Đang tải... (xem toàn văn)
Đề tài bảo mật thông tin EXTENSIBLE AUTHENTICATION PROTOCOL TRANSPORT LAYER SECURITY(EAP TLS)
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP HCM ĐỀ TÀI BẢO MẬT THÔNG TIN EXTENSIBLE AUTHENTICATION PROTOCOL TRANSPORT LAYER SECURITY (EAP-TLS) Khoa: Chuyên ngành: Công Nghệ Thông Tin Mạng Máy Tính Giảng viên hướng dẫn: Nhóm Sinh viên thực hiện: Mã Chí Trung Mssv: 1191020168 Phạm Minh Trung Mssv: 1191020164 Phạm Gia Đông Mssv: 1191020017 Trịnh Hưng Hưng Mssv: 1191020039 Võ Thanh Tâm Mssv: 1191020120 Trịnh Đăng Tuấn Mssv: 1191020175 Th.S Văn Thiên Hoàng Lớp: 11HTHM1 Lớp: 11HTHM1 Lớp: 11HTHM1 Lớp: 11HTHM1 Lớp: 11HTHM1 Lớp: 11HTHM1 TP Hồ Chí Minh, 2012 CHƯƠNG I: GIỚI THIỆU TỔNG QUAN EAP-TLS 1.1 EAP-TLS ? EAP-TLS chữ viết tắt Extensible Authentication Protocol – Transport Layer Security (giao thức thẩm định quyền truy cập mở rộng – bảo mật lớp truyền dẫn) Kết nối dựa giao thức đòi hỏi có chứng nhận người sử dụng (user certificate) máy khách máy chủ IAS Đây chế có mức độ an toàn cấp độ người sử dụng, cho phép phương pháp xác thực tùy ý sử dụng để truyền thông tin ủy nhiệm trao đổi thông tin có chiều dài tùy ý EAP phần mở rộng cho Point-to-point (PPP) giao thức tổ chức IETF định nghĩa RFC 2284 Các đặc tính EAP-TLS bao gồm: • Xác thực lẫn (giữa máy chủ khách hàng) • Trao đổi khoá (để thiết lập WEP động khoá TKIP) • Phân mảnh nối lại (với tin EAP dài cần có phần kích thước kiểm tra cần) • Kết nối nhanh (thông qua TLS) 1.1.1 Nhu cầu sử dụng EAP tạo nhằm phản hồi lại yêu cầu phương pháp xác thực mạnh mẽ hơn, phương pháp lưu dự phòng thiết bị bảo mật bổ sung, chẳng hạn chứng nhận smart card tổ hợp tên người dùng password chuẩn Hiện EAP phương pháp theo tiêu chuẩn công nghiệp để sử dụng với phương pháp xác thực bổ sung với PPP EAP-TLS sử dụng khoá kiểm tra công khai TLS EAP để cung cấp việc xác thực lẫn máy chủ khách hàng Với EAP-TLS, máy chủ khách hàng phải đăng ký chữ ký dạng số thông qua quyền chứng thực (CA) để kiểm tra EAP cung cấp bảo mật mạnh mẽ cách yêu cầu máy chủ lẫn máy khách xác nhận chứng thực PKI.Các gói tin EAP tương tác với máy khách lẫn máy chủ mã hóa bảo vệ kết nối mạng TLS Nhược điểm với giao thức sử dụng cài đặt chứng thực hai bên 1.1.2 Giải pháp công nghệ liên quan Ngày mạng 802.11 xác thực theo chuẩn 802.1x Chuẩn xác định giao thức xác thực mở rộng (EAP) trực tiếp qua lớp kết nối EAP giao thức truyền thông sử dụng thông qua loại chế xác thực khác Các phương pháp EAP phát triển cho mạng không dây dựa việc kiểm tra thông qua khoá công cộng giao thức bảo mật lớp truyền dẫn (TLS) Các giao thức EAP-TLS, EAP-TTLS PEAP EAP-TTLS : Giao thức chứng thực đường hầm (EAP-TTLS) cung cấp loạt thuộc tính cho tin RADIUS EAP - dùng tầng vận chuyển, EAP-TTLS cung cấp chức phương thức PEAP Tuy nhiên mật RADIUS CHAP mã hoá, TTLS bảo vệ tính chất kế thừa RADIUS Khi máy chủ TTLS gửi tin RADIUS tới máy chủ đích, giải mã thuộc tính bảo vệ EAP-TTLS chèn chúng trực tiếp vào tin chuyển Bởi phương thức giống PEAP, nên sử dụng Hình 1- Giao diện TTLS PEAP : Giống chuẩn TTLS, PEAP tạo khả xác thực cho mạng LAN không dây mà không yêu cầu xác thực Protected EAP ( PEAP ) thêm lớp TLS lên EAP giống EAP-TTLS, sau sử dụng kết phiên TLS phương tiện vận chuyển để bảo vệ phương thức EAP PEAP sử dụng TLS để xác thực từ máy chủ tới máy trạm chiều ngược lại Theo phương thức máy chủ yêu cầu khoá xác thực khách hàng không Máy chủ máy trạm trao đổi chuỗi thông tin mã hoá TLS, tin TLS xác thực mã hoá sử dụng khoá thông qua hai bên PEAP cung cấp dịch vụ cho phương thức EAP sau: • Bản tin xác nhận (Những kẻ công khó khăn việc chèn vào tin EAP) • Mã hoá tin (Những kẻ công đọc giải mã tin EAP) • Xác thực từ máy chủ đến khách hàng (vì phương thức cần bảo vệ xác thực từ khách hàng tới máy chủ) • Trao đổi khoá (để thiết lập cho WEP động khoá TKIP) • Phân mảnh ghép lại (cần thiết tin EAP dài) • Thiết lập kết nối nhanh ( thông qua phiên TLS ) 1.1.3 Môi trường áp dụng EAP-TLS thường sử dụng mô trường doanh nghiệp lớn, nhiên sử dụng tổ chức nhỏ 802.1x chuẩn đặc tả cho việc truy cập dựa cổng (port-based) định nghĩa IEEE Hoạt động môi trường có dây truyền thống không dây Việc điều khiển truy cập thực cách: người dùng cố gắng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn ( blocking ) chờ cho việc kiểm tra định danh người dùng hoàn tất Mô hình xác thực 802.1X-EAP cho Client diễn sau: Hình 2- Quá trình trao đổi thông tin xác thực 802.1x 1.1.4 Phân loại EAP Packet Type Description 1–6 Assigned by RFC Identity Notification Nak (response only) MD5-Challenge One-Time Password (OTP) Generic Token Card (GTC) Not assigned Not assigned RSA Public Key Authentication 10 DSS Unilateral 11 KEA 12 KEA-VALIDATE 13 EAP-TLS 14 Defender Token (AXENT) 15 RSA Security SecurID EAP 16 Arcot Systems EAP 17 EAP-Cisco Wireless (LEAP) 18 Nokia IP SmartCard authentication 19 SRP-SHA1 Part 20 SRP-SHA1 Part 21 EAP-TTLS 22 Remote Access Service 23 UMTS Authentication and Key Agreement 24 EAP-3Com Wireless 25 PEAP 26 MS-EAP-Authentication 27 Mutual Authentication w/Key Exchange (MAKE) 28 CRYPTOCard 29 EAP-MSCHAP-V2 30 DynamID 31 Rob EAP 32 SecurID EAP 33 EAP-TLV 34 SentriNET 35 EAP-Actiontec Wireless 36 Cogent Systems Biometrics Authentication EAP 37 AirFortress EAP 38 EAP-HTTP Digest 39 SecureSuite EAP 40 DeviceConnect EAP 41 EAP-SPEKE 42 EAP-MOBAC 43 EAP-FAST 44-191 Not assigned; can be assigned by IANA on the advice of a designated expert 192–253 Reserved; requires standards action 254 Expanded types 255 Experimental usage 1.2 Mô hình kiến trúc triển khai ứng dụng 802.1x EAP-TLS sử dụng mô trường an toàn cao Sự trao đổi message EAP-TLS cung cấp xác nhận lẫn nhau, bắt tay giao thức mã hóa trao đổi khóa bảo vệ client không dây mạng EAP-TLS kỹ 10 Chọn Smart Card or other certificarteOK Chọn Smart Card or other certificateEdit 73 Kiểm tra thấy IAS.hutech.com Chọn Smart Card or orther certificate Move up 74 Mở Control PanelWindows Firewall, tab General chọn On Tab Exception chọn Add Port.Name : Radius Accouting / port: 1812 /UDP 75 Name : Radius Authentication / Port : 1812 /UDP Kiểm tra 76 Tab Advanced, chọn Settings mục Security Logging Check vào Log dropped packets Log successful connections 77 IIS Server : -Cài Internet Information Service -Tạo trang web default có nội dung “ Welcome to hutech.com” -Kiểm tra truy cập thành công Tạo folder DATA share Everyone quyền full control 78 Vào Control PanelWindows Firewall chọn On, tab Exception check vào File and Printer Sharing.Sau chọn Add port khai báo hình 79 Tab Advanced chọn Settings mục Security Logging 80 Check vào Log dropped packets Log successful connectionsOK Access Point : Khai báo thông số 81 Client : Vào địa http://192.168.1.100 /certsrv để tiến hành xin certificate Chọn Request a certificate 82 Chọn advanced certificate request Chọn Create and summit a request to this CA 83 Certificate Template chọn Wireless User Certificate Template CSP: Microsoft Enchanced Crytographic Provider v1.0 84 Install certificate thành công Cấp Certificate thành công cho user Trung 85 86 Client cấp IP thành công với thông số hình 2.3.Kết giao thức : 87 [...]... Protocol (RFC 4346) 20 TLS Protocol được chia làm hai lớp.Lớp đầu tiên là Handshake Protocol Layer bao gồm ba giao thức con: Handshake Protocol, Change Cipher Spec Protocol và Alert Protocol. Lớp thứ hai là Record Protocol Layer Record Layer Protocol: giao thức ở lớp này nhận và mã hoá dữ liệu từ lớp ứng dụng (application layer) và cung cấp cho lớp vận chuyển (Transport layer ).Record Protocol lấy dữ liệu,... kiểm tra phiên tiếp tục -Trao đổi các thông số mật mã cần thiết để cho phép client và server thoả thuận premaster secret key -Các chứng chỉ trao đổi ( exchange certificates ) và thông tin mật mã cho phép client và server tự chứng thực -Tạo ra một master secret key từ premaster secret key và trao đổi các giá trị ngẫu nhiên -Cung cấp các thông số bảo mật cho record layer -Cho phép client và server xác... ( handshake ) sau khi các thông số bảo mật đạt được thoả thuận nhưng trước khi thông điệp xác nhận kết thúc ( verifying finished message ) được gửi Change Cipher Spec Protocol 2.1.3.2 Alert Protocol Một trong các kiểu nội dung được hỗ trợ bởi phân lớp TLS Record là kiểu báo động ( Alert Type ) Alert message truyền đạt mức độ nghiêm trọng của tin nhắn và sự mô tả về cảnh báo Tin nhắn cảnh báo với kết... chọn sử dụng để truyền tải thông tin được hiển thị từ nhà chứng thực đến với client.Client nên hiển thị thông tin đến với người sử dụng hoặc đăng nhập vào nếu không thể hiển thị được Notification được thiết kế để cung cấp thông báo chấp nhận của 1 số tính chất bắt buộc.Chẳng hạn như 1 mật khẩu sắp hết hạn thì số thứ tự của mật khẩu đó gần bằng 0 Hầu hết trong các trường hợp, thông báo trên không được... như các tin nhắn khác, tin nhắn cảnh báo được mã hoá và nén như được chỉ định trước bởi trạng thái kết nối hiện hành Alert Level Types Alert Description types 2.1.3.3 Handshake Protocol TLS handshake protocol là một trong những máy trạm được định nghĩa ở mức độ cao hơn ( defined higher-level clients ) của TLS Record Protocol 23 Giao thức này được sử dụng để thương lượng các thuộc tính bảo mật của một... 4- 802.1x EAP-TLS trong Controller Mode CHƯƠNG II: GIAO THỨC EXTENSIBLE AUTHENTICATION PROTOCOL – TRANSPORT LAYER SECURITY 2.1 Giao thức EAP-TLS: 2.1.1 Sơ đồ hoạt động của EAP-TLS (RFC 5216) 12 Được mô tả trong RFC 5216, cuộc đối thoại sẽ được bắt đầu với bên gửi và bên nhận tiến hành thương lượng các gói tin EAP.Bên server sẽ gửi một gói tin EAP-Request cho client yêu cầu xác định danh tính ( Indentify... Request là một thông báo yêu cầu client nên bắt đầu quá trình “trao đổi thông tin ” một lần nữa bằng cách gửi cho client một Hello Message khi thuận tiện Thông báo này sẽ được client bỏ qua nếu client đang thực hiện một tác vụ khác.Hello Message cũng có thể được client bỏ qua nếu nó không muốn thực hiện tác vụ này, hoặc là client sẽ trả lại một thông báo không chấp nhận tin nhắn Khi gói tin trao đổi... Protocol lấy dữ liệu, phân mảnh nó cho phù hợp với kích thước của thuật toán mã hoá, áp dụng MAC (Message Authentication code ) hoặc HMAC ( Hash-based Message Authentication Code ) và sau đó mã hoá hoặc giải mã dữ liệu bằng cách sử dụng thông tin đã thoả thuận trước trong Handshake Protocol Handshake Protocol chịu trách nhiệm cho việc thương lượng phiên giao dịch bao gồm các hạng mục sau đây : Session... cả client và server để thông báo cho bên nhận rằng các bản ghi ( record ) tiếp theo sẽ được bảo vệ bằng CipherSpec mới nhất và các khoá.Việc tiếp nhận thông điệp (message) này được thực hiện đối với bên nhận để chỉ cho Record Layer sao chép trạng thái chờ đọc vào trạng thái đọc hiện hành ngay lập tức Sau khi gửi thông điệp này đi, người gửi (sender) phải hướng dẫn cho Record Layer biết để chuyển sang... Finished; 24 } body; } Handshake; Chi tiết các gói tin trong Handshake Protocol: Hello Message: được sử dụng để trao đổi, tăng cường tính bảo mật giữa máy trạm và máy chủ Khi một phiên mới bắt đầu, trạng thái kết nối của Record Layer sẽ mã hoá, băm và các thuật toán nén được khởi tạo giá trị Null.Trạng thái kết nối hiện tại được sử dụng cho những thông điệp thương lượng lại (renegotiation messages) ... gói tin Response 2.1.3 TLS Protocol (RFC 4346) 20 TLS Protocol chia làm hai lớp.Lớp Handshake Protocol Layer bao gồm ba giao thức con: Handshake Protocol, Change Cipher Spec Protocol Alert Protocol. Lớp... Protocol. Lớp thứ hai Record Protocol Layer Record Layer Protocol: giao thức lớp nhận mã hoá liệu từ lớp ứng dụng (application layer) cung cấp cho lớp vận chuyển (Transport layer ).Record Protocol lấy liệu,... EAP-TLS 1.1 EAP-TLS ? EAP-TLS chữ viết tắt Extensible Authentication Protocol – Transport Layer Security (giao thức thẩm định quyền truy cập mở rộng – bảo mật lớp truyền dẫn) Kết nối dựa giao thức