Lab1_Practice - Phan Quốc Lập | Báo cáo bài thực hành môn An toàn thông tin Trường đại học sư phạm kỹ thuật TP. Hồ Chí Minh

Tổng quan: - Chúng ta sẽ tìm hiểu về cách sử dụng Nmap, một công cụ quét mạng mạnh mẽ, để phát hiện hệ điều hành, dịch vụ và lỗ hổng trên máy mục tiêu. Bài tập này giúp hiểu tầm quan trọng của đánh giá bảo mật và cách sử dụng Nmap trong các tình huống như bật/tắt tường lửa và quét lỗ hổng. Điều này sẽ nâng cao kỹ năng đánh giá bảo mật và giúp xác định điểm yếu trong hệ thống. Tài liệu giúp bạn tham khảo, ôn tập và đạt kết quả cao. Mời bạn đọc đón xem!

10 5 lượt tải Tải xuống
Chia sẻ Báo cáo tài liệu

Môn: An toàn thông tin (INSE330380)

Trường: Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh

Thông tin:

9 trang 6 ngày trước

Tác giả:

Profile Lê Kim Dung
Phan Quốc Lập – 22162019
Network Topology:
MacOs WindowOs (Target)
192.168.1.8 192.168.1.9
Tổng quan:
- Chúng ta sẽ tìm hiểu về cách sử dụng Nmap, một công cụ quét mạng
mạnh mẽ, để phát hiện hệ điều hành, dịch vụ và lỗ hổng trên máy mục
tiêu. Bài tập này giúp hiểu tầm quan trọng của đánh giá bảo mật và cách
sử dụng Nmap trong các tình huống như bật/tắt tường lửa và quét lỗ
hổng. Điều này sẽ nâng cao kỹ năng đánh giá bảo mật và giúp xác định
điểm yếu trong hệ thống.
Nội dung thực hành:
1. TH bật tường lửa ở máy mục tiêu:
Bước 1: Quét lần đầu
- Bắt đầu bằng cách sử dụng Nmap để thực hiện lần quét đầu tiên trên máy
đích bằng lệnh % Sudo nmap -F 192.168.1.9
- Lệnh này sẽ quét nhanh các cổng và dịch vụ phổ biến nhất trên máy mục
tiêu, giúp xác định các dịch vụ đang chạy.
Bước 2: Phát hiện hệ điều hành
- Tiếp theo, bạn có thể chạy Nmap để phát hiện hệ điều hành của máy mục
tiêu.
- Dùng lệnh: % Sudo nmap -O 192.168.1.9
Bước 3: Aggressive scan
- Aggressive scan bằng cờ -A để thu thập thông tin toàn diện về máy mục
tiêu, bao gồm chi tiết hệ điều hành, dịch vụ và phiên bản tương ứng của
chúng. Quá trình Aggressive scan này có tính xâm nhập cao hơn và có thể
cung cấp sự hiểu biết sâu sắc hơn về hệ thống mục tiêu.
- % Sudo nmap -A 192.168.1.9
Bước 4: Detailed Scan
- Thực hiện Detailed Scan với tính năng phát hiện phiên bản dịch vụ.
- Sudo nmap -sV 192.168.1.9
Khi sử dụng nmap để quét đối tượng có bật tường lửa (firewall) và đối tượng
không bật tường lửa, sẽ có những sự khác biệt quan trọng trong kết quả quét.
Khi Đối Tượng Có Bật Tường Lửa:
- Các Cổng Không Mở: Nếu tường lửa được cấu hình chặt chẽ, nmap có thể chỉ
thấy rất ít hoặc không thể xác định được bất kỳ cổng nào đang mở. Các kết quả
quét thường chỉ hiển thị một số ít cổng được mở để phục vụ các dịch vụ quan
trọng.
- Công Nghệ Ngăn Chặn (IDS/IPS): Nếu đối tượng sử dụng các giải pháp ngăn
chặn xâm nhập (Intrusion Detection System - IDS) hoặc hệ thống ngăn chặn
xâm nhập (Intrusion Prevention System - IPS), nmap có thể bị phát hiện và chặn
bởi các biện pháp bảo mật này.
Khi Đối Tượng Không Bật Tường Lửa:
- Cổng Mở: Khi tường lửa không hoặc được cấu hình để cho phép truy cập qua
nhiều cổng, nmap có thể phát hiện được nhiều cổng mở hơn, giúp xác định các
dịch vụ và ứng dụng đang chạy.
- Dịch Vụ và Phiên Bản Ứng Dụng: nmap có thể xác định các dịch vụ và phiên
bản ứng dụng chính xác hơn khi không có tường lửa hay các biện pháp bảo mật
nào cản trở.
- Thời Gian Phản Hồi Nhanh Hơn: Quét có thể diễn ra nhanh hơn vì không có
thêm lớp bảo mật tường lửa để vượt qua.
Lưu ý rằng nmap có thể được cấu hình để thực hiện các kiểm tra nhất định để
tránh bị phát hiện bởi các hệ thống an ninh. Sự chênh lệch này trong kết quả
quét giữa đối tượng có tường lửa và không có tường lửa là kết quả của cấu hình
bảo mật cụ thể của hệ thống.
2. Phát hiện lỗ hổng trên hệ điều hành:
Bước 1. Cài đặt vul-scrip (để phát hiện lỗ hổng chi tiết)
% git clone https://github.com/scipag/vulscan scipag_vulscan
Sudo ln -s `pwd`/scipag_vulscan /usr/local/share/nmap/scripts/vulscan
Bước 2: % Sudo nmap -sV --script=vulscan/vulscan.nse 192.168.1.9
Chọn 5 lỗ hổng có mã CVE sau :
1. CVE-2010-3222 (Remote Procedure Call Subsystem):
- Loại lỗ hổng: Tràn bộ đệm trên ngăn xếp (stack-based buffer overflow)
- Mục tiêu: Remote Procedure Call Subsystem (RPCSS) trong Microsoft
Windows XP SP2/SP3 và Server 2003 SP2
- Ảnh hưởng: Người dùng cục bộ có thể nâng cao quyền hạn của mình
(Privilege Escalation).
- Cơ chế tấn công: Kẻ tấn công gửi một tin nhắn LPC được thiết kế đặc biệt,
yêu cầu máy chủ LPC kết nối lại với máy khách.Tin nhắn này gây tràn bộ
đệm trên ngăn xếp, cho phép kẻ tấn công ghi đè dữ liệu và thực thi mã
tùy ý với quyền hạn cao.
- Lưu ý: Lỗ hổng này tương tự với CVE-2010-2567 ở chỗ đều liên quan đến
lỗi tràn bộ đệm, nhưng khác nhau về vị trí và mục tiêu tấn công.
2. CVE-2010-3139 (Progman Group Converter):
- Loại lỗ hổng: Đường dẫn tìm kiếm không đáng tin cậy
- Mục tiêu: Microsoft Windows Progman Group Converter (grpconv.exe)
- Ảnh hưởng:Người dùng cục bộ có thể thực thi mã tùy ý. Kẻ tấn công từ xa
có khả năng thực hiện tấn công DLL hijacking (nếu điều kiện cho phép).
- Cơ chế tấn công:Kẻ tấn công đặt file DLL độc hại (imm.dll) cùng thư mục
với file .grp. Chạy grpconv.exe, do đường dẫn tìm kiếm không đáng tin
cậy, chương trình sẽ ưu tiên nạp imm.dll độc hại thay vì thư viện hệ thống
hợp pháp. Mã độc trong imm.dll được thực thi, cho phép kẻ tấn công
kiểm soát hệ thống.
3. CVE-2010-2742 (Netlogon RPC Service):
- Loại lỗ hổng: Tham chiếu bộ nhớ null (NULL pointer dereference)
- Mục tiêu: Netlogon RPC Service trong Microsoft Windows Server
(domain controller)
- Ảnh hưởng: Kẻ tấn công từ xa có thể gây ra tình trạng từ chối dịch vụ
(DoS) cho máy chủ, dẫn đến việc khởi động lại hệ thống.
- Cơ chế tấn công: Kẻ tấn công gửi gói tin RPC được thiết kế đặc biệt, kích
hoạt lỗi tham chiếu bộ nhớ null trong dịch vụ Netlogon. Lỗi này dẫn đến
sự cố DoS, khiến máy chủ ngừng hoạt động và có thể khởi động lại.
4. CVE-2010-2729 (Print Spooler Service):
- Loại lỗ hổng: Xác thực quyền truy cập không đúng
- Mục tiêu: Print Spooler service trong Microsoft Windows (khi bật chia sẻ
máy in)
- Ảnh hưởng: Kẻ tấn công từ xa có thể tạo file trong thư mục hệ thống và
thực thi mã tùy ý. Lỗ hổng này đã được khai thác thực tế vào tháng 9 năm
2010.
- Cơ chế tấn công: Kẻ tấn công gửi yêu cầu in được thiết kế đặc biệt qua
giao thức RPC. Lỗ hổng xác thực quyền truy cập cho phép kẻ tấn công
tạo file tùy ý trong thư mục hệ thống. File này có thể được thực thi như
mã, cho phép kẻ tấn công kiểm soát hệ thống.
5. CVE-2010-2567 (RPC Client):
- Loại lỗ hổng: Lỗi phân bổ bộ nhớ
- Mục tiêu: RPC client trong Microsoft Windows
- Ảnh hưởng: Máy chủ RPC từ xa và kẻ tấn công trung gian có thể thực thi
mã tùy ý trên máy khách.
- Cơ chế tấn công: Kẻ tấn công gửi phản hồi RPC được thiết kế đặc biệt, gây
ra lỗi phân bổ bộ nhớ trong client RPC. Lỗi này cho phép kẻ tấn công
thực thi mã tùy ý trên máy khách, chiếm quyền kiểm soát hệ thống.
Lưu ý: Tất cả các lỗ hổng này đã được vá trong các bản cập nhật bảo mật của
Microsoft từ năm 2010. Cách tốt nhất đảm bảo hệ điều hành được cập nhật đầy
đủ để tránh bị tấn công.
Tổng kết: Trong bài lab này, chúng ta đã tập trung vào việc nghiên cứu sử dụng
công cụ Nmap để quét máy mục tiêu, phát hiện hệ điều hành, dịch vụ và lỗ hổng
của nó. Mục tiêu của phòng thí nghiệm này là để hiểu cách thức tiến hành đánh
giá bảo mật và xác định những điểm yếu tiềm ẩn trong hệ thống. Những điểm
chính sau đây tóm tắt kinh nghiệm trong bài lab của chúng tôi:
- Initial Scan: Chúng ta đã bắt đầu phòng thí nghiệm bằng cách tiến hành
quét nhanh máy mục tiêu bằng cách sử dụng
- Cờ -F của Nmap, cho phép chúng tôi xác định các cổng và dịch vụ mở
phổ biến.
- OS Detection: Cờ -O của Nmap được sử dụng để phát hiện hệ điều hành
đang chạy trên máy mục tiêu.
- Detailed Service Scan: Chúng ta đã thực hiện quét dịch vụ toàn diện hơn
bằng cách sử dụng -sV cờ để xác định không chỉ các dịch vụ đang chạy
mà còn cả số phiên bản của chúng. Cái này là thông tin rất quan trọng để
đánh giá các lỗ hổng tiềm ẩn.
- Firewall Testing: Chúng ta đã quan sát tác động của tường lửa lên máy
mục tiêu bằng cách tắt nó đi và lặp lại quá trình quét Nmap. Sự so sánh
này cho thấy tầm quan trọng của tường lửa trong an ninh mạng
- Exploring Additional Nmap Options: Chúng ta đã thử nghiệm các tùy
chọn Nmap bổ sung để mở rộng kiến thức của chúng tôi và thu thập thêm
thông tin về cấu hình máy mục tiêu
- Vulnerability Scanning: Chúng ta đã cài đặt và chạy tập lệnh Vulscan
Nmap để phát hiện lỗ hổng trên máy mục tiêu. Bước này đã chứng tỏ tầm
quan trọng của đánh giá lỗ hổng trong thực tiễn bảo mật.
- CVE Vulnerability Investigation: Chúng tôi đã chọn khoảng năm lỗ hổng
từ
Câu 4:
1. Firewall và ACL (Access Control Lists): Cấu hình firewall và ACL để chặn
các loại truy cập không mong muốn từ các địa chỉ IP không xác định hoặc từ
các dải địa chỉ IP mà bạn không mong muốn.
2.Giảm thiểu dấu vết (Reducing Footprints): Giảm thiểu thông tin mạng mà bạn
công khai. Điều này có thể bao gồm ẩn các banner của hệ điều hành và ứng
dụng, không cho phép ping truy cập vào máy chủ, và giảm thiểu thông tin mô tả
trên các trang web công cộng.
3.Hạn chế truy cập (Access Restriction): Hạn chế truy cập vào các dịch vụ và
cổng mạng mà không cần thiết để giảm thiểu sự tiếp xúc với các điểm tấn công
tiềm ẩn.
4.Kiểm soát lưu lượng (Traffic Control): Sử dụng công cụ kiểm soát lưu lượng
như Intrusion Prevention Systems (IPS) để phát hiện và ngăn chặn các loại lưu
lượng không mong muốn như quét mạng.
5.Quản lý bảo mật (Security Management): Triển khai hệ thống quản lý sự kiện
và thông tin bảo mật (SIEM) để theo dõi và phản ứng nhanh chóng đối với các
hoạt động bất thường trên mạng.
6.Sử dụng IDS/IPS (Intrusion Detection/Prevention Systems): Triển khai hệ
thống phát hiện và ngăn chặn xâm nhập để phát hiện và ngăn chặn các hoạt
động quét mạng từ attacker.
7.Cập nhật hệ thống (System Updates): Luôn duy trì hệ thống và ứng dụng của
bạn được cập nhật với các bản vá bảo mật mới nhất để loại bỏ các lỗ hổng bảo
mật có thể được sử dụng bởi attacker.
8.Phân tích bảo mật (Security Analysis): Thực hiện phân tích bảo mật định kỳ
để xác định các điểm yếu và các nguy cơ tiềm ẩn trong hệ thống mạng của bạn.
9.Giáo dục và đào tạo nhân viên: Đảm bảo nhân viên của bạn được đào tạo về
các biện pháp bảo mật mạng cơ bản và được giáo dục về các nguy cơ của các
hoạt động quét mạng từ attacker.
10.Phân tích lưu lượng mạng (Network Traffic Analysis): Sử dụng công cụ
phân tích lưu lượng mạng để phát hiện các hoạt động không bình thường và xác
định các mẫu tấn công mới.
| 1/9
| | Tải xuống

Có thể bạn quan tâm:

Preview text:

Phan Quốc Lập – 22162019 Network Topology: MacOs WindowOs (Target) 192.168.1.8 192.168.1.9 Tổng quan:
- Chúng ta sẽ tìm hiểu về cách sử dụng Nmap, một công cụ quét mạng
mạnh mẽ, để phát hiện hệ điều hành, dịch vụ và lỗ hổng trên máy mục
tiêu. Bài tập này giúp hiểu tầm quan trọng của đánh giá bảo mật và cách
sử dụng Nmap trong các tình huống như bật/tắt tường lửa và quét lỗ
hổng. Điều này sẽ nâng cao kỹ năng đánh giá bảo mật và giúp xác định
điểm yếu trong hệ thống.
Nội dung thực hành:
1. TH bật tường lửa ở máy mục tiêu: Bước 1: Quét lần đầu
- Bắt đầu bằng cách sử dụng Nmap để thực hiện lần quét đầu tiên trên máy
đích bằng lệnh % Sudo nmap -F 192.168.1.9
- Lệnh này sẽ quét nhanh các cổng và dịch vụ phổ biến nhất trên máy mục
tiêu, giúp xác định các dịch vụ đang chạy.
Bước 2: Phát hiện hệ điều hành
- Tiếp theo, bạn có thể chạy Nmap để phát hiện hệ điều hành của máy mục tiêu.
- Dùng lệnh: % Sudo nmap -O 192.168.1.9 Bước 3: Aggressive scan
- Aggressive scan bằng cờ -A để thu thập thông tin toàn diện về máy mục
tiêu, bao gồm chi tiết hệ điều hành, dịch vụ và phiên bản tương ứng của
chúng. Quá trình Aggressive scan này có tính xâm nhập cao hơn và có thể
cung cấp sự hiểu biết sâu sắc hơn về hệ thống mục tiêu. - % Sudo nmap -A 192.168.1.9 Bước 4: Detailed Scan
- Thực hiện Detailed Scan với tính năng phát hiện phiên bản dịch vụ. - Sudo nmap -sV 192.168.1.9
Khi sử dụng nmap để quét đối tượng có bật tường lửa (firewall) và đối tượng
không bật tường lửa, sẽ có những sự khác biệt quan trọng trong kết quả quét.
Khi Đối Tượng Có Bật Tường Lửa:
- Các Cổng Không Mở: Nếu tường lửa được cấu hình chặt chẽ, nmap có thể chỉ
thấy rất ít hoặc không thể xác định được bất kỳ cổng nào đang mở. Các kết quả
quét thường chỉ hiển thị một số ít cổng được mở để phục vụ các dịch vụ quan trọng.
- Công Nghệ Ngăn Chặn (IDS/IPS): Nếu đối tượng sử dụng các giải pháp ngăn
chặn xâm nhập (Intrusion Detection System - IDS) hoặc hệ thống ngăn chặn
xâm nhập (Intrusion Prevention System - IPS), nmap có thể bị phát hiện và chặn
bởi các biện pháp bảo mật này.
Khi Đối Tượng Không Bật Tường Lửa:
- Cổng Mở: Khi tường lửa không hoặc được cấu hình để cho phép truy cập qua
nhiều cổng, nmap có thể phát hiện được nhiều cổng mở hơn, giúp xác định các
dịch vụ và ứng dụng đang chạy.
- Dịch Vụ và Phiên Bản Ứng Dụng: nmap có thể xác định các dịch vụ và phiên
bản ứng dụng chính xác hơn khi không có tường lửa hay các biện pháp bảo mật nào cản trở.
- Thời Gian Phản Hồi Nhanh Hơn: Quét có thể diễn ra nhanh hơn vì không có
thêm lớp bảo mật tường lửa để vượt qua.
Lưu ý rằng nmap có thể được cấu hình để thực hiện các kiểm tra nhất định để
tránh bị phát hiện bởi các hệ thống an ninh. Sự chênh lệch này trong kết quả
quét giữa đối tượng có tường lửa và không có tường lửa là kết quả của cấu hình
bảo mật cụ thể của hệ thống.
2. Phát hiện lỗ hổng trên hệ điều hành:
Bước 1. Cài đặt vul-scrip (để phát hiện lỗ hổng chi tiết)
% git clone https://github.com/scipag/vulscan scipag_vulscan
Sudo ln -s `pwd`/scipag_vulscan /usr/local/share/nmap/scripts/vulscan
Bước 2: % Sudo nmap -sV --script=vulscan/vulscan.nse 192.168.1.9
Chọn 5 lỗ hổng có mã CVE sau :
1. CVE-2010-3222 (Remote Procedure Call Subsystem):
- Loại lỗ hổng: Tràn bộ đệm trên ngăn xếp (stack-based buffer overflow)
- Mục tiêu: Remote Procedure Call Subsystem (RPCSS) trong Microsoft
Windows XP SP2/SP3 và Server 2003 SP2
- Ảnh hưởng: Người dùng cục bộ có thể nâng cao quyền hạn của mình (Privilege Escalation).
- Cơ chế tấn công: Kẻ tấn công gửi một tin nhắn LPC được thiết kế đặc biệt,
yêu cầu máy chủ LPC kết nối lại với máy khách.Tin nhắn này gây tràn bộ
đệm trên ngăn xếp, cho phép kẻ tấn công ghi đè dữ liệu và thực thi mã
tùy ý với quyền hạn cao.
- Lưu ý: Lỗ hổng này tương tự với CVE-2010-2567 ở chỗ đều liên quan đến
lỗi tràn bộ đệm, nhưng khác nhau về vị trí và mục tiêu tấn công.
2. CVE-2010-3139 (Progman Group Converter):
- Loại lỗ hổng: Đường dẫn tìm kiếm không đáng tin cậy
- Mục tiêu: Microsoft Windows Progman Group Converter (grpconv.exe)
- Ảnh hưởng:Người dùng cục bộ có thể thực thi mã tùy ý. Kẻ tấn công từ xa
có khả năng thực hiện tấn công DLL hijacking (nếu điều kiện cho phép).
- Cơ chế tấn công:Kẻ tấn công đặt file DLL độc hại (imm.dll) cùng thư mục
với file .grp. Chạy grpconv.exe, do đường dẫn tìm kiếm không đáng tin
cậy, chương trình sẽ ưu tiên nạp imm.dll độc hại thay vì thư viện hệ thống
hợp pháp. Mã độc trong imm.dll được thực thi, cho phép kẻ tấn công kiểm soát hệ thống.
3. CVE-2010-2742 (Netlogon RPC Service):
- Loại lỗ hổng: Tham chiếu bộ nhớ null (NULL pointer dereference)
- Mục tiêu: Netlogon RPC Service trong Microsoft Windows Server (domain controller)
- Ảnh hưởng: Kẻ tấn công từ xa có thể gây ra tình trạng từ chối dịch vụ
(DoS) cho máy chủ, dẫn đến việc khởi động lại hệ thống.
- Cơ chế tấn công: Kẻ tấn công gửi gói tin RPC được thiết kế đặc biệt, kích
hoạt lỗi tham chiếu bộ nhớ null trong dịch vụ Netlogon. Lỗi này dẫn đến
sự cố DoS, khiến máy chủ ngừng hoạt động và có thể khởi động lại.
4. CVE-2010-2729 (Print Spooler Service):
- Loại lỗ hổng: Xác thực quyền truy cập không đúng
- Mục tiêu: Print Spooler service trong Microsoft Windows (khi bật chia sẻ máy in)
- Ảnh hưởng: Kẻ tấn công từ xa có thể tạo file trong thư mục hệ thống và
thực thi mã tùy ý. Lỗ hổng này đã được khai thác thực tế vào tháng 9 năm 2010.
- Cơ chế tấn công: Kẻ tấn công gửi yêu cầu in được thiết kế đặc biệt qua
giao thức RPC. Lỗ hổng xác thực quyền truy cập cho phép kẻ tấn công
tạo file tùy ý trong thư mục hệ thống. File này có thể được thực thi như
mã, cho phép kẻ tấn công kiểm soát hệ thống. 5. CVE-2010-2567 (RPC Client):
- Loại lỗ hổng: Lỗi phân bổ bộ nhớ
- Mục tiêu: RPC client trong Microsoft Windows
- Ảnh hưởng: Máy chủ RPC từ xa và kẻ tấn công trung gian có thể thực thi mã tùy ý trên máy khách.
- Cơ chế tấn công: Kẻ tấn công gửi phản hồi RPC được thiết kế đặc biệt, gây
ra lỗi phân bổ bộ nhớ trong client RPC. Lỗi này cho phép kẻ tấn công
thực thi mã tùy ý trên máy khách, chiếm quyền kiểm soát hệ thống.
Lưu ý: Tất cả các lỗ hổng này đã được vá trong các bản cập nhật bảo mật của
Microsoft từ năm 2010. Cách tốt nhất đảm bảo hệ điều hành được cập nhật đầy
đủ để tránh bị tấn công.
Tổng kết: Trong bài lab này, chúng ta đã tập trung vào việc nghiên cứu sử dụng
công cụ Nmap để quét máy mục tiêu, phát hiện hệ điều hành, dịch vụ và lỗ hổng
của nó. Mục tiêu của phòng thí nghiệm này là để hiểu cách thức tiến hành đánh
giá bảo mật và xác định những điểm yếu tiềm ẩn trong hệ thống. Những điểm
chính sau đây tóm tắt kinh nghiệm trong bài lab của chúng tôi:
- Initial Scan: Chúng ta đã bắt đầu phòng thí nghiệm bằng cách tiến hành
quét nhanh máy mục tiêu bằng cách sử dụng
- Cờ -F của Nmap, cho phép chúng tôi xác định các cổng và dịch vụ mở phổ biến.
- OS Detection: Cờ -O của Nmap được sử dụng để phát hiện hệ điều hành
đang chạy trên máy mục tiêu.
- Detailed Service Scan: Chúng ta đã thực hiện quét dịch vụ toàn diện hơn
bằng cách sử dụng -sV cờ để xác định không chỉ các dịch vụ đang chạy
mà còn cả số phiên bản của chúng. Cái này là thông tin rất quan trọng để
đánh giá các lỗ hổng tiềm ẩn.
- Firewall Testing: Chúng ta đã quan sát tác động của tường lửa lên máy
mục tiêu bằng cách tắt nó đi và lặp lại quá trình quét Nmap. Sự so sánh
này cho thấy tầm quan trọng của tường lửa trong an ninh mạng
- Exploring Additional Nmap Options: Chúng ta đã thử nghiệm các tùy
chọn Nmap bổ sung để mở rộng kiến thức của chúng tôi và thu thập thêm
thông tin về cấu hình máy mục tiêu
- Vulnerability Scanning: Chúng ta đã cài đặt và chạy tập lệnh Vulscan
Nmap để phát hiện lỗ hổng trên máy mục tiêu. Bước này đã chứng tỏ tầm
quan trọng của đánh giá lỗ hổng trong thực tiễn bảo mật.
- CVE Vulnerability Investigation: Chúng tôi đã chọn khoảng năm lỗ hổng từ Câu 4:
1. Firewall và ACL (Access Control Lists): Cấu hình firewall và ACL để chặn
các loại truy cập không mong muốn từ các địa chỉ IP không xác định hoặc từ
các dải địa chỉ IP mà bạn không mong muốn.
2.Giảm thiểu dấu vết (Reducing Footprints): Giảm thiểu thông tin mạng mà bạn
công khai. Điều này có thể bao gồm ẩn các banner của hệ điều hành và ứng
dụng, không cho phép ping truy cập vào máy chủ, và giảm thiểu thông tin mô tả
trên các trang web công cộng.
3.Hạn chế truy cập (Access Restriction): Hạn chế truy cập vào các dịch vụ và
cổng mạng mà không cần thiết để giảm thiểu sự tiếp xúc với các điểm tấn công tiềm ẩn.
4.Kiểm soát lưu lượng (Traffic Control): Sử dụng công cụ kiểm soát lưu lượng
như Intrusion Prevention Systems (IPS) để phát hiện và ngăn chặn các loại lưu
lượng không mong muốn như quét mạng.
5.Quản lý bảo mật (Security Management): Triển khai hệ thống quản lý sự kiện
và thông tin bảo mật (SIEM) để theo dõi và phản ứng nhanh chóng đối với các
hoạt động bất thường trên mạng.
6.Sử dụng IDS/IPS (Intrusion Detection/Prevention Systems): Triển khai hệ
thống phát hiện và ngăn chặn xâm nhập để phát hiện và ngăn chặn các hoạt
động quét mạng từ attacker.
7.Cập nhật hệ thống (System Updates): Luôn duy trì hệ thống và ứng dụng của
bạn được cập nhật với các bản vá bảo mật mới nhất để loại bỏ các lỗ hổng bảo
mật có thể được sử dụng bởi attacker.
8.Phân tích bảo mật (Security Analysis): Thực hiện phân tích bảo mật định kỳ
để xác định các điểm yếu và các nguy cơ tiềm ẩn trong hệ thống mạng của bạn.
9.Giáo dục và đào tạo nhân viên: Đảm bảo nhân viên của bạn được đào tạo về
các biện pháp bảo mật mạng cơ bản và được giáo dục về các nguy cơ của các
hoạt động quét mạng từ attacker.
10.Phân tích lưu lượng mạng (Network Traffic Analysis): Sử dụng công cụ
phân tích lưu lượng mạng để phát hiện các hoạt động không bình thường và xác
định các mẫu tấn công mới.