Đang tải... (xem toàn văn)
TRIỂN KHAI HỆ THỐNG MAIL ỨNG DỤNG HẠ TẦNG PKI Bài lab setup mail server ứng dụng hạ tầng khóa công khai PKI. hướng dẫn tấn công bảo mật test tính năng PKI .
BÀI 1: TRIỂN KHAI HỆ THỐNG MAIL ỨNG DỤNG HẠ TẦNG PKI MỤC ĐÍCH - Giúp hiểu khái niệm hạ tầng khóa pki , cụ thể có kiến thức chữ kí số - An toàn bảo mật việc gửi mail ( cấu trúc gói tin giao thức gửi, nhận mail) - Tấn công main in the middle - Làm quen với quản trị MCSA TÌM HIỂU CHUNG VỀ CÁC CÔNG CỤ SỬ DỤNG - Các công cự sử dụng bao gồm: máy client sử dụng windows vista, máy Domain Controller, máy Windows XP ( Vista, Win7 ), Công cụ Wireshark 2.1.Windows Vista - Lý lựa chọn Windows Vista hệ điều hành cung cấp tảng có sẵn cho việc gửi mail Ở Windows Mail 2.2.Domain Controller - Xây dựng Domain Controller Windows Server 2008 Datacenter, máy chủ gọn nhẹ, đầy đủ chức năng, giúp tốt cho việc thử nghiệm kến thức học Tuy nhiên Windows Server 2012 lại máy chủ sử dụng nhiều thực tế ( Có thể sử dụng Windows Server 2012) - Việc lựa chọn phiên Datacenter hỗ trợ hệ thống mail 2.3.Windows XP - Xây dựng máy Windows XP làm máy Attack, hệ điều hành gọn nhẹ có hỗ trợ đầy đủ công cụ công phổ biến Wireshark, Can & Able, Ettercap ( Cũng sử dụng hệ điều hành khác, có hỗ trợ công cụ công ) 2.4.Công cụ WireShark - Wireshark, hay gọi Ethereal, công cụ có lẽ không xa lạ với phần lớn người sử dụng chúng ta, vốn xem ứng dụng phân tích liệu hệ thống mạng, với khả theo dõi, giám sát gói tin theo thời gian thực, hiển thị xác báo cáo cho người dùng qua giao diện đơn giản thân thiện NỘI DUNG CHUẨN BỊ (Lưu ý: tắt toàn firewall máy, để trình kết nối máy thuận tiện ) 3.1 Cài đặt Windows Server 2008 Datacenter Cài đặt Windows Server2008 nâng cấp lên máy Domain Controller (DC) Trên máy DC cấu hình cho tài khoản User1 User2 mở Active Directory Users and Computers Chuột phải vào User1 , chọn property , nhập địa Email User1@SercurityBk.com vào ô Email , OK Cấu hình sách truy cập User1, User2 từ máy DC Chuột phải chọn Edit Add thêm Users vào Apply ok, khời động lại DC 3.2 Cài đặt máy Client Cài đặt máy client hệ điều hành Windows Vista ( Máy vista tương ứng cho tài khoản User1 máy Vista tương ứng cho tài khoản User2 ) User1: ( Vista1) User2 : (vista2) Kiểm tra ping thông suốt máy DC, vista1, vista Join máy vista1 vista vào domain SecurityBK.com 3.3 Cài đặt máy Attacker Cài đặt Windows XP làm máy Attacker, Windows XP cài đặt công cụ Whireshark, Can & Able, thêm Ettercap để phục vụ cho thực hành sau Công cụ Can & Able Công cụ Wireshack NỘI DUNG THỰC HÀNH 4.1 Sơ đồ mạng thực thí nghiệm Sơ đồ triển khai Sơ đồ mạng 4.2Chia nhóm thực Chia thành nhóm : Nhóm 1: Người quản trị hệ thống Nhiệm vụ nhóm cài đặt hệ thống Windows Server , cài đặt dịch vụ mail, cài đặt CA, cấp phát chứng thư số cho người sử dụng Nhóm 2: Người sử dụng Cài đặt dịch vụ mail cho User, Sử dụng USBtoken chứa chứng thư mà người quản trị cấp phát để sử dụng chữ kí số cho dịch vụ mail Nhóm 3: Kẻ công Cài đặt công cụ công whireshark, công giả mạo User bắt mật khẩu.( Tạo tài khoản y hệt User1 giả mạo gửi mail cho User2 ) 4.3 Các bước thực hiện: Cài đặt Mail Server Kerio Xin Certificate cho User Trong cửa sổ Console1, chuột phải Personal, chọn All tasks, chọn Request New Certificate - Hộp thoại Before You Begin, chọn Next - Trong hộp thoại Request Certificates, đánh dấu chọn User, chọn Enroll - Hộp thoại Certificate Installation Results, chọn Finish Chọn Export Certificate gồm cặp khóa Đăng nhập máy Vista tài khoản User1 thuộc DC, coppy certificate cấp vào Usbtoken để sử dụng Add Certificate mà người quản trị cung cấp cho User vào hệ thống chúng thứ Trao đổi Public Key trao đổi mail có mã hóa User1 gửi thư lần đầu cho User2 với chức sign kí số User2 nhân thư gửi lại kèm cặp khóa mình, sau kèm mã hóa 10 Tấn công vào hệ thống Mail có mã hóa vào đường dẫn C:\Program Files\Kerio\MailServer\store\mail\SecurityBk.com.com\User1\INBOX\#msgs, chuột phải file eml, chọn Open With, chọn Notepa sửa nội dung mã hóa 4.4Các vấn đề đặt Lưu ý: Trong hệ thống mail thông thường, e-mail gởi chế độ cleartext nên không bảo mật nội dung bên Và ta nhận e-mail thông thường, đặc điểm để phân biệt e-mail có bị giả mạo giả danh hay không? - Điểm yếu giao thức POP3 , muốn nhận Email , User phải cung cấp mật xác thực với Server, mật dạng Clear text nên dễ dang bị bắt công Cách giải phải mã hóa đường truyền từ trình đăng nhập vào tài khoản lẫn lúc xác thực gửi mail Giải pháp sử dụng đăng nhập truyền mail internet protocol HTTPS có SSL ( VD: gmail, yahoo sử dụng ) - Có nhiều cách công mật vào hệ thống Mail server nằm máy chủ, quyền quản trị admin quyền đọc nội dung trao đổi email thành viên Chính thư cần mã hóa kí số - Người quản trị đăng nhập TK User1 cấp phát chứng thư cho User1, tất trình xảy máy DC có mật xác thực xin cấp phát ( mật người quản trị có ) , sau xây dựng chứng thư, người quản trị cất chứng thư kèm cặp khóa vào USbtoken giao cho nhân viên sử dụng