Network security – Incident Handling – part1: Firewall

o. Giới thiệu:
Network admin cần làm gì trong tình huống khẩn cấp, khi thiết bị firewall (PA/Juniper SRX bị fail).

1. Firewall Palo Alto (PA)

1.1 PA – kiểm tra tình trạng thiết bị và dữ liệu (system health & statistic)

1.2  PA – Chuyển hoạt động sang thiết bị đang passive (fail over / switching):
– Chuyển thiết bị từ active sang passive (passive sẽ tự động chuyển sang active):
– Cách 1: command line: (CLI):
Trên thiết bị active gõ lệnh: Request High-availability state suspend
– Cách 2: web GUI (device > high availability > operational -> ‘suspend local device’)

2. Juniper SRX
2.1 Kiểm tra tình trạng thiết bị và traffic  (system health & statistic)

Netsec – raw packet payload

Tạo, sao chép payload gói tin và gửi gói tin với payload vừa tạo
Create, copy packet payload and resend with another tools

0_ Introduction

Gửi và xử lý gói tin nhận được với PAYLOAD tùy biến
Send and handle received packets with any payload

1_ Gửi payload

sử dụng tool ncat (windows tool) để gửi payload bất kỳ (binary)

*ncat : công cụ gừi và nhận (listening) packet trên UPD/TCP

Step0. Bật chương trình bắt gói trước khi tạo traffic ở step1

Step1. tạo payload bằng công cụ snmpget (example:http://www.net-snmp.org/download.html) – mục đích: tạo traffic với payload chuẩn (ở đây là gói snmp) và copy payload này để gửi với ncat ở Step.3

D:\Tool\usr\snmp>snmpget -L o  -t 2.5 -d -v 1 -c examplestring 192.168.1.1 SNMPv2-MIB::sysName.0

Sending 48 bytes to UDP: [0.0.0.0]->[192.168.1.1]:161
0000: 30 2E 02 01  00 04 0D 65  78 61 6D 70  6C 65 73 74    0......examplest
0016: 72 69 6E 67  A0 1A 02 02  4B 59 02 01  00 02 01 00    ring ...KY......
0032: 30 0E 30 0C  06 08 2B 06  01 02 01 01  05 00 05 00    0.0...+.........

Step2. export binary payload (packet capture)
Tiến hành export để lấy payload dưới dạng binary như hình

Step3. chèn (piping) payload vừa export vào ncat, gửi thử đến 1 IP khác (10.0.0.1)

D:\Tool\ncat>type  rawSNMP_2.bin | ncat -v -u 10.0.0.1 161
Ncat: Version 7.40 ( https://nmap.org/ncat )
Ncat: Connected to 10.0.0.1:161.\
Ncat: 48 bytes sent, 0 bytes received in 0.45 seconds.

Kết quả: có thể gửi payload đã copy (đúng theo giao thức snmp-get) từ ncat, với địa chỉ đích: 10.0.0.1

 

Security – management – Framework -1

0. Framework

• Core: Function -> categories -> subcategories – Informative References

… Response (funct.): Response Planning; Communications; Analysis; Mitigation; and Improvements

• Profile: Profile là các phân loại (category). The Framework Profile (“Profile”) is the alignment of the Functions, Categories, and Subcategories with the business requirements, risk tolerance, and resources of the organization

1. Sử dụng framework cho tổ chức

-B.1 Ưu tiên và xác định phạm vi (Prioritize and Scope) – Ưu tiên và mục đích kinh doanh, chiến lược
-B.2: Định hướng (Orient) – Nhận diện các hệ thống, tài sản, qui định liên quan + Nguy cơ và điểm yếu cả các hệ thống/tài sản này
-B.3: Tạo dựng profile hiện tại (hình ảnh hiện tại) – chỉ ra những loại (category & subcategory) trong Framework core mà doanh nghiệp đang đạt được
-B.4: Tiến hành đánh giá rủi ro – Việc đánh giá có thể được dẫn dắt bởi quy trình quản lý rủi ro chung (overall risk management process) hay các hoạt động đánh giá trước đây. Tổ chức phân tích môi trường hoạt động để nhận thức (discern) xác suất của một sự kiện an toàn không gian mạng và tác động của nó lên tổ chức. Quan trọng là tổ chức cần tìm kiếm nhằm phối hợp rủi ro (risk) – mối nguy hiểm (thread) – điểm yếu (vulnerability) để làm cho việc hiểu được nguy cơ và ảnh hưởng của an toàn không gian mạng dễ dàng hơn (facilitate)
-B.5: Tạo profile mục tiêu (hình ảnh mong muốn) – Tạo profile mong muốn tập trung vào việc đánh giá Phân loại (category and subcategory) của Framwork core (theo rủi ro). Tổ chức có thể phát triển các phân loại của riêng mình theo rủi ro đặc thù.
-B.6: Xác định, Phân tích và Ưu tiên khoảng cách (Gaps) – So sánh giữa profile hiện tại (current) với profile mục tiêu (target). Ưu tiên hóa kế hoạch hành động để xử lý các khoảng cách: nguồn lực.
-B.7: Triển khai kế hoạch hành động: Tiến hành và theo dõi (monitor) các hoạt động (practice) so sánh với profile mục tiêu. Tham chiếu Informative references liên quan các phân loại (category and subcategory)

Một ví dụ về profile chi tiết (category và subcategory) trong chức năng (function) định danh:

2. Quản lý rủi ro (Risk management)

The Framework is adaptive to provide a flexible and risk-based implementation that can be used with a broad array of cybersecurity risk management processes. Examples of cybersecurity risk management processes include International Organization for Standardization (ISO) 31000:20093 , ISO/IEC 27005:20114 , National Institute of Standards and Technology (NIST) Special Publication (SP) 800-395 , and the Electricity Subsector Cybersecurity Risk Management Process (RMP) guideline6 .

Security – Device – SRX (Junos Juniper) note

1/ Configuration management:

• Khi cấu hình cho thiết bị ở xa, sử dung #commit confirm để thiết bị tự động rollback lại sau 10 phút, nếu không có lệnh commit (ngăn ngừa trường hợp thiết bị bị mất kết nối khi apply cấu hình mơi
• Sử dung > Rollback? đề xem các cấu hình cũ (có thời gian)
• > show configuration | display set — xem cấu hình dưới dạng lệnh set để lúc cắt dán dễ hơn

2/ Troubleshooting:

• >Monitor traffic interface ge-0/0/0 no-resolve — Packet capture  traffic đến và di từ chính SRX,  không phải data transit (https://kb.juniper.net/InfoCenter/index?page=content&id=KB15779&actp=METADATA)
• >Show interface terse — xem trạng thái các port (dạng súc tích/ vắn tăt)
• > Show security flow session — xem các session hiện thời

Command	Description
show version	Software version
show chassis hardware detail	Hardware and Serial numbers
show chassis environment	Temperatures, Fan and Power Supply
show chassis routing-engine	Temperatures, Memory, CPU Load
show interfaces terse	Interface States
show interfaces extensive	Interface and Zone Counters
monitor interface	Real-time interface statistics
show security flow session	Current sessions
show system alarms show chassis alarms	Alarms

show log	List all Logfiles available
show log messages	Show Log File from beginning
show log messages | last	List last Log Messages
show log messages | match LOGIN	Search within the Log
monitor start <file>	Send Logs to terminal (like tail -f)

Troubleshooting TRAFFIC FLOW and SESSION ESTABLISHMENT

The trace configuration is:
> set security flow traceoptions file DebugTraffic // DebugTraffic: any name
> set security flow traceoptions flag basic-datapath //basic-datapath: any name

(> monitor / show log DebugTraffic, basic-datapath …)

 

https://kb.juniper.net/InfoCenter/index?page=content&id=KB16110

3/ Data collection (log, configuration, statistic etc.)

Request support info

Enter: request support information | save /var/log/rsi1.log Once step #1 completes, wait enough time to ensure that the condition you wish to address continues/appears before proceeding to the next step. Enter: request support information | save /var/log/rsi2.log

https://kb.juniper.net/InfoCenter/index?page=content&id=KB21781&actp=METADATA

 

 

News-security – Yahoo case

[source: http://thehackernews.com/2017/03/yahoo-data-breach-hack.html%5D

YAHOO Lộ THôNG TIN BởI CHỉ MộT Cú CLICK CHUộT.

Trong thế giới mạng, chỉ cần một cú click chuột cũng có thể đoạt được chìa khóa vào vương quốc.

Bạn có biết rằng lừa đảo qua email (spear-phishing) là vũ khí bí mật duy nhất đằng sau vụ lộ thông tin lớn nhất trong lịch sử?

Thật vậy, một nhân viên của Yahoo đã trở thành nạn nhân (fell victim) trong một vụ tấn công lừa đảo đơn giản và đã nhấn vào một dường link sai lầm, giúp hacker đặt được một chân vào hệ thống mạng nội bộ của công ty.

Bạn có thể quen thuộc với kiểu tấn công lửa đảo (phishing attacks) – là một mỗ lực ăn cắp chứng thực của người dung (user’s credential) hay thông tin tài chính – trong khi đó, Spear-phishing là một dạng tấn công có chủ đích của lừa đảo, trong đó, kẻ tấn công lửa nhân viên hay nhà cung cấp (vendors) cung cấp quyền truy cập từ xa hay mở một file đính kèm độc hại (malicious attachment) có chứa mã khai thác hoặc thực thi.

đây là cách mà việc lộ dữ liệu khổng lồ của Yahoo đã được quy ngược lại (traced back) về sai lầm của con người (human error) và ai được cho là trí tuệ (alleged masterminds) đằng sau vụ tấn công này .

Vào thứ tư, chính phủ Mĩ buộc tội (charged) hai gián điệp Nga (Dmitry Dokuchaev and Igor Sushchin) và 2 hacker tội phạm (Alexsey Belan and Karim Baratov) liên quan đến (connection with) vụ hack Yahoo năm 2014, làm hại (compromised) khoảng 500 triệu tài khoản người dùng Yahoo.

Trong khi bản cáo trạng (indictment) cung cấp chi tiết về vụ hack Yahoo năm 2014, nhân viên FBI gần đây đã cho một cái nhìn mới mẻ về cách mà 2 nhân viên của Dịch Vụ An Ninh Liên Bang Nga (Russian Federal Security) đã thuê 2 hacker để thâm nhập ban đầu (initial access) vào Yahoo đầu năm 2014.

đâY Là CáCH BắT đầU Vụ HACK YAHOO:

Vụ hack bắt đầu từ một email lửa đảo (Spear Phishing) được gửi tới một nhân viên nửa quyền (semi-privileged) của Yahoo, không phải những người điều hành cao nhất (top executives) vào đầu năm 2014.

Mặc dù không rõ bao nhiêu nhân viên Yahoo bị nhắm tới trong cuộc tấn công và bao nhiêu email đã được gửi bởi hacker, nhưng chỉ cần một nhân viên nhấp chuột vào file đính kèm có mã độc hay đường link, đã cho phép kẻ tấn công truy cập trực tiếp vào mạng nội bộ của Yahoo.

Một khi đã thâm nhập được, Alexsey Belan, người đã bị liệt kê trong danh danh sách truy nã gắt gao nhất (Most wanted hackers list) của FBI, bắt đầu  chọc ngoáy (poking arround) bên trong mạng và theo FBI, đã khám phá ra 2 tài sản chủ chốt:

• Cơ sở dữ lieu người dùng Yahoo (Yahoo’s User Database) – cơ sở dữ lieu chứa thông tin cá nhân của toàn bộ người dùng Yahoo
• Công cụ quản lý tài khoản (Account Management Tool) – là công cụ quản trị, sử dụng để chỉnh sửa cơ sở dữ liệu

Belan đã sử dụng FTP để tải về cơ sở dữ liệu Yahoo, trong đó có chứa usernames, số điện thoại, câu hỏi bảo mật, và tệ hơn, email để khôi phục tài khoản và chuỗi mã hóa (cryptographic value) duy nhất cho mỗi tài khoản Yahoo.

Email khôi phục (recovery email) và chuỗi mã hóa duy nhất đã cho phép Belan và đồng bọn (fellow) hacker Baratov truy cập tài khoản của các người dùng nhất định, được yêu cầu bởi các gián điệp Nga, Dokuchaev và Sushchin.

Vì công cụ quản lý tài khoản không cho phép tìm kiếm theo tên người dùng dưới dạng chữ đơn thuần, các hacker xác định mục tiêu dựa trên các email khôi phục.

Một khi đã xác định được, các hacker sử dụng các chuỗi mã hóa ăn cắp được (Cryptographic values) được gọi là “Nonces” để sinh ra  các cookies giả mạo cho các tài khoản user cụ thể, cho phép cả đặc vụ FSB và Belan truy cập vào tài khoản email của người dùng mà không cần bất cứ password nào

Theo FBI, những cookies đã đó đã được sinh ra rất nhiều lần trong khoảng thời gian từ 2015 đến 2016 để truy cập hơn 6500 tài khoản Yahoo, trong số gần 500 triệu tài khoản.

nHữNG MụC TIêU Của CáC đIệP VIêN NGA:

Theo như cáo trạng,  trong số các webmail của nước ngoài cà các nhà cung cấp liên quan đến internet, các gián điệp Nga đã truy cập vào tài khoản Yahoo thuộc về:

• Một trợ lý phó chủ tịch của Nga
• Một quan chức của Bộ nội vụ của Nga
• Một huấn luyện viên đang làm việc trong bộ thể thao Nga
• Các nhà báo Nga
• Quan chức các liên bang tiếp giáp (bordering) Nga
• Các nhân viên chính phủ Mỹ
• Một nhân viên của công ty ví (wallet) Swiss Bitcoin
• Một nhân viên hàng không Mĩ

điệp vụ đặc biệt FBI, John Bennett đã kể trong cuộc họp báo (news conference) rằng Yahoo đầu tiên đã tiếp cận cục (bureau) vào nằm 2014, liên quan đến vụ hack và đã là “đối tác tuyệt với” trong quá trình điều tra.

Tuy nhiên, công ty đã mất 2 năm để công khai (to go public) vào năm 2016 với chi tiết về đột nhập thông tin và khuyến cáo hàng trăm triệu người dùng của công ty thay đổi mật khẩu.

Baratov đã bị bắt hôm thứ ba bởi cảnh sát Toronto, trong khi Belan và 2 đặc vụ FSB ở Nga. Liên bang đã yêu cầu tất cả 3 người được giao nộp để đối mặt buộc tội (face charges), nhưng Mĩ không có hiệp ước dẫn độ  (Extradition treaty) với Nga.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Thử nghiệm – Tự động hóa – Arduino (setup & chạy thử)

/*Thử nghiệm cơ bản với Arduino*/

---

0/ Giới thiệu chung:

Arduino (tên công ty/dự án/cộng đồng) là bảng mạch (board) vi xử lý, dựa trên nền tảng nguồn mở về phần cứng và phân mềm. Bảng mạch được tạo thành từ nghiều sản phẩm của nhiều nhà cung cấp khác nhau, với:

Thành phần trung tâm là chip vi xử lý,
Các chân giao tiếp vào/ra (I/O) đa năng,
Cổng giao tiếp với máy tính qua USB (cung cấp nguồn và cũng để dùng nạp chương trình)

Để lập trình cho bảng mạch, có IDE (integrated development evironment) <kiểm tra lổi và nạp/chạy chương trình trên chip vi xử lý).

---

1/ Chạy IDE, viết và nạp chương trình đầu tiên

i. download IDE (https://www.arduino.cc/download_handler.php)
IDE này sử dụng cho mạch arduino uno r3 (made in italy – có thể mua nhiều nơi ở VN, giá ~ 170k)

ii. Cài đặt IDE (lưu ý có cái driver usb uno trong quá trình cài đặt)

Chạy arduino IDE, set cổng USB theo vị trí cắm dây board mạch (trong hình là USB COM3)

Xem thêm