Chuyên đề SCNA Xây Dựng Mạng Tin Cậy Building Trusted Networks Mẫn Thắng | manvanthang@gmail.com http://manthang.wordpress.com HCM, 05/2012 Trong chuyên đề này, chúng ta sẽ được ôn lại và vận dụng kiến thức của nhiều chuyên đề trước của khóa học SCNA trong việc xây dựng và triển khai một mạng tin cậy. Ta cũng đi qua các bước cài đặt và cấu hình hai mạng nhỏ Windows và Linux có sử dụng chứng chỉ số để đảm bảo an toàn cho các phiên truyền thông như duyệt web, gửi email. Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 1 Mục lục Danh sách hình _______________________________________________________________________ 2 Danh sách bảng_______________________________________________________________________ 3 Lời nói đầu____________________________________________________________________________ 4 1. Giới thiệu về mạng tin cậy ______________________________________________________ 5 1.1 Sự cần thiết của mạng tin cậy ________________________________________________ 5 1.2 Các yêu cầu và thành phần của mạng tin cậy _________________________________ 7 2. Cơ bản về hạ tầng khóa công khai _____________________________________________ 10 1.3 Các thành phần của PKI _____________________________________________________ 10 1.4 Các kiến trúc triển khai PKI __________________________________________________ 11 3. Xây dựng và triển khai một mạng tin cậy _____________________________________ 14 1.5 Mô hình và yêu cầu chuẩn bị ________________________________________________ 14 1.6 Các bước thực hiện _________________________________________________________ 16 1.6.1 Xây dựng Windows Domain ______________________________________________ 16 Bước 1-1: Tạo domain đầu tiên trong một forest mới_____________________________________ 16 Bước 1-2: Cấu hình DNS __________________________________________________________________ 17 Bước 1-3: Cài đặt Enterprise Root CA _____________________________________________________ 18 1.6.2 Cấu hình Enterprise CA ___________________________________________________ 19 Bước 2-1: Cấu hình Enterprise Root CA ___________________________________________________ 19 Bước 2-2: Cấu hình Certificate Template _________________________________________________ 20 Bước 2-3: Chỉnh sửa Default GPO ________________________________________________________ 21 Bước 2-4: Tạo các user trong domain _____________________________________________________ 23 Bước 2-5: Cấu hình đăng nhập với smartcard ____________________________________________ 24 Bước 2-6: Tham gia Domain ______________________________________________________________ 25 Bước 2-7: Cài đặt Enterprise Subordinate CA _____________________________________________ 25 Bước 2-8: Cấu hình Enterprise Subordinate CA ___________________________________________ 26 Bước 2-9: Cài đặt RA ______________________________________________________________________ 28 Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 2 Bước 9-10: Cài đặt IIS và tạo một website ________________________________________________ 29 Bước 2-11: Cấu hình SSL cho website _____________________________________________________ 30 1.6.3 Thiết lập Linux CA ________________________________________________________ 34 Bước 3-1: Cài đặt EJBCA __________________________________________________________________ 34 Bước 3-2: Tạo và cấp chứng chỉ cho máy trạm Linux _____________________________________ 38 1.6.4 Tạo Cross Trust ___________________________________________________________ 40 Bước 4-1: Trusting Linux Root CA _________________________________________________________ 40 Bước 4-2: Trusting Windows Root CA _____________________________________________________ 42 Bước 4-3: Kiểm tra trust___________________________________________________________________ 44 1.6.5 Bảo mật email ____________________________________________________________ 44 Bước 5-1: Cài đặt và cấu hình mail server Mdeamon _____________________________________ 44 Bước 5-2: Cấu hình các email client ______________________________________________________ 45 4. Tổng kết ________________________________________________________________________ 45 5. Tài liệu tham khảo _____________________________________________________________ 45 DANH SÁCH HÌNH Hình 1 – Các lớp phòng thủ ngoại vi của mạng 5 Hình 2 – Mô hình mạng Extranet điển hình 6 Hình 3 – Kiến trúc Single CA 11 Hình 4 – Kiến trúc Hierarchical PKI 12 Hình 5 – Kiến trúc Mesh PKI 13 Hình 6 – Mô hình triển khai mạng tin cậy 15 Hình 7 – Tạo domain đầu tiên trong một forest mới 17 Hình 8 – Tạo các A record 17 Hình 9 – Cài đặt Enterprise Root CA 18 Hình 10 – Thêm mới các Certificate Template 19 Hình 11 – Thiết lập CRL publication interval 20 Hình 12 – Cấu hình Certificate Template 21 Hình 13 – Chỉnh default GPO để máy tính trong domain tự động xin và nhận chứng chỉ 22 Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 3 Hình 14 – Chỉnh default GPO để tự động khóa máy tính khi người dùng rút smartcard 22 Hình 15 – Tạo các domain user 23 Hình 16 – Thiết lập khi người dùng đăng nhập phải có smartcard 24 Hình 17 – Thực hiện join các máy vào domain 25 Hình 18 – Cài đặt Enterprise Subordinate CA 26 Hình 19 – Cấu hình Enterprise Subordinate CA 27 Hình 20 – Cài đặt RA 28 Hình 21 – Tạo một website 30 Hình 22 – Tạo một file yêu cầu cấp chứng chỉ cho website 31 Hình 23 – Gửi yêu cầu cấp và tải về chứng chỉ cho website 32 Hình 24 – Cài đặt chứng chỉ SSL cho website 32 Hình 25 – Bắt buộc người dùng truy cập webiste qua SSL 33 Hình 26 – Kiểm tra việc truy cập website qua SSL 34 Hình 27 – Cài đặt EJBCA 36 Hình 28 – Import client certificate vào trình duyệt web 37 Hình 29 – Trang chủ quản lý EJBCA sau khi cài đặt xong 37 Hình 30 – Tạo end entity trong EJBCA 38 Hình 31 – Tải về chứng chỉ cho máy trạm Linux 39 Hình 32 – Import chứng chỉ của máy trạm Linux vào trình duyệt web 40 Hình 33 – Tải về máy Windows chứng chỉ của Linux Root CA 41 Hình 34 – Import chứng chỉ của Linux Root CA trong Default GPO 41 Hình 35 – Kiểm tra các máy Windows trong domain đã tin cậy chứng chỉ của Linux Root CA 42 Hình 36 – Export chứng chỉ của Windows Root CA 43 Hình 37 – Import chứng chỉ của Windows Root CA 43 DANH SÁCH BẢNG Bảng 1 – Yêu cầu chuẩn bị triển khai 15 Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 4 LỜI NÓI ĐẦU Đây là chuyên đề cuối cùng trong loạt chuyên đề của giáo trình SCNA, nó là sự tổng hợp các kiến thức đã được giới thiệu trong các nhóm trước. Nội dung của chuyên đề này chủ yếu đi thẳng vào việc xây dựng và triển khai một môi trường tin cậy giữa hai mạng nhỏ là Windows và Linux. Nhưng trước tiên ta cần tìm hiểu lại các khía cạnh của mạng tin cậy bao gồm: nó là gì? nó có cần thiết không? Các thành phần của nó? Sau đó kiến thức cơ bản về hạ tầng khóa công khai (PKI) là hệ thống cung cấp các dịch vụ cho mạng tin cậy cũng sẽ được đề cập. Phần cuối cùng sẽ trình bày các bước cài đặt và cấu hình một mạng tin cậy dựa trên một mô hình với các yêu cầu cụ thể. CẢM ƠN Cố gắng và thành quả này xin dành tới người thân thương nhất, Yel PA. Cuppy Security, manthang Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 5 1. GIỚI THIỆU VỀ MẠNG TIN CẬY 1.1 Sự cần thiết của mạng tin cậy Nhiều năm trước đây và cả bây giờ, vẫn còn nhiều người có khái niệm chưa đầy đủ và chuẩn xác về an toàn mạng. Họ cho là chỉ cần mua về một sản phẩn firewall nào đó, thay đổi một vài cấu hình cho nó và coi như mạng của họ đã trở nên an toàn. Nếu tổ chức của họ quan tâm nhiều hơn đến bảo mật mạng, một hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) cùng với hệ thống anti-virus sẽ được triển khai thêm. Các thành phần đó (IDS/IPS, firewall, antivirus) cùng nhau tạo nên một hệ thống bảo vệ vững chắc cho ngoại vi của mạng. Mặc dù vậy chúng vẫn là chưa đủ để đáp ứng các yêu cầu kết nối an toàn cho một thế giới mạng phức tạp như ngày nay. Hình 1 – Các lớp phòng thủ ngoại vi của mạng An toàn mạng ngày nay có thể được định nghĩa như là việc đảm bảo an toàn (bao gồm sự bí mật, tính toàn vẹn và độ sẵn sàng) cho các phiên truyền thông trên mạng và bảo vệ ngoại vi của mạng. Khi mà các mạng bên ngoài thường không đáng tin cậy thì các công cụ và kỹ thuật trên vẫn rất quan trọng nhưng chúng chỉ có thể giúp kiểm soát, sàng lọc các lưu lượng mạng vào và ra mạng nội bộ của tổ chức. Dưới đây, chúng ta sẽ xem xét những thách thức và mục tiêu mà thực tế một doanh nghiệp ngày nay thường gặp phải để từ đó thấy được việc phòng thủ ngoại vi cho mạng thôi là chưa đủ. Doanh nghiệp có nhiều khách hàng ở các châu lục, đất nước, vùng miền khác nhau. Mỗi khách hàng cần có khả năng trao đổi thông tin với doanh nghiệp một cách nhanh nhất có thể. Một cách để đạt được điều này là cung cấp cho họ một kết nối trực tiếp vào Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 6 mạng doanh nghiệp. Điều này có nghĩa rằng các khách hàng cũng như các nhà cung cấp, đối tác cần truy cập tới các thông tin không chỉ ở dạng công khai, như website, mà còn là các thông tin ở dạng bí mật của doanh nghiệp. Những thông tin bí mật này được lưu trữ bên trong hệ thống mạng của doanh nghiệp thay vì nằm trên các máy chủ công cộng như webserver. Hình 2 – Mô hình mạng Extranet điển hình Đến đây ta cần đặt ra các câu hỏi: những người dùng bên ngoài tổ chức đó cụ thể là những ai và làm sao để tin cậy được các kênh truyền thông của họ? Các kênh truyền thông tin cậy, an toàn luôn là một yêu cầu cần thiết. Vì vậy mà cần có cơ chế để đảm bảo không ai có thể đọc trộm được những thông tin bí mật trên kênh truyền. Và cũng cần có biện pháp để chắc rằng không ai có thể giả dạng là một người dùng có quyền truy cập hợp pháp vào mạng của tổ chức. Giải quyết được các câu hỏi trên chính là ta đã hình thành được cái gọi là mạng tin cậy rồi. Tóm lại, mạng tin cậy cần đạt được các mục tiêu sau:  Có khả năng thiết lập được các kênh truyền thông an toàn giữa 2 điểm đầu cuối bất kỳ, như giữa các nhân viên, khách hàng và đối tác.  Có khả năng nhận dạng được bất kỳ yêu cầu kết nối, truy cập nào là hợp lệ hay không hợp lệ.  Có khả năng xác thực người dùng, thiết bị. Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 7 1.2 Các yêu cầu và thành phần của mạng tin cậy Khi thực hiện chuyển dịch từ một mạng hướng phòng thủ sang mạng tin cậy thì cần đáp ứng một vài dịch vụ/yêu cầu bảo mật thiết yếu sau:  Nhận dạng  Xác thực  Cấp phép  Bảo mật  Toàn vẹn  Không thể chối từ Nếu không có khả năng đảm bảo tất cả các dịch vụ trên vận hành chính xác trong mạng thì không thể thiết lập được một mạng tin cậy một cách đầy đủ. Còn trong các mạng hướng phòng thủ thì chú trọng tới các dịch vụ sau mà thôi: bí mật, toàn vẹn và xác thực. Dưới đây sẽ bàn thêm về 6 dịch vụ trên. Nhận dạng (Identification) là bước đầu tiên trong quá trình xác thực, một đối tượng sẽ cung cấp một vài dữ liệu dùng để nhận dạng nó (như tên người dùng, mật khẩu, mã PIN, vân tay,…) cho dịch vụ xác thực. Xác thực (Authentication) là quá trình xác định xem ai hoặc thứ gì đó có thực sự là người (hoặc là thứ) mà nó tuyên bố hay không. Hay nói cách khác, đây là việc xác minh nhận dạng của một người, một thiết bị, một chương trình… nào đó. Cấp phép (Authorization) là quá trình xác định xem đối tượng (đã được xác thực) được phép làm những gì. Bước này thường xảy ra sau bước xác thực ở trên. Bảo mật (Confidentiality) là việc đảm bảo tính bí mật, chỉ để những người được cấp phép mới có thể đọc được thông tin mang tính riêng tư. Toàn vẹn (Integrity) là việc đảm bảo tính chính xác và tin cậy của thông tin, và bất kỳ sự thay đổi trái phép nào tới thông tin sẽ được phát hiện và ngăn chặn. Chống chối từ (Non-repudiation) là việc đảm bảo rằng đối tượng đã gửi đi thông điệp không thể phủ nhận việc gửi đó và ngược lại, đối tượng đã nhận được thông điệp cũng không thể phủ nhận là chưa biết đến thông điệp đó. Để triển khai những dịch vụ trên thì cần tới các công nghệ cốt lõi sau: Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 8  Mật mã  Chứng thực mạnh  Chữ ký số  Chứng chỉ số Các công nghệ này gắn kết với nhau để cùng xây dựng nên một mạng tin cậy. Mật mã Đây là thành phần có vai trò rất quan trọng, là trái tim của bất cứ mạng tin cậy nào. Nó giúp đảm bảo bảo mật và toàn vẹn cho các thông điệp, cũng như nhận dạng và xác thực các đối tượng tham gia vào phiên truyền thông. Về cơ bản, mật mã được phân làm 2 loại chính: mã hóa đối xứng và mã hóa bất đối xứng. Loại mã hóa đối xứng thường được gọi là mật mã khóa bí mật và cả hai bên đều sử dụng cùng một khóa để mã hóa và giải mã thông tin. Các thuật toán mã hóa đối xứng phổ biến như 3DES, AES, RC5. Còn loại mã hóa bất đối xứng còn được gọi là mật mã khóa công khai và cần sử dụng một cặp khóa để mã hóa và giải mã. Nếu mã hóa bằng khóa thứ nhất (gọi là khóa công khai) thì chỉ có thể giải mã bằng khóa thứ hai (gọi là khóa bí mật) và ngược lại. DSA, RSA, Diffie-Hellman là ví dụ về các thuật toán mã hóa bất đối xứng nổi tiếng. Ngoài ra trong mật mã còn có kỹ thuật băm một chiều (one-way hash) là một hàm nhận vào một thông điệp có chiều dài bất kỳ và tạo ra một chuỗi có chiều dài cố định được gọi là giá trị băm. Ví dụ, giá trị mà giải thuật băm MD5 tạo ra luôn là 128-bit, với SHA-1 là 160-bit. Hàm băm một chiều làm việc mà không cần sử dụng bất kỳ khóa nào và đặc biệt, từ kết quả băm cuối cùng thì rất khó (thường không thể) lần ngược lại thông điệp gốc ban đầu. Nó thường được dùng để kiểm tra tính toàn vẹn của thông điệp, tập tin. Chứng thực mạnh Để thỏa mãn yêu cầu này, hệ thống chứng thực cần phải sử dụng ít nhất 2 trong 3 yếu tố sau: Thứ mà bạn biết (something you know): mật khẩu hoặc mã PIN là ví dụ điển hình cho phương thức chứng thực phổ biến nhất này. Cách này thì rẻ tiền, dễ triển khai nhưng có nhược điểm là nếu ai đó biết được bí mật này thì họ có thể đạt được quyền truy cập vào hệ thống. Mẫn Thắng | manvanthang@gmail.com Building Trusted Networks 9 Thứ mà bạn có (something you have): ví dụ cho phương thức chứng thực này là thẻ ATM, thẻ thông minh, thẻ truy cập, phù hiệu v.v… Hạn chế của cách này là những vật đó có thể bị mất hoặc đánh cắp và bị ai đó lạm dụng để truy cập trái phép vào hệ thống. Đặc điểm duy nhất trên cơ thể bạn (something you are): là cách nhận diện dựa trên thuộc tính vật lý duy nhất của một người như võng mạc mắt, dấu vân tay. Phương pháp chứng thực này hiệu quả vì khó giả mạo hay sao chép nhưng lại mắc tiền để triển khai. Các phương pháp chứng thực 2 yếu tố (two-factor authentication) trong thực tế thường thấy như sự kết hợp giữa mật khẩu với thẻ truy cập hoặc thẻ thông minh với sinh trắc học mang lại sự tin cậy, an toàn hơn chỉ là sử dụng tên người dùng và mật khẩu để đăng nhập vào hệ thống. Các kỹ thuật trong mật mã cũng được ứng dụng rộng rãi vào các phương thức xác thực như Kerberos, RADIUS, CHAP, NTLM, v.v… Chữ ký số Được tạo ra sử dụng kết hợp giữa hàm băm và mật mã khóa công khai để đảm bảo tính toàn vẹn, giúp xác thực nguồn gốc của thông điệp và đồng thời bên gửi không thể chối từ việc đã tạo ra thông điệp đó. Nó là một giá trị băm của thông điệp được mã hóa bằng khóa bí mật của bên gửi rồi được đính kèm với thông điệp gốc. Bên nhận sẽ dùng khóa công khai của bên gửi để giải mã phần chữ ký ra được giá trị băm của thông điệp rồi đối chiếu với giá trị mà nó thu được từ việc thực hiện lại hàm băm trên thông điệp gốc. Nếu hai giá trị đó giống nhau thì bên nhận có thể tin cậy được rằng thông điệp không bị thay đổi và nó chỉ được gửi từ bên sở hữu khóa công khai ở trên. Chứng chỉ số Là một tập tin giúp chắc chắn rằng khóa công khai thuộc về một thực thể nào đó như người dùng, tổ chức, máy tính và điều này được xác minh bởi một bên thứ ba đáng tin cậy thường gọi là CA (Certificate Authorities). Chứng chỉ số chứa các thông tin nhận dạng về thực thể như tên, địa chỉ, khóa công khai (cùng nhiều thông tin khác) và được ký số bởi khóa bí mật của CA. Cuối cùng, tất cả 6 dịch vụ và 4 công nghệ nói trên được cung cấp và triển khai bởi một hạ tầng khóa công khai (Public Key Infrastructure - PKI) làm nền tảng cho các mạng tin cậy mà chúng ta sẽ cùng tìm hiểu trong phần 2 của chuyên đề này. . Chuyên đề SCNA Xây Dựng Mạng Tin Cậy Building Trusted Networks Mẫn Thắng | manvanthang@gmail.com http://manthang.wordpress.com HCM, 05/2012 Trong chuyên đề này,. vận dụng kiến thức của nhiều chuyên đề trước của khóa học SCNA trong việc xây dựng và triển khai một mạng tin cậy. Ta cũng đi qua các bước cài đặt và cấu hình hai mạng nhỏ Windows và Linux có. chuyên đề cuối cùng trong loạt chuyên đề của giáo trình SCNA, nó là sự tổng hợp các kiến thức đã được giới thiệu trong các nhóm trước. Nội dung của chuyên đề này chủ yếu đi thẳng vào việc xây