LỜI NÓI ĐẦU Mạng Internet mang lại cho con người những lợi ích to lớn, nó giúp mọi người trên thế giới xích lại gần nhau hơn, chia sẻ thông tin và liên lạc với nhau một cách dễ dàng hơn. Lượng thông tin được chia sẻ và trao đổi ngày càng lớn, trong đó có rất nhiều thông tin nhạy cảm, quan trọng. Do đó môi trường kết nối Internet vô hình chung lại là một môi trường dễ dàng cho những kẻ xấu lợi dụng để tấn công khai thác những dữ liệu quan trọng hay thực hiện những mục đích phá hoại. Do vậy nhu cầu đặt ra là tìm ra những giải pháp bảo vệ thông tin nhạy cảm, quan trọng được truyền trong môi trường mạng. Để bảo vệ thông tin trên mạng, chúng ta có thể can thiệp mật mã vào một trong bốn tầng là tầng ứng dụng, tầng vận chuyển, tầng mạng, tầng truy cập mạng của bộ giao thức TCPIP – giao thức chính của Internet. Trong đó, giải pháp sử dụng bộ giao thức SSL để thiết lập các kênh truyền tin an toàn trên Internet là giải pháp được sử dụng rộng rãi và hiệu quả. Khi đó, dữ liệu trên kênh liên lạc sẽ được mã hóa và xác thực để đảm bảo sự an toàn. Chương I: Tổng quan về bộ giao thức SSLTLS: Chương này tập trung nghiên cứu những vấn đề cơ bản và tổng quan về bộ giao thức SSLTLS, mô tả cấu trúc và hoạt động của bộ giao thức SSLTLS. Chương II: Tấn công MIMT – SSLStrip: Chương này trình bày những vấn đề cơ bản về cài đặt và thực hiện tấn công SSLStrip. Mặc dù đã có nhiều cố gắng trong suốt quá trình nghiên cứu, song do thời gian và kiến thức có hạn nên trong đồ án này chúng em chưa đi sâu nghiên cứu đầy đủ tất cả cơ chế tấn công lên bộ giao thức SSLTLS cũng như không thể tránh khỏi những thiếu sót. Chúng em rất mong nhận được những ý kiến đóng góp và chỉ bảo của các thầy cô giáo và các bạn quan tâm đến đề tài này. Hà nội, ngày 17 tháng 03 năm 2015 Sinh viên thực hiện CHƯƠNG I: TỔNG QUAN VỀ BỘ GIAO THỨC SSLTLS 1.1. Giới thiệu về bộ giao thức SSLTLS 1.1.1. Giới thiệu tổng quan về bộ giao thức SSLTLS Năm 1994 công ty Netscape đã giới thiệu bộ giao thức SSL (Secure Socket Layer), bộ giao thức này được xem là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máy chủ Web server và trình duyệt Web browser. Bộ giao thức SSL sau đó được phát triển tiếp thành bộ giao thức TLS (Transport Layer Security), bộ giao thức này hoạt động dựa trên liên kết kết nối TCP. Bộ giao thức SSLTLS được lựa chọn làm tiêu chuẩn để bảo vệ tính bí mật, tính xác thực và tính toàn vẹn của kết nối trên mạng. Hình 1: Vị trí hoạt động của SSLTLS trên mô hình OSI và TCPIP Giao thức SSL chứa nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được an toàn. Việc mã hóa dữ liệu được thực hiện một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP. Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web sever có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền. Để bảo vệ những thông tin nhạy cảm trên mạng Internet hay bất kỳ mạng TCPIP nào, SSL đã kết hợp những yếu tố an toàn sau để thiết lập được một giao dịch an toàn: Xác thực ¬ Sử dụng chứng chỉ số: Đảm bảo tính xác thực của tình trạng làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng; Bí mật Sử dụng các phép mã hóa: Đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thông tin nhạy cảm khi nó được truyền qua Internet, dữ liệu phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và người nhận; Toàn vẹn dữ liệu Sử dụng mã xác thực thông báo: Đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thông tin gốc gửi đến; Tính không chối bỏ Sử dụng chứng chỉ số: Đảm bảo thông tin được gửi và nhận từ nguồn xác định; Bảo vệ chống tấn công phát lại – Sử dụng số thứ tự bí mật: Đảm bảo thông tin được truyền nhận thông suốt giữa hai bên liên lạc. Với việc sử dụng SSL, các Website có thể cung cấp khả năng bảo mật thông tin, xác thực và toàn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các web browser và web sever, cho phép người sử dụng làm việc với các trang web ở chế độ an toàn.