Ngày nay hầu hết các doanh nghiệp, dù lớn hay nhỏ, dù hoạt động trong lĩnh vực nào cũng hướng hoạt động kinh doanh của mình vào Internet. Và ngày càng nhiều doanh nghiệp kết nối hệ thống mạng LAN, WAN của họ vào cộng đồng Internet. Tuy nhiên Internet không phải là một thiên đường cho các hoạt động kinh doanh, bởi nó luôn chứa đựng những hiểm họa đe dọa ảnh hưởng đến việc triển khai các hoạt động của các doanh nghiệp. Các mối đe dọa đó có thể kể ra: Sự mạo danh để truy cập bất hợp pháp một nguồn thông tin bên trong doanh nghiệp. Sự tấn công của các hacker vào bên trong một doanh nghiệp với mục đích phá hoại hay cạnh tranh không lành mạnh. Bị “nghe trộm”: thông tin quan trọng trao đổi trên mạng có thể bị chặn và phân tích.
ĐỒ ÁN TỐT NGHIỆP Tên đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 - PKI GVHD: SVTH: ThS DƯƠNG TRỌNG KHANG CHÂU NGUYÊN HỮU TRỌNG CAO HOÀI BẢO LÊ NHÂN THIỆN NGÔ CHIÊU YAU Mã lớp: 24CCAN02 Khóa: 24 Hồ Chí Minh, Năm 2016 MSSV: 99510230083 MSSV: 99510230074 MSSV: 92510020006 MSSV: TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Lời nói đầu Chúng ta sống thời đại bùng nổ thông tin, chưa lịch sử nhân loại, người lại có hội tiếp xúc với nguồn thông tin phong phú có giá trị đến Cùng với tiến vượt bậc công nghệ truyền thông viễn thông, người ta phủ nhận Internet nguyên nhân đem lại bùng nổ Kể từ lúc Internet tách từ phòng nghiên cứu quốc phòng Mĩ cho mục đích sử dụng công cộng, có vài trường đại học, vài quan, tổ chức tham gia, có hàng triệu thuê bao cá nhân, hàng triệu quan, tổ chức kết nối mạng vào Internet số lượng kết nối tiếp tục tăng không ngừng theo thời gian Internet khía cạnh trở thành cộng đồng chung cho người sử dụng toàn giới Với Internet trao đổi thông tin, trao đổi liệu, tìm kiếm học tập Và ngày hôm việc mua sắm, đặt hàng, thông qua Internet trở thành quen thuộc với nhiều vùng giới Như vậy, cách rõ ràng Internet tác động lên nhiều mặt đời sống Sự tác động trở nên mạnh mẽ mà nhà doanh nghiệp nhận Internet mảnh đất màu mỡ cho hoạt động kinh doanh, hội để họ khuếch trương, mở rộng hoạt động kinh doanh giữ ưu cạnh tranh thương trường Các doanh nghiệp đầu tư vào Internet thương mại điện tử đời Cùng với đời thương mại điện tử, phủ điện tử xuất đáp ứng nhu cầu thông tin ngày lớn xã hội Với phủ điện tử, công dân thông qua Internet tiếp cận nguồn thông tin, dịch vụ hội kinh doanh phủ mang lại Ngày hầu hết doanh nghiệp, dù lớn hay nhỏ, dù hoạt động lĩnh vực hướng hoạt động kinh doanh vào Internet Và ngày nhiều doanh nghiệp kết nối hệ thống mạng LAN, WAN họ vào cộng đồng Internet Tuy nhiên Internet thiên đường cho hoạt động kinh doanh, chứa đựng hiểm họa đe dọa ảnh hưởng đến việc triển khai hoạt động doanh nghiệp Các mối đe dọa kể ra: Sự mạo danh để truy cập bất hợp pháp nguồn thông tin bên doanh nghiệp Sự công hacker vào bên doanh nghiệp với mục đích phá hoại hay cạnh tranh không lành mạnh Bị “nghe trộm”: thông tin quan trọng trao đổi mạng bị chặn phân tích Thêm vào việc đăng nhập hệ thống dựa mật mã truyền thống lỗi thời không đảm bảo tính an toàn Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Do trước đưa hoạt động kinh doanh lên Internet, vấn đề hàng đầu doanh nghiệp phải đặt đảm bảo an ninh cho hệ thống mạng đảm bảo an toàn cho giao dịch mà họ tham gia Điều thực cách áp dụng sách bảo mật hợp lý, sử dụng công nghệ phù hợp Xuất phát từ nhu cầu bảo mật doanh nghiệp trước tham gia hoạt động thương mại điện tử, đề tài “An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 - PKI” nhằm mục đích nghiên cứu áp dụng tảng khóa công khai-Public Key Infrastructure (PKI) xây dựng hệ điều hành Windows 2008 vào môi trường doanh nghiệp để đáp ứng nhu cầu bảo mật cho doanh nghiệp, giúp doanh nghiệp đáp ứng mục tiêu kinh doanh TRƯỜNG CAO ĐẲNG NGHỀ CNTT Ispace 137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Lời cảm ơn ̣ c tâ ̣ p và hoà n thà nh đồ án nà y, đã nhâ ̣ n đươ ̣ c sư ̣ Trong suốt quá trình ho ̉ a các thầy cô giáo môn, ban giám hiệu, gia đình bạn bè hướng dẫn, giúp đỡ quý báu cu ̣ ng và biêt́ ơn sâu sắc xin đươ ̣ c bà y to ̉ lới ca ̉ m ơn chân thà nh tới: Với lò ng ki ́nh tro ̣ u, Phò ng đà o ta ̣ o trường Cao Đẳng Nghề CNTT iSPACE đã ta ̣ o mo ̣ i điều kiê ̣ n Ban giám hiê ̣ n lơ ̣ i giúp đỡ quá trình ho ̣ c tâ ̣ p và hoà n thà nh đồ án thuâ ̣ y ba ̣ ng viên ̉ o, đô Thầy ThS Dương Trọng Khang, người thầy kính mến đã hêt́ lò ng giúp đỡ, da và ̣ o mo ̣ i điều kiê ̣ n thuâ ̣ n lơ ̣ i cho suốt quá trình ho ̣ c tâ ̣ p và hoà n thà nh luâ ̣ n ta ́ ̣ p văn tôt nghiê ́ ̣ i đồng châm Quý thầy cô giáo môn Khoa An Ninh Mạng với các thầy cô hô ̉ hoà n chỉnh đồ án nà y ̣ n văn đã cho những đóng góp quý báu đê luâ Mặc dù có nhiều cố gắng để hoàn thiện tất nhiệt tình lực mình, nhiên tránh khỏi thiếu sót, mong nhận đóng góp quí báu quí thầy cô bạn Một lần xin chân thành cảm ơn, chúc tất người sức khỏe thành đạt TRƯỜNG CAO ĐẲNG NGHỀ CNTT Ispace 137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 NHẬN XÉT CỦA DOANH NGHIỆP Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 NHẬN XÉT CỦA GIẢNG VIÊN Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 MỤC LỤC Chương I Giới thiệu………………………………………………………………………………… 1 Giới thiệu mã hóa 1.1 Giới thiệu mã hóa Hệ thống mã hóa thông tin 2.1 Mã hóa thông tin máy tính 2.2 Mã hóa thông tin đường truyền .1 Giới thiệu chứng số 3.1 Khái niệm chứng số 3.2 Ứng dụng chứng số 3.2.1 Mã hóa – bảo mật 3.2.2 Chống giả mạo 3.2.3 Xác thực 3.2.4 Chống chối cãi nguồn gốc 3.2.5 Chữ kí điện tử……………………………………………………………………………………………3 3.2.6 Bảo mật website……………………………………………………………………………………… 3.2.7 Đảm bảo phần mềm………………………………………………………………………………… Chương II Tổng quan hệ mật mã ……….4 Thuật toán khóa .4 1.1 Thuật toán (Algorithm) 1.2 Khóa (Key) .4 Các loại mã hóa .4 2.1 Mã hóa đối xứng (Symmetric encryption) 2.1.1 Khái niệm 2.1.2 Quy trình mã hóa đối xứng 2.1.3 Các thuật toán đối xứng (Symmetric Algorithms) Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 2.2 Mã hóa bất đối xứng (Asymmetric encryption) 2.2.1 Khái niệm 2.2.2 Quy trình mã hóa bất đối xứng 2.2.3 Các thuật toán bất đối xứng (Asymmetric Algorithms) .8 2.2.4 Ký số bất đối xứng (Asymmetric Signing) 2.3 Kết hợp mã hóa đối xứng bất đối xứng 2.4 Chữ ký số (Digital signature) 10 2.4.1 Khái niệm 10 2.4.2 Quy trình băm 11 2.4.3 Các thuật toán băm (Hash Algorithms) 11 2.4.4 Quy trình ký số 11 Chương III Hạ tầng khóa công khai PKI 13 Chứng số (Certificates) 13 1.1 Chứng số gì? 13 1.2 Các phiên chứng số 13 1.2.1 Chứng X.509 version 13 1.2.2 Chứng X.509 version 14 1.2.3 Chứng X.509 version 16 Giới thiệu PKI 19 2.1 PKI gì? 19 2.2 Các thành phần PKI 20 Các mô hình PKI 21 3.1 Single CA 21 3.2 Trust List 21 3.3 Hierarchical PKI 22 3.4 Mesh PKI 22 Nhà cung cấp chứng số (Certification Authorities) 23 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 4.1 Giới thiệu Certification Authority (CA) 23 4.2 Mô hình phân cấp CA 24 4.2.1 Root CA 24 4.2.2 Intermediate CA 25 4.2.3 Policy CA 25 4.2.4 Issuing CA 26 Thu hồi chứng số 26 5.1 Certificate Revocation 26 5.2 Certificate Revocation List (CRL) 27 5.3 Online Certificate Status Protocol (OCSP) 28 5.4 Kết luận 30 Chương IV: Triển khai hạ tầng khóa công khai PKI Windows server 2012 31 Triển khai hạ tầng mạng với CA đơn tầng 31 1.1 Xây dựng Domain Controller (DC) 31 1.2 Xây dựng CA server 49 Triển khai dịch vụ 67 2.1 Cấu hình dịch vụ MAIL áp dụng chữ ký số mã hóa nội dung 67 2.2 Cấu hình dịch vụ IPSEC 92 2.2.1 Giới thiệu IPSEC 92 2.2.2 Cấu hình dịch vụ 93 2.3 Cấu hình dịch vụ Web sử dụng SSL 116 2.3.1 Giới thiệu SSL 116 2.3.2 Cấu hình dịch vụ 116 2.4 Cấu hình dịch vụ VPN sử dụng giao thức SSTP 128 2.4.1 Giới thiệu SSTP 128 2.4.2 Cấu hình dịch vụ 128 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Chương V: Kết luận 154 V.1 Kết Quả… V.2 Hướng Phát Triển……………… Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Chọn IPv4 NAT Nhấp đúp vào card mạng (External) Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 141 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Chuyển sang tab Services and Ports Chọn Web Server (HTTP) Điền IP máy CA Server vào OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 142 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Chọn OK Ta chuyển qua máy DC để tạo user kết nối VPN Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 143 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Ta chuyển sang máy Client , chọn vào đường dẫn C:\Windows\System32\drivers\etc để mở file host , xuống dòng điền IP card mạng tên máy Sau điền xong ta SAVE lại Tạo kết nối Chọn Connect to a workplace Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 144 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Chọn Use my Internet connection (VPN) Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 145 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Ta chọn dòng Điền thông tin Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 146 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Điền User name, Password, Domain Create Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 147 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Tiến hành kết nối VPN Chọn Connect Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 148 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Bây ta tiến hành lên Web xin Certificate Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 149 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Download a CA… Download CA certificate Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 150 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Lưu Certificate xin Vào Start Run mmc chọn Computer account Vào mục Trusted Root… kiểm tra Import CA lúc ta xin vào sẻ hình Quay trở lại giao diện kết nối VPN Disconnect Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 151 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Sau Properties Chọn thẻ Security Type of VPN: Secure Socket Tunneling Protocol (SSTP) OK Chọn Connect Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 152 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Click phải chọn Status thẻ Details Thấy đường mạng ảo mà ta đặt lúc bên cấu hình thành công Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 153 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Chương V: Kết luận V.1 Kết : Đề tài “An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 PKI” đề tài khó mở rộng Trong thời gian nghiên cứu, tìm hiểu, xây dựng ứng dụng đồ án hoàn thành nhiệm vụ đặt Về lý thuyết: đồ án trình bày khái niệm, đặc điểm hệ thống PKI, CA Ứng dụng hạ tầng khóa công khai PKI thương mại điện tử Cấp phát khóa kiểm tra chữ ký số (RSA,DSA,…) ưu nhược điểm thuật toán, định nghĩa hàm băm (hàm băm, MD5,….) Cấp phát, xác thực thu hồi chứng số Về mô kết thử nghiệm: Đã hoàn thành việc mô hoạt động hệ thống khóa PKI Mặc dù cố gắn trình dộ chuyên môn thời gian thực đồ án hạn hẹp, mức độ phức tạp đề tài, nên kết đặt gặp phải số khiếm khuyết V.2 Hướng phát triển đề tài: Tiếp tục hoàn thiện chức năng, nhằm tăng hiệu độ an toàn Cải thiện việc gửi liệu client xử lý server để thời gian hoạt động hệ thống nhanh hiệu hệ thống tốt Ngoài ra, tìm hiểu thêm để tích hợp dịch vụ môi trường Linux Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 154 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Tài liệu tham khảo (1) Windows Server 2012 PKI and Certificate Security - Brian Komar (2) Network security symmetric encryption, network security symmetric encryption - Mai Xuân Phú (3) Mã hóa giao thức trao đổi khóa - Khoa Khoa học Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM (4) https://www.microsoft.com (5) https://manthang.wordpress.com (6) http://johncuongit.wordpress.com (7) https://www.wikipedia.org (8) http://quantrimang.com (9) http://anninhmang.net (10) Và tham khảo số nguồn khác Internet DANH MỤC TỪ VIẾT TẮT AES CA CLR DC DES DESX DSA IPSEC MD5 OCSP PKI RC2 RA RSA SHA SSL SSTP Advanced Encryption Standard Certificate Authority Certificate Revocation List Domain Controller Data Encryption Standard Data Encryption Standard XORed Digital Signature Algorithm IP Security Message Digest Online Certificate Status Protocol Public Key Infrastructure Rivest’s Cipher version Registration Authority Rivest Shamir Adleman Secure Hash Algorithm Secure Sockets Layer Secure Socket Tunneling Protocol Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 155