วีดีโอ

Cảm ơn bạn đã xem video của mình !!! Theo như video demo thì mình cài snort lên pfsense để trực tiếp đảm nhiệm tính năng của IDS/IPS, còn mô hình thì lúc thực hiện nội dung bài này, mình không có dùng đến máy Snort thứ 2 (trong mạng LAN) nên thành ra trên mô hình chỉ minh hoạ thôi.

Cảm ơn bạn đã xem video của mình !!! Vấn đề này mình cũng mới gặp, lúc Elasticsearch bị lỗi thì có hiển thị mã lỗi hay gì khác không ? Bạn thử kiểm tra file log của Elasticsearch xem có hiển thị gì không ? (/var/log/elasticsearch )

@@atuanlabdo RAM bị đầy nên mình đã chỉnh lại được. Cho mình hỏi thêm 1 ý nữa là: bạn có biết cấu hình để lấy log từ OSSEC Agent và Log Snort về ELK ko ạ. Mong bạn giải đáp giúp cảm ơn bạn nhiều ạ

Cảm ơn bạn đã xem video của mình !!! Lỗi "Request Time Out" thì đơn giản là gói tin đến được máy chủ rồi ấy nhưng mà không nhận được gói phản hồi (Echo Reply Messages) Bạn thử kiểm tra lại xem tường lửa trên máy chủ đã tắt chưa (nếu mình hiểu máy chủ ở đây trong video demo là Windows Server thì phải tắt tường lửa hoặc thêm Rule thì mới Ping được)

@@atuanlab Mình cài trên máy phụ ấy nhưng khi dùng chính để kết nối thì không đc, dùng chung mạng ấy

@@dubx2 Bạn có thể mô tả đơn giản cái mô hình cho mình hình dung được ko ?

@@atuanlab Máy phụ( Proxmox) đến Modem nhà mạng , Máy chính đến Modem nhà mạng. Mình chỉ dùng 1 Modem duy nhất Không biết mô hình như này có đúng không nữa

@@dubx2 Mô hình như vậy là chuẩn rồi ấy bạn. Ban đầu bạn bảo là máy chính không kết nối được với máy phụ thì ý của bạn là máy thật không ping được máy Proxmox ấy hả hay là máy thật không ping được máy ảo do Proxmox tạo ra vậy ?

Cảm ơn bạn đã xem video của mình !!! Ứng dụng đó là Putty, là một ứng dụng kết nối từ xa bằng cửa sổ lệnh hỗ trợ nhiều giao thức. Mình có dùng thêm theme ở bên ngoài cho nó có màu như vậy (theme mình dùng trong link là : 50 - Zenburn) - Putty : www.putty.org/ - Theme : github.com/AlexAkulov/putty-color-themes

Cảm ơn bạn đã xem video của mình !!! - Phân vùng ổ cứng : cơ bản thì cậu cài cái gì thì cũng đều phải phân vùng ổ cứng. Việc phân vùng ổ cứng nhằm : phân chia dung lượng và chọn định dạng file hệ thống. Trong pfsense hỗ trợ cả dạng ZFS và UFS. Mình thì không dùng ZFS nên không chọn phân vùng bằng ZFS. Mình chọn Manual để phân vùng tùy ý nhưng cũng dùng hết cả ổ cứng ảo nên dù chọn giữa "Auto (UFS)" hay "Manual" đều được. - Dùng DNS Resolver và DNS Forwarder : hiểu đơn giản là DNS Forwarder sẽ chuyển các yêu cầu đến một DNS Resolver để phân giải tên miền. Còn DNS Resolver sẽ chứa các bản ghi (record) trong một CSDL nội bộ để thực hiện phân giải. Trong môi trường lab của mình thì mình không cần đến DNS Resolver, mình thiết lập DNS của Client trỏ về pfsense, tức là nếu client gửi yêu cầu phân giải tên miền đến pfsense, pfsense sẽ chuyển chúng dến với 8.8.8.8 (mình dùng của google) theo cách thức của DNS Forwarder. Còn một cái nữa là trong lúc mình làm thì tùy chọn DNS Resolver mặc định (mới cài) sẽ không cho mình truy cập được Internet nên mình chuyển qua DNS Forwarder. Còn nếu bạn muốn dùng DNS Resolver luôn thì trong phần "DNS Query Forwarding", bạn chọn "Forwarding mode" để pfsense chuyển yêu cầu đến một DNS Server đã thiết lập trong "General Setup". Nói một cách khác là tính năng DNS Resolver dùng cho một môi trường phức tạp hơn nếu bạn muốn kiểm soát các yêu cầu phân giải của DNS. Còn trong phạm vi bài demo của mình thì đơn giản hơn và không yêu cầu nhiều nên mình dùng DNS Forwarder.

Debian 10 or Debian 11 in software.opensuse.org//download.html?project=home%3Alamlng&package=ibus-bamboo#manualDebian

@@nguyenuchanh8701 m đang đố b cài mà, chứ ko cần link cài đặt, b tự cài thử xem 🙂

Cảm ơn bạn đã xem video của mình ! Thường thì vmnet1 là mặc định (host-only) khi cài VMware Workstation nên nếu bạn muốn dùng luôn cũng được (thường lúc lười hay mới cài thì mình cũng xài vmnet1 à, cho nó tiện ấy (^.^) ). Nhưng nếu bạn muốn thêm những Adapter khác (ngoài mặc định) thì bạn có thể vào : Edit > Virtual Network Editor > Change Settings > Thêm hay tùy chỉnh Network. Nếu về đề tài Network trên VMware luôn thì bạn có thể tham khảo - th-cam.com/video/yUTJ0cSvNfs/w-d-xo.html (video của anh Kai Nguyen cũng khá chi tiết ấy).

@@atuanlab Cảm ơn b mình ko chuyên về mạng mà đang học môn mã nguồn mở nên phải nghiên cứu pfsense.

Cảm ơn bạn đã xem video của mình !!! - Bạn thử xem lại thiết lập mạng của máy WinSer 2016 thử xem (Xem IP, GW và DNS). Trong Video thì mình dùng dạng NAT trên VMware để ra Internet. - Còn không thì bạn thử để cấp động đi, nếu ra được Internet thì bạn xem lại thiết lập mạng (Ethernet() > Status), xem IP cấp động rồi chỉnh lại thành tĩnh.

@@atuanlab để tôi thử xem, cảm ơn

Cảm ơn bạn đã xem video của mình !!! Mình sẽ thêm nhiều video về những chủ đề như thế này trong tương lai.

Cảm ơn bạn đã xem video của mình !!! - Mục đích của hình thức tấn công vét cạn bằng từ điển (dictionary attack) là tìm ra mật khẩu của tài khoản người dùng (dựa trên tính chất mật khẩu không đúng quy định hay đã bị lộ trong những cuộc tấn công khác). Trường hợp này thì mình dùng "hydra" trên Kali để vét cạn mật khẩu đăng nhập cho tài khoản "anhtuan" thông qua dịch vụ truy cập từ xa SSH dựa trên một tập tin chứa các mật khẩu thu thập được. - Mục đích của việc cấu hình AlienVault là để thiết lập một hệ thống giám sát sự kiện và bảo mật, giám sát các hoạt động của máy Client và Server. Trường hợp này là giám sát máy Ubuntu Server và cụ thể là tập tin liên quan đến log (như auth.log). Nên khi kẻ tấn công thực hiện vét cạn sẽ lần lượt thử các mật khẩu khác nhau trong tập từ điển, mỗi lần đăng nhập thất bại hay thành công đều được ghi nhận trong log và hiển thị thông qua Alienvault.

@@atuanlab ngoài kiểm tra bằng hydra thì còn có cách nào kiểm tra nữa không ạ.

@@otri9396 Nếu mà bàn về "Bruteforce" hay tương tự để kiểm tra và crack thì nhiều lắm, có thể kể đến như: - Aircrack-ng, Hashcat : bộ này thì mình thường dùng Crack password wifi ấy. - John the Ripper: trình này thì tương tự Hydra. - Ophcrack, L0phtCrack: này dùng cho crack password của Windows.

@@atuanlab mình cảm ơn ạ, mình cài alien tới đoạn xong rồi vào web thì không vào được nên phần sau mình không thực hành dc

@@otri9396 Nó hiển thị như thế nào ? Hồi đó mình làm cũng có lần không vào được Dashboard của Alienvault, ping được IP của Alienvault nhưng không vào được web, chỉ hiện lỗi không truy cập được. Mình tìm ra là do phiên bản bảo mật TLS của Alienvault cũ nên các trình duyệt mới bị giới hạn, mình dùng Firefox và chỉnh "security.tls.version.min" thành 1 trong "about:config". Lúc này thì mới hiện ra thông báo như là truy cập không an toàn, nhấn tiếp tục thì mới vào được Dashboard của Alienvault.

Cảm ơn bạn đã xem video của mình (^.^). Ý của bạn là file note phải không, nếu là file note thì bạn có thể tham khảo trong Google Drive - Môn Học (Link trong phần mô tả) - File Notes: drive.google.com/file/d/1ZuMFfpHQrRGKvRiSZI14yMVYCyS945pT/view?usp=drive_link - File báo cáo: drive.google.com/file/d/1C0gTOuB2OEFkReBI3OVovR-DkJ_3s56i/view?usp=drive_link

Cảm ơn cậu đã xem video của mình! Tớ sẽ cố gắng cập nhập link tổng hợp để tiện cho việc tham khảo. - Link bài báo cáo : drive.google.com/file/d/15XETofjMFvAuL0PTupGn_RmJT9PL4u40/view Cậu cũng có thể liên hệ qua Email của mình: ng.atuanlab.yt@gmail.com

Ừm, không có chi đâu em.

ừm, đúng rồi bạn. Do bài này mình làm bên bài tập lớn nên mô hình có thêm Firewall chứ thông thường thì không cần, chỉ cần máy Web Server chạy ứng dụng có lỗ hổng Log4j và một máy tấn công là được.

uki cảm ơn bạn nhiều @@atuanlab

Bài này thì mình lấy từ nhiều nguồn để thực hiện, bạn có thể tham khảo : - Rule tham khảo : www.hackingarticles.in/detect-nmap-scan-using-snort/ github.com/Simon1207/Snort-Rules/blob/master/local.rules stackoverflow.com/questions/43370531/detecting-ssh-version-scan-using-snort - pfsense + snort : docs.netgate.com/pfsense/en/latest/nat/port-forwards.html www.wundertech.net/pfsense-port-forwarding-setup-guide/ docs.netgate.com/pfsense/en/latest/packages/snort/setup.html hocwebgiare.com/blog-detail/Firewall/post359/Bai-23--Cau-hinh-Snort-hanh-dong-nhu-IDS-hoac-IPS.html - honeypot - pshitt : github.com/regit/pshitt Cảm ơn bạn đã xem video của mình.

Mình gửi bạn bài Note (nội dung note bên phải) trong bài : anhtuan-mylab.github.io/posts/ipsids-tieuluan-note_ossec_wazuh/ Cảm ơn bạn đã xem bài demo của mình.

@@atuanlab cảm ơn nha

@@atuanlab bạn có thể cho mình xin thông tin liên lạc để hỏi 1 số vấn đề được không mình đang bị gặp lỗi một chút về việc add agent

@@binhuwu Bạn có thể liên hệ với mình qua Email (nguyenanhtuan9970502@gmail.com) hoặc là Facebook (facebook.com/atuanlab.fb/ ).

Theo mình tìm hiểu thì Snort không có tính năng về việc gửi các thông báo đến thiết bị khi phát hiện tấn công nhưng mình vẫn có thể được việc ấy thông quá những hình thức khác. Bản chất Snort là sẽ ghi log cảnh báo khi rule được kích hoạt (tức đang bị tấn công) thì để gửi thông báo, bạn có thể sử dụng các hình thức như : - Sử dụng một phần mềm giám sát log như "swatchdog", hoạt động là khi log thay đổi sẽ gửi thông báo đến email hoặc telegram. - Sử dụng biện pháp giám sát log tập trung như Graylog, graylog cũng sẽ có những tính năng gửi thông báo khi phát hiện tấn công theo thiết lập.