HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I TIỂU LUẬN MÔN HỌC AN NINH MẠNG Đề tài: Giao thức SSL ứng dụng mô Giảng viên : TS PHẠM ANH THƯ Môn học : An ninh mạng Mã học phần : TEL1401M Nhóm lớp : 04 Nhóm : 01 Thành viên : Trần Ngọc Lâm - B17DCVT204 Nguyễn Doãn Tùng - B17DCVT396 Đỗ Trung Nghĩa - B17DCVT260 Hà Nợi, tháng 6/2021 Bài thi cuối kì mơn ANM MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC THUẬT NGỮ VIẾT TẮT DANH MỤC BẢNG BIỂU PHÂN CÔNG CÔNG VIỆC MỞ ĐẦU I Tổng quan SSL .5 1.1 SSL ? Tại cần sử dụng SSL ? 1.1.1 SSL ? 1.1.2 Tại cần phải sử dụng SSL ? .5 1.2 Kiến trúc chồng giao thức SSL .6 1.3 Tiến trình SSL .7 1.3.1 Đàm phán cipher suite 1.3.2 Xác thực server .8 1.3.3 Gửi liệu mã hóa .8 II Phân tích giao thức giao thức SSL 2.1 Giao thức SSL Record 2.2 Giao thức SSL Alert 11 2.3 Giao thức SSL Handshake 11 2.3.1 Giai đoạn – thiết lập khả bảo mật 14 2.3.2 Giai đoạn - Xác thực server trao đổi khóa 15 2.3.3 Giai đoạn - Xác thực client trao đổi khóa 16 2.3.4 Giai đoạn – Kết thúc 17 III Các phương pháp công SSL 17 3.1 Diffie Hellman MITM Attack 17 3.1.1 Giao thức thỏa thuận khóa Diffie Hellman 17 3.1.2 Tấn công Man In The Middle 18 3.1.3 Giải pháp ngăn ngừa 19 3.2 Tấn công SSLSniff & SSLStrip MITM 20 3.2.1 Tấn công SSLSniff MITM 20 3.2.2 SSLStrip MITM Attack 21 3.2.3 Giải pháp ngăn ngừa 21 IV Các ứng dụng phổ biến SSL 22 Nhóm 01 Bài thi cuối kì mơn ANM V Mơ việc sử dụng SSL web server Apache phần mềm mã nguồn mở OpenSSL 24 5.1 Thiết lập web server Apache 24 5.2 Thiết lập virtual host với tên miền cho web server Apache 25 5.3 Tùy chỉnh file cấu hình DNS local máy thật 26 5.3 Cài đặt OpenSSL web server Apache 27 KẾT LUẬN 31 TÀI LIỆU THAM KHẢO 31 KIỂM TRA KẾT QUẢ TRÙNG LẶP TRÊN DOIT 32 DANH MỤC HÌNH ẢNH Hình 1: Kiến trúc chồng giao thức SSL Hình 2: Tổng quan trình hoạt động giao thức SSL Record Hình 3: Tổng quan định dạng cấu trúc liệu giao thức SSL Record .10 Hình 4: Tổng quan chế giao thức SSL Handshake 13 Hình 5: Thuật tốn trao đổi khóa Diffe-Hellman .19 Hình 6: Tấn cơng MITM Diffe-Hellman 19 Hình 7: Quá trình giao dịch https thông thường 20 Hình 8: Tấn cơng SSLSniff MITM 20 Hình 9: Tấn cơng SSL Strip MITM 21 Hình 10: Giao diện truy cập IPMI trình duyệt web .23 Hình 11: Giao diện upload chứng SSL lên IPMI 23 Hình 12: Nội dung mặc định web server Apache cài đặt thành cơng 25 Hình 13: Tùy chỉnh file hosts .26 Hình 14: Kết truy cập vào tên miền example.com 27 DANH MỤC THUẬT NGỮ VIẾT TẮT AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến CA Certificate Authority Nhà cung cấp chứng thực số CBC Cipher block chaining Mật mã chuỗi khối DES Data Encryption Standard Một chuẩn phương pháp mật mã hóa DNS Domain Name System Hệ thống phân giải tên miền FTP File Transfer Protocol Giao thức truyền tải tập tin Nhóm 01 Bài thi cuối kì mơn ANM HMAC Hash Message Authentication Code Là loại mã xác thực tin nhắn liên quan đến hàm băm mật mã kết hợp với khóa bí mật HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn HTTPs Hypertext Transfer Protocol Secure Là phần mở rộng Hypertext Transfer Protocol ID Identification Mã số nhận dạng IP Internet protocol Giao thức Internet IPMI Intelligent Platform Management Interface MAC Message Authentication Code MD5 MITM Giao diện quản lý tảng thông minh Mã xác thực tin Message-Digest algorithm Một hàm băm mật mã học sử dụng phổ biến với giá trị Hash dài 128-bit Man in the middle Tấn công xen RN Random Number Số ngẫu nhiêu RSA Rivest–Shamir–Adleman Là phương pháp mã hóa xác định (khơng có thành phần ngẫu nhiên) SHA-1 Secure Hash Algorithm Hàm băm mật mã lấy đầu vào tạo giá trị băm 160 bit (20 byte) SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản SSL Secure Sockets Layer Là tiêu chuẩn công nghệ bảo mật, truyền thông mã hố máy chủ Web server trình duyệt TCP Transmission Control Protocol Giao thức điều khiển truyền vận TLS Transport Layer Security Giao thức bảo mật tầng giao vận URL VPN Nhóm 01 Là tham chiếu đến tài nguyên web Uniform Resource Locator định vị trí mạng máy tính chế để truy xuất Virtual Private Network Mạng riêng ảo Bài thi cuối kì mơn ANM DANH MỤC BẢNG BIỂU Bảng 1: Các thuật tốn mã hóa sử dụng SSL Record 10 Bảng 2: Các kiểu tin thơng số giao thức SSL Handshake 12 Bảng 3: Giao thức thỏa thuận khóa Diffie Hellman 18 PHÂN CÔNG CÔNG VIỆC Đỗ Trung Nghĩa Viết lời mở đầu, tìm hiểu mục I, tổng hợp soạn thảo văn bản, phiên dịch hình vẽ từ khóa sử dụng Trần Ngọc Lâm Tìm hiểu mục II, IV, hỗ trợ mô viết kết luận Nguyễn Dỗn Tùng Tìm hiểu mục III V – làm mô MỞ ĐẦU Trên giới nay, với việc truyền tải liệu, thực giao dịch điện tử, truy nhập web ngày phổ biến sử dụng rộng rãi, đóng vai trị quan trọng sống người Cho nên, ngày doanh nghiệp dù lớn hay nhỏ trọng quan tâm đến việc đảm bảo tính an tồn bảo mật, tính xác thực cho tác vụ trên, thứ để nâng cao hình ảnh, thương hiệu uy tín cho doanh nghiệp Đồng thời, đảm bảo quyền lợi cho người tiêu dùng, tránh cố mát thơng tin liệu khơng đáng có Và để làm điều này, tất doanh nghiệp, hay cá nhân tin dùng vào giao thức SSL – giao thức Secure Sockets Layer Nhóm 01 Bài thi cuối kì mơn ANM I Tổng quan SSL 1.1 SSL ? Tại cần sử dụng SSL ? 1.1.1 SSL ? SSL ban đầu phát triển Netscape công bố rộng rãi vào tháng 2/1995 với Version 2.0 chứa nhiều lỗ hổng bảo mật Version 3.0 mắt vào năm 1996 Phiên sử dụng cho TLS version 1.0 IETF xác định giao thức chuẩn RFC2246 vào tháng 1/1999.Đến nay, SSL sử dụng phổ biến thương mại điện tử công ty giải pháp tài hàng đầu giới Có thể hiểu đơn giản là, việc kết nối trình duyệt web tới điểm mạng Internet phải qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn máy chủ web có kiểm sốt đường liệu hay kiểm sốt liệu có thâm nhập vào thơng tin đường truyền Và SSL sinh với mục đích giao thức an ninh thơng tin mạng sử dụng nhằm mã hóa cung cấp kênh an tồn máy chủ web trình duyệt hay mạng TCP/IP khác SSL cung cấp cho lợi ích sau: + Xác thực: Đảm bảo tính xác thực trang web máy chủ mà bạn trao đổi liệu trang Web cần phải kiểm tra tính xác thực người sử dụng + Mã hóa: Đảm bảo liệu trao đổi không bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận + Toàn vẹn liệu: Đảm bảo liệu trao đổi không bị sai lệch hay mát trình truyền dẫn.Với việc sử dụng SSL, trang web cung cấp khả bảo mật thơng tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào trình duyệt máy chủ web, cho phép người sử dụng làm việc với trang web chế độ an toàn 1.1.2 Tại cần phải sử dụng SSL ? Một ví dụ điển hình cho việc sử dụng SSL thương mại điện tử, chi tiết trình trao đổi thông tin giao dịch Người dùng chắn xác định server mà bạn trao đổi thông tin Và SSL giúp bạn làm điều Với khả xác thực, SSL cho phép cách tùy chọn bên trao đổi chắn định danh phía đối tác + Xác thực server: Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố cơng khai để chắn certificate public ID server có giá trị cấp phát CA (certificate authority) danh sách CA đáng tin cậy client Điều quan trọng người dùng.Ví dụ gửi mã số credit card qua mạng người dùng thực Nhóm 01 Bài thi cuối kì mơn ANM muốn kiểm tra liệu server nhận thơng tin có server mà họ định gửi đến khơng + Xác thực client: Cho phép phía server xác thực người sử dụng muốn kết nối Phía server sử dụng kỹ thuật mã hố công khai để kiểm tra xem certificate public ID server có giá trị hay khơng cấp phát CA (certificate authority) danh sách CA đáng tin cậy server không Điều quan trọng nhà cung cấp Ví dụ ngân hàng định gửi thông tin tài mang tính bảo mật tới khách hàng họ muốn kiểm tra định danh người nhận Hơn nữa, SSL cịn mã hóa kết nối hai bên để truyền thông tin sau xác thực, đảm bảo thông tin bị truy cập đối tượng thứ ba, tránh lộ thông tin nhạy cảm thông tin cá nhân, số tài khoản…khi tiến hành trao đổi.Điều quan trọng hai bên có giao dịch mang tính riêng tư Đồng thời, việc sử dụng hàm băm mã hóa, SSL giúp đảm bảo liệu khơng bị thay đổi hay mát trình truyền dẫn thông qua chế đặc trưng hàm băm khả tự động phát xáo trộn thay đổi liệu 1.2 Kiến trúc chồng giao thức SSL Giao thức bảo mật SSL Giao thức SSL Handshake Giao thức SSL Change Cipher Spec Giao thức SSL Alert HTTP LADP etc… HTTP SMTP etc… Lớp ứng dụng Giao thức SSL Record TCP IP Network Access Lớp truyền tải Lớp Internet Lớp mạng Hình 1: Kiến trúc chồng giao thức SSL Nhóm 01 Bài thi cuối kì mơn ANM Trong đó, giao thức SSL bao gồm giao thức + Giao thức SSL record: xác định định dạng dùng để truyền liệu + Giao thức SSL handshake: sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL SSL Record Protocol cung cấp dịch vụ bảo mật cho nhiều giao thức khác lớp Trong thực tế, Hyper Text Transfer Protocol (HTTP), cung cấp dịch vụ trao đổi cho tương tác Web client/server,có thể hoạt động đỉnh SSL Ba giao thức lớp định nghĩa phần SSL: giao thức Handshake, giao thức Change Cypher Spec giao thức Alert Các giao thức mang tính đặc trưng dùng phần quản lý trao đổi SSL xét đến phần sau Có hai khái niệm SSL cần phải biết là: SSL connection (kết nối SSL) SSL session (phiên SSL): + SSL connection: Mỗi kết nối đường truyền tải nhằm cung cấp dịch vụ thích hợp Với SSL, kết nối coi ngang hàng có khả trao đổi nhanh chóng.Và kết nối tương ứng với phiên + SSL sesssion: Một phiên SSL tạo giao thức Handshake (giao thức bắt tay) để liên kết client server Các phiên SSL định nghĩa tập tham số bảo mật mật mã, chia sẻ nhiều kết nối Các phiên dùng để tránh việc tốn thời gian tài nguyên hệ thống để đàm phán cho kết nối 1.3 Tiến trình SSL Q trình trao đổi thơng tin client server sử dụng SSL gọi SSL handshake, với ba mục tiêu chính: • Đàm phán cipher suite • Xác thực định danh (tùy chọn) • Hình thành chế bảo mật thơng tin, cách thỏa thuận chế mã hóa 1.3.1 Đàm phán cipher suite Cipher suite tập thuật tốn kích thước khóa dùng để mã hóa liệu, bao gồm thơng tin thuật tốn trao đổi khóa cơng khai thuật tốn thỏa thuận khóa, hàm băm mã hóa Chính vậy, phiên SSL bắt đầu, client server đàm phán xem cipher suite mà chúng sử dụng, server lựa chọn cipher suite tốt mà client có Nhóm 01 Bài thi cuối kì mơn ANM 1.3.2 Xác thực server Trong SSL, việc xác thực bước tùy chọn lại bước quan trọng đem lại tin tưởng cho client cung cấp ứng dụng hay sản phẩm sử dung SSL, đặc biệt thương mại điện tử Để chứng minh server thuộc tổ chức mà khẳng định đại diện, server phải trình chứng khóa cơng khai cho client Nếu chứng hợp lệ, client chắn định danh server Mặt khác, chứng khơng hợp lệ, client hồn tồn ngừng kết nối từ chối trao đổi thông tin với server để tránh rủi ro phát sinh Ví dụ, với RSA, phía client mã hóa thơng tin khóa bí mật khóa cơng khai server, có từ chứng khóa cơng khai, sau gửi thơng tin khóa bí mật mã hóa đến server.Chỉ có server cung cấp khóa cơng khai mà client sử dụng giải mã thơng tin khóa bí mật q trình giải mã phải cần đến khóa riêng server 1.3.3 Gửi liệu mã hóa Sau client server truy cập đến khóa bí mật chung mà chia sẻ từ trước Với tin, chúng dùng đến hàm băm chọn bước thứ với khóa bí mật, để tính tốn giá trị HMAC nối thêm vào tin Sau đó, chúng dùng khóa bí mật thuật tốn sinh khóa bí mật này, chọn bước để mã hóa liệu giá trị HMAC an toàn Cuối client server trao đổi thơng tin với cách hồn tồn đảm bảo độ bảo mật với liệu băm mã hóa II Phân tích giao thức bộ giao thức SSL 2.1 Giao thức SSL Record Như đề cập phần trên, giao thức SSL thiết kế dựa phần giao thức TCP để cung cấp tính bảo mật cho ứng dụng, dịch vụ đầu cuối dựa tảng web Tuy nhiên, SSL giao thức đơn lẻ mà hoạt động dựa theo hai lớp giao thức minh họa Hình Ta dễ dàng thấy có lớp giao thức sử dụng TCP trực tiếp, giao thức SSL Record Lớp giao thức có khả cung cấp dịch vụ bảo mật cho giao thức lớp cao Để nói sâu giao thức này, ta cần phải biết tác dụng Thứ nhất, giao thức SSL Record có khả cung cấp tính bảo mật cho phiên kết nối SSL, giao thức định nghĩa khóa bí mật chia sẽ, sử dụng khóa để mã hóa quy ước cho liệu SSL Thứ hai, giao thức đem lại tính tồn vẹn cho liệu truyền, liệu trước truyền gán thêm giá trị mã xác thực thơng điệp – MAC Nhóm 01 Bài thi cuối kì mơn ANM Hình vẽ thể rõ tồn q trình hoạt động giao thức SSL Record Dữ liệu ứng dụng Phân mảnh Nén Thêm MAC Mã hóa Gắn SSL Record header Hình 2: Tổng quan trình hoạt động giao thức SSL Record Đầu tiên, giao thức SSL Record nhận tin phải truyền đi, phân mảnh liệu làm nhiều khối nhỏ, khối liệu có kích thước khoảng 214 bytes Sau đó, khối liệu nén tùy chọn, trình nén liệu phải đảm bảo hai yêu cầu không để liệu không làm tăng độ dài liệu 1024 bytes Tiếp theo, tính tốn giá trị xác thực thơng điệp dữa khóa bí mật dùng chung, gán vào khối liệu nén Dữ liệu với giá trị xác thực thông điệp tiếp tục mã hóa khóa đối xứng Q trình mã hóa không phép làm tăng độ dài liệu 1024 bytes, tổng độ dài liệu giới hạn 214 + 2048 bytes Các thuật tốn mã hóa sau cho phép sử dụng giao thức SSL Record Nhóm 01 Bài thi cuối kì mơn ANM khóa bí mật hai bên mức độ an toàn giao thức dựa độ khó tốn logarit rời rạc Bài toán logarit rời rạc hai nhà mật mã học áp dụng vào sau: Giả sử có hai người A B muốn thực trao đổi khóa Đầu tiên A B thống sử dụng chung tham số miền (p, g) Trong p, g hai số nguyên tố với p lớn g nguyên thủy modulo p Bộ tham số (p, g) khơng cần giữ bí mật (được cơng khai) Sau A chọn số a giữ bí mật số a B chọn số b giữ bí mật số b Tiếp A tính tốn Xa = ga mod p (1) gửi Xa cho B, cịn B tính gửi Yb = gb mod p (2) cho A Trên sở A tính: Yba mod p = (gb)a mod p = gab mod p =Ks (3) Còn B tính: Xab mod p = (ga)b mod p = gab mod p =Ks (4) Ta thấy A B tính chung giá trị Ks Giá trị dùng để dẫn xuất khóa phiên bí mật để sử dụng cho thuật tốn mã hóa khóa đối xứng Cụ thể giao thức thỏa thuận khóa Diffie Hellman nguyên thủy thể bảng Gửi A Bí mật Cơng khai a p, g a p, g, Xa a p, g, Xa a, Ks Tính tốn B Tính tốn Xa = ga mod p Xa ( từ A ) Yb (từ B) Yb = gb mod p Cơng khai Bí mật p, g b p, g b p, g, Yb b p, g, Xa Yb a mod p=Ks Xa b mod p=Ks p, g, Yb Bảng 3: Giao thức thỏa thuận khóa Diffie Hellman b, Ks 3.1.2 Tấn cơng Man In The Middle Như thấy SSL sử dụng thuật toán trao đổi khóa Diffie Hellman trình bày phase bước Share Key Exchange Client Key Exchange thực việc trao đổi tham số Xa = ga mod p (1) Yb = gb mod p (2) tương tự hình dưới: Nhóm 01 18 Bài thi cuối kì mơn ANM Hình 5: Thuật tốn trao đổi khóa Diffe-Hellman Ta thấy khơng có xác thực diễn đảm bảo A người gửi tham số Xa= ga mod p đến B Kẻ cơng lợi dụng điều này, sử dụng phương pháp Man In The Middle để công MITM loại công xen giữa, mà kẻ cơng bí mật xen vào q trình trao đổi thơng tin hai bên, nhằm nghe trộm mạo danh bên Cụ thể trường hợp sau: Hình 6: Tấn công MITM Diffe-Hellman Đầu tiên kẻ cơng xen vào q trình trao đổi thơng tin A B Tại kẻ công lấy gói tin A lấy tham số Xa= ga mod p (1) Tiếp từ tham số Xa kẻ cơng giải mã tìm hai tham số g p Sau có tham số g p, kẻ cơng giả dạng A cách tạo số bí mật t (giống A có số bí mật a vậy) gửi tham số giả mạo gt mod b đến B A B nghĩ A gửi gửi tham số Yb= gbmod p (2) lại cho kẻ công thiết lập tính tốn gửi mã Điều xảy tương tự với A A nghĩ kẻ công B nên thiết lập tính tốn gửi mã Ks Và kẻ cơng lấy liệu từ A B gửi đến, sửa đổi, chuyển tiếp để thực việc giả danh, lừa đảo 3.1.3 Giải pháp ngăn ngừa Mức độ an toàn thuật tốn thỏa thuận khóa Diffe-Hellman phụ thuộc vào độ khó tốn logarit rời rạc mà với giá trị X = ga mod p ta cần phải tính ngược tìm hai giá trị g p Vì để tăng độ khó tốn độ an tồn thuật tốn ta cần phải chọn p g số nguyên tố lớn Ngồi phát triển thêm định thời gian cho gói tin Tức gói tin truyền môi trường mạng với thời gian định gói tin bị hủy Điều Nhóm 01 19 Bài thi cuối kì mơn ANM khiến cho thời gian kẻ cơng giải tìm giá trị g p bị giảm xuống, gây khó khăn, tạo áp lực mặt thời gian cho kẻ xấu muốn chiếm đoạt thông tin 3.2 Tấn công SSLSniff & SSLStrip MITM Đây cách công mà kẻ công lợi dụng tâm lý lơ người dùng người sử dụng thường bỏ qua thông báo nhỏ không để ý thay đổi đường dẫn URL đến website Từ kẻ cơng giả dạng server, trao đổi thông tin trực tiếp với người dùng 3.2.1 Tấn cơng SSLSniff MITM Hình thể q trình https thơng thường client với server Hình 7: Quá trình giao dịch https thơng thường Khi kẻ cơng dùng phương thức MITM xen vào q trình trao đổi thơng thường client với server Đối với client kẻ cơng đóng giả trở thành server trao đổi cịn phía server thật kẻ cơng giao dịch client bình thường Hình 8: Tấn cơng SSLSniff MITM Nhóm 01 20 Bài thi cuối kì mơn ANM Để giả dạng Server kẻ công tạo chứng thư số (digital certificate) giả mạo Server Chứng thư số loại chứng thư điện tử tổ chức dịch vụ chứng thực chữ ký số cung cấp cho doanh nghiệp Có thể nói chứng thư số “chứng minh thư” doanh nghiệp nhằm nhiệm vụ xác nhận danh tín doanh nghiệp mơi trường Internet Chứng thư số bao gồm thơng tin doanh nghiệp public key, tổ chức có thẩm quyền xác định, thẩm tra cung cấp Và chứng thư số kẻ công tạo giống với chứng thư số Server khác số trường đặc biệt khóa cơng khai Server thay khóa cơng khai kẻ cơng Khi kẻ cơng giả mạo Server với người dùng Tất nhiên q trình trao đổi, Client hiển thị thông báo cảnh báo warning nhiên với người không để ý vấn đề thường bỏ qua Kết thông tin giao dịch Client bị kẻ công nắm bắt 3.2.2 SSLStrip MITM Attack Thực tế cho thấy hầu hết người truy nhập web không gõ chuỗi ký tự “http://” “https://” để truy nhập web.Nói cách khác thường sử dụng SSL cách gián tiếp thông qua HyperLinks (siêu liên kết) Redirection Messages xử lý trình duyệt web Kẻ cơng lợi dụng điều để xử dụng phương pháp MITM, xen vào kết nối Client với Server, thay HyperLinks “https:// ” (có áp dụng SSL) thành “http:// ” ( không sử dụng SSL ) Redirection Messages ( tin nhắn chuyển hướng ) tới trang “https:// ” thành trang “http:// ” Nếu làm kẻ cơng gỡ bỏ SSL từ Client, cịn kết nối http thơng thường với Client https đến Server hình Hình 9: Tấn cơng SSLStrip MITM Vì cịn kết nối http thông thường không SSL bảo vệ, kẻ cơng hồn tồn lấy thơng tin người dùng nhằm mục đích xấu 3.2.3 Giải pháp ngăn ngừa Ở hai phương thức công có thơng báo hiển thị thay đổi máy người dùng (nếu với cơng SSLSniff MITM có thơng báo cịn cơng SSL Strip MITM đường dẫn URL có thay đổi) Từ thấy Nhóm 01 21 Bài thi cuối kì mơn ANM hai phương pháp công lợi dụng vào ý, lơ người sử dụng để thực Vì người sử dụng cần phải để ý đến cảnh báo máy thay đổi đường dẫn truy cập Ngồi thiết kế cảnh báo lớn, với phân tích rõ ràng vấn đề gặp phải, bao gồm nguy cơ, thiệt hại gặp phải nhằm thu hút ý nhiều người sử dụng IV Các ứng dụng phổ biến SSL Mặc dù SSL chưa thể coi giao thức bảo mật an toàn cịn lỗ hổng tồn nó, khơng thể phủ nhận tính bảo mật mạnh mẽ độ phổ biến giao thức thời điểm Giao thức có độ phổ biến rộng đến mức gần giao thức mà có hậu tố “s” tên gọi thường gắn liền với SSL.Ví dụ với dịch vụ truyền file, truyền liệu mạng nội FTPS hay SMTPS (là cải tiến giao thức FTP SMTP khả hỗ trợ tích hợp chứng SSL) Hay ứng dụng ảo hóa ứng dụng điện tốn đám mây sử dụng SSL Từ ta thấy rằng, gần ứng dụng triển khai sử dụng tảng web tích hợp với giao thức SSL để tăng tính an tồn, bảo mật Hơn đảm bảo tính xác thực cho website, giao dịch điện tử nâng cao hình ảnh, thương hiệu uy tín cho doanh ngiệp Và người dùng hồn tồn dễ dàng nhận biết dịch vụ có sửdụng SSL hay khơng, thơng qua biểu tượng ổ khóa địa cho trước, điển với HTTPS Ngồi ra, ứng dụng khác vơ quan trọng mà SSL cung cấp có độ phổ biến cao SSL VPN + SSL VPN hay gọi theo tên khác giải pháp VPN client-less, người dùng khơng cần phải có phần mềm VPN Client máy tính (ngoại trừ trình duyệt web, mơi trường quan trọng sử dụng với SSL VPN) + Với SSL VPN, thay cho phía VPN client truy cập vào tồn hệ thống mạng mạng với IPSec, người dùng cho phép truy xuất tới số ứng dụng cụ thể dựa tảng web + Tuy nhiên, ứng dụng mà người dùng truy cập loại ứng dụng trình duyệt, cần phải tích hợp thêm phần mềm Java để làm ứng dụng truy xuất qua trình duyệt + Và tất nhiên SSL VPN sử dụng chứng số để xác thực server Không thế, số ứng dụng quản trị server nhà sản xuất tiếng Supermicro, Dell, HP, có khả hỗ trợ giao thức SSL Nhóm 01 22 Bài thi cuối kì mơn ANM Ví dụ trình duyệt quản lý tảng server IPMI – “Intelligent Platform Management Interface” hãng Supermicro cung cấp Hình 10: Giao diện truy cập IPMI trình duyệt web Hình 11: Giao diện upload chứng SSL lên IPMI Người quản trị tạo chứng SSL upload lên IPMI, để đảm bảo có người dùng trao quyền định truy cập vào trình quản lý để thao tác với server Nhóm 01 23 Bài thi cuối kì mơn ANM V Mơ việc sử dụng SSL web server Apache phần mềm mã nguồn mở OpenSSL 5.1 Thiết lập web server Apache Nói qua web server Apache, máy chủ web phổ biến giới Nó máy chủ HTTP miễn phí hỗ trợ đa tảng cung cấp tính mạnh mẽ mở rộng module Để thực cần chạy máy ảo sử dụng hệ điều hành CentOS (các loại hệ điều hành khác dựa nhân Linux có khả hỗ trợ Apache) với quyền truy nhập user root Server chạy có địa IP cố định 172.16.1.15 tên miền cho trang web example.com B1: cài đặt gói cần thiết cho web server câu lệnh # yum install httpd -y B2: khởi động dịch vụ # systemctl start httpd # systemctl enable httpd B3: Để người dùng truy cập vào trang web ta cần phải pulic địa socket máy chủ cách mở dịch vụ (mở port) firewall # firewall-cmd permanent add-service=http # firewall-cmd permanent add-service=https # systemctl restart firewalld B4: Truy cập đến địa IP server trình duyệt qua đường dẫn http://172.16.1.15 để tải nội dung trang mặc định Apache sau Nhóm 01 24 Bài thi cuối kì mơn ANM Hình 12: Nội dung mặc định web server Apache cài đặt thành công 5.2 Thiết lập virtual host với tên miền cho web server Apache Web server Apache có khả chia nhỏ tính thành phần thành đơn vị nhỏ tùy chỉnh cấu hình cách độc lập Mỗi đơn vị biểu diễn website hay tên miền virtual host Virtual host cho phép server có nhiều tên miền tên miền có đường dẫn cụ thể server để lưu trữ thông tin trang web B1: Tạo cấu trúc đường dẫn tuyệt đối # mkdir -p /var/www/example.com/public_html B2: phân quyền user quản trị thư mục (thường user root) # chown -R $USER:$USER /var/www/example.com/public_html Đồng thời chỉnh sửa quyền truy cập cho người quản trị có đọc, ghi thực thi thư mục file /var/www câu lệnh: # chmod -R 755 /var/www B3: tạo file cấu hình virtual host B3.1: tạo file sites-available để lưu tồn file virtual host cịn file sites-enabled lưu trữ đường dẫn đến virtual host sẵn sàng sử dụng # mkdir /etc/httpd/sites-available # mkdir /etc/httpd/sites-enabled B3.2: truy nhập vào file cấu hình web server Apache thêm lệnh sau vào cuối file # echo IncludeOptional sites-enabled/*.conf >> /etc/httpd/conf/httpd.conf B3.3: tạo file cấu hình virtual host cho trang web #vi /etc/httpd/sites-available/example.com.conf Và thêm dòng khai báo sau: AllowOverride All Nhóm 01 25 Bài thi cuối kì mơn ANM DocumentRoot /var/www/vhosts/yoursite.com/httpdocs ServerName yoursite.com B3.4: kích hoạt file cấu hình sử dụng câu lệnh # ln -s /etc/httpd/sites-available/example.com.conf/etc/httpd/sitesenabled/example.com.conf B4: khởi động lại dịch vụ web # systemctl restart httpd 5.3 Tùy chỉnh file cấu hình DNS local máy thật Chúng ta cần phải trỏ ip file hosts windows để phân dải tên miền example.com ip Web server sau (lưu ý phải chỉnh sửa file quyền Admin) Hình 13: Tùy chỉnh file hosts Người dùng truy cập vào trang web với tên miền example.com Nhóm 01 26 Bài thi cuối kì mơn ANM Hình 14: Kết truy cập vào tên miền example.com 5.3 Cài đặt OpenSSL web server Apache B1: tiến hành tạo certificates cách truy nhập vàothư mục cert server thực lệnh sau: # cd /etc/pki/tls/certs # make server.key (Tạo file server key) # openssl rsa -in server.key -out server.key (Để tạo RSA key) # make server.csr (rồi khai báo thơng tin u cầu) Nhóm 01 27 Bài thi cuối kì mơn ANM # openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 1000 (thiết lập ngày hết hạn sử dụng chứng chỉ) B2: Cài đặt SSL Key cho web server Apache # yum -y install httpd mod_ssl B3: Chỉnh sửa lại file cấu hình virtual host thư mục /etc/pki/tls/certs SSL thông qua đường dẫn /etc/httpd/conf.d/ssl.conf Nhóm 01 28 Bài thi cuối kì môn ANM B5: Khởi động lại dịch vụ câu lệnh # systemctl restart httpd Và người dùng truy nhập vào trang web example.com với đường dẫn https://example.comvà nhìn thấy chứng SSL tạo Nhóm 01 29 Bài thi cuối kì mơn ANM Hình 15: Kết hồn tất việc sử dụng chứng SSL web server Tuy nhiên, chứng SSL sử dụng trình mô chứng tự tạo khơng thể đáp ứng tồn u cầu khả an toàn bảo mật chứng SSL cung cấp bên thứ quan có thẩm quyền Nhóm 01 30 Bài thi cuối kì mơn ANM KẾT LUẬN Vậy tóm lại, qua viết ta có nhìn tổng quan giao thức SSL – Secure Sockets Layer định nghĩa, chế hoạt động, giao thức tầm quan trọng việc đảm bảo tính bảo mật, tính xác thực tính tồn vẹn liệu việc truyền liệu tảng trình duyệt web Tiếp theo ứng dụng phổ biến sử dụng SSL cách thức công SSL Cuối q trình mơ việc khởi tạo tích hợp chứng SSL máy chủ web Apache để thấy rõ phải cần tối thiểu điều kiện để sử dụng chứng SSL máy chủ web, khác biệt việc không sử dụng sử dụng SSL TÀI LIỆU THAM KHẢO Rhee, Man Young Internet Security Cryptographic Principles, Algorithms and Protocols n.d Stallings, William Cryptography and Network Security Principles and Practices, Fourth Edition n.d Stamp, Mark Information Security Principles and Practice n.d TS Nguyễn Chiến Trinh, PGS.TS Nguyễn Tiến Ban, Ths Phạm Anh Thư, Ths Nguyễn Thanh Trà Bài giảng An ninh mạng viễn thông Hà Nội, 2016 Viblo n.d Nhóm 01 31 Bài thi cuối kì mơn ANM KIỂM TRA KẾT QUẢ TRÙNG LẶP TRÊN DOIT Nhóm 01 32 ... Kiến trúc chồng giao thức SSL Giao thức bảo mật SSL Giao thức SSL Handshake Giao thức SSL Change Cipher Spec Giao thức SSL Alert HTTP LADP etc… HTTP SMTP etc… Lớp ứng dụng Giao thức SSL Record TCP... mã hóa II Phân tích giao thức bộ giao thức SSL 2.1 Giao thức SSL Record Như đề cập phần trên, giao thức SSL thiết kế dựa phần giao thức TCP để cung cấp tính bảo mật cho ứng dụng, dịch vụ đầu cuối... Lớp mạng Hình 1: Kiến trúc chồng giao thức SSL Nhóm 01 Bài thi cuối kì mơn ANM Trong đó, giao thức SSL bao gồm giao thức + Giao thức SSL record: xác định định dạng dùng để truyền liệu + Giao thức