AIC500

Chuyên trang chia sẻ kiến thức AI, Deeplearnig, MachineLearning, An ninh an toàn thông tin

Thứ Hai, 19 tháng 4, 2021

Nmap - Thực hành

Nmap (Network Mapper) là một công cụ quét, theo dõi và đánh giá bảo mật một hệ thống mạng được phát triển bởi Gordon Lyon (hay còn được biết đến với tên gọi Fyodor Vaskovich). Nmap là phần mềm mã nguồn mở miễn phí, ban đầu chỉ được phát triển trên nền tảng Linux sau đó được phát triển trên nhiều nền tảng khác nhau như Windows, Solari, Mac OS… và phát triển thêm phiên bản giao diện người dùng (zenmap). Tải vệ tại đây

Các chức năng của Nmap:

- Phát hiện host trong mạng

- Liệt kê các cổng đang mở trên một host

- Xác định các dịch vụ chạy trên các cổng đang mở cùng với phần mềm và phiên bản đang dùng

- Xác đinh hệ điều hành của thiết bị

- Chạy các kịch bản đặc biệt

Sử dụng nmap:

- Xác định mục tiêu: Việc đầu tiên khi sử dụng nmap là xác định mục tiêu cần quét, mục tiêu có thể là 1 domain, 1 IP, 1 dải địa chỉ IP, 1 danh sách (file) các IP và domain

Một số ví dụ quét Nmap


- Phát hiện các host trong mạng (host discovery): Đối với mục tiêu là 1 dải mạng với hàng nghìn host, việc quét hàng nghìn cổng trên mỗi host sẽ tốn rất nhiều thời gian vì vậy việc xác định các host đang chạy sẽ rút ngắn thời gian trong quá trình quét. Nmap sử dụng một số kĩ thuật sau để thực hiện host discovery:

o   TCP SYN Ping:–PS <port list>

o   TCP ACK Ping: –PA <port list>

o    UDP Ping: –PU <port list>

o   ARP Ping (sử dụng trong mạng LAN): -PR

o   ICMP type 8 (echo request): -PE

o   o ICMP type 13 (timestamp request): -PP

o   o ICMP type 17(Address mask request): -PA

Các kỹ thuật quét cổng.

o   TCP SYN scan (-sS): nmap gửi một gói tin TCP-SYN tới 1 cổng của mục tiêu. Nếu nhận được ACK_SYN thì cổng đó đang ở trạng thái open TCP connect scan (-sT): Kỹ thuật này cho kết quả tương tự như TCP SYN scan, nếu nhận được ACK-SYN nmap sẽ gửi gói tin ACK để hoàn tất quá trình bắt tay 3 bước.

o   UDP scan (-sU): nmap gửi gói tin UDP tới 1 cổng của mục tiêu nếu nhận được gói tin ICMP port unreachable error (type 3, code 3) thì cổng đó ở trạng thái close. Nếu nhận được ICMP unreachable errors (type 3, codes 1, 2, 9, 10, or 13) thì cổng đó ở trạng thái filtered. Nếu không nhận được gì thì cổng ở trạng thái open|filtered. Nếu nhận được gói tin UDP thì cổng đó ở trạng thái open.

o   TCP ACK scan (-sA): Kỹ thuật này không dùng để kiểm tra trạng thái của các cổng mà để kiểm tra cấu hình của firewall (cổng nào bị firewall chặn, cổng nào không). Trong này gói tin ACK sẽ được gửi nếu nhận được RST thì cổng đó không bị chặn (unfiltered) nếu không nhận được trả lời hoặc ICMP type 3, code 1, 2, 3, 9, 10, 13 thì cổng đó bị firewall chặn (filtered).

o   Ngoài ra nmap còn có 1 số tùy chọn với các kỹ thuật khác nâng cao (-sY,-sM, -sO, -sZ, -sI)

Xác đinh dịch vụ, phiên bản, hệ điều hành. Mặc định sau khi quét các cổng, nmap sẽ xác định dịch vụ đang chạy trên các cổng dựa vào file nmap-services (các cổng mặc định của từng service) tuy nhiên một số server cấu hình các dịch vụ không chạy trên các cổng mặc định. Để xác định rõ cổng nào chạy dịch vụ nào nmap sử dụng tùy chọn –sV. Với tùy chọn này nmap sẽ xác định được dịch vụ và phiên bản phần mềm chạy trên từng cổng dựa vào banner khi kết nối với cổng đó.

@tronghungt31

 

Thứ Năm, 24 tháng 12, 2020

KHẢO SÁT VỀ MẶT CÔNG NGHỆ CỦA HỆ THỐNG SOC MÃ NGUỒN MỞ



1. Mỗi hệ thống SOC hiệu quả cần có các thành phần chính:

- Hệ thống SIEM: Quản lý sự kiện và thông tin bảo mật

- Hệ thống IDS/IPS/IDPS: Hệ thống quản lý và theo dõi, hệ thống phát hiện và ngăn chặn xâm nhập

- Nền tảng phát hiện và cảnh báo các nguy hiểm tới hệ thống CTI

- Công cụ thu thập và phân tích các gói tin

2. Một số nền tảng mã nguồn mở cho từng thành phần trên:

a. Hệ thống SIEM

- Apache Metron: Là công cụ mã nguồn mở viết trên nền tảng JSON, chức năng giám sát tập chung và phân tích bảo mật.

Tìm hiểu thêm tại : https://github.com/apache/metron

- AlienVault OSSIM: AlienVault OSSIM cũng cho phép theo dõi và ghi nhật ký các ứng dụng.

Tìm hiểu thêm tại: https://cybersecurity.att.com/products/ossim

- MozDef: Tìm hiểu thêm tại: https://github.com/mozilla/MozDef

- OSSEC: về kỹ thuật OSSEC là một hệ thống phát hiện xâm nhập mã nguồn mở chứ không phải là một giải pháp SIEM. Tuy nhiên nó có tính năng thu thập nhật ký và xử lý các nhật ký thu được

Tìm hiểu thêm tại: https://www.ossec.net/ossec-downloads/

- Wazuh: được phát triển từ OSSEC.

Tìm hiểu thêm tại: https://wazuh.com/

- Prelude OSS: Làm việc với nhiều định dạng Log và các tài nguyên khác. Chuẩn hóa dữ liệu sự kiện thành một ngôn ngữ chung, có thể hộ trợ các giải pháp khác

Tìm hiể thêm tại: https://www.prelude-siem.org/projects/prelude/files

- Hệ thống SNORT

- ELK Stack: Biên dịch được nhật ký từ hầu hết các nguồn dữ liệu bằng việc sử dụng công cụ Logstash. Có thể hiện thị được một phần dữ liệu

Tìm hiểu thêm tại: https://www.elastic.co/fr/what-is/elk-stack

- SIEMonster:

b. IDS/IPS/IDPS

- Suricata: là một IDPS có khả năng kiẻm soát hệ thống mạng hiệu xuất cao

Tìm hiểu thêm tại: https://suricata-ids.org/

- OSSEC:

- Security Onion: Hệ thống phát hiện xâm nhập mã nguồn mở

Tìm hiểu thêm tại: https://securityonionsolutions.com/

- Bro Network Security Monitor: Được sử dụng với quy mô lớn, phân tích lưu lượng tổng quát, phát hiện sự cố, phát hiện mối đe dọa.

TÌm hiểu thêm tại: https://zeek.org/

c. Công cụ ứng phó sự cố

- GRR Rapid Response: Được phát triển bởi google, gồm hải thành phần client triển khai trên mạng giám sát và server hỗ trợ phân tích

Tìm hiểu thêm tại: https://github.com/google/grr

- Cyphon: Nắm bắt các tài nguyển, xử lý, phân loại các sự cố cho quản trị viên, hệ thống thu thập dữ liệu, nhật ký gói tin, có API gửi email

Tìm hiể thêm tại: https://www.cyphon.io/

- The Hive Project: Hiện thị và điều tra nhiều sự cố cùng một lúc

Tìm hiểu thêm tại: https://thehive-project.org/

- SIFT (Sans Investigative Forensics Toolkit) Workstation: Công cụ điều tra số trên nền Ubuntu

Tìm hiểu thêm tại: https://digital-forensics.sans.org/community/downloads

d. Threat intelligence tools - Công cụ tình báo các mối đe dọa

- MISP: Nền tảng chia sẻ thông tin phần mềm độc hại

Tìm hiểu thêm tại: https://www.misp-project.org/

- TIH (Threat-Intelligence-Hunter):

Tìm hiểu thêm tại: https://github.com/abhinavbom/Threat-Intelligence-Hunter

- QTek/QRadio:

Tìm hiểu thêm tại: https://github.com/QTek/QRadio

- Machinae Security Intelligence Collector:

Tìm hiểu thêm tại: https://machinae.hurricanelabs.com/

- Tìm hiểu thêm tại: https://socradar.io/community-edition/

Nguyễn Trọng Hưng

 

Thứ Ba, 1 tháng 12, 2020

Scanning - Quét mạng (Phần 2)

 

Scanning Part2

(Vulnerability Scanning)

AIC500-Scanning

Khái niệm

Vulnerability Scanning : Là quá trình quét lỗi nhằm xác định ra các lỗ hổng bảo mật hay những điểm yếu mà thường gọi là các điểm “nhạy cảm” của các ứng dụng hay máy chủ, máy trạm đê từ đó đưa ra các phương án tấn công thích hợp. Tiến trình quét lỗi có thể xác định được các bản cập nhật hệ thống bị thiếu, hay những lỗi hệ thống chưa được vá các chuyên gia bảo mật cũng thường tiến hành vulnerability scanning trong công tác bảo vệ hệ thống mạng của mình.

Scanning - Quét mạng (Phần 1)

Scanning

AIC500-Scanning
 Định nghĩa các kiểu Scanning

Trong bước đầu tiên của tiến trình tấn công các hacker thường tiến hành quét mạng mà chúng ta sẽ gọi bằng thuật ngữ scanning để kiểm tra các cổng đang mở hay những dịch vụ mà mục tiêu đang sử dụng. Bên cạnh đó scanning còn cho biết các thông tin quan trọng như hệ điều hành đang sử dụng hay hệ thống máy chủ mà trang web đang dùng là

IIS, Apache …  Scanning bao gồm các thao tác để xác định các host (máy trạm) và những port (cổng) đang hoạt động hay những dịch vụ đang chạy trên hệ thống của mục tiêu cần tấn công và khai thác. Đây là một trong những bước quan trọng của tiến trình thu thập thông tin thông minh (intelligence gathering) mà các hacker sử dụng để lập sơ đồ của các tổ chức hay mạng mục tiêu. Trong tiến trình scanning những kẻ tấn công sẽ gởi các gói tin TCP/IP đến mục tiêu như Hình 3.1 và phân tích các kết quả trả về nhằm xác định các thông tin giá trị mà họ quan tâm.

Thứ Hai, 23 tháng 11, 2020

Lịch công chiếu Footpringting

 https://youtu.be/dfvJrAk9uyc

Câu lệnh trong Linux

 

AIC500-Câu lệnh trong Linux

A. LỆNH HỆ THỐNG

1. Logout máy

#exit hoặc #logout hoặc Ctrl + D

2. Khởi động máy

#reboot hoặc #init-6 hoặc #shutdown -r - now

3. Tắt máy

#poweroff hoặc #init 0 hoặc #shutdown -t -now

4. Xem tên máy tính

#hostname

5. Đổi tên máy tính tạm thời

#hostname [tên mới]

6. Xem user hiện hành

#whoami

7. Xem thông tin user hiện hành

#finger

8. Thay đổi thông tin user hiện hành

#chfn

9. Xem lại user đang login

#who hoặc #w

10. Xem terminal hiện hành

#tty

11. Chuyển qua terminal khác

Alt+F1 đến Alt+F6 (máy ảo)

Alt+Ctrl+F1 đến Alt+Ctrl+F6 (máy thật)

12. Xem trợ giúp lệnh

#man [tên lệnh]

13. Xem danh sách các lệnh đã gõ

#history

14. Xem thời gian

#date

15. Xem lịch

#cal

16. Xem địa chỉ IP

#ifconfig

17. Đặt IP tạm thời

#ifconfig eth0 [ip] netmask 255.255.255.0

18. Disable card mạng

#ifconfig eth0 down

19. Enable card mạng

#ifconfig eth0 up

20. Xem bảng routing

#route -n hoặc #netstat -rn

21. add default gateway

#route add default gw [IP]

22. delete default gateway

#route delete default gw [IP]

23. Kiểm tra kết nối đến máy khác

#ping [ip gateway]

24. Xem thông tin DNS

#more /etc/resolv.conf

25. Khởi động chế độ đồ họa (Start graphic mode)

#startx

26. Chuyển đổi giữa các user

#su -[tên user]

27. Tạo user

#useradd [tên user]

28. Xem danh sách các tiến trình của hệ thống

#top

29. Chuyển lệnh chạy ở chế độ background

#[command]&

30. Điều khiển job - liệt kê các job đang hoạt động

#jobs

31. Chuyển background sang foreground

#fg [number]

32. Biến môi trường (chứa thông tin của hệ thống)

- Xem

#env hoặc #printenv

- In

#echo $[tên]

- Cài đặt

#rpm=[tên]

#export rpm=[tên]

- Gỡ bỏ

#unset [tên]

B. LỆNH VỚI TẬP TIN, THƯ MỤC

1. Tạo thư mục

#mkdir [name]

ví dụ: #mkdir Soft

2. Liệt kê thư mục

#ls

3. Xem đường dẫn thư mục hiện hành

#pwd

4. Chuyển đổi thư mục

#cd [tên thư mục]

ví dụ: #cd /Soft

5. Xóa thư mục rỗng

#rmdir [tên thư mục]

ví dụ: #rmdir Soft

6. Xóa thư mục không rỗng

#rm -rf [tên thư mục]

7. Đổi tên thư mục

#mv [tên cũ] [tên mới]

8. Sao chép thư mục

#cp [tên thư mục] [đường dẫn mới]

9. Đọc nội dung tập tin

#cat [tên tập tin] hoặc #more [tên tập tin] hoặc #less [tên tập tin]

10. Xem nội dung tập tin

#head [tên tập tin] hoặc #tail [tên tập tin]

11. Tạo file rỗng

#touch [tên file]

12. Lệnh giải nén tệp tin:

#cd  /temp

# tar zxpf /mnt/cdrom/vmware

Cấu hình IP tĩnh trên hệ điều hành Linux

ng dn đt IP tĩnh trên CentOS 6

AIC500-Cấu hình Ip tĩnh trên hệ điều hành Linux


Thiết lp IP tĩnh khi không mun nhn đa ch t DHCP cp

[root@server1 ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

Gõ vào:

DEVICE=eth0

HWADDR=00:0C:29:A2:A0:4F

ONBOOT=yes

BOOTPROTO=none

IPADDR=192.168.100.110

NETMASK=255.255.255.0

TYPE=Ethernet

GATEWAY=192.168.100.2

DNS1=192.168.100.110

DNS2=8.8.8.8

IPV6INIT=no

USERCTL=no

Restart card mng

[root@server1 ~]# /etc/rc.d/init.d/network restart

Hoặc

[root@server1 ~]# service network restart

[root@server1 ~]# chkconfig network on

Gõ lnh ifconfig đ kim tra đa ch IP

[root@server1 ~]# ifconfig

Gõ lnh Ping đ kim tra kết ni

[root@server1 ~]# ping 8.8.8.8

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

64 bytes from 8.8.8.8: icmp_seq=1 ttl=128 time=140 ms

64 bytes from 8.8.8.8: icmp_seq=2 ttl=128 time=140 ms

Cấu hình SSH để dùng Security CRT

#vi /etc/ssh/sshd_config

Sửa một số thông tin (bỏ dấu # ở đầu):

Port 22

AddressFamily any

ListenAddress 10.0.0.1

PubkeyAuthentication yes

AuthorizedKeysFile  .ssh/authorized_keys