BÀI BÁO CÁO MƠN: AN TỒN THƠNG TIN MẠNG Đề tài: Tìm hiểu giao thức SSL Hoạt động,Tấn cơng Cách phòng chống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com BẢNG PHÂN CHIA CƠNG VIỆC NHĨM – LỚP 508A – QUẢN TRỊ MẠNG Họ tên MSSV Phân chia công việc phân chia công việc, tổng hợp Nhóm trưởng thành viên làm Thành viên Viết báo cáo phần Thành viên Viết báo cáo phần Thành viên Viết báo cáo phần Thành viên Viết báo cáo phần slide Tìm hiểu SSL Phần  Tổng quan giao thức SSL Phần  Cấu trúc cách làm việc SSL Phần  Tấn công cách phòng chống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Phần :Tổng quan giao thức SSL: SSL gì? SSL viết tắt Secure Socket Layer giao thức (protocol) cho phép bạn truyền đạt thông tin cách bảo mật an toàn qua mạng SSL thiết kế để tạo giao tiếp hai chương trình ứng dụng cổng định trước nhằm mã hố tồn thông tin đi/đến, mà ngày sử dụng rộng rãi cho giao dịch điện tử truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) Internet Thông tin HTTPS = HTTP + SSL FTPS = FTP + SSL Một số định nghĩa SSL Thuật giải Mã hóa giải mã thơng tin hàm toán học đặc biệt tạm gọi thuật tốn mã hóa (cryptographic algorithm) thường gọi tắt cipher Khóa Hiểu nơm na, giống pasword Khóa (key) chuỗi liệu dùng để mã hóa giải mã thơng tin Độ dài khóa (key-length) Độ dài khóa tính theo bit, ví dụ 128bit, 1024bit hay 2048bit,… Khóa dài khó bị tìm Chằng hạn khóa RSA 1024bit, đốn đại khóa đồng nghĩa với việc chọn 21024 khả Password & passparse Password passparse gần giống chất Password vĩnh viễn khơng hết hạn Passparse ngược lại, có hiệu lực khoảng thời gian xác định Sau thời gian đó, bạn phải thay đổi lại mật Nói LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com chung, thứ SSL passparse, khóa, giấy chứng nhận, chữ kí số … có thời hạn sử dụng định Passparse dùng để mã hóa/giải mã khóa riêng Các phương pháp mã hóa Có phương pháp mã hóa thường sử dụng mã hóa đối xứng, mã hóa bất đối xứng a Mã hóa khóa đối xứng Là khóa vừa dùng để mã hóa vừa dùng để giải mã thơng tin b Mã hóa khóa bất đối xứng Một khe hở mã hóa đối xứng bạn phải chuyển khóa cho người nhận để họ giải mã Việc chuyển khóa khơng mã hóa qua mạng điều mạo hiểm Nếu khóa rơi vào tay người khác họ giải mã thơng tin mà bạn chuyển Mã khóa khóa bất đối xứng từ đời để giải vấn đề Khóa bất đối xứng tức có khóa, tương ứng với cơng việc mã hóa giải mã Khóa gọi khóa chung khóa riêng (public key private key) Khóa chung dùng để mã hóa, khóa riêng dùng để giải mã Khóa chung bạn trao cho người khác để họ mã hóa thơng tin gửi đến bạn, bạn dùng khóa riêng để giải mã thơng tin Dù cho thơng tin có rơi vào tay người khác họ khơng có khóa riêng bạn để giải mã thơng tin Từ đảm bảo có bạn đọc thơng tin mã hóa LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Lợi ích sử dụng SSL * Xác thực: Đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng *Mã hố: Đảm bảo thông tin bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “ nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận * Toàn vẹn liệu: Đảm bảo thơng tin khơng bị sai lệch phải thể xác thơng tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Lich sử đời phát triển giao thức SSL: *Lịch sử đời SSL SSL phát triển Netscape Communication Corporation giới thiệu SSL giao thức tương ứng với phiên Netscape Navigator, Trái với Kết quả, SSL trở thành giao thức bật để cung cấp dịch vụ bảo mật cho lưu lượng liệu HTTP 1994 S-HTTP lặng lẽ biến Cho đến bây giờ, có ba phiên SSL: SSL 1.0: sử dụng nội Netscape Communications Nó chứa số khiếm khuyết nghiêm trọng khơng tung bên SSL 2.0: kết nhập vào Netscape Communications 1.0 đến 2.x Nó có số điểm yếu liên quan đến thân cụ thể công đối tượng trung gian Trong nỗ lực nhằm dùng không chắn công chúng bảo mật SSL, Microsoft giới thiệu giao thức PCT (Private Communication Technology) cạnh tranh lần tung Internet Explorer vào năm 1996 SLL 3.0: Netscape Communications phản ứng lại thách thức PCT Microsoft cách giới thiệu SSL 3.0 vốn giải vấn đề SSL 2.0 thêm số tính Vào thời điểm này, Microsoft nhượng đồng ý hỗ trợ SSL tất phiên phần mềm dựa vào TCP/IP (mặc dù phiên riêng hỗ trợ PCT cho tương thích ngược) Thơng số kỹ thuật SSL 3.0 tung thức vào tháng năm 1996 Nó thực thi tất trình duyệt bao gồm ví dụ Microsoft Internet Explorer 3.0 (và phiên cao hơn), Netscape Navigator 3.0 (và phiên cao hơn), Open Như thảo luận phần sau chương này, SSL 3.0 điều chỉnh IETF TLS WG Thực tế, thông số kỹ thuật giao thức TLS 1.0 dẫn xuất từ SSL 3.0 Hai phần tập trung vào giao thức SSL TLS; giao thức PCT khơng trình bày SSL: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Lịch sử phát triển : : Như biết có hai giao thức bảo mật quan trọng lớp vận chuyển (Layer Transport) có tầm quan trọng cao bảo mật trình ứng dụng Web: hai giao thức SSL TLS Nói chung, có số khả để bảo vệ mật mã lưu lượng liệu HTTP Ví dụ, vào năm 1990, tập đoàn CommerceNet đề xuất SHTTP mà cải tiến bảo mật HTTP Một phần thực thi S-HTTP làm cho có sẵn cơng cộng phiên chỉnh sửa trình duyệt Mosaic NCSA mà người dùng phải mua (trái với trình duyệt Mo NCSA "chuẩn" có sẵn cơng cộng miễn phí Internet) Tuy nhiên, thời điểm Netscape Communication giới thiệu SSL giao thức tương ứng với phiên Netscape Navigator, Trái với tập đoàn CommerceNet, Netscape Communications khơng tính phí khách hàng việc thực thi giao thức bảo mật Kết quả, SSL trở thành giao thức bật để cung cấp dịch vụ bảo mật cho lưu lượng liệu HTTP 1994 S-HTTP lặng lẽ biến LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Các thuật toán mã hoá dùng SSL Các thuật tốn mã hố (cryptographic algorithm hay cịn gọi cipher) hàm toán học sử dụng để mã hố giải mã thơng tin Giao thức SSL hỗ trợ nhiều thuật toán mã hố, sử dụng để thực cơng việc trình xác thực server client, truyền tải certificates thiết lập khoá phiên giao dịch (sesion key) Client server hỗ trợ mật mã (cipher suite) khác tuỳ thuộc vào nhiều yếu tố phiên SSL dùng, sách cơng ty độ dài khố mà họ cảm thấy chấp nhận - điều liên quan đến mức độ bảo mật thông tin, … Các mật mã trình bày phần sau đề cập đến thuật toán sau: * DES (Data Encryption Standard) thuật toán mã hoá có chiều dài khố 56 bit * 3-DES (Triple-DES): thuật tốn mã hố có độ dài khố gấp lần độ dài khoá mã hoá DES * DSA (Digital Signature Algorithm): phần chuẩn xác thực số được phủ Mỹ sử dụng * KEA (Key Exchange Algorithm) thuật toán trao đổi khố phủ Mỹ sử dụng * MD5 (Message Digest algorithm) phát thiển Rivest * RSA: thuật tốn mã hố cơng khai dùng cho q trình xác thực mã hố liệu Rivest, Shamir, and Adleman phát triển * RSA key exchange: thuật toán trao đổi khoá dùng SSL dựa thuật toán RSA * RC2 and RC4: thuật toán mã hoá phát triển Rivest dung cho RSA Data Security * SHA-1 (Secure Hash Algorithm): thuật tốn băm phủ Mỹ sử dụng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Các thuật toán trao đổi khoá KEA, RSA key exchange sử dụng để bên client server xác lập khoá đối xứng mà họ sử dụng suốt phiên giao dịch SSL Và thuật toán sử dụng phổ biến RSA key exchange - SSL : -SSl sử dụng giải thuật MAC (Message Authentication Code) MAC phương thức bảo đảm tính tồn vẹn liệu truyền môi trường không tin Internet Các dịnh vụ SSL sử dụng số cổng chuyên dụng dành riêng IANA – Internet Asignned Numburs Authority Bảng 1.2: Các số cổng gán cho giao thức ứng dụng chạy SSL Từ khóa Cổng Mơ tả Nsiiop 261 Dịch vụ tên IIOP SSL https 443 HTTP SSl Smtps 465 SMTP SSL Nntps 563 NNTP SSL Ldaps 636 LDAP SSL Ftps-data 989 FTP (dữ liệu) SSL Ftps 990 FTP (Điều khiển) SSL Tenets 992 TELNET SSL Imaps 994 IRC SSL Pop3s 995 POP3 SSL LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Phần 2 Cấu trúc cách làm việc SSL Cấu trúc giao thức SSL ( Biểu đồ giao thức SSL mơ hình TCP/IP) SSL Record Layer - SSL HandShake protocol: Giao thức truyền tay - SSL Change cipher spec protocol: Giao thức Thay đổi thuật tốn mã hóa thơng số - SSL Alert Protocol : Giao thức báo động x Theo biểu đồ trên,SSl nằm tầm ứng dụng giao thức TCP/IP Do đặc điểm SSl dung hệ điều hành hỗ trợ TCP/IP mà không cần phải trỉnh sửa nhân hệ thống ngăn xếp TCP/IP.Điều mang lại cho SSl cải tiến mạnh mẽ so với giao thức IPsec(IP Protocol) giao thức cần phải thay đổi nhân hệ điều hành phải chỉnh sửa ngăn xếp TCP/IP.SSL dễ dàng vượt qua tường lửa proxy, NAT(Network Address Translation) mà không cần nguồn cấp 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Cách Hoạt Động SSL Điểm SSL thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an tồn chống giả mạo luồng thông tin qua Internet hai ứng dụng bất kỳ, thí dụ webserver trình duyệt khách (browsers), sử dụng rộng rãi nhiều ứng dụng khác mơi trường Internet Tồn chế hoạt động hệ thống thuật toán mã hố sử dụng SSL phổ biến cơng khai, trừ khoá chia xẻ tạm thời (session key) sinh thời điểm trao đổi hai ứng dụng tạo ngẫu nhiên bí mật người quan sát mạng máy tính Ngồi ra, giao thức SSL đỏi hỏi ứng dụng chủ phải chứng thực đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa mật mã cơng khai (thí dụ RSA) Sau ta xem xét cách khái quát chế hoạt động SSL để phân tích cấp độ an tồn khả áp dụng ứng dụng nhạy cảm, đặc biệt ứng dụng thương mại toán điện tử 11 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Giao thức SSL dựa hai nhóm giao thức giao thức “bắt tay” (handshake protocol) giao thức “bản ghi” (record protocol) Giao thức bắt tay xác định tham số giao dịch hai đối tượng có nhu cầu trao đổi thơng tin liệu, cịn giao thức ghi xác định khuôn dạng cho tiến hành mã hoá truyền tin hai chiều hai đối tượng Khi hai ứng dụng máy tính, thí dụ trình duyệt web máy chủ web, làm việc với nhau, máy chủ máy khách trao đổi “lời chào” (hellos) dạng thông điệp cho với xuất phát chủ động từ máy chủ, đồng thời xác định chuẩn thuật tốn mã hố nén số liệu áp dụng hai ứng dụng Ngoài ra, ứng dụng cịn trao đổi “số nhận dạng/khố theo phiên” (session ID, session key) cho lần làm việc Sau ứng dụng khách (trình duyệt) u cầu có chứng thực điện tử (digital certificate) xác thực ứng dụng chủ (web server) Chứng thực điện tử thường xác nhận rộng rãi quan trung gian (là CA -Certificate Authority) RSA Data Sercurity hay VeriSign Inc., dạng tổ chức độc lập, trung lập có uy tín Các tổ chức cung cấp dịch vụ “xác nhận” số nhận dạng công ty phát hành chứng cho công ty chứng nhận dạng (identity) cho giao dịch mạng, máy chủ webserver Sau kiểm tra chứng điện tử máy chủ (sử dụng thuật tốn mật mã cơng khai, RSA trình máy trạm), ứng dụng máy trạm sử dụng thông tin chứng điện tử để mã hố thơng điệp gửi lại máy chủ mà có máy chủ giải mã Trên sở đó, hai ứng dụng trao đổi khố (master key) - khố bí mật hay khố đối xứng - để làm sở cho việc mã hoá luồng thông tin/dữ liệu qua lại hai ứng dụng chủ khách Toàn cấp độ bảo mật an toàn thông tin/dữ liệu phụ thuộc vào số tham số: (i) số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật thuật toán bảo mật áp dụng cho SSL; (iii) độ dài khố (key length) sử dụng cho lược đồ mã hố thơng tin 12 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Phần 3: Tấn công cách phịng chống Mơ tả q trình truyền thơng Q trình truyền thơng HTTPS TÌm hiểu cách Connect Gmail  Trình duyệt máy khách kết nối đến Gmail cổng 80 cách sử dụng HTTP  Máy chủ redirect phiên HTTPS máy khách site cách sử dụng HTTP code 302  Máy chủ cung cấp chứng cho máy khách gồm có chữ ký số Chứng sử dụng đẻ thẩm định nhận dạng site  Máy khách sử dụng chứng thẩm định chứng vowisdanhs sách nhà thẩm định nhận định chứng tin cậy  Truyền thơng mã hóa xảy sau QUÁ TRÌNH ATTACK  Moxie Marlinspike, chuyên gia nghiên cứu bảo mật hàng đầu cho hầu hết trường hợp,SSL chưa bị trực tiếp công.Hầu hết thơi gian kết nối SSL khởi tạo thông qua HTTPS 13 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com  Ý Tưởng : * Nếu bạn công phiên giao dịch từ kết nối khơng an tồn đến kết nối an toàn trường hợp từ HTTP vào HTTPS,bạn cơng cầu nối “Man-in-the-middle” kết nối SSL trước xuất Tấn cơng man-in-the-middle Giao thức chưa phải an toàn tuyệt đối Hay tưởng tượng Mallory ngồi Alice Bob chơi trị cơng man-in-the-middle sau: Ảnh minh họa công Man-in-middle Alice gửi thông điệp cho Bob, lại bị Mallory ngồi giành lấy: A "Chào Bob, Alice Đưa khóa bí mật cho nói chuyện cho tơi." > M Mallory gửi chuyển tiếp thông điệp đến Bob: M "Chào Bob, Alice Đưa khóa bí mật cho nói chuyện cho tơi." > B Bob trả lời thơng điệp mã hóa khóa mình: M < [khóa bí mật] B Mallory thay đổi khóa bí mật thành khóa tạo ra: A < [Key Mallory] M 14 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Nhận khóa bí mật, Alice bắt đầu trị chuyện khóa Mallory gửi tin nói chuyện với Bob A "Gặp trạm Mallory] > M xe buýt"[Mã hóa key Do khóa Mallory tạo nên dĩ nhiên Mallory giải mã nó, sau dùng khóa bí mật Bob gửi trước để mã hóa thơng điệp nhận từ Alice vừa giải mã gửi sang cho Bob Và đương nhiên thông điệp bị thay đổi bới Mallory M "Gặp đường 123 phố ABC"[Mã hóa key Bob] > B Từ ta thấy, thơng tin gửi bị Mallory ngồi đọc chỉnh sữa Chiếm quyền điều khiển truyền thông HTTPS * Lưu lượng máy khách máy chủ bị chặn  bắt gặp HTTPS USL, sslstrip thay lien kết HTTP ánh xạ thay đổi  Máy cơng cung cấp chứng cho máy web giả tạo máy khách  Lưu lượng nhận trở lại website an toàn cung cấp trở lại cho máy khách  Quá trình làm việc tốt,máy chủ có liên quan nhận lưu lượng SSL mà khơng biết khác biệt Chỉ có biệt rõ rệt trải nghiệm người dung lưu lượng không cắm cờ HTTPS trình duyệt, người dung có kinh nhiệm thấy điều dị thường Biện pháp phòng chống 15 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Liên hệ: Rainbownqd@gmail.com Như giới thiệu trên, việc chiếm quyền điều khiển SSL theo cách khơng thể phát từ phía trình chủ máy chủ tưởng truyền thơng bình thường với máy khách Nó khơng có ý tưởng truyền thông với client proxy May mắn thay, có vài thứ thực từ bối cảnh trình khách để phát ngăn chặn kiểu công Sử dụng kết nối an toàn HTTPS – Khi bạn thực cơng mơ tả đây, lấy khía cạnh an tồn kết nối, thứ xác định trình duyệt Điều có nghĩa bạn đăng nhập vào tài khoản ngân hàng trực tuyến thấy kết nối HTTP chuẩn chắn có thứ sai Bất trình duyệt mà bạn chọn sử dụng cần bảo đảm bạn biết cách phân biệt kết nối an toàn với kết nối khơng an tồn Lưu tài khoản ngân hàng trực tuyến nhà – Cơ hội cho chặn lưu lượng bạn mạng gia đình nhiều so với mạng nơi làm việc bạn Điều máy tính gia đình bạn an tồn (mà thật có lẽ an tồn hơn), thật có hai máy tính nhà bạn phải quan tâm đến việc chiếm quyền điều khiển Một mục tiêu lớn cho công chiếm quyền điều khiển ngân hàng trực tuyến, nhiên thủ phạm áp dụng cho thứ Bảo mật máy tính bên mạng – Các công giống thường thực thi bên mạng Nếu thiết bị mạng bạn an toàn nguy bị thỏa hiệp host để sau sử dụng để khởi chạy cơng chiếm quyền điều khiển session giảm THE END 16 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Rainbownqd@gmail.com Giao thức SSL dựa hai nhóm giao thức giao thức “bắt tay” (handshake protocol) giao thức “bản ghi” (record protocol) Giao thức bắt tay xác định tham số giao dịch hai đối tượng... triển giao thức SSL: *Lịch sử đời SSL SSL phát triển Netscape Communication Corporation giới thiệu SSL giao thức tương ứng với phiên Netscape Navigator, Trái với Kết quả, SSL trở thành giao thức. .. cáo phần Thành viên Viết báo cáo phần slide Tìm hiểu SSL Phần  Tổng quan giao thức SSL Phần  Cấu trúc cách làm việc SSL Phần  Tấn công cách phòng chống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com