Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 49 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
49
Dung lượng
1,49 MB
Nội dung
TRƢỜNG ĐẠI HỌC VINH 005.8 KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÊN ĐỀ TÀI NGHIÊN CỨU CHỨNG CHỈ SỐ SSL VÀ ỨNG DỤNG TRONG BẢO MẬT WEB GIÁO VIÊN HƢỚNG DẪN : T.S NGUYỄN NGỌC HIẾU SINH VIÊN THỰC HIỆN : LÊ ĐÌNH THẮNG LỚP : 51 K2 - CNTT MÃ SỐ SINH VIÊN : 1051070432 Nghệ An, 12/ 2014 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC LỜI CẢM ƠN MỞ ĐẦU Error! Bookmark not defined CHƢƠNG 1: TÌM HIỂU CHUNG VỀ CHỨNG CHỈ SỐ SSL(Secure Socket Layer) 1.1 Tổng quan chứng số SSL 1.1.1 Chứng số, SSL gì? 1.1.2 Cơ SSL 1.3 Chứng thực SSL Server 1.1.4 Chứng thực SSL Client 1.1.5 Mã hóa kết nối 1.1.6 Các phiên 1.1.7 Các thuộc tính 1.2 Mục đích 1.3 Tại sử dụng SSL 1.4 Ứng dụng SSL 10 CHƢƠNG GIAO THỨC TRONG SSL 11 2.1 Giao thức SSL ghi ( Record Protocol ) 11 2.2 Giao thức SSL Change Cipher Spec 13 2.3 Giao thức SSL cảnh báo ( Alert Protocol ) 14 2.4 Giao thức SSL bắt tay (Handshake Protocol ) 16 2.4.1 Giai đoạn - Thiết lập khả bảo mật 19 2.4.2 Giai đoạn - Xác thực server trao đổi khóa 21 2.4.3 Giai đoạn : Xác thực Client trao đổi khoá 26 Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 2.4.4 Giai đoạn : Kết thúc kết nối bảo mật 29 2.5 Bảo mật SSL 33 2.6 Ưu điểm hạn chế SSL 35 2.7 Bảo mật tầng vận tải ( TLS - Transport Layer Security ) 36 2.7.1 Giới thiệu tổng quan 36 2.7.2 Thông điệp giao thức cảnh báo 37 2.7.3 Xác thực thông điệp 37 2.7.4 Sinh nguyên liệu khoá 38 2.7.5 Xác nhận chứng 39 2.7.6 Thông điệp Finished 39 CHƢƠNG PHƢƠNG PHÁP TẤN CƠNG WEB HTTP VÀ GIẢI PHÁP PHỊNG CHỐNG 40 3.1 Các ứng dụng phổ biến SSL 40 3.2 Phương pháp công HTTP 41 3.3 Một số giải pháp phòng chống 42 3.4 Triển khai SSL bảo mật web server 43 KẾT LUẬN & ĐỊNH HƢỚNG PHÁT TRIỂN 47 Kết luận: 47 Hướng phát triển: 47 TÀI LIỆU THAM KHẢO : Error! Bookmark not defined Tài liệu tiếng Việt Error! Bookmark not defined Tài liệu tiếng Anh Error! Bookmark not defined Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Bảng ghi cụm từ viết tắt CA Certificate Authority (Tổ chức cấp chứng chỉ) Client Máy khách HTTP HyperText Transfer Protocol (Giao thức truyền siêu văn bản) IETF Internet Engineering Task Force LDAP Lightweight Directory Access Protocol MAC Message Authentication Code (Mã xác thực thông điệp) Server Máy chủ SSL TCP/IP TLS Secure Sockets Layer (Khe cắm an toàn) Transfer Control Protocol/Internet Protocol Transport Layer Security (Bảo mật tầng giao vận) Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành tới thầy giáo hướng dẫn TS Nguyễn Ngọc Hiếu tận tình hướng dẫn, cho em định hướng để hồn thành báo cáo đồ án tốt nghiệp đại học Em chân thành cảm ơn tất thầy cô Trường Đại Học Vinh nhiệt tình giảng dạy giúp đỡ em trình học tập trường Con xin gửi đến Bố Mẹ gia đình tình thương yêu lòng biết ơn Bố Mẹ gia đình ln nguồn động viên chỗ dựa vững cho đời Tôi xin cảm ơn bạn lớp động viên giúp đỡ thời gian thực đồ án Vì thời gian có hạn, đồ án tốt nghiệp em không tránh khỏi khiếm khuyết Rất mong nhận góp ý thầy Nghệ An, tháng 12 năm 2014 Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI MỞ ĐẦU Được thiết kế Netscape bao gồm chế bảo mật sản phẩm trình duyệt để tạo truyền thơng an tồn mạng, SSL (Secure Sockets Layer) giao thức bảo mật sử dụng phổ biến Internet hoạt động thương mại điện tử Ban đầu, SSL thiết kế kết hợp với giao thức HTTP sử dụng Web server browser, thành phần quan trọng loại truyền thông Internet bảo mật Việt Nam đường hội nhập với công nghệ thông tin giới, hoạt động giao dịch mạng Việt Nam diễn sơi nổi, vấn đề bảo mật trở nên quan trọng, việc triển khai SSL điều cần thiết Tuy nhiên đến website Việt Nam chưa sử dụng SSL việc bảo mật thơng tin Trong đề tài này, em tiến hành tìm hiểu thuật tốn, cách cơng triển khai phịng chống lỗ hổng wed server Internet Information Service (IIS) windows server 2008r2 Sau hoàn thành đề tài hy vọng đem đến nhìn cụ thể SSL bảo mật mạng, tầm quan trọng ứng dụng thực tế Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG 1: TÌM HIỂU CHUNG VỀ CHỨNG CHỈ SỐ SSL(Secure Socket Layer) 1.1 Tổng quan chứng số SSL 1.1.1 Chứng số, SSL gì? Trong giao dịch điện tử mạng giao dịch tốn trực tuyến, thơng tin/dữ liệu mơi trường mạng Internet phi an tồn thường bảo đảm chế bảo mật thực tầng vận tải có tên SSL (Secure Socket Layer) TLS (Transport Layer Security-được bổ sung từ SSL phiên 3.0) - giải pháp kỹ thuật sử dụng phổ biến hệ điều hành mạng máy tính Internet Trong chương này, tìm hiểu SSL gì, làm việc nào, thuộc tính hoạt động chúng SSL giao thức đa mục đích thiết kế để tạo giao tiếp hai chương trình ứng dụng cổng định trước (socket 443) nhằm mã hố tồn thơng tin đi/đến, mà ngày được sử dụng rộng rãi cho giao dịch điện tử truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) Internet Giao thức SSL hình thành phát triển năm 1994 nhóm nghiên cứu Netscape dẫn dắt Elgammal ngày trở thành chuẩn bảo mật thực hành mạng Internet Phiên SSL 3.0 hoàn thiện, bổ sung Tương tự SSL, giao thức khác có tên PCT – Private Communication Technology đề xướng Microsoft sử dụng rộng rãi mạng máy tính chạy hệ điều hành WindowNT Ngoài ra, chuẩn IETF (Internet Engineering Task Force) có tên TLS (Transport Layer Security) dựa SSL hình thành xuất khn khổ nghiên cứu IETF Internet Draff tích hợp hỗ trợ sản phẩm Netscape 1.1.2 Cơ SSL Điểm SSL thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an tồn chống giả mạo luồng thông tin qua Internet hai ứng dụng bất kỳ, thí dụ webserver trình duyệt khách (browsers), sử dụng rộng rãi nhiều ứng dụng khác mơi trường Internet Tồn chế hệ thống thuật toán mã hoá sử dụng SSL phổ biến cơng khai, trừ khố phiên (session key) sinh thời điểm trao đổi hai ứng dụng ngẫu nhiên Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC bí mật người quan sát mạng máy tính Ngồi ra, giao thức SSL cịn đòi hỏi ứng dụng chủ phải chứng thực đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa mật mã cơng khai (ví dụ RSA) HTTP NNTP FTP SSL TCP IP Hình : Vị trí SSL mơ hình OSI SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên ứng dụng tầng cao HTTP (HyperText Transfer Protocol), LDAP (Lightweight Directory Access Protocol) IMAP (Internet Messaging Access Protocol) Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet, SSL sử dụng cho giao dịch Web SSL cho phép server có hỗ trợ SSL tự xác thực với Client hỗ trợ SSL, cho phép client tự xác thực với server, cho phép hai máy thiết lập kết nối mã hoá Khả định mối quan tâm giao tiếp mạng Internet mạng sử dụng TCP/IP: 1.1.3 Chứng thực SSL Server Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía trình duyệt sử dụng kỹ thuật mã hóa cơng khai để chắn chứng publicID server có giá trị cấp phát CA (Certificate Authority) danh sách CA đáng tin cậy client Sự xác thực quan trọng người sử dụng gửi số thẻ tín dụng qua mạng muốn kiểm tra định danh server nhận Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.1.4 Chứng thực SSL Client Cho phép server xác thực người sử dụng muốn kết nối Phía server sử dụng kỹ thuật mã hố khố cơng khai để kiểm tra chứng client publicID đúng, cấp phát CA danh sách CA đáng tin cậy Server hay không Điều quan trọng nhà cung cấp Ví dụ ngân hàng định gửi thông tin tài mang tính bảo mật tới khách hàng họ muốn kiểm tra định danh người nhận 1.1.5 Mã hóa kết nối Tất thơng tin trao đổi client server mã hoá đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngồi tất liệu gửi kết nối SSL mã hố cịn bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu Giao thức SSL gồm hai tầng Tầng thấp nhất, đặt số giao thức vận tải tin cậy (ví dụ TCP), tầng SSL Record Protocol SSL Record Protocol sử dụng để đóng gói vài giao thức mức cao Một giao thức đóng gói SSL Handshake Protocol, giao thức cho phép server client thực việc xác thực lẫn nhau, thoả thuận thuật toán mã hoá khoá mật mã trước giao thức ứng dụng gửi nhận liệu 1.1.6 Các phiên SSLv2 : phiên giao thức SSL Netscape Corporation thiết kế SSLv3 : phiên SSL version 3.0 Netscape Corporation thiết kế, có trợ giúp chain certificate (chứng nhóm) hỗ trợ cho tất trình duyệt phổ thơng TLSv1 : giao thức Transport Layer Security version 1.0 dựa sở SSLv3, thiết kế IETF chưa hỗ trợ cho tất trình duyệt thơng dụng Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.1.7 Các thuộc tính Kết nối bí mật : q trình mã hóa liệu áp dụng sau trình bắt tay (handshake) xác định khố bí mật Mật mã đối xứng sử dụng cho q trình mã hố liệu (ví dụ DES, RC4…) Đảm bảo thơng tin bị truy cập đối tượng thứ ba Danh tính người bên xác thực mật mã phi đối xứng, khoá cơng khai (ví dụ RSA, DSS…) Xác thực tức đảm bảo tính xác thực trang mà làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng Kết nối tin cậy : việc vận chuyển thông điệp bao gồm q trình kiểm tra tính tồn vẹn thông điệp sử dụng hàm kiểm tra MAC có khố Các hàm băm an tồn (ví dụ SHA, MD5…) sử dụng cho trình thực hàm MAC, nhằm đảm bảo thông tin không bị sai lệch thể xác thơng tin gốc gửi đến 1.2 Mục đích Xác thực : Đàm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang wed cần phải kiểm tra tính xác thực người sử dụng Mã hóa: Đảm bảo thơng tin truy cập bổ đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “ nhạy cảm “ truyền qua internet, liệu phải mã hóa để khơng thể bị đọc người ngoài, người gửi người nhận Tồn vẹn liệu: Đảm bảo thơng tin khơng bị sai lệch nói phải thể xác thơng tin gốc gửi đến 1.3 Tại sử dụng SSL Ngày việc bảo mật thông tin yếu tố quan trọng để định sống tổ chức, công ty hay doanh nghiệp Với phát triền nhanh chóng cơng nghệ mang lại nhiều tiện ích cho người sử dụng đồng thời đặt nhu cầu cấp thiết an tồn bảo mật Và SSL giải pháp tốt Việc truyền thông tin nhạy cảm mạng khơng an tồn vấn đề sau: - Bạn luôn bạn trao đổi thông tin với đối tượng cần trao đổi Lê Đình Thắng – 51k2 – Khoa CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC - KEA Key Exchange Algorithm, thuật toán trao đổi khoá cho phủ Mỹ - MD5 Message Digest, thuật tốn băm phát triển Rivest - RC2-RC4 Hệ mã hoá Rivest phát triển cho RSA Data Security - RSA Hệ mã hố khố cơng khai cho mã hoá xác thực, phát triển Rivest, Shamir Adleman - RSA key exchange: thuật toán trao đổi khoá cho SSL dựa thuật toán RSA - SHA-1: Secure Hash Algorithm, thuật toán băm sử dụng cho phủ Mỹ - SKIPJACK Thuật tốn mã hố đối xứng cổ điển cài đặt phần cứng tương thích FORTEZZA, sử dụng phủ Mỹ - Triple-DES.DES cài đặt vịng Các thuật tốn trao đổi khoá KEA RSA key exchange sử dụng để hai bên client server xác lập khoá đối xứng mà họ sử dụng suốt phiên giao dịch SSL, thuật toán sử dụng phổ biến RSA key exchange Các phiên SSL 2.0, 3.0 hỗ trợ cho hầu hết mã hoá Người quản trị tuỳ chọn mã hố dùng cho client server Khi client server trao đổi thông tin giai đoạn bắt tay (handshake), họ xác định mã hoá mạnh sử dụng chúng phiên giao dịch SSL Các định mã hoá tuỳ thuộc vào định tổ chức dựa thoả hiệp liệu nhạy cảm, tốc độ mã hoá việc áp dụng quy tắc Một vài tổ chức khơng hỗ trợ hệ mã hố yếu nhằm loại bỏ kết nối SSL với hệ mã hoá yếu Nhằm phục vụ khối lượng người dùng lớn, người quản trị muốn hỗ trợ nhiều hệ mã hoá SSL tốt Theo cách thức này, client hay server nước kết nối tới client server khác nước tương ứng, chúng thoả hiệp nhằm sử dụng hệ mã hố mạnh Và client, server nước kết nối tới client hay server giới, chúng thỏa hiệp để sử dụng hệ mã hố cho phép phủ Mỹ Tuy nhiên hệ mã hoá 40 bit bị phá vỡ dễ dàng, nhà quản trị sử dụng hệ mã hố hợp pháp mạnh cần loại bỏ việc hỗ trợ hệ mã hố 40 bit Lê Đình Thắng – 51k2 – Khoa CNTT 34 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 2.6 Ƣu điểm hạn chế SSL Ƣu điểm SSL Tính mạnh SSL/TLS chúng xác định mối quan hệ với tầng giao thức khác hệ thống kiến trúc mạng OSI Tại mức cao phần mềm ứng dụng trình duyệt Chạy phía ứng dụng giao thức tầng ứng dụng bao gồm Telnet, FTP, HTTP…Bên giao thức SSL thuật toán mã hoá sử dụng để kết nối Bên SSL tầng giao vận Hầu hết trường hợp TCP/IP Tuy nhiên, giao thức SSL nhất, không phụ thuộc vào giao thức mạng Bởi SSL khơng phụ thuộc vào tầng giao thức SSL trở thành tảng độc lập thực thể mạng độc lập Một sức mạnh khác SSL ngăn chặn cách thức công từ điển Cách thức sử dụng từ điển để phá khoá hệ mã hoá SSL khắc phục điều cho phép khơng gian khố lớn hệ mã hoá sử dụng SSL cung cấp hai mức độ tin cậy : 40 bit 128 bit tuỳ thuộc khả browser SSL 128 bit SSL 40 bit ý nói độ dài khố phiên dùng để mã hoá liệu sau định danh thiết lập giải thuật khố cơng khai (RSA Diffie-Hellman) Độ dài khố phiên lớn độ bảo mật cao Hiện SSL 128 bit có độ tin cậy lớn Theo RSA phải hàng tỉ năm giải mã kỹ thuật Cách thức công từ điển bị ngăn chặn sử dụng phương pháp số nonce (nonce number) Số sinh ngẫu nhiên server sử dụng, nonce number số khơng thể bị phá khố Giao thức SSL cịn bảo vệ với đối tác thứ Đó client xâm nhập bất hợp pháp liệu đường truyền Client xâm nhập giả mạo client server, SSL ngăn chặn giả mạo cách sử dụng khoá riêng server sử dụng chứng số Phương thức bắt tay TLS tương tự Tuy nhiên, TLS tăng cường bảo mật cách cho phép truyền phiên giao thức, số hiệu phiên làm việc, hệ mã hoá cách thức nén sử dụng TLS bổ xung thêm hai thuật tốn băm khơng có SSL Lê Đình Thắng – 51k2 – Khoa CNTT 35 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hạn chế SSL Giao thức SSL, giống cơng nghệ nào, có hạn chế Và SSL cung cấp dịch vụ bảo mật, cần quan tâm đặc biệt tới giới hạn Giới hạn SSL thường ba trường hợp Đầu tiên ràng buộc thân giao thức SSL Đây hệ việc thiết kế SSL ứng dụng chịu tác động Tiếp theo, giao thức SSL thừa kế vài điểm yếu từ cơng cụ mà sử dụng, cụ thể thuật toán ký mã hoá Nếu thuật tốn có điểm yếu, SSL thường khơng thể khắc phục chúng Cuối cùng, mơi trường SSL triển khai có thiếu sót giới hạn 2.7 Bảo mật tầng vận tải ( TLS - Transport Layer Security ) 2.7.1 Giới thiệu tổng quan Mặc dù giao thức SSL ban đầu chủ yếu phát triển Netscape, trở thành giao thức bảo mật định Internet mà IETF có, tiếp tục phát triển tương lai Vì vài lý do, bao gồm lý muốn có khác biệt rõ ràng SSL công việc phát triển với giao thức IPSecurity (IPSEC), IETF đặt lại tên cho giao thức SSLv3.0 với tên Bảo mật tầng giao vận - Transport Layer Security hay TLS TLS có vài cải tiến so với giao thức SSL Ví dụ, có chút khác biệt SSL v3.0 TLS SSL v2.0 3.0 SSL v3.0 TLS v1.0 Phiên giao thức thông điệp 3.0 3.1 Kiểu thông điệp giao thức cảnh báo 12 23 Xác thực thông điệp Khơng chuẩn chuẩn Sinh ngun liệu khố Khơng chuẩn PRF Phức tạp Đơn giản CertificateVerify Lê Đình Thắng – 51k2 – Khoa CNTT 36 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Finished Không chuẩn Các mã Bao PRF Khơng có Fortezza gồm Fortezza Hình 20: Sự khác biệt SSL v3.0 TLSv1.0 Sự khác biệt TLS SSL điểm sau : - TLS tách rời cách rõ ràng tiến trình bắt tay từ kỹ thuật tầng record - Giao thức mở rộng cách thêm phương thức xác thực tới thao tác - Nó cải tiến thi hành SSL cách sử dụng session caching Phiên chuẩn TLS TLSv1.0 2.7.2 Thông điệp giao thức cảnh báo Một lĩnh vực mà TLS hồn thiện SSL thủ tục thông báo khả cảnh báo bảo mật thực Cụ thể, SSL định nghĩa gần hai lần nhiều mô tả cảnh báo Bảng cung cấp danh sách cảnh báo TLS thêm vào, nhấn mạnh thực tế mô tả cảnh báo bị loại bỏ khỏi TLS (cảnh bảo bị gạch bỏ) Đặc tả TLS bỏ qua cảnh báo thực tế khó để thi hành Ví dụ với cảnh báo NoCertificate, u cầu đồng mức cao cảnh báo giao thức Handshake, mặt khác đồng lại không cần thiết Để loại bỏ yêu cầu đồng này, TLS cho client mà khơng có chứng thích hợp trả thơng điệp Certificate trống (empty) 2.7.3 Xác thực thông điệp Một lĩnh vực khác mà TLS hồn thiện SSL thuật tốn xác thực thơng điệp Cách xác thực thông điệp SSL kết hợp thông tin khố liệu ứng dụng đặc biệt hơn, tạo cho giao thức SSL Với giao thức TLS, dựa mã xác thực thông điệp chuẩn gọi H-MAC (Hashed Message Authentication Code) Thuật toán H-MAC chuẩn định nghĩa Đặc tả H- MAC bao gồm mô tả tỉ mỉ phương pháp, mã nguồn ví dụ Chú ý H-MAC khơng Lê Đình Thắng – 51k2 – Khoa CNTT 37 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC định thuật tốn băm cụ thể (như MD5 hay SHA), làm việc hiệu với thuật toán băm Mã xác thực thông điệp TLS ứng dụng thẳng chuẩn H-MAC HMAC secret MAC write secret nhận từ master secret Sau liệu bảo vệ TLS Message Authentication Code - Dãy số (sequence number) - Kiểu thông điệp giao thức TLS - Phiên TLS - Chiều dài thông điệp - Nội dung thông điệp 2.7.4 Sinh nguyên liệu khoá Dựa chuẩn H-MAC, TLS định nghĩa thủ tục cho việc sử dụng HMAC để tạo đầu giả ngẫu nhiên Thủ tục sử dụng giá trị bí mật giá trị hạt giống ban đầu (có thể nhỏ), sinh đầu ngẫu nhiên an tồn Thủ tục tạo nhiều đầu ngẫu nhiên cần thiết Như với chuẩn H-MAC, thủ tục không dựa thuật toán băm cụ thể Bất kỳ thuật toán băm nào, MD5 hay SHA sử dụng cho đầu giả ngẫu nhiên Bước Thủ tục Tính H-MAC secret seed Tính H-MAC secret kết bước 1; kết phần đầu giả ngẫu nhiên Tính H-MAC secret kết bước 2; kết thu phần đầu giả ngẫu nhiên Lặp lại bước nhiều lần Hình 21: Các bước sinh đầu giả ngẫu nhiên Lê Đình Thắng – 51k2 – Khoa CNTT 38 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Dựa chuẩn H-MAC, TLS định nghĩa thủ tục cho việc sử dụng H- MAC để tạo đầu giả ngẫu nhiên Thủ tục sử dụng giá trị bí mật giá trị hạt giống ban đầu (có thể nhỏ), sinh đầu ngẫu nhiên an toàn Thủ tục tạo nhiều đầu ngẫu nhiên cần thiết, bảng liệt kê bước Như với chuẩn H-MAC, thủ tục khơng dựa thuật toán băm cụ thể Bất kỳ thuật tốn băm nào, MD5 hay SHA sử dụng cho đầu giả ngẫu nhiên Với cải tiến thêm vào, TLS sử dụng thủ tục đầu giả ngẫu nhiên để tạo hàm giả ngẫu nhiên, gọi PRF PRF kết hợp hai thể khác thủ tục đầu giả ngẫu nhiên, sử dụng thuật toán băm MD5, sử dụng SHA Chuẩn TLS định hàm sử dụng hai thuật toán trường hợp hai thuật tốn khơng an tồn Nó bắt đầu với giá secret (bí mật), giá trị seed (hạt giống), label (nhãn) Một hàm chia secret thành hai phần, dùng hàm băm MD5, dùng SHA Nó kết hợp nhãn seed thành giá trị đơn Chú ý đầu MD5 SHA có chiều dài khác (16 20 byte), sinh đầu giả ngẫu nhiên yêu cầu số lượng thao tác khác Nguyên lý giống với SSL 2.7.5 Xác nhận chứng TLS khác SSL chi tiết hàm CertificateVerify Trong SSL, thông tin ký hàm CertificateVerify phức tạp, kết hợp hàm băm hai mức thông điệp handshake, master secret, padding Trong trường hợp TLS, thông tin ký đơn giản thông điệp handshake trước trao đổi suốt phiên 2.7.6 Thông điệp Finished Thông điệp Finished TLS có nội dung đơn giản, cỡ 12 byte, giá trị tạo cách áp dụng PRF với đầu vào master secret, nhãn “client finished” (với client) hay “server finished” (với server), dãy hàm băm MD5, SHA tất thơng điệp handshake Lê Đình Thắng – 51k2 – Khoa CNTT 39 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG PHƢƠNG PHÁP TẤN CÔNG WEB HTTP VÀ GIẢI PHÁP PHÒNG CHỐNG 3.1 Các ứng dụng phổ biến SSL Tuy đến tồn số lỗ hổng bị khai thcs SSL giao thức bảo mật cao mà chưa giao thức ảo mật thay vai trị Nó phổ biến đến mức thấy tên giao thức có hậu tố “ s “ người ta biết giao thức ứng dụng kết hợp kèm với SSL Sau số port phổ biến ứng dụng kèm SSL đuọce IAIA công nhận: Port Description Nsiiop 26 I dich vu 11t9P TLS/S$L Https 443 HTTP TLS/SSL Smtps 465 SMTP TLS/SSL Nntps 563 NNTP TLS/SSL Ldaps 636 LDAP tren TLS/SSL Ftps-data 989 FTP-dữ liệu TLS/SSL Ftps 990 FTP-Điều khiển Telnets 992 TELNET TLS/SSL Imaps 994 IRC TLS/SSL Pop3s 995 POP3 TLS/SSL Lê Đình Thắng – 51k2 – Khoa CNTT 40 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Ngoài số ứng dụng phổ biến SSL bảo mật Remote Desktop Protocol cho kết nối Terminal Service, Http cho Outlook Wed Access hay Smtp/Imap/Pop3 cho mail, ứng dụng quan trọng SSL mà không nhắc tới SSL VPN Đó lý khơng nhà cung cấp thiết bị mạng phần cứng đua việc phát sản phẩm hỗ trợ SSL VPN mà nhà cung cấp thiết bị mạng “ mền “ Microsoft đưa sản phẩm Windows Server 2008/2012 ( r2 ) Windows 7/8 với chế Secure Socket Tunneling Protocol ( SSTP ) 3.2 Phƣơng pháp công HTTP Thiết bị: Máy server A : Ip : 192.168.126.128 Xây dựng trang web có giao diện đăng nhập tài khoản Máy Victim: Ip : 192.168.126.126 Truy cập vào web server A Máy Attacker: Ip : 192.168.126.125 Cài đặt Cain & Abel Wireshark để bắt gói tin Tiền hành: Máy victim truy cập vào web http Máy attacker dùng phần mền cain wireshark để nghe bắt gói tin Quy trình: Máy server Lê Đình Thắng – 51k2 – Khoa CNTT 41 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Xây dựng web có tên miền www.vinhuni.edu.vn thành cơng Máy Victim truy cập vào web Máy Attacker dùng Cain & Abel Như tên tài khoản mật bị hacker lấy - 3.3 Một số giải pháp phòng chống Cài đặt openSSL - Cài CA certificate ( MyCA ) Cài cho IIS dùng MyServer Lê Đình Thắng – 51k2 – Khoa CNTT 42 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.4 Triển khai SSL bảo mật web server Demo phương pháp (cài đặt SSL , HTTPS tren IIS ) Để cài đặt ssl cho website, việc bạn phải tạo CSR (Certificate Signing Request), sử dụng CSR để tạo key nhà cung cấp chứng Verisign, Thawte, Comodo, Geotrust … Các bước tạo CSR IIS7 làm sau: - Vào Start –> Administrative Tools –> Internet Information Services (IIS) Manager - Nhấn vào tên máy chủ - Từ khung giữa, nhấp đúp vào nút “Server Certificates” Từ trình đơn “Actions” bên phải, nhấn “Create Certificate Request.” để mở cửa sổ Request Certificate Trong cửa sổ “Distinguished Name Properties“, nhập thông tin sau: Common Name – Tên mà chứng truy cập (thường tên miền đầy đủ dạng FQDN; chẳng hạn www.vinhuni.edu.vn hay forum.domain.com) Organization – Tên công ty/tổ chức bạn Organizational unit – Tên phận thuộc tổ chức/công ty (thường “IT,” “Web Security,”) City/locality – Tên thành phố mà công ty/tổ chức bạn đặt State/province – Tên tiểu bang mà công ty/tổ chức bạn đặt Country/region – Tên quốc gia mà công ty/tổ chức bạn đặt Nhấn Next Lê Đình Thắng – 51k2 – Khoa CNTT 43 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Trong cửa sổ “Cryptographic Service Provider Properties” window, để mặc định (Microsoft RSA SChannel 2048) nhấn Next Tiếp theo Từ trình đơn “Actions“, nhấn “Complete Certificate Request.” để mở cửa sổ Complete Certificate Request Nhấn “OK” để cài đặt chứng Từ cửa sổ IIS, chọn tên trang web áp dụng bảo mật SSL Từ trình đơn “Actions“, nhấn “Bindings.” để mở cửa sổ “Site Bindings“ Trong cửa sổ “Site Bindings“, nhấn nút “Add…“ Lê Đình Thắng – 51k2 – Khoa CNTT 44 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Trong danh sách “Type” chọn https Ở danh sách “SSL Certificate” định chứng số cài đặt thành công Như chứng SSL cài đặt bạn thử truy cập vào website giao thức https Bây mở trình duyệt máy Victim truy cập vào trang web thiết lập SSL Nếu thấy biểu tường hình cài đặt thành cơng Lê Đình Thắng – 51k2 – Khoa CNTT 45 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Lê Đình Thắng – 51k2 – Khoa CNTT 46 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN & ĐỊNH HƢỚNG PHÁT TRIỂN Kết luận Sau thời gian thực hiện,e m hoàn thành đề tài đạt số kết định Trong đề tài này, em trình bày kiến thức chứng số SSL tầm quan trọng chứng số việc xác thực an tồn thơng tin mạng Đề tài tập trung chủ yếu vào vấn đề: Tổng quan chứng số SSL giao thức sử dụng SSL, ứng dụng quan trọng SSL, số giải pháp phòng chống cách tạo chứng số SSL Windows Server 2008R2 cho website Kết đạt được: Về lý thuyết: Em tìm hiểu Tổng quan chứng số SSL giao thức sử dụng SSL, ứng dụng quan trọng SSL giao thức SSL Ưu nhược điểm SSL Nêu tầm quan trọng chứng số SSL bảo mật an tồn thơng tin mạng Về thực hành: Em triển khai thành công cách tạo chứng số SSL cho website Windows Server 2008R2 Hƣớng phát triển Hoàn thành đồ án với kết đạt tương đối theo yêu cầu đề tài đưa Tuy nhiên trình thực mức độ khó phức tạp đề tài nên tìm hiểu có nhiều chỗ em làm rõ mong thầy góp ý để đồ án em hồn chỉnh đầy đủ Em xin đưa số hướng phát triển đề tài sau: + Áp dụng chứng số vào tất website liên quan tới thương mai điện tử, thông tin cá nhân cần độ tin cậy lớn với an toàn liệu an ninh cao + Và đơn vị em muốn áp dụng vào trường em học tập rèn luyện với trang web : www.student.vinhuni.edu.vn www.vinhuni.edu.vn để đảm bảo tài khoản sinh viên thầy ln giữ bí mật Em xin chân thành cảm ơn Lê Đình Thắng – 51k2 – Khoa CNTT 47 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] GS.TS Phan Đình Diệu Lý thuyết mật mã an tồn thơng tin [2] Đàm Mạnh Hùng Các hệ mã hoá ứng dụng thương mại điện tử Khoá luận tốt nghiệp Hà Nội, 2004 [3] PGS.TS Trịnh Nhật Tiến Giáo trình an tồn liệu Tài liệu tiếng Anh [4] Network Security with OpenSSL O‟Reilly & Associates, Inc, 2002 [5] Stephen Thomas SSL & TLS Essentials Securing the Web 2000 Lê Đình Thắng – 51k2 – Khoa CNTT 48 ... HIỂU CHUNG VỀ CHỨNG CHỈ SỐ SSL( Secure Socket Layer) 1.1 Tổng quan chứng số SSL 1.1.1 Chứng số, SSL gì? 1.1.2 Cơ SSL 1.3 Chứng thực SSL Server ... sử dụng SSL, ứng dụng quan trọng SSL giao thức SSL Ưu nhược điểm SSL Nêu tầm quan trọng chứng số SSL bảo mật an tồn thơng tin mạng Về thực hành: Em triển khai thành công cách tạo chứng số SSL. .. thức sử dụng SSL, ứng dụng quan trọng SSL, số giải pháp phòng chống cách tạo chứng số SSL Windows Server 2008R2 cho website Kết đạt được: Về lý thuyết: Em tìm hiểu Tổng quan chứng số SSL giao