BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HỒ CHÍ MINH Ngành: CÔNG NGHỆ THÔNG TIN Chuyên Ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG Đề Tài: Tìm Hiểu Giao Thức SSTP MÔN: CHUYÊN ĐỀ Giảng Viên Hướng Dẫn: Nguyễn Đức Quang Sinh Viên thực hiện: Họ Tên Mssv Điện Thoại Email Võ Hoàng Việt 1151020184 01693298215 kemluv175@gmail.com TP Hồ Chí Minh, Năm 2014 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang Mục Lục SSTP Định Nghĩa 1.2 TCP/UDP 1.3 Port - Layer 2 Công Dụng 2.1 Môi Trường Hoạt Động 2.2 Mô Hình Hoạt Động 3 Cách thức hoạt động 3.1 Quá trình xử lý: 3.2 Cấu trúc gói tin: Lab SSTP I/ Giới thiệu: II/ Chuẩn bị: III/ Thực hiện: Cài đặt Standalone Root CA: Xin certificate cho VPN Server: 11 Export Import Certificate: 14 Cài đặt dịch vụ RPAS: 22 Thực kết nối VPN: 28 Kiểm tra kết nối VPN: 42 IV/ Gói tin bắt phân tích: 45 Giao Thức SSTP Gvhd: Nguyễn Đức Quang Sinh viên thực hiện: Võ Hoàng Việt SSTP Định Nghĩa Secure Socket Tunneling Protocol (SSTP) giao thức đường hầm sử dụng giao thức HTTPS cổng TCP 443 để vượt qua lưu lượng truy cập thông qua tường lửa proxy Web mà chặn lưu lượng truy cập PPTP L2TP / IPsec SSTP cung cấp chế để đóng gói PPP giao thông qua Secure Sockets Layer (SSL) kênh giao thức HTTPS Việc sử dụng PPP cho phép hỗ trợ cho phương pháp xác thực mạnh, chẳng hạn EAP-TLS SSL cung cấp an ninh giao thông cấp với tăng cường đàm phán, mã hóa, toàn vẹn kiểm tra 1.2 TCP/UDP SSTP qua hầu hết tường lửa máy chủ proxy cách sử dụng kênh SSL TCP 1.3 Port - Layer SSTP sử dụng port 443 SSTP thuộc Layer mô hình OSI Layer mô hình TCP/IP Vì sử dụng kênh TLS/SSL Công Dụng 2.1 Môi Trường Hoạt Động Secure Socket Tunneling Protocol giới thiệu Microsoft Windows Vista SP1, có sẵn cho Linux , RouterOS SEIL, chủ yếu tảng Windows SSTP sử dụng SSL v3, có lợi tương tự OpenVPN (chẳng hạn khả sử dụng cho cổng TCP 443 để tránh vấn đề tường lửa NAT), tích hợp vào Windows dễ dàng để sử dụng ổn định  Ưu Điểm:  Rất an toàn (phụ thuộc vào cypher, AES thường mạnh)  Hoàn toàn tích hợp vào Windows (Windows Vista SP1, Windows 7, Windows 8) Giao Thức SSTP Sinh viên thực hiện: Võ Hoàng Việt  Hỗ trợ Microsoft  Có thể bỏ qua hầu hết tường lửa Gvhd: Nguyễn Đức Quang  Nhược điểm:  Chỉ có thực làm việc môi trường Windows  Tiêu chuẩn độc quyền thuộc sở hữu Microsoft kiểm toán độc lập cho cửa trở lại 2.2 Mô Hình Hoạt Động Site – To – Gateway ( Client – Server ) Cách thức hoạt động 3.1 Quá trình xử lý: VPN-Client gửi gói tin SSL Client-Hello cho VPN-Server để yêu cầu tạo kết nối SSL với VPN-Server port 443 VPN-Server gửi gói tin SSL Server-Hello kèm theo Certificate( gồm Public Key VPN-Server) cho VPN-Client VPN-Client kiểm tra tính hợp lệ Certificate, Certificate hợp lệ, VPN-Client phát sinh SSL sesion Key ngẫu nhiên, mã hóa SSL sesion Key Public Key VPN-Server VPN-Client gửi SSL sesion Key mã hóa tới VPN Server VPN-Server giải mã SSL sesion Key mã hóa Private Key VPN-Client thương lượng ( negotiates) kết nối PPP( Point-to-Point- Protocol) với VPN-Server Quá trình thương lượng bao gồm việc chứng thực User, phương pháp chứng thực VPN-Client VPN-Server bắt đầu gửi gói tin cho 3.2 Cấu trúc gói tin: Cấu trúc IPv4 hay IPv6 gói tin gửi qua kết nối VPN SSTP dựa Các cấu trúc tiêu đề sau chung cho tất loại gói SSTP: Giao Thức SSTP Gvhd: Nguyễn Đức Quang Sinh viên thực hiện: Võ Hoàng Việt Header Bit bù đắp Bit 0-7 Version 32+ Dữ liệu     8-14 15 16-31 C Chiều dài Ltd Version (8 bit) - giao thương lượng phiên SSTP sử dụng Ltd (7 bit) - dành cho việc sử dụng tương lai C (1 bit) - bit điều khiển cho biết gói SSTP đại diện cho gói kiểm soát SSTP gói liệu SSTP Bit thiết lập gói tin SSTP gói điều khiển Length (16 bit) - lĩnh vực chiều dài gói, bao gồm hai giá trị: phần bảo lưu phần dài    Ltd (4 bit) - dành cho việc sử dụng tương lai Length (12 bit) - chứa chiều dài toàn gói SSTP, bao gồm tiêu đề SSTP Dữ liệu (biến) - điều khiển bit C thiết lập, lĩnh vực có chứa thông điệp kiểm soát SSTP Nếu không, trường liệu chứa giao thức cấp cao Tại thời điểm này, điều PPP Lab SSTP I/ Giới thiệu: Bài lab bao gồm bước: Cài đặt Standalone Root CA Xin certificate Giao Thức SSTP Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang Export Import Certificate Cài đặt dịch vụ RPAS Tạo kết nối VPN Kiểm tra kết nối II/ Chuẩn bị: Mô hình giả lập:  Máy SSTP_SERVER: Windows Server 2008  Máy VPN_SERVER: Windows Server 2008 lên Domain  Máy VPN_CLIENT: Windows Server 2008 ( Không join Domain) Giao Thức SSTP Gvhd: Nguyễn Đức Quang Sinh viên thực hiện: Võ Hoàng Việt  Cấu hình TCP/IP cho máy bảng sau: LAN WAN IP: 172.16.1.1 /24 Máy SSTP_SERVER DG: 172.16.1.2 Máy VPN_SERVER IP:172.16.1.2/24 IP:192.168.1.2 /24 IP:192.168.1.1 /24 Máy VPN_CLIENT DG: 192.168.1.2 - Máy VPN_SERVER : tạo User Account = User1/PW= Abc@123 Giao Thức SSTP _ Allow Access (Dial In) Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Ở SSTP_SERVER: Tạo folder DATA_test, share với quyền Change Read III/ Thực hiện: Giao Thức SSTP Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang * Máy VPN_SERVER: Cài đặt Standalone Root CA: - Vào Start\Run, gõ oobe.exe - Trong phần Customize This Server, chọn Add Roles - Hộp thoại Before You Begin, nhấn Next Giao Thức SSTP Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Trong hộp thoại Select Server Roles, chọn Active Directory Certificate Services, nhấn Next - Trong hộp thoại Introduction to Active Directory Certificate Services, nhấn Next - Trong hộp thoại Add role services and features, nhấn chọn Add Required Role Services - Trong hộp thoại Role Services, nhấn chọn Certification Authority Certification Authority Web Enrollment - Trong hộp thoại Specify Setup Type, chọn Standalone Giao Thức SSTP Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Giữ nguyên cấu hình mặc định, nhấn Next Giao Thức SSTP 34 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Nhấn Finish để hoàn tất - Trong hình console, bung dấu cộng Certiticates - Current User, chuột phải Intermediate Certification Authorities-> All Tasks-> Import Giao Thức SSTP 35 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Hộp thoại Welcome, nhấn Next - Browse đến file “ certcrl.crl “ - Giữ nguyên cấu hình mặc định, nhấn Next Giao Thức SSTP 36 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Nhấn Finish để hoàn tất Giao Thức SSTP 37 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang Tương tự ta Import file: “certnew.cer” “certcrl.crl” Certificaties – Current User vào Trust Root Certification Authorities, Itermediate Certification Authorities Certificaties( Local Computer) - Trở hình Desktop, chuột phải vào Network, chọn Properties - Trong hộp thoại Network and Sharing Center, nhìn xuống dưới, chọn Set up a new connection or network Giao Thức SSTP 38 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Chọn Connect to a workplace, nhấn I’ll set up an Internet connection later - Trong hộp thoại Connect to a workplace, ghi IP mạng WAN VPN_SERVER, sau nhấn Next Giao Thức SSTP 39 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Nhập vào tên user password, nhấn Connect - Chuột phải vào biểu tượng kết nối VPN Connection, chọn Connect Giao Thức SSTP 40 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Ở khung Type of VPN, chọn Secure Socket Tunneling Protocol (SSTP), nhấn OK - Ở khung General, gõ tên máy VPN_Server Giao Thức SSTP 41 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang Kiểm tra kết nối VPN: - Chuột phải vào biểu tượng kết nối VPN Connection, chọn Connect Giao Thức SSTP 42 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang - Nhập vào tên user password, nhấn Connect - Quá trình kết nối diễn thành công: - Thử truy cập vào máy SSTP_SERVER: - Thấy liệu Data_Test Giao Thức SSTP 43 Sinh viên thực hiện: Võ Hoàng Việt Giao Thức SSTP Gvhd: Nguyễn Đức Quang 44 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang IV/ Gói tin bắt phân tích: VPN-Client kết nối tới VPN-Server port 443 VPN-Server gửi gói tin SSL Server-Hello kèm theo Certificate( gồm Public Key VPN-Server) cho VPN-Client KEY: Giao Thức SSTP 45 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang VPN-Client kiểm tra tính hợp lệ Certificate, Certificate hợp lệ, VPN-Client phát sinh SSL sesion Key ngẫu nhiên, mã hóa SSL sesion Key Public Key VPN-Server VPN-Client gửi SSL sesion Key mã hóa tới VPN Server VPN-Server giải mã SSL sesion Key mã hóa Private Key Giao Thức SSTP 46 Sinh viên thực hiện: Võ Hoàng Việt Gvhd: Nguyễn Đức Quang VPN-Client thương lượng ( negotiates) kết nối PPP( Point-to-Point- Protocol) với VPN-Server Quá trình thương lượng bao gồm việc chứng thực User, phương pháp chứng thực VPN-Client VPN-Server bắt đầu gửi gói tin cho Giao Thức SSTP 47 Sinh viên thực hiện: Võ Hoàng Việt Giao Thức SSTP Gvhd: Nguyễn Đức Quang 48