việc: Trong cửa sổ ISA Server Management, chọn
Firewall Policy, tại tab Toolbox, bung mục Schedules, chọn New
42
-
Trong ô Name, nhập tên Thời gian làm việc. Bên dưới chọn từ (7h- 11h) và từ (2h – 6h) và thời gian
nghỉ từ 11h-2h
-
Cuối cùng, ta sẽ định nghĩa rule cho giờ làm việc như trên. Nhấn chuột phải Firewall Policy, chọn
New, chọn Access Rule. Hộp thoại Access Rule Names, đặt tên rule là: Cho phép trong thời gian
làm việc
-
Hộp thoại Rule Action, chọn Allow
43
-
Hộp thoại Protocols, chọn Selected Protocols và nhấn Add. Trong hộp thoại Add Protocols, bung
mục Common Protocols, chọn HTTP và HTTPS, nhấn Add. Nhấn Next
-
Hộp thoại Access Rule Sources, add Internal
44
-
Hộp thoại Access Rule Destinaton, nhấn Add. Bung URL Sets, chọn Trang cho phep. Nhấn Next .
-
Hộp thoại User Sets, chọn All Users, nhấn Next
-
Chọn Finish để hoàn thành
45
-
Chọn apply và nhấn OK
-
Hộp thoại Completing the New Access Rule Wizard, nhấn Finish. Chuột phải lên rule Cho phép
trong thoi gian lam viec, chọn Properties
-
Qua Tab Schedule, trong khung schedule, chọn là Thoi gian lam viec , Nhấn OK
46
Kiểm tra kết quả
4. Cho phép nhóm người dùng sử dụng dịch vụ qua ISA
-
Tạo Nhóm người cho phép truy cập (Xem lại phần Lưu ý của mục Tạo rule phân giải tên miền DNS)
-
Tạo chính sách cho phép như những minh hoạ trên, đến hộp thoại Protocols (như hình dưới), chọn All
outbound traffic (luồng lưu lượng ra bên ngoài)
47
-
Các bước tiếp theo tương tự như các minh hoạ trên.
5. Cho phép gửi mail.
Trong hộp thoại Add Protocols, bung mục Mail, chọn SMTP, POP3,
IMAPS nhấn Add. Nhấn Next
SMTPS,
POP3S,
IMAP4,
6. Điều hướng đến trang cảnh báo khi người dùng truy cập trang web bị cấm:
-
Tạo một chính sách cấm trang web truy cập như trên.
-
Nhấn chuột phải vào chính sách cấm trang web vừa tạo, chọn Properties
-
Chọn tab Action, đánh dấu check vào mục Redirect HTTP requests to this Web Page, khung bên
dưới nhập vào trang web cảnh báo (Ví dụ: http://www.netclass.abc là trang Web cảnh báo).
7. FTP Filter
-
Đối với các FTP Traffic, thông thường ta chỉ nên cho phép chức năng Read Only mà thôi, nghĩa là
users chỉ có thể dùng lệnh GET để download từ FTP Server mà không thể dùng lệnh PUT để upload
file lên FTP Server. Mục đích này nhằm tránh gây thất thoát thông tin ra bên ngoài.
Ví dụ: tạo ra một chính sách cho phép phòng Quản lý sử dụng mọi dịch vụ mạng: Cho phep phong Quan
48
ly su dung dich vu
-
Nhấn chuột phải vào chính sách trên và chọn Configure FTP:
Chọn Option Read Only, chọn Ok rồi nhấn Apply.
8. HTTP Web Filter
Mặc định tất cả các Traffic nào đi qua ISA Server bằng Protocol HTTP đều bị một Application mang
tên Web Proxy Filter trong ISA Server tác dụng. Filter này có chức năng chặn tất cả các Web Traffic và
thực hiện chức năng Semi‐NAT đến Web Server. Địa chỉ IP của Clients vẫn được hiển thị trong gói tin,
nhưng ISA Server có quyền kiềm sóat nội dung gói tin gửi đi. Ta vào ISA Server Management Console,
Chọn Firewall Policy
Chọn tab Tool Box trong Task Pane và tìm Protocol HTTP, chuột phải chọn Properties.
49
Tại mục Application Filter
Ta không thể Disable Default rule này, mà chỉ có thể check hoặc không check mục Application Filter.
Chẳng hạn yêu cầu đặt ra cho các nhân viên của phòng ban Maketing trong giờ làm việc không được nghe
nhạc trực tuyến, không được down load các file có phần mở rộng là *.mp3, *.exe, *.avi. Ngoài ra, cũng không
được chat bằng Yahoo Messenger.
Ta sẽ thiết lập yêu cầu trên như sau :
-
Tại máy ISA Server, trong cửa sổ ISA Server Management, chuột phải lên rule Cho phep truy cap
web chọn Configure HTTP.
50
-
Qua tab Extensions, trong khung Specify the action taken for HTTP methods, chọn Block
specified methods (allow all others)
-
Nhập vào những định dạng file mà bạn muốn cấm : *.mp3, *.exe, *.avi.
-
Chuột phải lên rule Cho phep truy cap wed, chọn Properties, qua tab Content Types, khung This
rule applies to, chọn Selected content types
51
-
Trong khung Content Types bỏ dấu chọn ô Audio và Video (để user không nghe nhạc trực tuyến).
Nhấn Apply, chọn OK
Đối với Yahoo Messenger, ta sẽ chặn bằng Signatures. Chuột phải lên rule cho phep mot nhom truy
cap, chọn Configure HTTP qua tab Signatures, nhấn Add. Ở khung Name, nhập tên: Tu choi Yahoo
Messenger. Khung Search in, chọn tùy chọn: Request headers. Khung HTTP Header, nhập: Host.
Khung Signature, nhập: msg.yahoo.com. chọn OK. Nhấn Apply, chọn OK
Ngoài ra, ta cũng cần định nghĩa thêm các Protocol Definition trên ISA Server để quản lý các TCP port
5050, 5100 và 5000 cho ba dịch vụ Chat,Voice và Webcam của Yahoo Messenger. Sau đó sẽ gán thêm vào
rule trên. Ta định nghĩa như sau :
-
Vào Task Pane, chọn Tab Tool Box, Chọn Menu New chọn Protocol
52
-
Phần Name gõ tên hiển thị là Yahoo Messenger, Giao diện Welcome nhấn Next
-
Giao diện Primary Connection Information, chọn New
-
Trong cửa sổ tạo mới Protocol, chọn Protocol là TCP, Port Range từ 5050 đến 5050. Rồi Ok
53
-
Tương tự, tạo thêm các port 5000 và 5100. Rồi nhấn Next để được kết quả như hình sau:
-
Giao diện Secondary Connection chọn No rồi nhấn Next
-
Kiểm tra lại các thông số và nhấn Finish .
54
Kiểm tra các kết quả:
-
Tại máy trạm không xem được video:
-
Tại máy trạm không xem được Audio
55
Download
advertisement