Ket-noi.com diễn đàn công nghệ, giáo dục TRƯỜNG ĐẠI HỌC KHOA HỌC KỸ THUẬT TPHCM  BÁO CÁO ĐỀ TÀI KERBEROS 2 LỚP 10LDTHM1 GIÁO VIÊN: VĂN THIÊN HOÀNG THỰC HIỆN: TRẦN DƯƠNG KHÁNH HUY & NGUYỄN HOÀNG DANH 3 LỜI CẢM ƠN Qua tháng học môn Bảo Mật Thông Tin, Chúng em cảm ơn Thầy Văn Thiên Hoàng cho chúng em hiểu cách bảo vệ, mà nhà khoa học cơng nghệ phát minh thuật tốn mã hóa hữu ích, Các phương pháp áp dụng hệ điều hành phần mềm mà chúng em sử dụng Từ tảng mà thầy xây dựng Nay chúng em xin viết báo cáo đề tài Kerberos mà chúng em tìm hiểu Tức nhiên, có sai xót Xin q thầy đặc biệt thầy Văn Thiên Hoàng, giúp chúng em hoàn thiện tốt Xin Chân Thành Cảm Ơn !!! 4 NỘI DUNG TRÌNH BÀY CHƯƠNG I: GIỚI THIỆU VỀ KEREROS 1.1 LỊCH SỬ PHÁT TRIỄN KERBEROS 1.2 ỨNG DỤNG KERBEROS TRONG MÔI TRƯỜNG CÔNG NGHỆ SHAREPOINT 1.3 CÁC PHẦN MỀM ỨNG DỤNG 17 CHƯƠNG II: NGUYÊN TẮC HOẠT ĐỘNG KERBEROS .18 2.1 MƠ HÌNH VÀ GIẢI THÍCH HOẠT ĐỘNG TÓM TẮT KERBEROS .18 2.2 NGUYÊN TẮC HOẠT ĐỘNG CỦA KERBEROS 19 CHƯƠNG III: KẾT QUẢ THỰC NGHIỆM KERBEROS .25 3.1HÌNH CHỤP DEMO QUÁ TRÌNH CÀI ĐẶT 25 3.2GIẢI THÍCH GĨI TIN LẤY ĐƯỢC TỪ WIRESHARK 34 5 CHƯƠNG I: GIỚI THIỆU VỀ KEREROS Kerberos giao thức mật mã dùng để xác thực mạng máy tính theo mơ hình client -server hoạt động đường truyền không an tồn Giao thức Kerberos có khả chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu Giao thức xây dựng mật mã khóa đối xứng (vừa mã hóa vừa giải mã) cần đến bên thứ mà phía tham gia giao dịch tin tưởng Được phát triển dự án Athena học viện công nghệ MIT 1.1 LỊCH SỬ PHÁT TRIỄN KERBOS Học viện công nghệ Massachusetts(Massachusetts Institute of Technology viết tắt MIT) học viện nghiên cứu giáo dục thành phố Cambridge , Massachusetts Hoa Kỳ MIT trở thành tiếng khoa học công nghệ lĩnh vực khác có quản lý, kinh tế, ngơn ngữ, khoa học trị triết họctrong lĩnh vực tiềm trường đào tạo Lincoln Laboratory phịng trí tụy nhân tạo khoa học vi tính, phịng thực hành truyền thơng MIT, học viện Whitehead trường quản lý Sloan MIT Học viện kỹ thuật Massachusetts(MIT) phát triển Kerberos để bảo vệ dịch vụ mạng cung cấp dự án tên giao thức đặt tên chó đầu Cerberus canh gác cổng địa ngục thần thọai hy lạp giao thức phát triển nhiều phiên phiên phiên từ đến dùng nội MIT Các tác giả phiên Steve Miller Clifford Neuman, xuất giao thức công chúng vào cuối thập niên 1980, mục đích họ phục vụ cho dự án Athena phiên John Kohl Clifford Neuman thiết kế xuất tài liệu RFC 1510 vào năm 1993 (được thay RFC 4120 vào năm 2005) với mục đích sữa lỗi phiên MIT cung cấp phiên thực Kerberos miễn phí giấy phép tương tự dùng cho sản phẩm BDS 6 Chính phủ Hoa Kỳ cấm xuất Kerberos sử dụng thuật tóan DES(56 bit) nhiên trước sách xuất Hoa Kỳ thay đổi (năm 2000) có phiên KTH-KRB viết Thụy Điển thực Kerberos phân phối rộng rãi bên ngòai Hoa Kỳ, phiên dựa phiên khác có tên eBones, eBones dựa phiên xuất MIT thực Kerberos (patch-level 9) gọi Bones(lọai bỏ hàm mật mã lạnh gọi chúng) Eric Young lập trình viên người Australia phục hồi lại lệnh gọ hàm sử dụng hàm mật mã thư viện anh ta, phiên khác thực Kerberos Heimdal thực nhóm xuất KTH-KRB Các hệ điều hành Windows 2000, Windows XP Windows Server 2003 sử dụng phiên thực Kerberos làm phương pháp mặc định để chứng thực bổ sung Microsoft giao thức đề cập tài liệu RFC 3244 (Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols) hệ điều hành Mac OSX sử dụng Kerberos phiên máy khách máy chủ Năm 2005 nhóm làm việc IETF Kerberos cập nhật đặc điểm kỹ thuật địa cập nhật gần bao gồm:  RFC 3961 quy định mật mã hóa kiểm tra tổng  RFC 3962 mật mã hóa AES cho Kerberos  RFC 4120 phiên tiêu chuẩn Kerberos V5(The Kerberos Network Authentication Service (V5) phiên thay phiên RFC 1510 làm rõ vấn đề giao thức cách sử dụng  RFC 4121 phiên tiêu chuẩn GSS-API (Cơ cấu GSS-API Kerberos Version 5: Version 2) DES( Data Encryption Standard) phương pháp mật mã hóa FIPS( tiêu chuẩn xử lý thơng tin liên bang hoa kỳ) chọn làm chuẩn thức vào năm 1976 sau chuẩn sử dụng rộng rãi phạm vi giới, thuật tóan 7 gây nhiều tranh cãi bao gồm thành phần thiết kế mật độ dài khóa tương đối ngắn nghi ngờ quan an ninh quốc gia Hoa Kỳ(NSA) bẻ khóa, DES nhà nghiên cứu kỹ lưỡng thúc đẩy hiểu biết đại mật mã khối phương pháp mã tương ứng DES xem khơng đủ an tịan cho nhiều ứng dụng, nguyên nhân chủ yếu độ dài 56bit khóa q nhỏ 8 1.2 ỨNG DỤNG KERBEROSMƠI TRƯỜNG CÔNG NGHỆ SHAREPOINT Microsoft Windows Sharepoint Services (WSS) 3.0 Microsoft Office Sharepoint Server (MOSS) 2007 thiết kế để tập trung thông tin giúp thành viên nhóm cộng tác với cách hiệu Người dùng truy cập vào tất thông tin nằm tài khoản cá nhân riêng lẻ cho phép từ website Sharepoint Trong này, giới thiệu cho bạn số vấn đề để sử dụng Kerberos mơi trường Sharepoint Bạn tìm thấy nhiều hướng dẫn cấu hình cho kịch khác số mẹo chúng tơi hy vọng viết cung cấp cho bạn nhìn tổng quan mơi trường riêng Việc sử dụng Kerberos Sharepoint? Kerberos giao thức an toàn cho phép thẩm định theo thẻ yêu cầu máy khách đến Trung tâm phân phối khóa - Key Distribution Center (KDC) có chứng người dùng hợp lệ tên dịch vụ - Service Principal Name (SPN) hợp lệ Kerberos kiểu thẩm định ưa thích Sharepoint tốc độ, an tồn giảm số lượng lỗi với username password so với NTLM Nếu website Sharepoint sử dụng liệu bên (nằm máy chủ khác với thân máy chủ Sharepoint bạn) cho sở liệu SQL thơng qua webpart máy chủ cần có Kerberos để ủy nhiệm chứng máy khách Vậy xảy máy khách máy chủ bạn truy cập website có cho phép Kerberos? Chúng tơi tạo tóm tắt mang tính tổng quan để thể xảy đằng sau kịch Kịch thể hình tạo từ Windows Sharepoint Services 3.0 9 Hình 1: Kerberos luồng Sharepoint Máy khách truy cập http://intranet.domain.local chứng nặc danh WSS Server trả lỗi IIS error 401.2 trả WWWAuthenticate header Máy khách yêu cầu thẻ cho SPN tạo trình duyệt Internet nội bộ: HTTP/intranet.domain.local 10 10 KDC trả thẻ SPN phát Điều mã hóa khóa chủ tài khoản đăng ký cho SPN (domain\spcontentpool) Máy khách thẩm định với thẻ cho ứng dụng web Tài khoản Web App giải mã thẻ hợp lệ hóa Tài khoản Web App yêu cầu thẻ cho SPN tạo SQL Client: MSSqlSvc/sql1.domain.local:1433 KDC trả thẻ SPN tìm thấy Điều mã hóa khóa chủ tài khoản đăng ký cho SPN (domain\sqlsvsacct) Dịch vụ ứng dụng web thẩm định với sở liệu QLS thẻ tài khoản ứng dụng web đóng vai người dùng quyền ủy nhiệm 10 Tài khoản dịch vụ SQL giải mã thẻ hợp lệ 11 SQL Server trả liệu yêu cầu cho WSS Server 12 WSS Server trả webpage Nếu Kerberos khơng cấu hình để truyền thông SQL, bạn nhảy từ bước đến bước 12 Nhớ việc cho phép thẻ xảy lần đăng nhập timeout Cấu hình Kerberos cho Sharepoint Đầu tiên chúng tơi khuyên bạn tạo cài đặt thử nghiệm trước cấu hh nh lại môi trường sản xuất Biết vấn đề khó cho bạn có máy chủ ảo, bạn hồn tồn xây dựng máy chủ test cách nhanh chóng dễ dàng Điều cho phép bạn so sánh cấu hình cuối có vấn đề khơng làm việc mong đợi 23 23 Giai đoạn 1: Người sử dụng Client nhập Username Password để tiến hành đăng nhập Phần mềm máy Client mã hóa Password với hàm băm chiều, kết mã hóa làm khóa bí mật người sử dụng client Phần mềm máy khách client gửi gói tin khơng mã hóa (username, địa mạng người sử dụng) đến máy chủ AS (máy chủ chứng thực) để yêu cầu chứng thực Lưu ý: khóa bí mật người sử dụng client lẫn Password không gửi tới AS AS kiểm tra xem username client có nằm sở liệu database khơng, có gửi gói tin sau tới người sử dụng:  Gói tin A: gồm (Thời gian, thời hạn, yều cầu cần client “Khóa phiên TGS/Client”) mật mã hóa với khóa bí mật người sử dụng có người sử dụng mở gói tin A  Gói tin B: “Vé chấp thuận” (bao gồm username, địa mạng người sử dụng, thời gian, thời hạn vé “Khóa phiên TGS/Client”) mật mã hóa với khóa bí mật TGS 24 24 HÌNH MƠ TẢ GIAI ĐOẠN 25 25 Giai đoạn 2: Khi nhận gói tin A B, phần mềm máy khách Client giải mã gói tin A (với khóa bí mật người sử dụng Clientvà có khóa phiên TGS/Client khóa vào cổng TGS, bao gồm thời gian, thời hạn, yêu cầu cần Clientở bên gói tin A Chứng minh AS thật khơng giả mạo  Khi có khóa vào cổng dịch vụ TGS, người sử dụng gửi gói tin sau tới TGS:  Gói tin C: Bao gồm “Vé chấp thuận” từ gói tin B, gói tin client khơng mở dùng khóa riêng TGS, nhằm để chứng minh client có AS cấp cho  Gói tin D: Phần nhận thực (bao gồm username thời điểm yêu cầu), mật mã hóa với “Khóa phiên TGS/Client ” lấy từ bước trước  Khi nhận gói tin C D, TGS giải mã C với khóa bí mật TGS giải mã D với khóa phiên TGS/Client  TGS so sánh username từ gói tin C gói tin D giải mã, so sánh thời điểm yêu cầu thời hạn sử dụng vé, thỏa mãn gửi gói tin sau tới người sử dụng:  Gói tin E: “Vé vào dich vụ máy chủ SS hình Aplication Server” (bao gồm username, địa mạng người sử dụng, thời hạn sử dụng “Khóa phiên Server/Client“) mật mã hóa với khóa bí mật máy chủ cung cấp dịch vụ SS Chỉ có SS mở , client khơng mở  Gói tin F: gồm “Khóa phiên Server/Client” mật mã hóa với “Khóa phiên TGS/Client ”, Client mở lấy Khóa phiên Server/Client để vào cổng Máy Chủ Dịch vụ SS 26 26 HÌNH MƠ TẢ GIAI ĐOẠN 27 27 Giai đoạn 3: Khi nhận gói tin E F, người sử dụng có đủ thông tin để nhận thực vào cổng với máy chủ cung cấp dịch vụ SS  Phần mềm máy khách giải mã gói tin F để lấy khóa phiên Server/Client Khóa vào cổng máy chủ cung cấp dịch vụ SS  Người sử dụng tạo gói tin G: bên gồm: danh người sử dụng, thời điểm yêu cầu dịch vụ, mã hóa với khóa phiên Server/Clientđã lấy  Gửi tới máy chủ cung cấp dịch vụ SSgói tin G gói tin E mà client khơng mở mã hóa với khóa bí mật riêng SS, thu từ bước trước để chứng minh người sử dụng có chứng thực với SS HÌNH MƠ TẢ GIAI ĐOẠN 28 28 CHƯƠNG III: KẾT QUẢ THỰC NGHIỆM KERBEROS Do Kerberos giao thức Chứng Thực mặc định hệ điều hành Windows 2000, Windows Xp, Windows Server 2003, Windows Server 2008 , Nên Chúng em áp dụng việc chứng thực cách: Máy Server: Chúng em nâng cấp lên Domain Controller với Windows Server 2003 Máy Client: Chúng em join vào Domain đăng nhập với Windows Xp 3.1 QUÁ TRÌNH CÀI ĐẶT THỰC NGHIỆM KERBEROS Máy Server: Click phải My Network Places -> Properties -> Click phải Card Cross chọn Properties ->chọn Internet Protocol TCP/IP -> Properties cấu hình IP: 172.16.1.1 Subnet Mask: 255.255.255.0 Gateway để trống DNS: 172.16.1.1 -> OK -> OK 29 29 Start -> Run -> gõ dcpromo -> OK Hộp thoại Welcome to…> Click Next 30 30 Hộp thoại Operating System…> Next Hộp thoại Domain Controller Type -> chọn Domain Controller for a new domain -> Next 31 31 Hộp thoại Create New Domain -> chọn Domain in a new forest -> Next Hộp thoại New Domain Name -> nhập hutech.com-> Next Hộp thoại NetBIOS Domain Name -> Next 32 32 Hộp thoại Database and … -> Next Hộp thoại Shared Volume -> Next Hộp thoại DNS Registration Diagnostics -> Next 33 33 Hộp thoại Permission -> chọn Permission compatible only with -> Next Hộp thoại Directory Services…-> Next Hộp thoại Summary -> Next 34 34 Hệ thống tiến hành q trình nâng cấp Domain Controller Nâng cấp hồn tất -> Finish chọn Restart để khởi động lại Server Máy Client: Click phải My Computer -> chọn Properties -> Tab Computer Name -> Change 35 35 Hộp thọai Computer Name Change -> chọn Domain nhập Hutech.com -> OK 36 36 Join hoàn thành System Setting Changer >Yes Client đăng nhập Chọn Domain tên HUTECH log on to Nhập user name password hình 37 37 Chọn Ok Sẽ đăng nhập vào Domain 3.2 GIẢI THÍCH GĨI TIN LẤY ĐƯỢC TỪ WIRESHARK Hình chụp lọc gói tin Kerberos: Hình Flows Graph: