HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA ANTOÀN THÔNG TIN

BÁO CÁO BÀI THỰC HÀNH

Môn: An toàn mạng nâng cao

Giảng viên: Đặng Minh Tuấn

Họ và tên: Châu Phan Hoài Linh

Mã sinh viên: B19DCAT110

Hà Nội, 5/2023
1
 Mục lục

Bài thực hành số 1: VPN HOST-TO-HOST..........................................................3

Bài thực hành số 2: Sử dụng VPN Gateway để đảm bảo truyền thông tin............7
Bài thực hành số 3: Radius Authentication Service…………………………… .. 10
Bài thực hành số 4: Xây dựng DMZ cho doanh nghiệp………………………… 16

2
Bài thực hành số 1: VPN HOST-TO-HOST

1. Lí thuyết:
- VPN server:
o VPN server là máy chủ thông thường được cài đặt cấu hình với phần
mềm VPN. Tuy nhiên, có sự khác biệt giữa VPN server và server
thông thường. VPN server có nhiều port giao tiếp logic và vật lý hơn.
o Máy chủ VPN server cung cấp kết nối và dịch vụ VPN cho máy khách
VPN từ xa hoặc máy khách VPN cục bộ. Thường thì VPN server sẽ
sử dụng một hay nhiều giao thức để kết nối và truyền thông, như giao
thức poin-to-point (PPP).
o Khi máy khách muốn kết nối với máy chủ VPN server phải tự xác
thực trước mới được cấp quyền truy cập vào VPN.
- Tcpdump:
o Tcpdump là công cụ hỗ trợ phân tích các gói dữ liệu mạng theo dòng
lệnh, cho phép khách hàng chặn và lọc các gói tin TCP/IP được truyền
đi hoặc được nhận trên một mạng mà máy tính có tham gia.
tcmpdump sẽ lưu lại những gói tin đã bắt được, sau đó dùng để phân
tích.
o Hiểu đơn giản, Tcmpdump là công cụ dò mạng tìm Netwwork, có vai
trò trong việc gỡ rối và kiểm tra các vấn đề liên quan đến bảo mật và
kết nối mạng.
2. Nội dung thực hành:
- Khởi động bài lab:Trên terminal, gõ lệnh:

3
- Sau khi khởi động xong 3 terminal ảo sẽ xuất hiện: trong đó 1 máy ảo đóng
vai trò client, 1 máy đóng vai trò server và 1 máy đóng vai trò router.
- Khởi động tcpdump trên “router” để bắt các gói tin từ interface eth0.
sudo tcpdump -n -XX -i eth0

- Ipaddress của máy server:

4
- Sử dụng wget trên máy khách để tìm nạp tệp index.html. Quan sát lưu
lượng mạng từ tcpdump, xem html văn bản thuần túy trong luồng dữ liệu.
wget http://172.20.0.3/index.html

- Khởi động chương trình openvpn trên máy chủ:

sudo openvpn --config server.conf --daemon

- Sau đó khởi động chương trình openvpn trên máy khách:

sudo openvpn --config client.conf --daemon

5
- Địa chỉ hiển thị ở interface “tun0” khi chạy lệnh ifconfig trên “server”

- Sử dụng lại wget, nhưng lần này sử dụng địa chỉ đường hầm của máy chủ
(địa chỉ hiển thị ở interface “tun0” khi chạy lệnh ifconfig trên “server”).
Quan sát lưu lượng mạng qua tcpdump.

- Checkwork:

6
Bài thực hành số 2: Sử dụng VPN Gateway để đảm bảo truyền thông tin

1. Lí thuyết:
- VPN gateway:
o VPN Gateway là một dịch vụ internet. Nó có khả năng thiết lập các
kết nối an toàn và đáng tin cậy.
o Cụ thể là liên kết các trung tâm dữ liệu doanh nghiệp, mạng văn
phòng hay thiết bị đầu – cuối kết nối internet qua các kết nối được mã
hóa.
o VPN Gateway hỗ tợ cả kết nối IPsec-VPN lẫn SSL-VPN.
- Đặc điểm của VPN Gateway:
o IPsec-VPN:
 IPsec-VPN tạo điều kiện cho việc cấu hình và duy trì các chính
sách VPN. Đồng thời cung cấp các phương pháp định tuyến
linh hoạt.
 Người dùng có thể sử dụng IPsec-VPN để kết nối trung tâm dữ
liệu tại chỗ với mạng VPC. Ngoài ra còn có thể kết nối hai
mạng VPC với nhau. IPsec-VPN hỗ trợ cả hai giao thức IKEv1
và IKEv2.
o SSL-VPN:
 SSL-VPN được triển khai dựa trên nền tảng OpenVPN. Người
dùng có thể tạo kết nối SSL-VPN để kết nối từ máy client ở xa
với các ứng dụng và dịch vụ được triển khai trong mạng VPC.
 Sau khi triển khai, người dùng chỉ cần nhập chứng chỉ vào máy
khách để bắt đầu kết nối.
2. Nội dung thực hành:
- Trên Terminal, gõ labtaiber vpnlab2 để khởi động bài lab:

7
- Sử dụng tcpdump trên router để hiện thị đường truyền mạng chi tiết:

- Ip máy server:

- Sử dụng wget trên máy khách: wget http://192.168.0.4/index.html

8
- Chạy openvpn trên gateway

- Chạy openvpn trên máy khách:

- Chạy lại wget:

- Checkwork:

9
Bài thực hành số 3: Radius Authentication Service

1. Lí thuyết:
- Trong phòng thí nghiệm này, bạn sẽ định cấu hình máy chủ Radius để xử lý
các dịch vụ xác thực cho thiết bị mạng đã được định cấu hình để sử dụng xác
thực dựa trên Radius. Máy chủ Radius được cấu hình sẵn để hỗ trợ thiết bị
mạng hiện có. Bạn chỉ cần thêm thiết bị thứ hai. Trong phòng thí nghiệm
này, giao thức Radius được định cấu hình để sử dụng bí mật chung được biết
đến với máy chủ Radius và các thiết bị xác thực qua máy chủ đó. Bí mật
được chia sẻ cho cả hai thiết bị là như nhau.
- Bạn được khuyến khích sử dụng Wireshark trong phòng thí nghiệm để quan
sát các trao đổi giao thức Radius. Radius cung cấp các chức năng Xác thực,
Ủy quyền và Kế toán (AAA). Giao thức rất phong phú và hỗ trợ nhiều tùy
chọn. Chi tiết về giao thức có thể được tìm thấy tại:
https://tools.ietf.org/html/rfc2865.
- Mặc dù ban đầu Radius được sử dụng để quản lý AAA cho các cơ sở quay
số, nhưng nó được sử dụng rộng rãi cho các thiết bị được nối mạng, bao gồm
các hệ thống nhúng như bộ nguồn thông minh.
- Phòng thí nghiệm này sẽ đề cập đến những kiến thức cơ bản về việc sử dụng
Radius để xác thực tập trung, đồng thời sẽ trình bày và ví dụ về tính toán
Radius. Phòng thí nghiệm sử dụng sản phẩm FreeRADIUS, được trình bày
chi tiết tại đây:
https://networkradius.com/doc/3.0.10/introduction/RADIUS.html.
2. Nội dung thực hành:
- Khởi động bài lab:

- Bắt đầu Wireshark trên máy chủ Radius:

wireshark &

10
 - Chọn giao diện eth0 và bắt đầu thu thập dữ liệu. Sau đó bắt đầu dịch vụ bán
kính ở chế độ nền trước và chế độ gỡ lỗi.

radiusd -fX

Xem tập lệnh quản trị điều khiển trên client1. Lưu ý rằng nó chỉ sử dụng ssh
để thực thi chương trình trên bộ điều khiển từ xa có tên. Thông thường, ssh yêu cầu
mật khẩu hoặc cặp khóa. Các thiết bị điều khiển thiếu mật khẩu hoặc quản lý khóa.
Thay vào đó, các thiết bị điều khiển được cấu hình để trì hoãn các quyết định xác
thực daemon ssh cho máy chủ Radius.

11
Trên client1, kết nối với bộ điều khiển1:

./control_admin controller1

12
 Khi được nhắc, hãy cung cấp mật khẩu được mã hóa cứng làm mật khẩu.
Quan sát lưu lượng truy cập trong Wireshark. Sau đó sử dụng exit để thoát khỏi bộ
điều khiển1. Và bây giờ hãy thử truy cập vào bộ điều khiển2, sử dụng lại mật khẩu
là: hardcoded password.

./control_admin controller2

- Cấu hình radius cho controller2:

Thiết bị controller2 đã được cấu hình sẵn để sử dụng máy chủ Radius của
bạn để xác thực người dùng. Điều đó có nghĩa là nó có bí mật chung được Radius
sử dụng để mã hóa mật khẩu người dùng và nó biết địa chỉ IP của máy chủ bán
kính. Tuy nhiên, máy chủ Radius không được cấu hình để phục vụ bộ điều khiển2.
Bạn phải thay đổi cấu hình máy chủ Radius để nhận ra bộ điều khiển2. Sử dụng
Ctrl-c tại máy chủ bán kính để dừng dịch vụ. Chỉnh sửa tệp /etc/raddb/clients.conf
để cho phép bộ điều khiển2 xác thực thông qua dịch vụ Radius, sau đó khởi động
lại dịch vụ Radius. Hãy thử lại để truy cập bộ điều khiển2 từ một trong các máy
khách.

13
 - Thay đổi mật khẩu cadmin:

Dừng dịch vụ radius và chỉnh sửa tệp /etc/raddb/users để thay đổi mật khẩu
của người dùng cadmin thành mật khẩu khác với mật khẩu được mã hóa cứng. Sau
đó kiểm tra khả năng của bạn bằng cách sử dụng tiện ích quản trị điều khiển để
truy cập bộ điều khiển bằng mật khẩu mới.

14
15
Bài thực hành số 4: Xây dựng DMZ cho mạng doanh nghiệp

1. Lí thuyết:
- Bài lab này yêu cầu bạn định cấu hình DMZ bằng cách sử dụng iptables trên
hai thành phần cổng.
2. Nội dung thực hành:
- Phòng thí nghiệm này chạy trong khung Labtainer, có sẵn tại

http://my.nps.edu/web/c3o/labtainers

- Trang web đó bao gồm các liên kết đến một máy ảo dựng sẵn có cài đặt
Labtainers, tuy nhiên Labtainers có thể chạy trên bất kỳ Máy chủ Linux hỗ
trợ bộ chứa Docker.
- Từ thư mục labtainer-student của bạn, hãy khởi động phòng thí nghiệm bằng
cách sử dụng:

labtainer -r dmz-lab

16
 3. Cấu hình mạng:

Phòng thí nghiệm này bao gồm một số máy tính được nối mạng như trong Hình
1. Tuy nhiên, xin lưu ý rằng phiên bản phòng thí nghiệm của bạn sẽ có các địa chỉ
IP khác nhau cho một số thành phần. Khi phòng thí nghiệm bắt đầu, bạn sẽ nhận
được một số thiết bị đầu cuối ảo, một thiết bị đầu cuối được kết nối với từng thành
phần. Mỗi cổng bên ngoài và cổng từ xa truy cập Internet thông qua một ISP có địa
chỉ 198.18.0.1. Trang cục bộ có địa chỉ mạng là 198.18.1.0/24. Trang web từ xa có
địa chỉ mạng là 203.0.113.0/24. Ban đầu, DMZ chỉ có tên

4. Nhiệm vụ
- Định cấu hình cổng bên trong và cổng bên ngoài sao cho:

17
o Người dùng từ xa chỉ có thể truy cập máy chủ web, ví dụ: qua wget
www.example.com, sử dụng HTTP, HTTPS và SSH
o Người dùng cục bộ có thể truy cập internet thông qua ISP, ví dụ: wget
www.google.com o Người dùng cục bộ có thể truy cập máy chủ web cục bộ
thông qua HTTP, HTTPS, SSH và MYSQL
 Sử dụng tập lệnh /etc/rc.local trên cổng bên trong và bên ngoài để đưa ra
chỉ thị iptables. Tôn trọng các nhận xét trong tập lệnh rc.local về các
phần
không nên sửa đổi. Chứng minh DMZ của bạn bằng cách đưa ra các lệnh
sau mà không có bất kỳ thay đổi bổ sung nào đối với iptables

o Trên ws1 (tom): (2) sudo nmap www.example .com

o

- Trên ws1 (tom): (3) wget www.google.com

18
o Trên điều khiển từ xa ws (hank): (1) sudo nmap www.example.com

19
20