- Trong hộp thoại Select Server Roles, chọn Active Directory Certificate Services, nhấn Next- Trong hộp thoại Introduction to Active Directory Certificate Services, nhấn Next - Trong hộp
Trang 1Đề Tài: Tìm Hiểu Giao Thức SSTP
MÔN: CHUYÊN ĐỀ 1
Giảng Viên Hướng Dẫn: Nguyễn Đức Quang
Sinh Viên thực hiện:
TP Hồ Chí Minh, Năm 2014
Trang 2Mục Lục
SSTP 2
1 Định Nghĩa 2
1.2 TCP/UDP 2
1.3 Port - Layer 2
2 Công Dụng 2
2.1 Môi Trường Hoạt Động 2
2.2 Mô Hình Hoạt Động 3
3 Cách thức hoạt động 3
3.1 Quá trình xử lý: 3
3.2 Cấu trúc gói tin: 3
Lab SSTP 4
I/ Giới thiệu: 4
II/ Chuẩn bị: 5
III/ Thực hiện: 7
1 Cài đặt Standalone Root CA: 8
2 Xin certificate cho VPN Server: 11
3 Export và Import Certificate: 14
4 Cài đặt dịch vụ RPAS: 22
5 Thực hiện kết nối VPN: 28
6 Kiểm tra kết nối VPN: 42
IV/ Gói tin bắt được và phân tích: 45
Trang 3pháp xác thực mạnh, chẳng hạn như EAP-TLS SSL cung cấp an ninh giao thông cấp với tăng cường các chính đàm phán, mã hóa, và toàn vẹn kiểm tra
2.1 Môi Trường Hoạt Động
Secure Socket Tunneling Protocol đã được giới thiệu bởi Microsoft trong Windows Vista SP1, và mặc dù nó là bây giờ có sẵn cho Linux , RouterOS và
SEIL, nó vẫn chủ yếu là một nền tảng Windows SSTP sử dụng SSL v3, và do đó
có lợi thế tương tự như OpenVPN (chẳng hạn như khả năng sử dụng cho cổng TCP
443 để tránh các vấn đề tường lửa NAT), và bởi vì nó được tích hợp vào Windows
có thể được dễ dàng hơn để sử dụng và ổn định hơn
Ưu Điểm:
Rất an toàn (phụ thuộc vào cypher, nhưng AES thường rất mạnh)
Hoàn toàn tích hợp vào Windows (Windows Vista SP1, Windows 7, Windows 8)
Trang 4 Hỗ trợ của Microsoft
Có thể bỏ qua hầu hết các tường lửa
Nhược điểm:
Chỉ có thực sự làm việc chỉ trong một môi trường Windows
Tiêu chuẩn độc quyền thuộc sở hữu của Microsoft vì vậy không thể được kiểm toán độc lập cho cửa trở lại và như vậy
2 VPN-Server gửi gói tin SSL Server-Hello kèm theo Certificate( gồm Public
Key của VPN-Server) cho VPN-Client
3 VPN-Client kiểm tra tính hợp lệ của Certificate, nếu Certificate là hợp lệ,
VPN-Client sẽ phát sinh một SSL sesion Key ngẫu nhiên, và mã hóa SSL sesion Key này bằng Public Key của VPN-Server
4 VPN-Client gửi SSL sesion Key đã được mã hóa tới VPN Server
5 VPN-Server giải mã SSL sesion Key đã được mã hóa bằng Private Key
6 VPN-Client thương lượng ( negotiates) kết nối PPP( Point-to-Point- Protocol)
với VPN-Server Quá trình thương lượng bao gồm việc chứng thực User, phương pháp chứng thực
7 VPN-Client và VPN-Server bắt đầu gửi gói tin cho nhau
3.2 Cấu trúc gói tin:
Cấu trúc của IPv4 hay IPv6 gói tin được gửi qua một kết nối VPN SSTP dựa trên
Các cấu trúc tiêu đề sau đây là chung cho tất cả các loại của các gói SSTP:
Trang 532+
Dữ liệu
hoặc một gói dữ liệu SSTP Bit này được thiết lập nếu các gói tin SSTP là một gói điều khiển
và một phần dài
thông điệp kiểm soát SSTP Nếu không, các trường dữ liệu sẽ chứa một giao thức
Lab SSTP
I/ Giới thiệu:
Bài lab bao gồm các bước:
1 Cài đặt Standalone Root CA
2 Xin certificate
Trang 63 Export và Import Certificate
Máy SSTP_SERVER: Windows Server 2008
Máy VPN_SERVER: Windows Server 2008 lên Domain
Máy VPN_CLIENT: Windows Server 2008 ( Không join Domain)
Trang 7DG: 192.168.1.2
- Máy VPN_SERVER : tạo User Account = User1/PW= Abc@123 _ Allow Access (Dial In)
Trang 8- Ở SSTP_SERVER: Tạo folder DATA_test, share với quyền Change và Read
III/ Thực hiện:
Trang 9- Trong phần Customize This Server, chọn Add Roles
- Hộp thoại Before You Begin, nhấn Next
Trang 10- Trong hộp thoại Select Server Roles, chọn Active Directory Certificate Services, nhấn Next
- Trong hộp thoại Introduction to Active Directory Certificate Services, nhấn Next
- Trong hộp thoại Add role services and features, nhấn chọn Add Required Role
Services
- Trong hộp thoại Role Services, nhấn chọn Certification Authority và Certification
Authority Web Enrollment
- Trong hộp thoại Specify Setup Type, chọn Standalone
Trang 11- Trong hộp thoại Specify CA Type, chọn Root CA
- Trong hộp thoại Setup Private key, chọn Create a new private key
- Trong khung Configure Cryptography, bạn giữ nguyên cấu hình mặc định, nhấnNext
- Trong hộp thoại Configure CA Name, nhấn Next
- Trong hộp thoại Set Validity Period, nhấn Next
- Trong hộp thoại Configure Certificate Database, nhấn Next
- Trong hộp thoại Web Server (IIS), nhấn Next
- Nhấn Install để bắt đầu quá trình cài đặt
Trang 122 Xin certificate cho VPN Server:
- Vào Control Panel, mở Internet Option, chọn tab Security, chọn Local Intranet và chọn mức độ Low
- Mở Internet Explorer, gõ vào địa chỉ: http://localhost/certsrv
Trang 13- Chọn Request a certificate
- Chọn advanced certificate request
- Chọn Create and submit a request to this CA
- Điền các thông tin đầy đủ :
- Trong hộp thoại Web Access Confirmation, nhấn Yes
Trang 14- Tiếp theo bạn vào Start->Programs >Administrative Tools, chọn Certification
Authority
- Trong hộp thoại certsrv, bung dấu cộng của tên máy, chọn Pending Requests Khung bên phải chuột phải vào CA vừa tạo, nhấn chọn All Tasks > Issue
- Mở Internet Explorer, truy cập lại vào trang: http://localhost/certsrv, chọn View the
status of a pending certificate request
- Chọn Server Authentication Certificate
- Chọn Install this certificate
Trang 153 Export và Import Certificate:
- Vào Start\Run, gõ mmc Vào menu File >chọn Add/Remove Snap In…
- Chọn Certificate, nhấn Add
Trang 16- Chọn My User Account
- Tiếp theo bạn chọn lại Certificate, nhấn Add thêm lần nữa
- Lần này bạn chọn Computer Account
- Trong khung Select Computer, nhấn chọn Local Computer, nhấn Finish
Trang 17- Chuột phải vào CA, chọn All Tasks >Export…
Trang 18- Trong hộp thoại Welcome, nhấn Next
- Trong hộp thoại Export Private Key, chọn Yes, export the private key, nhấn Next
- Đánh dấu chọn vào Personal Information Exchange – PKCS #12 (.PFX), nhấnNext
- Nhập vào Password, nhấn Next
Trang 19- Lưu lại với tên : VpnCert
- Nhấn chọn Finish
- Sau khi export xong, ta Import file “VpnCert” vừa Export phần: Certificates(Local
Computer) -> Chuột phải vào Personal, chọn All Task >Import.
Trang 20- Hộp thoại Welcome, nhấn Next
- Browse đến file VPNCert.pfx
Trang 21- Nhập vào password
- Giữ nguyên cấu hình mặc định, nhấn Next
Trang 22- Nhấn Finish để hoàn tất
Trang 23- Trong phần Customize This Server, chọn Add Roles
- Hộp thoại Before You Begin, nhấn Next
- Trong khung Select Server Roles, đánh dấu chọn vào Network Policy and Access
Services, nhấn Next
- Trong hộp thoại Role Services, đánh dấu chọn Routing and Remote Access Services, nhấn Next
Trang 24- Trong hộp thoại Confirmation, nhấn chọn Install
- Sau khi cài đặt xong, bạn vào Start >Programs >Adminsitrative Tools, chọn
Routing and Remote Access
- Chuột phải vào tên PC, chọn Configure and Enable Routing and Remote Access
- Trong hộp thoại Welcome, nhấn Next
Trang 25- Trong hộp thoại Configuration, chọn Remote Access (dial-up or VPN), nhấnNext
- Trong khung Remote Access, đánh dấu chọn vào VPN, nhấn Next
Trang 26- Trong hộp thoại VPN Connection, chọn card LAN, nhấn Next
- Trong hộp thoại IP Address Assignment, chọn From a specified range of addresses, nhấn Next
Trang 27- Điền vào dãy số IP cấp phát cho VPN Clients
Trang 28- Trong hộp thoại Managing Multiple Remote Access Servers, chọn No, use Routing
and Remote Access to authenticate connection requests
Trang 295 Thực hiện kết nối VPN:
* Máy Client:
- Vào Windows Explorer, mở C:\Windows\System32\drivers\etc
- Chuột phải vào file hosts, chọn Open
- Sau đó, bạn thêm vào tên và địa chỉ IP của máy VPN Server và Save lại
- Mở Internet Explorer, gõ vào địa chỉ: http://192.168.1.2/certsrv, nhớ phải Add vào trusted site
Trang 30- Lúc này bạn chọn Download a CA certificate, certificate chain or CRL
- Chọn Download CA Certificate và Download latest base CRL:
- Trong hộp thoại File Download, nhấn Save 2 file với tên: “certnew.cer” và
“certcrl.crl”
Trang 31- Vào Start\Run, gõ MMC
- Vào menu File >Add/Remove Snap In…
- Chọn Certificate, nhấn Add
Trang 32- Chọn My user account
- Tiếp tục chọn Certificates, nhấn Add
Trang 33- Trong hộp thoại Select Computer, chọn Local computer, nhấn Finish
- Đảm bảo lúc này bạn phải có 2 certificate
Trang 34- Trong màn hình console, bung dấu cộng Certiticates - Current User, chuột phải
Trusted Root Certification Authorities-> All Tasks-> Import
- Hộp thoại Welcome, nhấn Next
- Browse đến file “ certnew.cer “.
Trang 35- Giữ nguyên cấu hình mặc định, nhấn Next
Trang 36- Nhấn Finish để hoàn tất
- Trong màn hình console, bung dấu cộng Certiticates - Current User, chuột phải
Intermediate Certification Authorities-> All Tasks-> Import
Trang 37- Browse đến file “ certcrl.crl “.
- Giữ nguyên cấu hình mặc định, nhấn Next
Trang 38- Nhấn Finish để hoàn tất
Trang 39- Trong hộp thoại Network and Sharing Center, nhìn xuống dưới, chọn Set up a new
connection or network
Trang 40- Chọn Connect to a workplace, nhấn I’ll set up an Internet connection later
- Trong hộp thoại Connect to a workplace, ghi IP mạng WAN của VPN_SERVER, sau đó nhấn Next
Trang 41- Chuột phải vào biểu tượng kết nối VPN Connection, chọn Connect
Trang 42- Ở khung Type of VPN, chọn Secure Socket Tunneling Protocol (SSTP), nhấn OK
- Ở khung General, gõ tên máy của VPN_Server
Trang 436 Kiểm tra kết nối VPN:
- Chuột phải vào biểu tượng kết nối VPN Connection, chọn Connect
Trang 44- Nhập vào tên user và password, nhấn Connect
- Quá trình kết nối được diễn ra thành công:
- Thử truy cập vào máy SSTP_SERVER:
- Thấy được dữ liệu Data_Test
Trang 46IV/ Gói tin bắt được và phân tích:
1 VPN-Client kết nối tới VPN-Server bằng port 443
2 VPN-Server gửi gói tin SSL Server-Hello kèm theo Certificate( gồm Public Key của VPN-Server)
cho VPN-Client
KEY:
Trang 473 VPN-Client kiểm tra tính hợp lệ của Certificate, nếu Certificate là hợp lệ, VPN-Client sẽ phát sinh
một SSL sesion Key ngẫu nhiên, và mã hóa SSL sesion Key này bằng Public Key của VPN-Server
4 VPN-Client gửi SSL sesion Key đã được mã hóa tới VPN Server
5 VPN-Server giải mã SSL sesion Key đã được mã hóa bằng Private Key
Trang 486 VPN-Client thương lượng ( negotiates) kết nối PPP( Point-to-Point- Protocol) với VPN-Server
Quá trình thương lượng bao gồm việc chứng thực User, phương pháp chứng thực
7 VPN-Client và VPN-Server bắt đầu gửi gói tin cho nhau