HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
***
DƢƠNG TRẦN ĐỨC









BÀI THỰC HÀNH
AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN








09/2011
1

MỤC LỤC

Bài thực hành số 1 ………………………………………………………………………. 1
Bài thực hành số 2 ………………………………………………………………………. 6
Bài thực hành số 3 ………………………………………………………………………. 19

Bài thực hành số 4 ………………………………………………………………………. 34

2

BÀI THỰC HÀNH SỐ 1
MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN
1. TÊN BÀI: Bắt giữ và đọc nội dung gói tin với phần mềm Network Monitor
2. MỤC ĐÍCH CỦA BÀI THỰC HÀNH : Giúp cho SV nắm đƣợc cách các phần mềm có
thể bắt giữ và phân tích nội dung các gói tin trên mạng.
3. THỜI LƢỢNG: 45 phút
4. YÊU CẦU TRANG THIẾT BỊ & PHẦN MỀM: Hệ thống mạng LAN, các máy tính cài
đặt phần mềm Microsoft Network Monitor.
5. KIẾN THỨC CHUẨN BỊ TRƢỚC:
6. NỘI DUNG THỰC HÀNH:
Bước 1:
Chạy phần mềm Microsoft Network Monitor đã cài đặt sẵn trên máy.
Trong Start Page, lựa chọn mạng muốn thực hiện bắt giữ gói tin trong số các mạng mà máy
tính có kết nối tới (chẳng hạn các mạng đƣợc nối tới qua giao diện mạng Ethernet LAN
hoặc mạng Wireless LAN). Sau đó chọn New Capture trên thanh công cụ.


3

Bước 2:
Trong cửa sổ Capture hiện ra, tiến hành lựa chọn bộ lọc các gói tin sẽ đƣợc bắt giữ.
Bộ lọc sẽ cho phép ngƣời dùng bắt giữ các gói tin theo yêu cầu, chẳng hạn lựa chọn bắt các
gói tin trao đổi giữa 2 máy bất kỳ hoặc, các gói tin đi hoặc đến 1 máy bất kỳ, hoặc lọc các
gói tin cần bắt theo giao thức, theo số hiệu cổng .v.v
Trong bài thực hành này, để đơn giản chúng ta lựa chọn việc bắt các gói tin đƣợc gửi bởi
lệnh Ping giữa máy chúng ta và các máy khác, do vậy chúng ta sẽ thêm một dòng lệnh

Filter theo cú pháp vào của sổ Filter nhƣ sau:
ICMP


Bước 3:
Tiếp theo, bấm vào nút Apply để áp dụng Filter và bấm nút Start trên thanh công cụ để bắt
đầu tiến hành bắt giữ gói tin.
Sau bƣớc này, tất cả các gói tin đi đến máy tính hiện tại sẽ bị phần mềm bắt giữ và phân
tích nội dung
Để kiểm chứng việc bắt và đọc nội dung gói tin, tiến hành thực hiện lệnh Ping tới một máy
bất kỳ trong mạng.
4



Bước 4:
Kiểm tra trong cửa số các gói tin bắt giữ đƣợc có gói tin ICMP (giao thức của lệnh Ping)
giữa máy cục bộ và máy đƣợc Ping.

5

Kiểm tra phần chi tiết của gói tin bắt giữ đƣợc trong phần Frame Details và Hex Details.
Frame Details cho biết các tham số của gói tin và Hex Details cho biết nội dung gói tin.
Nhƣ vậy, gói tin Ping đã đƣợc bắt giữ và bị xem hoàn toàn nội dung gốc.
7. BÁO CÁO:
Hãy cho biết:
- Mỗi lần thực hiện lệnh Ping có bao nhiêu gói tin ICPM đƣợc trao đổi giữa 2 máy: …
- Nội dung các gói tin ICMP có đặc điểm gì? ……………………………………………
8. SINH VIÊN TỰ THỰC HÀNH:
Tiến hành tạo các bộ lọc để bắt gói tin theo nhiều hình thức lọc

- Lọc theo địa chỉ nguồn/đích
- Lọc theo giao thức
- Lọc theo các tham số khác của gói tin















6

BÀI THỰC HÀNH SỐ 2
MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN
1. TÊN BÀI: Thiết lập Giao thức IP Security trên máy tính cá nhân
2. MỤC ĐÍCH CỦA BÀI THỰC HÀNH : Giúp cho SV nắm đƣợc cách thiết lập giao thức
IP Security trên máy tính nhằm bảo vệ dữ liệu khi trao đổi với máy tính khác qua mạng.
3. THỜI LƢỢNG: 90 phút
4. YÊU CẦU TRANG THIẾT BỊ & PHẦN MỀM: Hệ thống mạng LAN, các máy tính cài
đặt phần mềm Microsoft Network Monitor.
5. KIẾN THỨC CHUẨN BỊ TRƢỚC:
6. NỘI DUNG THỰC HÀNH:

Bước 1:
Chạy tiện ích Microsoft Management Console bằng cách gõ mmc vào cửa sổ Run trong
Windows.
Trong cửa sổ Console 1, chọn File -> Add/Remove Snap-in

Bước 2:
Trong cửa số Add or Remove Snap-ins, chọn 2 mục Snap-in là IP Security Policy
7

Management và IP Security Policy Monitor rồi rồi bấm Add.

Do chúng ta đang thực hiện trên máy cục bộ nên chọn Local và bấm Finish.

8

Cửa sổ Console 1 sau khi kết thúc việc Add các Snap-ins ở trên.

Bước 3:
Tiếp theo, chúng ta sẽ tạo ra các IP Security Policy bằng cách kích chuột phải vào khoảng
trắng để bật meny Pop up và chọn Create New IP Security Policy.

9

Bước 4:
Cửa sổ tạo IP Security Policy hiện ra, click Next, rồi gõ tên cho Policy đang tạo, chẳng hạn
đặt tên là Test Policy. Rồi tiếp tục chọn Next. Sau đó bấm Finish để kết thúc và chuyển
sang bƣớc chỉnh sửa các thuộc tính của Policy.

Bước 5:
Trong cửa sổ thuộc tính của Policy, có một Rule (luật) mặc định là Default, nhƣng chúng ta

không sử dụng mà tạo Rule mới bằng cách bấm nút Add.

10

Bước 6:
Trong cửa sổ tạo Rule hiện ra, bấm Next để tiếp tục. Trong cửa sổ Tunel Endpoint, chọn
lựa chọn This rule does not specify a tunnel vì chúng ta đang thiết lập IP Security trong
chế độ Transport.

Trong cửa sổ Network Type, chọn các mạng muốn áp dụng Rule, ở đây chúng ta chọn All
network connections

11

Bước 7:
Cửa sổ IP Filter list hiện ra. Bấm nút Add để thêm Filter list.

Cửa sổ IP Filter List hiện ra. Gõ tên của Filter List vào ô Name, chẳng hạn đặt tên là ICMP
Filter. Rồi bấm Add.

12

Bước 8:
Cửa sổ tạo IP Filter mới hiện ra. Bấm nút Next để tiếp tục. Thêm mô tả nếu cần thiết, đồng
thời chọn lựa chọn Mirror nếu muốn luật đƣợc áp dụng cả cho 2 chiều, rồi bấm Next.

Trong cửa sổ IP Traffic Source hiện ra, chọn địa chỉ nút nguồn muốn áp dụng luật. Chẳng
hạn chọn My IP Address. Tiếp tục bấm Next.

13


Tƣơng tự với IP Traffict Destination, chẳng hạn chọn Any IP Address.


Trong cửa sổ IP Protocol Type, lựa chọn giao thức tƣơng ứng muốn áp dụng luật. Chẳng
hạn chọn ICMP vì chúng muốn dùng lệnh Ping để kiểm tra việc áp dụng IP Security. Chú
ý là nếu chọn TCP hoặc UDP thì sẽ phải chọn thêm cổng (Port).

14

Bấm Finish để kết thúc việc tạo Filter. Tiếp theo bấm OK để kết thúc cập nhật Filter List.
Ở cửa sổ tạo Rule, chọn Filter vừa tạo là ICMP Filter và bấm Next.

Bước 9:
Tiếp theo, chúng ta cần tạo Action cho Rule này. Ở cửa sổ Filter Action, chọn ICMP Filter
và bấm Edit.

15

Trong cửa sổ Filter properties hiện ra, chọn Negotiate security rồi bấm OK.

Ở cửa sổ Filter Action tiếp tục bấm Next. Trong cửa sổ Authentication Method, chúng ta
lựa chọn phƣơng pháp chứng thực là preshared key và đƣa khóa chia sẻ vào ô bên dƣới,
chẳng hạn khóa là 12345. Sau đó tiếp tục bấm Next.

16

Đến đây kết thúc việc tạo Rule cho IP Secuirty Policy. Bấm Finish, rồi OK để quay về cửa
sổ Console 1.
Tại cửa sổ Console 1, click chuột phải lên Test Policy và chọn Assign để chính thức áp

dụng luật.

Kể từ đây, tất cả các gói tin Ping đi hoặc đến máy cục bộ sẽ bị mã hóa.
Chúng ta hãy kiểm tra bằng cách thực hiện Ping và bắt lại gói tin Ping để xem nội dung đã
đƣợc mã hóa hay chƣa?
Bước 10:
Chạy phần mềm Network Monitor và tiến hành các bƣớc để bắt giữ gói tin Ping nhƣ đã
làm ở bài trƣớc. Lƣu ý lần này ngoài bắt gói tin Ping chúng ta muốn bắt giữ thêm các gói
tin trong quá trình trao đổi khóa của IP Security nên tạo bộ lọc để lọc các gói tin của 2 giao
thức này bằng cách gõ câu lệnh Filter vào cửa sổ Filter nhƣ sau:
ICMP or IKE




17



Thực hiện lệnh Ping:

Lệnh Ping không thành công?

Bây giờ chúng ta xem trong cửa sổ bắt giữ gói tin của Network Monitor xem chúng ta đã
bắt giữ đƣợc các gói tin gì và nội dung của gói tin Ping đã đƣợc mã hóa hay chƣa?.
18



7. BÁO CÁO:

Hãy cho biết:
- Tại sao lệnh Ping lại không thành công? …
………………………………………………………………………………………………
- Để lệnh Ping thành công thì cần làm gì? ……………………………………………….

- Trong các gói tin bắt đƣợc, ngoài các gói tin ICMP thì còn các gói tin IKE, tại sao lại có
các gói tin này? ……………………………………………………………………………
- Quan sát nội dung các gói tin ICMP và so sánh với nội dung gói tin ICMP khi chƣa áp
dụng IP Security xem có thay đổi nhƣ thế nào? …………………………………………
……………………………………………………………………………………………….
8. SINH VIÊN TỰ THỰC HÀNH:
Tạo các Rule để áp dụng IP Security lên các giao thức khác nhƣ HTTP, DNS, v.v. để kiểm
tra.

19

BÀI THỰC HÀNH SỐ 3
MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN
1. TÊN BÀI: Thiết lập hệ thống luật cho Firewall ISA Server
2. MỤC ĐÍCH CỦA BÀI THỰC HÀNH : Giúp cho SV nắm đƣợc cách thiết lập các luật
kiểm soát truy cập qua phần mềm ISA Server.
3. THỜI LƢỢNG: 135 phút
4. YÊU CẦU TRANG THIẾT BỊ & PHẦN MỀM: Hệ thống mạng LAN, máy chủ cài
Windows Server 2003, máy Gateway cài ISA Server 2006, kết nối tới Internet.
5. KIẾN THỨC CHUẨN BỊ TRƢỚC:
6. NỘI DUNG THỰC HÀNH:
Giả sử hệ thống mạng đã đƣợc thiết lập cấu hình và cài đặt các phần mầm theo mô hình
nhƣ hình vẽ bên dƣới.

Mặc định ISA cấm tất cả mọi traffic ra/vào hệ thống (Default Rule). Muốn hệ thống hoạt

động ta phải tạo các rule tƣơng ứng.

Bài thực hành gồm những thao tác chính sau:
1. Tạo rule cho phép traffic DNS Query để phân giải tên miền
2. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )
3. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ
làm việc
4. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế
5. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao
6. Cấm xem trang www.tuoitre.com.vn
Các bước thực hiện:

1 - Tạo rule cho phép traffic DNS Query để phân giải tên miền
B1: ISA Management -> Firewall Policy -> New -> Access Rule
20



B2: Gõ “DNS Query” vào ô Access Rule Name. Bấm Next


B3: Action chọn “Allow”, rồi bấm Next

21


B4: Trong “This Rule Apply to:” chọn “Selected Protocols” -> Add -> Common Protocol -
> DNS -> OK -> Next



B5: Trong “Access Rule Source” -> Add -> Networks -> Internal -> add -> Close -> Next


B6: Trong “Access Rule Destination” -> add -> Networks -> External -> close -> Next

22


B7: Trong “User Sets” chọn giá trị mặc định “All Users” -> Next -> Finish

Chọn nút “apply” (phía trước có dấu chấm than)


Thực hiện tại máy chẳn

B8: dùng lện NSLOOKUP để phân giải thử một tên miền bất kỳ



2 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )

23

B1: Tạo Access rule theo các thông số sau:

Rule Name: Allow Mail (SMTP + POP3)
Action: Allow
Protocols: POP3 + SMTP
Source: Internal
Destination: External

User: All User

Các thao tác làm tƣơng tự nhƣ phần 1

B2: Kiểm tra - Thực hiện tại máy chẳn

Setup Outlook theo các thông số email của mình và thử gửi/nhận mail

3 - Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net
trong giờ làm việc

a – Định nghĩa nhóm “Nhan Vien”
b – Định nghĩa URL Set chứa trang vnexpress.net
c – Định nghĩa “giờ làm việc”
d – Tạo rule
e – Kiểm tra
a – Định nghĩa nhóm “Nhan Vien”:


B1: Dùng chƣơng trình “Active Directory User and Computer” tạo 2 user u1, u2 (password
123)

Tạo Group “Nhan Vien”

Đƣa 2 user u1, u2 vào Group “Nhan Vien”
24



B2: ISA Server Management -> Firewall Policy -> Toolbox -> Users -> New



B3: Nhập chuỗi “Nhan Vien ” vào ô User set name -> Next