Trường Đại học Công Nghệ Thông Tin Khoa Mạng Máy Tính Và Truyền Thơng ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THÔNG TIN BÁO CÁO ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN MICROSOFT TRUSTED NETWORK Giáo viên : Tơ Nguyễn Nhật Quang Nhóm sinh viên thực hiện: Nguyễn Đình Thi 06520448 Lê Thế Cơng 08520048 Nguyễn HồngDuy 08520071 I Giới thiệu GV: Thạc sỹ Tô Nguyễn Nhật Quang Thành phố Hồ Chí Minh 2011 ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THÔNG TIN MỤC LỤC I Giới thiệu Trang II Các khái niệm Trang III Cơ sở hạ tầng khóa cơng khai Trang Khái niệm .Trang Cơ quan chứng thục (Certificate Authority) .Trang Chứng số .Trang a) Khái niệm Trang b) Lợi chứng số Trang 11 III Triển khai dịch vụ CA môi trường Windows Server 2003 Cài đặt dịch vụ CA Trang 14 Các dịch vụ chứng CA Windows Server 2003 cung cấp Trang 17 Các loại CA Windows Server 2003 Trang 18 Cấp phát quản lí chứng số Trang 19 a) Cấp phát tự động ( Auto – Enrollment ) Trang 19 b) Cấp phát không tự động ( Manual Enrollment ) Trang 21 c) Các cách yêu cầu cấp phát CA Trang 22 i Sử dụng Certificates Snap-in Trang 22 ii Yêu cầu cấp phát thông qua Web ( Web Enrollment ) Trang 22 d) Thu hồi chứng số Trang 24 GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN IV Triển khai số dịch vụ mạng sử dụng CA .Trang 25 Dịch vụ Web sử dụng SSL Trang 25 Dịch vụ IPSec Trang 33 Dịch vụ VPN Trang 39 V Kết hướng phát triển Trang 47 Kết Hướng phát triển GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN I Giới thiệu : Ngày nay, việc giao tiếp qua mạng Internet trở thành nhu cầu cấp thiết Các thông tin truyền mạng quan trọng, mã số tài khoản, thông tin mật Tuy nhiên, với thủ đoạn tinh vi, nguy bị ăn cắp thông tin qua mạng ngày gia tăng Hiện giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP Đây giao thức cho phép thông tin gửi từ máy tính tới máy tính khác thông qua loạt máy trung gian mạng riêng biệt Chính điều tạo hội cho "kẻ trộm" cơng nghệ cao thực hành động phi pháp Các thông tin truyền mạng bị nghe trộm (Eavesdropping), giả mạo (Tampering), mạo danh (Impersonation) v.v Các biện pháp bảo mật nay, chẳng hạn dùng mật khẩu, khơng đảm bảo bị nghe trộm bị dị nhanh chóng Do vậy, để bảo mật, thơng tin truyền Internet ngày có xu hướng mã hoá Trước truyền qua mạng Internet, người gửi mã hố thơng tin, q trình truyền, dù có "chặn" thơng tin này, kẻ trộm khơng thể đọc bị mã hố Khi tới đích, người nhân sử dụng cơng cụ đặc biệt để giải mã Phương pháp mã hoá bảo mật phổ biến giới áp dụng chứng số (Digital Certificate) Với chứng số, người sử dụng mã hố thơng tin cách hiệu quả, chống giả mạo (cho phép người nhận kiểm tra thơng tin có bị thay đổi khơng), xác thực danh tính người gửi Ngồi chứng số chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu gửi Một cách mã hóa liệu đảm bảo an tồn mã hóa khóa cơng khai Để sử dụng cách mã hóa này, cần phải có chứng số từ tổ chức quản trị gọi nhà cung cấp chứng số ( Certification Authority - CA) GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THÔNG TIN II Các khái niệm a) Hệ thống chứng thực điện tử gì? Hệ thống chứng thực hạ tầng an ninh mạng xây dựng hạ tầng sở khóa cơng khai (PKI) cung cấp giải pháp đảm bảo an toàn cho hoạt động (gọi chung giao dịch) thông qua mạng b) Tại lại phải sử dụng hệ thống chứng thực? Hệ thống chứng thực cung cấp dịch vụ đảm bảo an toàn cho giao dịch thông qua mạng Các dịch vụ mà hệ thống chứng thực cung cấp bao gồm: Dịch vụ xác thực: nhằm xác định xem giao dịch với Dịch vụ bảo mật: đảm bảo tính bí mật thơng tin, người khơng có thẩm quyền đọc nội dung thông tin Dịch vụ tồn vẹn: khẳng định thơng tin có bị thay đổi hay không Dịch vụ chống chối bỏ: cung cấp chứng chống lại việc chối bỏ hành động thực hay diễn Như sử dụng hệ thống chứng thực đảm bảo, bí mật, tồn vẹn cho thơng tin truyền qua mạng, xác thực người dùng chống chối bỏ hành động hay kiện xảy c) Hệ thống chứng thực gồm thành phần nào? Hệ thống chứng thực gồm thành phần: · Thành phần thực nhiệm vụ quản lý chứng thư số như: đăng ký phát hành, thu hồi chứng thư số · Thành phần thực chức xác định xem chứng thư số có hợp lệ hay khơng d) Cơ quan chứng thực (CA) gì? GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THÔNG TIN Cơ quan chứng thực (Certification Authority - CA) có thẩm quyền cấp phát, thu hồi, quản lý chứng thư số cho thực thể thực giao dịch an toàn Cơ quan chứng thực thành phần hệ thống chứng thực e) Cơ quan đăng ký (RA) gì? Cơ quan đăng ký (Registration Authority) thành phần hệ thống chứng thực có nhiệm vụ tiếp nhận xác minh yêu cầu chứng thư số người sử dụng đồng thời gửi yêu cầu xác minh cho quan chứng thực (CA) thực yêu cầu f) Hệ thống chứng thực có ứng dụng gì? Một số ứng dụng hệ thống chứng thực: Nhóm dịch vụ phủ điện tử e-Government: · Hóa đơn điện tử (E-Invoice) · Thuế điện tử (E-Tax Filing) · Hải quan điện tử (E-Customs) · Bầu cử điện tử (E-Voting) · E-Passport · PKI-based National ID Card · Các dịch vụ phủ cho doanh nghiệp G2B (các ứng dụng đăng ký kê khai, thăm dò qua mạng doanh nghiệp) · Các dịch vụ phủ cho cơng dân G2C (dịch vụ y tế ) Nhóm dịch vụ ngân hàng trực tuyến (Online Banking) · Thanh toán trực tuyến (E-Payment) · Tiền điện tử (E-Billing) Nhóm dịch vụ khác · Kinh doanh chứng khoán trực tuyến (Online security trading) · Đấu thầu trực tuyến (E-Procurement) GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN · Bảo hiểm trực tuyến (E-Insurance) · Quản lý tài liệu · Bảo mật email g) Chứng thư số gì? Để thực giao dịch an toàn qua mạng, bên tham gia cần phải có “chứng thư số” Chứng thư số cấu trúc liệu chứa thông tin cần thiết để thực giao dịch an toàn qua mạng Chứng thư số lưu giữ máy tính dạng tập tin (file) Nội dung chứng thư số bao gồm: · Tên chủ thể chứng thư số · Khoá công khai · Một số thông tin khác như, tên CA cấp chứng số đó, hạn dùng, thuật toán ký · Chữ ký số CA cấp chứng thư số Mục đích chứng thư số dùng để nhận diện đối tượng tham gia giao dịch mạng h) Ứng dụng chứng thư số để làm gì? Với chứng thư số người dùng có thể: · Xác định danh tính người dùng đăng nhập vào hệ thống (xác thực) · Ký số tài liệu Word, PDF hay tệp liệu · Mã hóa thơng tin để đảm bảo bí mật gửi nhận mạng · Thực kênh liên lạc trao đổi thơng tin bí mật với thực thể mạng thực kênh liên lạc mật người dùng với webserver m) Chữ ký số gì? GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Chữ ký số (Digital Signature) thông tin kèm theo liệu nhằm mục đích xác nhận danh tính người gửi người ký liệu Chữ ký số sử dụng để khẳng định liệu có bị thay đổi hay khơng III Cơ sở hạ tầng khóa công khai 1.Khái niệm Một PKI (public key infrastructure) cho phép người sử dụng mạng công cộng không bảo mật, chẳng hạn Internet, trao đổi liệu tiền cách an tồn thơng qua việc sử dụng cặp mã khố cơng khai cá nhân cấp phát sử dụng qua nhà cung cấp chứng thực tín nhiệm Nền tảng khố cơng khai cung cấp chứng số, dùng để xác minh cá nhân tổ chức, dịch vụ danh mục lưu trữ cần thu hồi chứng số Mặc dù thành phần PKI phổ biến, số nhà cung cấp muốn đưa chuẩn PKI riêng khác biệt Một tiêu chuẩn chung PKI Internet q trình xây dựng Một sở hạ tầng khố cơng khai bao gồm: • Một Nhà cung cấp chứng thực số (CA) chuyên cung cấp xác minh chứng số Một chứng bao gồm khố cơng khai thơng tin khố cơng khai • Một nhà quản lý đăng ký (Registration Authority (RA)) đóng vai trò người thẩm tra cho CA trước chứng số cấp phát tới người yêu cầu • Một nhiều danh mục nơi chứng số (với khố cơng khai nó) lưu giữ, phục vụ cho nhu cầu tra cứu, lấy khoá công khai đối tác cần thực giao dịch chứng thực số • Một hệ thống quản lý chứng GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Nhà cung cấp chứng thực số CA (Certificate Authority) Trong hệ thống quản lý chứng thực số hoạt động giới, Nhà cung cấp chứng thực số (Certificate authority - CA) tổ chức chuyên đưa quản lý nội dung xác thực bảo mật mạng máy tính, khố cơng khai để mã hố thơng tin Là phần Cơ sở hạ tầng khố cơng khai (public key infrastructure - PKI), CA kiểm soát với nhà quản lý đăng ký (Registration Authority - RA) để xác minh thông tin chứng số mà người yêu cầu xác thực đưa Nếu RA xác nhận thông tin người cần xác thực, CA sau đưa chứng Tuỳ thuộc vào việc triển khai sở hạ tầng khố cơng khai, chứng số bao gồm khố cơng khai người sở hữu, thời hạn hết hiệu lực chứng chỉ, tên chủ sở hữu thông tin khác chủ khố cơng khai Chứng số a) Khái niệm Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, cơng ty Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Công An sở cấp Chứng số vậy, phải tổ chức đứng chứng nhận thông tin bạn xác, gọi Nhà cung cấp chứng thực số (Certificate Authority, viết tắt CA) CA phải đảm bảo độ tin cây, chịu trách nhiệm độ xác chứng số mà cấp Trong chứng số có ba thành phần chính: • • • • Thông tin cá nhân người cấp Khố cơng khai (Public key) người cấp Chữ ký số CA cấp chứng Thời gian hợp lệ Thông tin cá nhân GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THƠNG TIN Đây thơng tin đối tượng cấp chứng số, gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức v.v Phần giống thông tin chứng minh thư người Khố cơng khai Trong khái niệm mật mã, khố cơng khai giá trị nhà cung cấp chứng đưa khoá mã hoá, kết hợp với khoá cá nhân tạo từ khố cơng khai để tạo thành cặp mã khoá bất đối xứng Nguyên lý hoạt động khố cơng khai chứng số hai bên giao dịch phải biết khố cơng khai Bên A muốn gửi cho bên B phải dùng khố cơng khai bên B để mã hố thơng tin Bên B dùng khố cá nhân để mở thơng tin Tính bất đối xứng mã hoá thể chỗ khoá cá nhân giải mã liệu mã hố khố cơng khai (trong cặp khố mà cá nhân sở hữu), khố cơng khai khơng có khả giải mã lại thơng tin, kể thơng tin khố cơng khai mã hố Đây đặc tính cần thiết nhiều cá nhân B,C, D thực giao dịch có khố cơng khai A, C,D giải mã thông tin mà B gửi cho A chặn bắt gói thơng tin gửi mạng Một cách hiểu nôm na, chứng số chứng minh thư nhân dân, khố cơng khai đóng vai trị danh tính bạn giấy chứng minh thư (gồm tên địa chỉ, ảnh ), khoá cá nhân gương mặt dấu vân tay bạn Nếu coi bưu phẩm thông tin truyền đi, "mã hoá" địa tên người nhận bạn, dù có dùng chứng minh thư bạn với mục đich lấy bưu phẩm này, họ không nhân viên bưu điện giao bưu kiện ảnh mặt dấu vân tay không giống Chữ ký số CA cấp chứng GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Dich vụ IPSec IPSec-Intemet Protocol Security, giao thức thiết kế để bảo vệ liệu chữ kí điện tử mã hóa trước truyền đi.IPSec mã hóa thơng tin gói tin IP theo cách đóng gói nó, nên bắt gói tin không đọc nội dung bên Do IPSec hoạt động tầng mạng nên IPSec tạo kênh mã hóa liên tục điểm kết nối(end-to-end), nghĩa liệu mã hóa máy gửi giải mã tới máy nhân GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THÔNG TIN IPSec Protocol: a) IP Authentication Header-AH: khơng mã hóa liệu gói tin IP, mà mã hóa phần header AH cung cấp dịch vụ bảo mật bản, liệu đọc bắt gói tin, nội dung thay đổi b) IP Encapsulating Security Payload-ESP: mã hóa tồn nội dung gói tin IP, ngăn khơng cho người nghe đọc nội dung gói tin di chuyển mạng ESP cung cấp dịch vụ chứng thực, đảm bảo toàn vẹn mã hóa liệu Mơ hình dịch vụ : GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THƠNG TIN Trong mơ hình trên, FTP server máy tính cung cấp dịch vụ truyền file mạng, client kết nối vào server để download upload file liệu.Trước client tạo kết nối phải qua trình chứng thực, để đảm bảo an tồn q trình này, cho nội dung file liệu, ta tích hợp với dịch vụ CA.Máy CA Service cung cấp chứng để thực chứng thực FTP server client Để làm điều máy cung cấp dịch vụ CA đóng vai trị Domain Controler, cấp chứng tự động cho máy có yêu cầu Triển khai dịch vụ: Phần trình bày số bước để thiết lập sách IPSec có sử dụng CA cho mơ hình bên Chính sách tạo máy có u cầu truyền thơng IPSec Bước 1: Trong cửa sổ chương trình IP Security Policy, tạo sách Bước 2: Chọn Next để thêm luật mới, tab Rule chọn Add để thêm danh sách yêu cầu lọc giao thức IP(IP Filter List) GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Bước 3: Chọn Add để thêm luật theo yêu cầu cần lọc Giả sử ta thiết lập luật để lọc giao thức FTP chứng thưc máy với tất máy khác GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THƠNG TIN Trong From this port, nhập giá trị 21, cổng mà FTP dùng để chứng thực người dùng Bước 4: Nhấn oK để đến cửa sổ Filter Action, chọn Require Security để yêu cầu sử dụng IPSec cần chứng thực FTP GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Bước 5: Chọn phương pháp chứng thực, chọn cách chứng thực CA, nhấn nút Browse để dẫn CA mơ hình mạng Bước 6: Với sách vừa tạo, chọn Assign để sách áp dụng Minh họa kết quả: Giả sử từ clientl kết nối vào FTP Server, không dùng IPSec ta biết usemame password người dùng chửng thực bắt gỏi liệu GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Dịch vụ VPN VPN-Virtual Private Network, mạng riêng dùng mạng công cộng (Internet) để kết nối điểm người sử dụng tới mạng LAN trung tâm VPN cho phép truyền liệu hai máy tính sử dụng môi trường mạng công cộng giống cách có đường kết nối riêng hai máy Để tạo kết nối điểm điểm(point-to-point), liệu đóng gói(encapsulate), bao bọc(wrap) với header để cung cấp thông tin định tuyến Đe giả lập kênh truyền riêng, liệu mã hóa Mơ hình dịch vụ Trong mơ hình này, dịch vụ VPN triển khai văn phòng Đà Lạt, người dùng nơi khác Hà Nội Tp Hồ Chí Minh kết nối, truy cập tài nguyên bên mạng LAN Đà Lạt Giao thức VPN sử dụng L2TP/IPSec, chứng thực chứng số CA GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Triển khai dịch vụ: Phần giải thích chức trình bày số cấu hình quan trọng máy tính mơ hình a Domain Controller: hoạt động trung tâm điều khiển, cung dịch vụ phân giải tên mien(DNS-Domain Name System), cấp phát địa IP động (DHCP-Dyamic Host Configuration Protocol) Đồng thời CA server nơi cấp phát chứng theo yêu cầu b Web Server: cung cấp dịch vụ Website cho người dùng c IAS: máy quản lý người sử dụng truy cập từ xa, RADIUS (Remote Access Dial-in User Service) Để sử dụng dịch vụ phải cài đặt trước.Để cài đặt IAS chọn Control PanelAdd and Remove ProgramWindow ComponentNetwork Services Internet Authentication Serivce GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Mở chương trình IAS, tạo RADIUS client sách định nhóm người dùng phép truy cập từ xa _ Thêm RADIUS client : _ Thêm sách mới, qui định cho người dùng nhóm VPNUsers truy cập GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THÔNG TIN d VPN Server : máy chủ VPN, nhận yêu cầu kết nối từ bên GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THƠNG TIN Một số cấu hình : Bước : Mở chương trình Routing and Remote Acces, chọn Configure and Enable Routing and Remote Access Bước : Chọn Remote Access ( dial-up or VPN ) Bước : Chọn VPN GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Bước : Nhập địa RADIUS server Bước : Trong phần DHCP Relay Agent, nhập địa máy cung cấp dịch vụ DHCP GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THƠNG VÀ AN NINH THÔNG TIN Tạo kết nối từ máy người dùng mạng Bước : Tạo kết nối mạng loại VPN Bước : Mở kết nối, nhập username password người dùng phép truy cập GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Bước : Chọn Properties, chọn loại VPN L2TP/TPSec Nhấn OK chọn Connect GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN V Kết hường phát triển Kết Thông qua việc thực báo cáo, nhóm tìm hiểu kiến thức sở hạ tầng khóa cơng khai PKI, mơ hình có độ tin cậy sử dụng nhiều cho việc truyền thông mạng nay.Tìm hiểu triển khai dịch vụ CA, thành phần quan trọng PKI, môi trường Windows Server 2003 Cuối tích hợp dịch vụ CA vào số dịch vụ mạng khác để tạo nên dịch vụ có tính bảo mật cao Hướng phát triển Các mơ hình dịch vụ thực giả lập môi trường mạng LAN Nếu sở hạ tầng mạng tốt hơn, triển khai phạm vi lớn với mơi trường Internet thật Ngồi ra, tìm hiểu thêm để tích hợp dịch vụ mơi trường Linux GV: Thạc sỹ Tô Nguyễn Nhật Quang ... Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Bước 3: Mở Internet Explorer, gõ vào địc CA Service để yêu cầu cấp phát chứng qua web GV: Thạc sỹ Tô Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ... Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN d VPN Server : máy chủ VPN, nhận yêu cầu kết nối từ bên ngồi GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THƠNG TIN Một... thơng tin có kèm chứng số ln đảm bảo an tồn iii Xác thực GV: Thạc sỹ Tơ Nguyễn Nhật Quang ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Khi gửi thông tin kèm chứng số, người nhận - đối tác kinh doanh,