Danh sách các bài đã làm

• Bài 1: Triển khai PAP và CHAP trên GNS3

• Bài 2: Triển khai Kerberos, MIT Kerberos
• Bài 3: Triển khai VPN sử dụng IPSEC, Tunneling, Transport, AH & ESP
• Bài 4: Triển khai Telnet
• Bài 5: Triển khai SSH
• Bài 6: Triển khai POP3, SMTP
 Bài 1
Mô hình thực hiện:
- Gồm hai router Cisco 7200
- Hai router được nối với nhau bằng dây Serial ở port
Se3/0 ở cả hai router
- Ứng dụng sử dụng: GNS3, Wireshark
 Triển khai PAP

Cấu hình trên router MHD1 Cấu hình trên router MHD2
Bắt gói tin trên Wireshark
Phân tích:
- Gói tin Authenticate-Request
Type code = 1
Peer-ID length = 4
Password-length = 6
Peer-ID = mhd1
Password = 123
Phân tích:
- Gói tin Authenticate-Request
Type code = 1
Peer-ID length = 4
Password-length = 6
Peer-ID = mhd2
Password = 123
Phân tích:
- Gói tin Authenticate-Ack
Type code = 2
Gói tin không có Message
 Triển khai PAP

Kết luận:
PAP (Password Authentication Protocol)
Là giao thức xác thực bắt tay 2 bước (2-way)
Xác thực bằng mật khẩu
Mật khẩu được truyền ở dạng rõ và đã bị chặn
thu trên đường truyền
 Triển khai CHAP

Cấu hình trên router MHD1 Cấu hình trên router MHD2
Bắt gói tin trên Wireshark
Phân tích: Gói challange của MHD1
Giá trị ở trường Value là
một số ngẫu nhiên, được
sinh ra bởi thuật toán băm
- Độ dài của data là 25

Gói challange của MHD2

KẾT NỐI VỚI SERVER QUA IP
 Bài 2: Triển khai
Kerberos
Mô hình thực hiện:
- Gồm server Windows 2012, 2 client Windows 8
- Hai máy chung đường mạng 10.3.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro

10.1.20.10 10.1.20.8
8
Trên server: nâng cấp lên AD với domain:
mhd.domain

tạo user client1

cấu hình mạng

Trên Client1

join domain nguyenxuanhieu-srv.class1

Đặt IP
Bắt gói tin trên Wireshark
Gói tin AS-REQ là yêu cầu người dùng xác thực ban đầu (khởi
tạo dịch vụ) yêu cầu này được chuyển trực tiếp tới các thành
phần được gọi là KDC Authentication Server (AS).
Gói tin AS-REP là trả lời của máy chủ xác thực để yêu cầu trước đó.

Về cơ bản nó chứa TGT (mã hóa bằng cách sử dụng khóa TGS bí mật) và khóa phiên (được mã hóa bằng
khóa bí mật của người dùng yêu cầu).
Gói tin TGS-REQ là yêu cầu từ khách
hàng đến Cấp vé máy chủ (TGS) cho
một vé thông hành.
Về cơ bản nó chứa TGT (mã hóa bằng
cách sử dụng khóa TGS bí mật) và khóa
phiên (được mã hóa bằng khóa bí mật
của người dùng yêu cầu).
 Gói tin TGS-REP là trả lời của
Cấp vé máy chủ để yêu cầu
trước đó.
Nằm bên trong là vé dịch vụ
theo yêu cầu (được mã hóa với
khóa bí mật của dịch vụ) và
phiên dịch vụ một khóa tạo ra
bởi TGS và được mã hóa bằng
khóa phiên trước đó được tạo
ra bởi AS.
 MIT Kerberos

Ubuntu 22.04 Ubuntu server

10.1.20.109 10.1.20.16
Cài đặt MIT Kerberos bằng command
sudo apt install krb5-admin-server krb5-config
chỉnh sửa /etc/hosts để trỏ vào server
Sửa file /krb5dc/krb5.conf, tạo vùng mới
Tạo admin xác thực
Tạo user để xác thực bằng krb
Cài đặt krb5-user trên client
Sửa file config trên server
/etc/hosts và /etc/krb5.conf
Sửa file config để thêm domain ở
/etc/krb5dc/krb5.conf
Kiểm tra xác thực trên
client
Gói tin AS-REQ
Gói tin AS-REP
Gói tin Client gọi dịch vụ từ server
Gói tin server phản hồi dịch vụ cho client
 Bài 3: Triển khai VPN sử
dụng IPSEC
Mô hình thực hiện:
- Gồm server Ubuntu 22.04, client Ubuntu
- Hai máy chung đường mạng 10.3.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro

VPN (Strongswan)

10.3.20.10 10.3.20.15
5
 Trên máy chủ và máy khách
Cài đặt Strongswan
 Chia sẻ khóa

Máy
khách

Máy chủ
Thiết lập transport AH

Máy
khách

Máy chủ
Kết quả Transport AH

=> Triển khai thành công transport AH

 PHÂN TÍCH GÓI TIN AH / TRANSPORT

• Protocol: Authentication Header (51) : AH được

đóng gói bởi giao thức IP và trường protocol trong IP
là 51.
• Next header(1 byte): ICMP(1)_Gói tin ICMP code
bằng 1.
• Length (1 byte) = 4, phần payload có 4 byte_Chiều
dài của AH Header.
• Reserved:(2 byte) Giá trị được giành để sử dụng
trong tương lai ( cho đến thời điểm này nó được
biểu thị bởi các chỉ số 0).
• AH SPI(4 byte): Giá trị tuỳ ý mà IPSec lựa chọn, dùng
để nhận dạng cho kết nối.
• AH Sequence(4 byte) = 5: Số tuần tự của gói tin AH (
số này bắt đu từ số 1), chỉ số này tăng lên 1 cho mỗi
AH datagram khi một host gửi có liên quan đến
chính sách SA, nhằm chống lại các cuộc tấn công
phát lại bằng cách ngăn chặn truyền các datagram bị
bắt.
• AH ICV (12 byte): dữ liệu được xác thực. Có độ dài là
96 bit, là dãy số băm từ (IP Header + Payload + Key)
Thiết lập transport ESP

Máy
khách

Máy chủ
Kết quả Transport ESP

=> Triển khai thành công transport ESP

 PHÂN TÍCH GÓI TIN ESP / TRANSPORT

• Protocol: Encap Security Payload (50) : ESP được

đóng gói bởi giao thức IP và trường protocol trong IP
là 50.
• ESP SPI(4 byte): Giá trị tuỳ chọn, phía nhận sử dụng
giá trị SPI với địa chỉ IP đích và giao thức IPSec để
xác định chính sách SA duy nhất mà nó được áp cho
gói tin.
• ESP Sequence(4 byte): 1: Số tuần tự của gói tin ESP.
Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng
lên 1 và được đặt trong ESP header.
Thiết lập tunnel AH

Máy
khách

Máy chủ
Kết quả Tunnel AH

=> Triển khai thành công tunnel AH

 PHÂN TÍCH GÓI TIN AH / TUNNEL

• Protocol: Authentication Header (51) : AH được

đóng gói bởi giao thức IP và trường protocol trong IP
là 51.
• Next header: IPIP (4) : Gói tin IPIP code bằng 1 =>
Chế độ Tunnel
• Length: 4 (24 bytes): Chiều dài của AH Header.
• AH SPI: Giá trị tuỳ ý mà IPSec lựa chọn, dùng để
nhận dạng cho kết nối.
• AH Sequense: 1: Số tuần tự của gói tin AH ( số này
bắt đầu từ số 1), chỉ số này tăng lên 1 cho mỗi AH
datagram khi một host gửi có liên quan đến chính
sách SA, nhằm chống lại các cuộc tấn công phát lại
bằng cách ngăn chặn truyền các datagram bị bắt.
• AH ICV: dữ liệu được xác thực. Có độ dài là 96 bit, là
dãy số băm từ (IP Header + Payload + Key)
Thiết lập tunnel ESP

Máy
khách

Máy chủ
Kết quả Tunnel ESP

=> Triển khai thành công tunnel ESP

 PHÂN TÍCH GÓI TIN ESP / TUNNEL

• Protocol: Encap Security Payload (50) : ESP được

đóng gói bởi giao thức IP và trường protocol trong IP
là 50.
• ESP SPI: Giá trị tuỳ chọn, phía nhận sử dụng giá trị
SPI với địa chỉ IP đích và giao thức IPSec để xác định
chính sách SA duy nhất mà nó được áp cho gói tin.
• ESP Sequence: 2: Số tuần tự của gói tin ESP. Trước
khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1
và được đặt trong ESP header.
 Bài 4: Triển khai telnet
Mô hình thực hiện:
- Gồm server Ubuntu 22.04 đường mạng 10.3.20.16
- Client Ubuntu 22.04 đường mạng 10.3.20.1
- Ứng dụng sử dụng: VMWare workstation pro

telnet

10.3.20.16 10.3.20.1
CẤU HÌNH SERVER
• Cài đặt telnetd:
• Cấu hình IP:
CẤU HÌNH SERVER
• Sửa file /etc/hosts
CẤU HÌNH CLIENT
• Cài đặt telnetd:
• Cấu hình IP:
CẤU HÌNH CLIENT
• Sửa file /etc/hosts
• Kiểm tra kết nối:
BẮT GÓI TIN TELNET BẰNG WIRESHARK
XEM TOÀN BỘ QUÁ TRÌNH KẾT NỐI
• Chọn TCP Stream
• Dữ liệu truyền đi
KẾT NỐI VỚI SERVER QUA TÊN MIỀN
• Gói tin truyền đi
không có mã hóa
 Bài 5: Triển khai SSH
Mô hình thực hiện:
- Gồm server Ubuntu 22.04, client windows 8.1
- Hai máy chung đường mạng 10.1.20.0/24
- Ứng dụng sử dụng: VMWare workstation pro,
MobaXterm

SSH (MobaXterm)

10.1.20.129 10.1.20.16
Windows 8.1 Ubuntu
 Command:
Trên Server sudo apt install openssh-server
systemctl status sshd.service
=> Cài đặt SSH, kiểm tra trạng thái SSH
thì thấy đang active

(2)

ssh-keygen -t rsa
=> Tạo ra khóa công khai và khóa bí mật bằng thuật toán
RSA
mv /home/hieunx/.ssh/id_rsa.pub (3)
/home/hieunx/.ssh/authorized_keys
(1)
=> Đổi tên file id_rsa.pub thành authorized_keys để máy
chủ chấp nhận khóa xác thực vừa tạo
 Trên
Client

(1)

Chuyển khóa bí mật sang Client

Trong ứng dụng MobaXterm, chọn

Session và điền các thông tin IP,
Username, và file khóa
Kết quả: Đã triển khai SSH bằng
mật mã khóa công khai thành công
 Bắt gói tin trên Wireshark

Xác thực bằng mật khẩu

 Bài 6: Cài đặt SMTP, POP3

10.3.20.100 10.3.20.1
Ubuntu Windows
server
2012
 Bài 6: Cài đặt SMTP, POP3
• Trên server

Cài đặt Thunderbird Cài đặt Mdaemon

Cấu hình IP Server Cấu hình IP Client
Trên server
Cài đặt Domain
Tạo tài khoản cho
client1
Đăng nhập vào thunderbird trên server
Đăng nhập vào thunderbird trên client
Trên Server và Client,
gửi thư để kiểm tra
Chặn bắt gói tin trên
Wireshark
Client gửi EHELO đến Server
Gửi thư bằng SMTP
Bắt đầu phiên TLS
Nhận thư bằng POP3
Nội dung thư bị mã hóa
Nội dung thư bị mã hóa