PHẦN 1.

THỰC HÀNH CÀI ĐẶT CÔNG CỤ HỖ TRỢ KIỂM THỬ

TƯỜNG LỬA
1.1. Chuẩn bị
01 máy ảo VMWare chạy HĐH Ubuntu 32 bit hoặc 64 bit
1.2. Thực hiện
Thực hiện đăng nhập vào hệ thống, sử dụng công cụ terminal để cài đặt.
Giao diện terminal:
1.2.1. Cài đặt công cụ nmap
Để thực hiện cài đặt công cụ nmap, tại terminal nhập câu lệnh:
sudo apt-get install nmap

Sau khi cài đặt xong, nhập nmap –h để kiểm tra

Xuất hiện thông báo như trên là đã cài đặt thành công.
1.2.2. Cài đặt công cụ traceroute
 Vào terminal, sử dụng câu lệnh: sudo apt-get install traceroute để thực hiện
cài đặt công cụ traceroute.

Nhập traceroute --help để kiểm tra chắc chắn công cụ đã hoạt động

Xuất hiện thông báo như trên là đã cài đặt thành công.
1.2.3. Cài đặt công cụ hping3
Vào terminal, sử dụng câu lệnh: sudo apt-get install hping3 để thực hiện cài
đặt công cụ hping3

Nhập hping3 –h để kiểm tra chắc chắn công cụ đã hoạt động

Xuất hiện thông báo như trên là đã cài đặt thành công.
1.2.4. Cài đặt công cụ firewalk
Vào terminal, sử dụng câu lệnh: sudo apt-get install firewalk để thực hiện
cài đặt công cụ firewalk

Nhập firewalk –h để kiểm tra chắc chắn công cụ đã hoạt động

Xuất hiện thông báo như trên là đã cài đặt thành công.

PHẦN 2. THỰC HÀNH XÁC ĐỊNH TƯỜNG LỬA

2.1. Mô hình thực hiện
Máy Pentester được kết nối ra ngoài mạng Internet, để có thể truy cập tới
WebServer có địa chỉ: 42.112.213.88

2.2. Kiểm tra kết nối

Tại máy Pentester vào terminal
Tại cửa sổ Terminal thực hiện ping tới địa chỉ IP của máy WebServer
2.3. Xác định tường lửa trong hệ thống.
Sử dụng công cụ traceroute để thực hiện xác định firewall trong hệ thống.
Traceroute là công cụ dòng lệnh dùng để xác định đường đi từ nguồn tới đích của
một gói Giao thức mạng Internet. Tìm đường tới đích bằng cách gửi các thông báo
Echo Request (yêu cầu báo hiệu lại) Internet Control Message Protocol (ICMP) tới
từng đích. Sau mỗi lần gặp một đích, giá trị Time to Live (TTL), tức thời gian cần
để gửi đi sẽ được tăng lên cho tới khi gặp đúng đích cần đến. Đường đi được xác
định từ quá trình này.
Tại máy Pentester vào cửa sổ terminal.
Tại cửa sổ terminal thực hiện câu lệnh: traceroute 42.112.213.88 để xác
định các hop mà gói tin đi qua

Tiếp tục sử dụng lệnh: traceroute –I 42.112.213.88 để gửi các gói tin
ICMP.
 Vậy từ 2 kết quả trên, chúng ta có thể xác định được ip 1.55.246.114 là
firewall vì có sự cản lọc các gói tin ICMP.
2.4. Kiểm tra thông tin tường lửa.
Sau khi xác định được firewall, tiến hành xác định thông tin firewall.
Tại máy Pentester vào terminal và nhập câu lệnh:
sudo nmap -sV --script=banner 113.22.5.117

Từ kết quả trên, ta có thể xác định được tường lửa đã lọc một vài gói tin

PHẦN 3. THỰC HÀNH KIỂM THỬ TƯỜNG LỬA

3.1. Kiểm thử tường lửa với nmap.
Nmap là một công cụ rất hữu hiệu để phát hiện thông tin về tường lửa. Khi
nmap quét một hệ chủ, nó không chỉ đưa ra thông báo về các cổng, dịch vụ đang
hoạt động mà còn cho biết các cổng đang bị phong tỏa. Lượng thông tin nhận được
từ một lần quét cổng có thể cho biết khá nhiều về cấu hình của bức tường lửa. Một
cổng đã lọc trong nmap biểu hiện cho một trong ba nội dung sau:
+ không nhận gói tin SYN/ACK nào.
 + không nhận gói tin RST/ACK nào.
+ Ðã nhận một thông báo ICMP type 3 (Destination Unreachable) có
một mã 13 (Communication Administratively Prohibited -
[RFC1812]).
Tại máy Pentester vào terminal
Tại terminal sử dụng câu lệnh sau để thực hiện kiểm tra firewall.
nmap --script=firewalk -traceroute 42.112.213.88
+ --script=firewalk: sử dụng option script
+ --traceroute: kiểm tra các hop mà gói tin đi qua.

Từ kết quả trên có thể thấy sự cản trở các gói tin đi qua một số port vào
server
3.2. Kiểm thử tường lửa với hping3
Hping3 của Salvatore Sanfilippo, làm việc bằng cách gửi các gói tin TCP
đến một cổng đích và báo cáo các gói tin mà nó nhận trở lại. Hping trả về nhiều
đáp ứng khác nhau tùy theo vô số điều kiện. Mỗi gói tin từng phần và toàn thể có
thể cung cấp một bức tranh khá rõ về các kiểu kiểm soát truy cập của bức tường
lửa.
Ví dụ, khi dùng hping ta có thể phát hlện các gói tin mở, bị phong tỏa, thả, và loại
bỏ.
Tại máy Pentester vào terminal
Tại terminal sử dụng câu lệnh sau để thực hiện kiểm tra port 80 của firewall.
hping3 113.22.5.117 -c 2 –S –p 80
+ -c: Gửi 2 gói tin
+ -p: port muốn gửi đến

Theo kết quả thì port 80 có thể đi qua firewall.

Để xác định nhiều port cùng 1 lúc thì tại terminal sử dụng câu lệnh sau:
hping3 113.22.5.117 -c 100 –S –p ++1

Theo kết quả trên thì có nhiều port có thể đi qua được firewall này.

3.3. Kiểm thử tường lửa với firewalk

Firewalk là một công cụ nhỏ tiện dụng, như một bộ quét cổng, được dùng để
phát hiện các cổng mở đằng sau một bức tường lửa. Ðược viết bởi Mike
Schiffnlan, còn gọi là Route và Dave Goldsmith, trình tiện ích này sẽ quét một
server xua dòng từ một bức tường lửa và báo cáo trở lại các quy tắc đợc phép
đến server đó mà không phải thực tế chạm đến hệ đích. Firewalk làm việc bằng
cách kiến tạo các gói tin với một IP TTL được tính toán để kết thúc một chặng
vượt qua bức tường lửa. Về lý thuyết, nếu gói tin được bức tường lửa cho
phép, nó sẽ đợc phép đi qua và sẽ kết thúc như dự kiến, suy ra một thông điệp
"ICMP TTL expired in transit." Mặt khác, nếu gói tin bị ACL của bức tường
lửa phong tỏa, nó sẽ bị thả, hoặc không có đáp ứng nào sẽ được gửi, hoặc một
gói tin lọc bị ICMP type 13 admin ngăn cấm sẽ được gửi.
Tại máy Attacker vào terminal
Tại terminal sử dụng câu lệnh sau để thực hiện kiểm tra firewall
firewalk -pTCP 113.22.5.117 10.245.32.229