triển khai giải pháp tăng cường xác thực trong hệ thống quản trị tập trung dùng freeipa

Khi tới đích, thông tin sẽ được người nhận giải mã.Trước sự phát triển mạnh mẽ của công nghệ thông tin thì nhu cầu cho các phiên giao dịch và trao đổi thông tin điện tử cần bảo mật ngày

ĐẠI HỌC DUY TÂNTRƯỜNG KHOA HỌC MÁY TÍNH

KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THÔNGBỘ MÔN KỸ THUẬT MẠNG

KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC

Tên đề tài:

TRIỂN KHAI GIẢI PHÁP TĂNG CƯỜNG XÁC THỰCTRONG HỆ THỐNG QUẢN TRỊ TẬP TRUNG DÙNG

Đà Nẵng, 05/2021

LỜI CẢM ƠN

Khóa luận này được thực hiện tại Trường Khoa học máy tính - Đại học Duy Tân dưới sự hướng dẫn của thầy Th.S Đặng Ngọc Cường Tôi xin được gửi lời cảm ơn sâu sắc nhất đến thầy đã định hướng, giúp đỡ, quan tâm và tạo mọi điều kiện thuận lợi trong suốt quá trình nghiên cứu để hoàn thành khóa luận này

Tôi cũng xin gửi lời cảm ơn tới gia đình và bạn bè đã luôn quan tâm và động viên giúp tôi có thêm nghị lực để có thể hoàn thành được khóa luận này.

Dù đã có nhiều cố gắng, song không tránh khỏi thiếu sót, nên tôi rất mong nhận được những góp ý quý báu của thầy cô và các bạn để báo cáo khóa luận này được hoàn thiện hơn.

Tôi xin chân thành cảm ơn!

Đà Nẵng, ngày 15 tháng 05 năm 2022

Người thực hiện

Phan Hữu Minh Nhân

i

LỜI CAM ĐOAN

Tôi xin cam đoan:

a Những nội dung trong khóa luận này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của thầy Th.S Đặng Ngọc Cường.

b Mọi tham khảo dùng trong khóa luận đều được trích dẫn rõ ràng và trung thực tên tác giả, tên công trình, thời gian, địa điểm công bố.

c Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm.

Đà Nẵng, ngày 15 tháng 05 năm 2022

Người thực hiện

Phan Hữu Minh Nhân

ii

1.3 Một số phương pháp xác thực Giới thiệu về IDS 3

1.3.1 Xác thực dựa trên định danh người dùng và mật khẩu 3

1.3.2 Sử dụng giao thức bắt tay có thử thách ( Challenge Handshake Authentication Protocol – CHAP ) 4

2.3.1 Định nghĩa về PKI 15

2.3.2 Các khái niệm liên quan PKI 16

2.3.3 Vai trò và chức năng 19

2.4 Các thành phần chính của PKI 22

2.4.1 Tổ chức chứng nhận(Certificate Authority – CA) 24

2.4.2 Tổ chức đăng kí chứng nhận (Registration Authority – RA) 24

2.4.3 Thực thể cuối (End Entity – EE) 26

2.4.4 Chứng nhận khoá công khai (Public Key Certificate) 26

2.4.5 Kho lưu trữ chứng nhận (Certificate Repository – CR) 26

2.5 Cách thức hoạt động của PKI 26

2.6 Các tiến trình trong PKI 27

2.6.1 Khởi tạo 27

2.6.2 Yêu cầu chứng thư số 27

2.6.3 Tạo lại chứng thư số 27

2.6.4 Hủy bỏ chứng thư số 28

2.6.5 Lưu trữ và phục hồi khóa 28

2.7 Ứng dụng của PKI 28

CHƯƠNG 3 TRIỂN KHAI GIẢI PHÁP TĂNG CƯỜNG XÁC THỰC TRONG HỆ THỐNG QUẢN TRỊ TẬP TRUNG DÙNG FREEIPA 30

3.1 Kịch bản và sơ đồ 30

3.2 Mô hình triển khai 31

3.2.1 Định cấu hình FreeIPA server 31

3.2.2 Định cấu hình DNS 34

3.2.3 Cài đặt tài khoản người dùng FreeIPA 35

3.2.4 Định cấu hình Client FreeIPA 37

3.2.5 Hoạt động cơ bản của người dùng 38

3.2.6 Web FreeIPA dành cho quản trị viên 39

3.2.7 Định cấu hình bản sao FreeIPA 39

iv

3.2.8 Định cấu hình Cross Forest Trust giữa miền FreeIPA và miền

Windows Active Directory 41

3.2.9 Xác thực chứng chỉ PKI 44

3.3 Kết quả triển khai 47

3.4 Ưu điểm và hạn chế của hệ thống 48

Hình 2 4: Quá trình xác thực dựa trên CA 24

Hình 3.1: Thêm tên miền FreeIPA server vào domain 31

Hình 3.2: Cài đặt FreeIPA server 32

Hình 3.3: Cài đặt máy chủ FreeIPA tích hợp DNS 33

Hình 3 4: Giao diện DNS server 34

Hình 3.5: Thêm địa chỉ ip của FreeIPA server vào DNS server 35

Hình 3 6: Tạo Username và password của người dùng 35

Hình 3.7: Đăng nhập vào User vừa tạo và xem id của người dùng 36

Hình 3.8: Người dùng trong FreeIPA 36

Hình 3.9: Thêm tiền miền FreeIPA vào domain client 37

Hình 3.10: Cài đặt máy client FreeIPA 38

DANH MỤC TỪ VIẾT TẮT

CSDL Cơ sở dữ liệu

TCP/IP Transmission Control Protocol /Internet Protocol PKI Public Key Infrastructure: Hạ tầng khóa công khai

CA Certification Authority: Tổ chức chứng thực RA Rigistration Authority: Tổ chức đăng ký EJBC Enterprise Java Beans Certificate Authority

Certificate Revocation List: Danh sách hủy bỏ chứng nhận

SHS Secure Hash Standard: Chuẩn băm bảo mật

SHA SHA Secure Hash Algorithm: Thuật toán băm bảo mật SSL Secure Sockets Layer

VPN Virtual Private Network

DN Distinguished Name: Tên phân biệt

Public Key Cryptography Standard: Chuẩn mật mã khóa công khai

PEM Privacy-enhanced Electronic Mail: Thư điện tử bảo mật CPS Certification Pratice Statement

DNS Domain Name System: Hệ thống tên miền

viii

LỜI MỞ ĐẦU1) Lý do chọn đề tài

Ngày nay, với sự phát triển mạnh mẽ của Internet và mạng máy tính đã giúp cho việc trao đổi thông tin trở nên nhanh gọn, dễ dàng Email cho phép việc nhận và gửi thư ngay trên thiết bị có kết nối Internet, E-business cho phép thực hiện giao dịch buôn bán trên mạng,…Tuy nhiên, thông tin quan trọng nằm ở kho dữ liệu hay trên đường truyền có thể bị trộm cắp, có thể bị làm sai lệch, có thể bị giả mạo gây ảnh hưởng lớn tới một tổ chức, các công ty hay cả một quốc gia Đặc biệt, các giao dịch điện tử có nguy cơ xảy ra mất an toàn dẫn đến hậu quả tiềm ẩn rất lớn Do vậy, để bảo mật các thông tin truyền trên Internet thì xu hướng mã hóa được sử dụng thường xuyên Trước khi truyền qua Intenet, thông tin phải được mã hóa, khi đó kẻ trộm có chặn được thông tin trong quá trình truyền thì cũng không thể đọc được nội dung bởi vì thông tin đã được mã hóa Khi tới đích, thông tin sẽ được người nhận giải mã.

Trước sự phát triển mạnh mẽ của công nghệ thông tin thì nhu cầu cho các phiên giao dịch và trao đổi thông tin điện tử cần bảo mật ngày càng tăng nên đã này sinh ra các vấn đề về an toàn như sau: bảo mật, tính toàn vẹn, xác thực, không chối bỏ Để giải quyết các vấn đề này, khóa luận nghiên cứu về “ GIẢI PHÁP TĂNG CƯỜNG XÁC THỰC TRONG HỆ THỐNG FREEIPA” Đặc biệt là giải pháp xác thực bằng chứng chỉ PKI thông qua Certmonger trong hệ thống FreeIPA

2) Mục tiêu của đề tài

Mục tiêu của đề tài này là nói về hoạt động của các hệ thống cơ sở hạ tầng quan trọng phụ thuộc rất nhiều vào cơ sở hạ tầng thông tin, trong đó PKI đóng vai trò cơ bản trong việc hỗ trợ xác thực danh tính, chứng nhận kỹ thuật số, giao tiếp an toàn và ủy quyền đặc quyền Vì PKI là một cơ chế tin cậy, nên để tránh những sai lầm trong việc ra quyết định đối với an ninh mạng, cần phải hiểu ngữ nghĩa của chứng nhận khóa công khai và cơ chế tin cậy PKI.

ix

3) Đối tượng và phạm vi nghiên cứu

Đối tượng nghiện cứu: Các hệ thống cơ sở hạ tầng, tất cả khách hàng của

Phạm vi nghiên cứu: Đề tài được nghiên cứu và xây dựng trên mô hình thử

nghiệm Sử dụng môi trường ảo hóa

4) Ý nghĩa khoa học và thực tiễn Ý nghĩa khoa học:

- Nắm vững các kiến thức về hệ thống xác thực - Xây dựng mô hình dựa trên mã nguồn mở

- Nghiên cứu, đóng góp được thuật toán của FreeIPA đến hệ thống máy tính - FreeIPA là một hệ thống tích hợp được xây dựng dựa trên các công nghệ

hiện có và đáng tin cậy như LDAP và các giao thức chứng chỉ (PKI, CA,…), với một bộ công cụ mạnh mẽ nhưng đơn giản

Ý nghĩa thực tiễn:

- Tăng cường hệ thống xác thực dựa trên chứng chỉ PKI, CA,… - Công cụ quản lý dòng lệnh đơn giản và dễ cài đặt, sử dụng

- Có thể xác thực và kiểm soát truy cập của các hệ thống Linux và Unix - FreeIPA cung cấp một lớp thống nhất tất cả các dịch vụ riêng biệt này và đơn

giản hóa các tác vụ quản trị để quản lý người dùng, hệ thống và bảo mật

5) Bố cục khóa luận

Nội dung luận văn được chia thành 3 chương Chương 1: Tổng quan về hệ thống xác thực

Chương 2: Tổng quan về giải pháp xác thực trong hệ thống FreeIPA Chương 3: Triển khai giải pháp tăng cường xác thực trong hệ thống quản trị tập trung dùng FreeIPA

x

CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG XÁC THỰC

Trong chương này khóa luận giới thiệu tổng quan về mô hình xác thực người dùng phổ biến nhất Đồng thời cũng đưa ra các hiện trạng các mô hình xác thực người dùng đang sử dụng trong các hệ thống hiện tại Bố cục của khóa luận cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi đi vào chi tiết.Những mối đe dọa về bảo mật

Xác thực (Authentication) là việc xác lập hoặc chứng thực một thực thể (người nào đó hay một cái gì đó) đáng tin cậy, có nghĩa là những thông tin do một người đưa ra hoặc về một cái gì đó là đúng đắn Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, còn xác thực một người thường bao gồm việc thẩm tra nhận dạng cá nhân của họ Việc xác thực thường phụ thuộc vào một hoặc nhiều yếu tố xác thực (authentication factor) làm minh chứng cụ thể.

Xác thực là khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động của một hệ thống thông tin Đó là một quy trình nhằm xác minh nhận dạng số (digital identity) của bên gửi thông tin (sender) trong liên lạc trao đổi, xử lý thông tin, chẳng hạn như một yêu cầu đăng nhập Bên gửi cần phải xác thực có thể là một người sử dụng máy tính, bản thân một máy tính hoặc một phần mềm Đầu tiên, hệ thống luôn xác thực một thực thể khi nó cố gắng thử thiết lập liên lạc Khi đó, nét nhận dạng của thực thể được dùng để xác định sự truy nhập của thực thể đó như một đặc quyền hoặc để đạt được sự sẵn sàng phục vụ Đối với các giao dịch ngân hàng điện tử điển hình như giao dịch qua ATM/POS, giao dịch Online/Internet Banking, giao dịch Mobile Banking thì xác thực là bắt buộc trong quản lý truy cập.

1

Hình 1.1: Xác thực và Ủy Quyền

Những yếu tố xác thực cho người sử dụng có thể được phân loại như sau:  Những cái mà người sử dụng sở hữu bẩm sinh, chẳng hạn như dấu vân tay hoặc

mẫu dạng võng mạc mắt, chuỗi ADN, mẫu dạng giọng nói, chữ ký, tín hiệu sinh điện đặc thù do cơ thể sống tạo ra, hoặc những định dạng sinh trắc học khác.

 Những cái người sử dụng có, chẳng hạn như chứng minh thư, chứng chỉ an ninh (security token), chứng chỉ phần mềm (software token) hoặc điện thoại di động.

 Những gì người sử dụng biết, chẳng hạn như mật khẩu (Password), mật ngữ (pass phrase) hoặc mã số định danh cá nhân (personal identification number - PIN).

Trong thực tế, nhiều khi một tổ hợp của những yếu tố trên được sử dụng, lúc đó người ta nói đến xác thực đa yếu tố Chẳng hạn trong giao dịch ATM, thẻ ngân hàng và mã số định danh cá nhân (PIN) được sử dụng – trong trường hợp này là một trong các dạng xác thực hai yếu tố (two – factor authentication – 2FA).

2

1.3.Một số phương pháp xác thực Giới thiệu về IDS

Hiện nay, trong các giao dịch trực tuyến, một số phương pháp xác thực phổ biến gồm:

1.3.1 Xác thực dựa trên định danh người dùng và mật khẩu

Sự kết hợp của một cặp Username và Password là cách xác thực phổ biến nhất hiện nay Với phương thức xác thực này, thông tin cặp Username và Password nhập vào được đối chiếu với dữ liệu đã được lưu trữ trên hệ thống Nếu thông tin trùng khớp thì người sử dụng được xác thực, còn nếu không người sử dụng bị từ chối hoặc cấm truy cập Phương thức xác thực này có tính bảo mật không cao, vì thông tin cặp Username và Password dùng đăng nhập vào hệ thống mà ta gửi đi xác thực là trong tình trạng ký tự văn bản rõ, tức không được mã hóa và có thể bị chặn bắt trên đường truyền, thậm chí ngay trong quá trình nhập vào Password còn có thể bị lộ do đặt quá đơn giản (dạng ‘123456’, ‘abc123’, v.v.) hoặc dễ đoán (tên, ngày sinh của người thân, v.v.).

Hình 1.2: Xác thực dựa trên Username – Password

3

 Tính xác thực (Authentication): PKI phải đảm bảo danh tính của thực thể được xác minh.

 Tính không thể chối từ (Non-Repudiation): PKI phải đảm bảo dữ liệu không thể bị không thừa nhận hoặc giao tác bị từ chối

2.3.3.1 Xác thực

Về cơ bản, tính xác thực cung cấp 2 khía cạnh ứng dụng chính đó là định danh thực thể và định danh nguồn gốc dữ liệu.

 Định danh thực thể

Định danh thực thể đơn giản dùng để định danh thực thể xác định nào đó có liên quan Do đó, trên thực tế, định danh thực thể thông thường sẽ tạo ra một kết quả cụ thể, sau đó, được sử dụng để thực hiện các hoạt động khác hoặc truyền thông khác.

Định danh thực thể bao gồm: một nhân tố và nhiều nhân tố.

Có rất nhiều cách để chứng minh định danh, ta có thể chia thành 4 loại sau: + Cái mà người dùng có (ví dụ thẻ thông minh hoặc thiết bị phần cứng) + Cái mà người dùng biết (ví dụ mật khẩu hoặc Pin).

+ Cái mà là người dùng hoặc gắn với người dùng (ví dụ dấu vân tay hoặc võng mạc mắt).

+ Cái mà người dùng thực hiện(ví dụ gõ các ký tự nào đó)

Có hai kiểu xác thực được biết đến như là định danh thực thể, đó là xác thực cục bộ và xác thực từ xa.

 Xác thực cục bộ:

Xác thực ban đầu của một thực thể tới môi trường cục bộ hầu như liên quan trực tiếp tới người dùng Ví dụ như mật khẩu hoặc số định danh cá nhân (Pin) phải được nhập vào, sử dụng dấu vân tay để nhận dạng.

 Xác thực từ xa:

Xác thực của một thực thể tới môi trường ở xa: nghĩa là có thể hoặc không cần liên quan trực tiếp tới người dùng Trên thực tế, hầu hết các hệ thống xác thực từ xa

20

phức tạp không hoàn toàn liên quan tới người dùng vì rất khó để bảo vệ hệ thống xác thực mà đưa ra các thông tin xác thực nhạy cảm, ví dụ như mật khẩu hoặc dấu vân tay, và truyền trên một kênh không an toàn.

 Định danh nguồn gốc dữ liệu

Định danh nguồn gốc dữ liệu sẽ định danh một thực thể xác định nào đó như nguồn gốc dữ liệu được đưa ra Hoạt động định danh này không phải là định danh cô lập, cũng không phải hoàn toàn là định danh cho mục đích thực hiện các hoạt động khác.

2.3.3.2 Bí mật

Dịch vụ bí mật đảm bảo tính riêng tư của dữ liệu Không ai có thể đọc được dữ liệu ngoại trừ thực thể nhận Dịch vụ bí mật được yêu cầu khi dữ liệu được lưu trữ trên phương tiện (như phần cứng máy tính) mà người dùng không hợp pháp có thể đọc được Được dự phòng trên thiết bị (ví dụ băng từ) mà có thể bị rơi vào tay người dùng không hợp pháp Được truyền trên mạng không được bảo vệ.

Các kỹ thuật mật mã đảm bảo tính bí mật cần phải được áp dụng với mọi loại dữ liệu nhạy cảm.

2.3.3.3 Toàn vẹn dữ liệu

Toàn vẹn dữ liệu đảm bảo rằng dữ liệu không bị thay đổi Sự đảm bảo này là một phần thiết yếu trong bất kỳ môi trường thương mại điện tử hoặc loại hình kinh doanh nào Mức độ toàn vẹn dữ liệu có thể đạt được bằng các cơ chế chẵn lẻ của các bit và mã kiểm tra dịch vòng (Cyclic Redundancy Codes - CRCs)

Để bảo vệ dữ liệu khỏi tấn công nhằm phá vỡ tính toàn vẹn dữ liệu, các kỹ thuật mật mã được sử dụng Do đó, khóa và các thuật toán phải được triển khai và phải được biết giữa các thực thể muốn cung cấp tính toàn vẹn dữ liệu với thực thể muốn được đảm bảo tính toàn vẹn của dữ liệu.

Dịch vụ toàn vẹn của PKI có thể xây dựng dựa trên hai kỹ thuật: + Chữ ký số

21

Mặc dù nó được dùng cho mục đích cung cấp sự xác thực, nhưng nó cũng được sử dụng để cung cấp tính toàn vẹn cho dữ liệu được ký Nếu có sự thay đổi bất kỳ trước và sau khi ký thì chữ ký số sẽ bị loại bỏ khi kiểm tra, vì vậy, việc mất tính toàn vẹn của dữ liệu sẽ dễ dàng bị phát hiện.

+ Mã xác thực thông báo

Kỹ thuật này thông thường sử dụng một mã khối đối xứng (ví dụ DESCBC-MAC) hoặc một hàm băm mật mã (HMAC-SHA-1)

2.3.3.4 Chống chối bỏ

Dịch vụ chống chối bỏ là dịch vụ đảm bảo rằng thực thể không thể chối bỏ hành động của mình Các biến thể thường được nhắc tới nhiều nhất là chống chối bỏ nguồn gốc (người dùng không thể chối bỏ rằng đã gửi một tài liệu hoặc một văn bản) hoặc chối bỏ sự tiếp nhận (người dùng không thể chối bỏ rằng đã nhận được văn bản hoặc tài liệu).

Một vài các biến thể khác của tính chống chối bỏ là: chối bỏ đã tạo ra, chối bỏ đã chuyển, chối bỏ việc tán thànhông thừa nhận hoặc giao tác bị từ chối.

PKI là cơ cấu tổ chức gồm con người, tiến trình, chính sách, thủ tục, phần cứng và phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai và thu hồi các chứng nhận khóa công khai.

Một hệ thống PKI gồm các thành phần sau:

 Certification Authority (CA): Cấp và thu hồi chứng thư số.

 Rigistration Authority (RA): Gắn kết giữa khóa công khai và định danh  của người giữ chứng thư số.

 Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng thư số PKI  Repositories: Hệ thống lưu trữ chứng thư số và danh sách các chứng thư số bị

thu hồi Cung cấp cơ chế phân phối chứng thư số và CRLs đến các thực thể cuối.

22