BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

Bài tập thực hành

AN TOÀN MẠNG MÁY TÍNH

Chuyên ngành: An toàn thông tin

Sinh viên thực hiện:

Lê Bá Bình – AT140105

Lớp: L02

Giảng viên :

Ths. Đồng Thị Thùy Linh

 Hà nội, 4/2021

Mục lục
Bài 2. Triển khai VPN SSTP..................................................................................3
2.1. Mô hình triển khai.........................................................................................3
2.2. Thực hiện triển khai trên DC_Win server 2012:........................................3
2.2.1. Cài đặt Active Directory Domain Services:..........................................3
2.2.2. Tạo người dùng cho phép truy cập từ xa thông qua VPN...................5
2.2.3. Cài đặt dịch vụ Network Policy Server.................................................7
2.2.4. Cấu hình Radius Server trong Network Policy Server........................9
2.2.5. Cài đặt dịch vụ trung tâm chứng thực CA.........................................17
2.3. Thực hiện triển khai trên máy chủ SRV_Server:....................................29
2.3.1. Thực hiện join vào Domain name của máy chủ DC...........................29
2.3.2. Cài đặt ứng dụng Routing and Remote Access..................................31
2.4. Thực hiện trên máy Windows 7.................................................................41
Bài 1: Triển khai honeynet...................................................................................52
1.1. Mô hình triển khai.......................................................................................52
1.2. Cài đặt máy ảo Honeywall.........................................................................52
 Bài 2. Triển khai VPN SSTP

2.1. Mô hình triển khai.

Eth0:
172.16.1.2 172.16.1.1 192.168.3.170

DC_Winse SRV_Wins Win 7

rver 2012 erver 2012 Client

+ Máy DC_Server sử dụng card vmnet2 trên vmware .

++ Ip: 172.16.1.2 , Sm: 255.255.255.0, DG: 172.16.1.1, DNS: 172.16.1.2

+ Máy SRV_Server sử dụng 2 card mạng vmnet2 kết nối với máy DC và card
vmnet4 kết nối với máy Win 7

++ Card vmnet2: Ip: 172.16.1.1, Sm: 255.255.255.0, DNS: 172.16.1.2

++ Card vmnet4: Ip: 192.168.3.150, Sm: 255.255.255.0, DG:192.168.3.1

+ Máy Win 7: sử dụng card vmnet 4 kết nối với SRV

++ IP: 192.168.3.170, Sm: 255.255.255.0, DG: 192.168.3.1

2.2. Thực hiện triển khai trên DC_Win server 2012:

2.2.1. Cài đặt Active Directory Domain Services:
+ Cài đặt Active Directory Domain Services để máy chủ SRV_Win server 2012
có thể join vào tên miền của DC.
+ Cài đặt với Root domain name : thatm.vn
+ Cài đặt thành công Domain name trên máy chủ DC_server

2.2.2. Tạo người dùng cho phép truy cập từ xa thông qua VPN.

+ Tạo người dùng với tên : LEBABINH_AT140105

+ Tạo thành công LEBABINH_AT140105.

+ Tích chọn Allow Access cho phép truy cập từ xa.

+ Tạo nhóm VPN_L02 và thêm người dùng LEBABINH_AT140105 vào nhóm.

2.2.3. Cài đặt dịch vụ Network Policy Server.

+ Tại bước lựa chọn vai trò (Select server roles): Chọn Network Policy and
Access Services:

+ Giao diện lựa chọn dịch vụ chọn: Network Policy Server.

2.2.4. Cấu hình Radius Server trong Network Policy Server.
+ Chuột phải vào NPS để đăng ký dịch vụ trong Active Directory:

+ Nhập tên và địa chỉ IP của máy SRV. Phần Shared Secret: Khóa bí mật chia sẻ
giữa 2 máy.
+ Tiếp theo cần phải định nghĩa chính sách xác thực.
+ Xóa 2 chính sách mặc định đã có. Và tạo chính sách mới.

+ Tạo chính sách mới với tên VPN_L02.

+ Giao diện xuất hiện chọn Windows Groups:

+ Chọn Add Group để thêm nhóm.

+ Giao diện select condition xuất hiện tìm đến và chọn NAS PortType:

+ Chọn Add để xuất hiện bảng lựa chọn dịch vụ. Tích chọn Virtual (VPN).
+ Lúc này giao diện chính sẽ có 2 điều kiện đã được định nghĩa:
+ Giao diện tiếp theo chọn quyền truy cập: chọn Access granted .

+ Giao diện tiếp theo chọn giao thức xác thực, chọn Secured password.
+

+ Giao diện sau khi cấu hình.

2.2.5. Cài đặt dịch vụ trung tâm chứng thực CA.

+ Chọn Active Directory Certificate Services:

+ Đến giao diện Select roles services: Tích 2 tùy chọn như hình và install để cài
đặt.
+ Cấu hình CA để cấp phát chứng thư số cho máy chủ SRV. Tích chọn 2 tùy chọn.

+ Giao diện tiếp theo chọn Enterprise CA:

+ Chọn hệ mật và độ dài khóa.
+ Cấu hình hoàn tất.
+ Cấp phát chứng thư số.

+ Chuột phải vào Web Server chọn Properties:

+ Tab Security, nhóm Authenticated Users: tích chọn Enroll:

+ Bật MMC từ run chọn File → Add or Remove snap-in, chọn Certificates Add.
+ Tại giao diện quản lý chứng thư số:

+ Chuột phải vào Certificates → All task → Request new certificate. Cửa sổ xuất
hiện chọn Next.
Giao diện quản lý chứng thư số mẫu:

+ Tích chọn dòng chữ màu xanh có cảnh báo màu vàng để cấu hình.

Cửa sổ Certificate Properties xuất hiện. Chọn tab Subject:

Mục type chọn Common name

Mục Value nhập IP là giao diện bên ngoài của máy chủ SRV.
+ Chuyển sang tab Private Key tích chọn vào mục Make private key exportable để
xuất khóa bí mật.

+ Lúc này tích chọn vào ô Web Server:

+ Chọn Enroll để xuất chứng thư số.

+ Lúc này trong mục chứng thư số cá nhân đã có chứng thư số của SRV. Nhập mật
khẩu bảo vệ chứng thư:
+ Lưu chứng thư số ổ C của SRV.
2.3. Thực hiện triển khai trên máy chủ SRV_Server:
2.3.1. Thực hiện join vào Domain name của máy chủ DC.

+ Kiểm tra kết nối giữa DC và SRV: Từ máy SRV_server ping sang máy DC.
+ Thực hiện join vào Domain name của máy DC.

+ Join thành công vào domain name của DC.

2.3.2. Cài đặt ứng dụng Routing and Remote Access.
+ Chọn Remote Access.
+ Cài đặt chứng thư số đã cấp ở bước trước. Truy cập vào ổ C:\

+ Giao diện bên phải đã thấy chứng thư số dành cho địa chỉ IP của chính máy
SRV.
+ Truy cập vào Trusted Root Certification Authority. Thấy chứng thư số của máy
chủ CA.

+ Cấu hình dịch vụ Routing and Remote Access.

+ Chuột phải vào Server SRV chọn Configure and Enable Routing:

+ Giao diện tiếp theo lựa chọn phương thức sử dụng: chọn Custom Configure

Giao diện tiếp theo tích vào 2 tùy chọn như hình dưới đây chọn chức năng VPN và
NAT:
+ Giao diện sau khi cài đặt.
+ Chuột phải vào tên máy chủ SRV chọn Properties.

Tab Security chọn phương thức xác thực là RADIUS. Tiếp chọn Configure
+ Chọn Static address và nhập dãy IP sẽ cấp phát cho máy trạm khi kết nối
+ Tiếp tục cấu hình NAT để cho phép máy trạm có thể truy cập được vào webserer
trong máy chủ DC. Tab NAT chọn Public interface, tích chọn Enable NAT:
+ Tab Services and Ports. Chọn Web Server (HTTP):

Cửa sổ xuất hiện cần thiết lập địa chỉ IP của DC:
  Nhấn OK → Apply → OK để kết thúc cấu hình.

2.4. Thực hiện trên máy Windows 7.

+ Truy cập tới dịch vụ cấp phát chứng thư số trong máy chủ DC thông qua

trình duyệt web. Nhập IP bên ngoài của máy SRV.

+ Tích vào tùy chọn Download a CA certificate.

Tiếp tục chọn Download CA certificate:

+ Chọn nơi lưu chứng thư số của CA.

Tương tự như các bước trên bật Run gõ MMC. Chọn Certificate

Trong mục Trusted Root CA chọn Import chứng thư số của DC vừa mới tải về.
+ Bước tiếp theo cài đặt và cấu hình kết nối VPN.

+ Giao diện tiếp theo chọn kết nối thông qua VPN.
+ Đặt tên cho kết nối: VPN LEBABINH
+ Nhập tài khoản đã tạo trên máy chủ DC.

+ Cửa sổ đăng nhập kết nối xuất hiện.

+ Chọn Properties để cấu hình sử dụng giao thức SSTP. Tab Security chọn kết nối
SSTP:

+ Truy cập vào Registry thông qua Run. (gõ regedit)

Truy cập theo đường dẫn: HKEY_LOCAL_MACHINE → SYSTEM →

CurrentControlSet → Services → SstpSvc.

Chuột phải vào mục Parameters → New → DWORD

Đặt tên DWORD này là: LEBABINH có giá trị là 1.

+ Kiểm tra kết quả.

+ Truy cập vào tài nguyên chia sẽ trên máy DC.

 Bài 1: Triển khai honeynet

1.1. Mô hình triển khai.

- Cài máy ảo Honeywall từ phần mềm Honeywall-roo-1.4. Máy ảo này có

03 card mạng theo thứ tự sau:

 Card mạng thứ nhất Eth0: Chế độ NAT kết nối Internet

 Card mạng thứ hai Eth1: Chế độ Host-Only kết nối với Honeypot

 Card mạng thứ ba Eth2: Chế độ Vmnet 2 kết nối máy quản lý

- Máy ảo Windows Server 2003 cài đặt Sebek client

- Máy ảo Windows 7-01 kết nối Honeywall để quản trị

- Máy ảo Windows 7-02 kết nối vào Host-Only để thực hiện tấn công.

1.2. Cài đặt máy ảo Honeywall.

+ Cài đặt Honeywall file honeywall-roo-1.4.iso trên Vmware 8.

+ Các bước cài đặt.

+ Đăng nhập với tài khoản roo và tiếp tục đăng nhập với quyền root.
+ Sử dụng trình soạn thảo [vi] để chỉnh sửa trong file cấu hình honeywall theo
đường dẫn: /etc/honeywall.conf

 Đến đây xuất hiện lỗi không tìm thấy file /etc/honeywall.conf.