Hạ tầng khóa công khai PKI Đồ án tốt nghiệp full hướng dẫn cài đặt setup Đại học Bách Khoa Hà Nội .
Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP Thông tin sinh viên Họ tên sinh viên: Lưu Việt Tùng Điện thoại liên lạc :0968877723 Lớp:CNTT.TT2 Email:LuuviettungBKHN@gmail.com Hệ đào tạo:Kĩ sư – K57 Đồ án tốt nghiệp thực tại: Bộ môn truyền thông mạng máy tính Viện công nghệ thông tin truyền thông – Đại học Bách Khoa Hà Nội Thời gian làm ĐATN: Từ ngày 14 /02 /2016 đến 30 /06 /2016 Mục đích nội dung ĐATN Nhiệm vụ đồ án nghiên cứu hoạt động triển khai hạ tầng khóa công khai PKI Windows Server 2008 Các nhiệm vụ cụ thể ĐATN • Nghiên cứu hạ tầng khóa công khai PKI • Xây dựng hạ tầng khóa công khai PKI • Ứng dụng hạ tầng khóa công khai PKI vào triển khai ứng dụng windows server 2008 Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 Lời cam đoan sinh viên: Tôi Lưu Việt Tùng cam kết ĐATN công trình nghiên cứu thân hướng dẫn TS Trần Quang Đức Các kết nêu ĐATN trung thực, chép toàn văn công trình khác Hà Nội, ngày tháng năm Tác giả ĐATN Lưu Việt Tùng Xác nhận giáo viên hướng dẫn mức độ hoàn thành ĐATN cho phép bảo vệ: Hà Nội, ngày tháng năm Giáo viên hướng dẫn Ts.Trần Quang Đức Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 MỤC LỤC Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành tới TS Trần Quang Đức, người thầy cho định hướng ý kiến quý báu để hoàn thành đồ án tốt nghiệp Tôi xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè làm việc dìu dắt, giúp đỡ tiến suốt trình làm đồ án tốt nghiệp Xin cảm ơn gia đình bè bạn, người khuyến khích giúp đỡ hoàn cảnh khó khăn Tôi xin cảm ơn môn Truyền Thông Mạng Máy Tính, viện Công Nghệ Thông Tin Truyền Thông trường Đại Học Bách Khoa Hà Nội tạo điều kiện cho trình học tập làm đồ án Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Đồ án có tên “Nghiên cứu – Xây dựng hạ tầng khóa công khai PKI ” đề tài xây dựng làm đồ án tốt nghiệp Nội dung đồ án nghiên cứu – xây dựng hạ tầng khóa công khai PKI, tảng hạ tầng triển khai ứng dụng Windows Server Trong tập trung nghiên cứu – xây dựng hạ tầng khóa công khai PKI triển khai bảo mật cho hệ thống Mail , Website, thiết lập đường truyền bảo mật VPN Đồ án chia làm phần: Phần 1: Chương 1: Đặt vấn đề định hướng giải pháp Phần 2: Quá trình nghiên cứu kết đạt Chương 2: Lý thuyết tổng quan: Có nhiệm vụ giới thiệu tổng quan mật mã, tổng quan hạ tầng khóa công khai PKI, tổng quan VPN, tổng quan SSL Chương 3: Triển khai hạ tầng PKI: Xây dựng mô hình triển khai hạ tầng PKI Windows Server 2008, thử nghiệm với kịch đề ra, rút nhận xét Phần 3: Kết luận : Đưa nhận xét hệ thống, đánh giá kết đạt được, phần chưa làm đưa định hướng phát triển Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 ABSTRACT OF THESIS The graduated dissertation is named: “studying – public infrastructure of PKI The main content of the dissertation is studying and building the public key infrastructure PKI, which is the foundation to deploy the application for Windows Server The disserfation focuses on studying and building public key infrastructure PKI and deploying the security for mai system, website, setting up the secured lines VPN The dissertation is divided into parts : Part1: Chapter 1: introduction and orientation for solution Part2: Process of studying and results Chapter 2: Overall theory, Overall introduction about encryption, Overall introduction about public key infrastructure PKI, Overall introduction about VPN, Overall introduction about SSL Chapter 3: Deployment of infrastructure PKI: building the model and deploying the public key infrastructure PKI which is basic in Windows Server 2008, testing some script, giving comments Part 3: Conlusion: Giving comments about the system, notable the achieved results and uncomplete part, giving the orientation of development as well Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 DANH MỤC TỪ VIẾT TẮT APKI Architecture for Public-Key Infrastructure CA Certificate Authority CRL Certifiate Revocation List DES Data Encrytion Standard DSA Digital Signature Algorithm DSS Digital Signature Standard IETF Internet Engineering Task Force LDAP Lightweight Directory Access Protocol MD2, 4,5 Message Digest 2,4,5 NIST National Institute of Standards and Technology NSA National Security Agency PEM Privacy Enhanced Mail PGP Pretty Good Privacy RA Registration Authority PKCS Public Key Cryptography Standards PKI Public Key Infrastructure PKIX Public Key Infrastructure X.509 group RFC Request For Comments RSA Rivest Shamir Adleman SCEP Simple Certificate Enrollment Protocol SET Secure Electronic Transactions SHA Secure Hash Algorithm SPKI Simple Public Key Infrastructure SSL Secure Socket Layer TSL Transport Layer Security Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 DANH MỤC HÌNH VẼ Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 CHƯƠNG ĐẶT VẤN ĐỀ VÀ ĐỊNH HƯỚNG GIẢI PHÁP 1.1: GIỚI THIỆU ĐỀ TÀI Trong vài năm lại đây, hạ tầng truyền thông IT ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc khách hàng dùng email mạng công cộng Hầu hết thông tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông doanh nghiệp đồng nghĩa với việc phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vô tình tiết lộ thông tin Cấu trúc hạ tầng mã khoá công cộng (PKI - Public Key Infrastructure - hay gọi Hạ tầng mã khoá bảo mật công cộng Hạ tầng mã khoá công khai) tiêu chuẩn công nghệ ứng dụng coi giải pháp tổng hợp độc lập mà sử dụng để giải vấn đề Đó lí em lựa chọn đề tài : Nghiên cứu xây dựng hạ tầng khóa công khai PKI làm đồ án tốt nghiệp 1.2: MÔ TẢ BÀI TOÁN ĐẶT RA Bài toán đặt nghiên cứu triển khai hạ tầng khóa công khai PKI : Bảo mật cho trình gửi mail.Tấn công xâm nhập hệ thống.Xác thực người dùng.Truy cập web với giao thức HTTPS tảng SSL triển khai với CA Xây dựng đường hầm VPN ứng dụng với hạ tầng khóa công khai PKI Mô hình toán đặt miêu tả hình Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 10 3.4 : THỬ NGHIỆM VỚI KỊCH BẢN 3.4.1: Kịch triển khai ứng dụng chữ kí số vào hệ thống mail Khi ứng dụng CA Hình 33: Ứng dụng CA Nội dung mã hóa kí số: Hình 34: Nội dung thư mã hóa kí số Khi cố tình thay đổi : Hình 35:Nội dung thư bị thay đổi Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 71 Kết luận Các thành phần hệ thống chạy chức thiết kế , úng dụng chữ kí số hoạt động tốt tảng dịch vụ mà hệ thống cung cấp Đã triển khai theo kịch thành công Mô hình chứng tỏ khả hệ thống PKI : Thể khả quan trọng - Xác thực người dùng - Khả bảo mật 3.4.2: Kịch triển khai hệ thống Web có kết hợp SSL Khi sử dụng giao thức HTTP hình sau: Hình 36: Sử dụng giao thức HTTP Khi sử dụng giao thức HTTPS hình sau: Hình 37: Sử dụng giao thức HTTPS Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 72 Website với HTTPS Hình 38: Website với HTTPS Chứng thư số website Hình 39: Chứng thư số website Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 73 Hình 40: Nội dung chứng thư số website - Kết luận : Hệ thống PKI cung cấp giải pháp SSL-Certificate cho ứng dụng chạy bảo mật HTTPS Import thành công SSL-Certificate cho Webserver 3.4.3: Kịch triển khai hệ thống VPN User truy cập vào máy DC thông qua kết nối đường hầm VPN theo chế độ: - L2TP kết hợp IPSec - SSTP - Khi Certificate: Khi không sử dụng Certificate xác thực cho trình kết nối Hình 41: Khi không sử dụng Certificate Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 74 Khi sử dụng USBtoken add chứng kết nối từ máy Client đến máy DC thông qua đường hầm VPN Hình 42: USB Token Hai chế độ đường hầm VPN hình Hình 43:VPN-SSTP Hình 44: VPN-L2TP Các Certificate xin cấp phát: Hình 45: Certificate cấp phát Hình 46: Nội dung Certificate Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 75 Khi kết nối với tư cách User: truy cập vào tài nguyên máy công ty, truy cập thành công website, quyền sửa đổi nội dung.Khi kết nối với tư cách quản trị, tài khoản administrator: Truy cập vào tài nguyên máy công ty, truy cập thành công website có quyền thay đổi nội dung tài nguyên, thay đổi nội dung website Hình 47: Truy cập vào Website từ máy VPN Client thông qua VPN 3.4.4: Triển khai kịch công vào hệ thống Tấn công vào hệ thống Mail Server: theo mô hình sau Hình 48: Mô hình công Mail Server Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 76 Khi chưa ứng dụng CA :User gửi thư tiêu đề Test 01 , nội dung : Ket qua = cho User Hình 49: Nội dung thư Test01 Không sử dụng chức kí số mã hóa Hình 50: Khi chưa sử dụng CA Kẻ thứ xâm nhập vào hệ thống Mail Server đọc nội dung thư Nội dung thư chưa bị sửa đổi : Ketqua = Hình 51: Nội dung thư Test01 Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 77 Kẻ thứ sửa nội dung thư thay ketqua = thành ket qua =2 Hình 52: Nội dung thư Test01 bị sửa đổi Bức thư chuyển đến User , User2 không phát nội dung thư bị đọc trộm thay đổi Hình 53: Bức thư test 01 bị sửa đổi chuyển đến User2 Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 78 Tấn công vào hệ thống Webserver: theo mô hình sau Hình 54: Mô hình công WebServer Khi chưa có Certificate xác thực trang web, nội dung trang web lấy từ webserver tải lên lên trình duyệt webclient ( http) , kẻ công lắng nghe gói tin trao đổi Khi có Certificate xác thực trang web, trình duyệt Https, kẻ công lắng nghe trình gói tin trao đổi, không giải mã nội dung, bắt Certificate Hình 55: Bắt Certificate công Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 79 Tấn công vào đường hầm VPN: Tấn công theo mô hình sau Hình 56: Mô hình công vào kết nối VPN Khi kết nối theo chế độ truy cập tài nguyên bình thường, không sử dụng đường hầm VPN, người sử dụng phải đăng nhập tài khoản mật tài khoản có quyền truy cập Kẻ công giả mạo ARP, lắng nghe, phân tích gói tin tìm password mà người sử dụng đăng nhập Hình 57: Các gói tin người dùng đăng nhập mật Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 80 Hình 58: Giải mã thành công mật Khi sử dụng certificate xây dựng đường hầm VPN ( SSTP, L2TP kết hợp IPSec ) , người sử dụng sử dụng đường hầm để kết nối vào tài nguyên theo tài khoản mật , phân quyền cấp, kẻ công biết có nội dung trao đổi, gói tin qua trung gian ( kẻ công ) mã hóa nên giải mã , mật bảo vệ an toàn Hình 59: Các gói tin trao đổi mật mã hóa Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 81 3.4.5: Tổng kết thử nghiệm Các thành phần hệ thống chạy chức thiết kế , úng dụng chữ kí số hoạt động tốt tảng dịch vụ mà hệ thống cung cấp Đã triển khai theo kịch thành công Mô hình chứng tỏ khả hệ thống PKI : Thể khả quan trọng - Xác thực người dùng - Khả bảo mật Hệ thống PKI cung cấp giải pháp SSL-Certificate cho ứng dụng chạy bảo mật HTTPS Import thành công SSL-Certificate cho webserver Kết nối VPN thành công với hai chế độ đường hầm ( L2TP kết hợp IPSec SSTP ), chế độ đường hầm có ưu nhược điểm, tính bật riêng - Sử dụng thành công USBtoken để thiết lập kết nối VPN - Kết nối VPN với chế độ người dùng khác nhau, từ cho phân - quyền tài nguyên sử dụng theo chế độ người dùng Các chế độ kết nối đường hầm VPN ứng dụng hạ tầng khóa công khai PKI mang lại giải pháp bảo mật an toàn chế độ đường hầm đơn giản với chế mã hóa đường truyền, mã hóa mật khẩu, xác thực người dùng, chế bảo mật nhiều lớp Đối với công: Sử dụng công cụ hỗ trợ công Wireshark , Can & Able, Ettercap ta nhận thấy, chưa áp dụng hạ tầng khóa công khai vào hệ thống, kẻ công dễ dàng xâm nhập, giả mạo công để lấy thông tin quan trọng ( Nội dung trao đổi, password ,… ) mà người dùng bị công Khi áp dụng hạ tầng khóa công khai PKI vào hệ thống, hệ thống nâng lên tầm bảo mật mới, đưa cảnh báo bị công, mà nội dung trao đổi người dùng mã hóa chống xem trộm, mật mã hóa, xác thực người dùng tăng tính chống chối bỏ…… Tổng kết: Hệ thống cung cấp giải pháp sát thực tế vào mô hình doanh nghiệp vừa nhỏ bao gồm : Hệ thống Mail doanh nghiệp, Web cho doanh nghiệp, hệ thống kết nối VPN, việc áp dụng hạ tầng khóa công khai PKI cung cấp chế bảo mật tránh công mô hình mạng công ty, doanh nghiệp Các ứng dụng cung cấp bao gồm : - Hệ thống Mail ứng dụng hạ tầng PKI bảo vệ cho người sử dụng chức - hệ thống mail nội Hệ thống Web , cung cấp trang web nội cho công ty , ứng dụng hạ tầng PKI đảm bảo tính xác thức trang web Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 82 - Hệ thống VPN ứng dụng hạ tầng PKI cung cấp cho người sử dụng đường - truyền liệu bảo vệ an toàn, cung cấp chế truy cập từ xa vào hệ thống Mail , hệ thống Web, Hệ thống tài nguyên công ty Hạ tầng PKI khai thác triệt để tất chức mà Windows Server 2008 cung cấp là: chế mã hóa, ứng dụng chữ kí số, bảo vệ hệ thống Mail, xây dựng xác thực SSL cho hệ thống Web, sử dụng để xây dựng đường hầm VPN Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 83 KẾT LUẬN ĐÁNH GIÁ : Đề tài : Nghiên cứu xây dựng hạ tậng khóa công khai PKI windows Server 2008 Về lý thuyết : - Mật mã khóa công khai , hệ mật mã, mã hóa Chữ kí số Các kiến thức sở hạ tầng khóa công khai PKI, VPN, Ứng dụng hạ tầng khóa công khai PKI Các hệ thống Mail Server, Web Server, VPN Server Về mặt thực nghiệm - Xây dựng hệ thống PKI windows server Thử nghiệm cấp phát chứng thư Xây dựng hệ thống mail dùng hệ thống PKI để bảo mật cho việc gửi mail Demo công vào hệ thống Snifer -Attack Xin cấp phát SSL-certificate cho ứng dụng webserver chạy https Xây dựng ứng dụng đường hầm VPN sở hạ tầng PKI ĐỊNH HƯỚNG PHÁT TRIỂN - Áp dụng hạ tầng khóa công khai PKI , phát triển, hoàn thiện ứng dụng - xây dựng vào mô hình công ty, nhằm đảm bảo an toàn mã hóa, xác thực cho mạng nội công ty Phát triển hệ thống Mail Server tảng hạ tầng khóa PKI gửi mail mạng nội bộ, xử dụng xác thực chéo Certificate tố chức uy tín Xây dựng thêm ứng dụng chat, gửi tệp tin có chế kèm Certificate ( kí số kèm số công ty triển khai ) Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 84 TÀI LIỆU THAM KHẢO [1] Phạm Huy Điển, Hà Huy Khoái (2003), Mã hoá thông tin sở toán học ứng dụng, Nhà xuất Đại học Quốc gia Hà nội [2] Phan Đình Diệu (1999), Lý thuyết mật mã an toàn thông tin, Đại học Quốc Gia Hà Nội, Hà Nội [3] Trần Hoàn Vũ : Đồ án tốt nghiệp K49 môn truyền thông mạng máy tính Đại học Bách Khoa Hà Nội [4] Brian Komar : Windows Server 2008 PKI and Certificate Security, Microsoft Press, 2008 [5] ) By Marty Matthews:Microsoft Windows Server 2008: (Network Professional’s Library ) Và số trang web tham khảo: www.quantrimang.com.vn lượt truy cập cuối www.wikipedia.org lượt truy cập cuối www.nhatnghe.com lượt truy cập cuối Sinh viên thực hiện: Lưu Việt Tùng – 20159550 Khóa 57 Lớp CNTT.TT2 85 ... khai hạ tầng khóa công khai PKI Windows Server 2008 Các nhiệm vụ cụ thể ĐATN • Nghiên cứu hạ tầng khóa công khai PKI • Xây dựng hạ tầng khóa công khai PKI • Ứng dụng hạ tầng khóa công khai PKI vào... DUNG ĐỒ ÁN TỐT NGHIỆP Đồ án có tên “Nghiên cứu – Xây dựng hạ tầng khóa công khai PKI ” đề tài xây dựng làm đồ án tốt nghiệp Nội dung đồ án nghiên cứu – xây dựng hạ tầng khóa công khai PKI, tảng hạ. .. cứu xây dựng hạ tầng khóa công khai PKI làm đồ án tốt nghiệp 1.2: MÔ TẢ BÀI TOÁN ĐẶT RA Bài toán đặt nghiên cứu triển khai hạ tầng khóa công khai PKI : Bảo mật cho trình gửi mail.Tấn công xâm nhập