Trường Đại Học Công Nghệ Thông Tin – ĐHQG Tp.HCM Khoa Mạng Máy Tính và Truyền Thông  MÔN ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN CHYÊN ĐỀ 24 XÂY DỰNG MẠNG TIN CẬY (BUILDING TRUSTED NETWORKS) Giảng viên hướng dẫn: Ths. Tô Nguyễn Nhật Quang Nhóm 1: Nguyễn Tấn Thành - 08520357 Nguyễn Đức Trung - 08520432 Mẫn Văn Thắng - 08520370 Nguyễn Hinh - 08520123 Lê Xuân Vũ – 08520481 HCM, 04/2012 Mục lục Danh sách hình Danh sách bảng LỜI NÓI ĐẦU Đây là chuyên đề cuối cùng trong loạt chuyên đề của giáo trình SCNA, nó là sự tổng hợp các kiến thức đã được giới thiệu trong các nhóm trước. Nội dung của chuyên đề này chủ yếu đi thẳng vào việc xây dựng và triển khai một môi trường tin cậy giữa hai mạng nhỏ là Windows và Linux. Nhưng trước tiên ta cần tìm hiểu lại các khía cạnh của mạng tin cậy bao gồm: nó là gì? nó có cần thiết không? Các thành phần của nó? Sau đó kiến thức cơ bản về hạ tầng khóa công khai (PKI) là hệ thống cung cấp các dịch vụ cho mạng tin cậy cũng sẽ được đề cập. Phần cuối cùng sẽ trình bày các bước cài đặt và cấu hình một mạng tin cậy dựa trên một mô hình với các yêu cầu cụ thể. Nhóm 1 xin chân thành cảm ơn sự hướng dẫn tận tình của thầy Tô Nguyễn Nhật Quang cũng như sự góp ý từ các bạn trong lớp trong quá trình thực hiện chuyên đề này. 1. GIỚI THIỆU VỀ MẠNG TIN CẬY 1.1 Sự cần thiết của mạng tin cậy Nhiều năm trước đây và cả bây giờ, vẫn còn nhiều người có khái niệm chưa đầy đủ và chuẩn xác về an toàn mạng. Họ cho là chỉ cần mua về một sản phẩn firewall nào đó, thay đổi một vài cấu hình cho nó và coi như mạng của họ đã trở nên an toàn. Nếu tổ chức của họ quan tâm nhiều hơn đến bảo mật mạng, một hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) cùng với hệ thống anti-virus sẽ được triển khai thêm. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 2 Các thành phần đó (IDS/IPS, firewall, antivirus) cùng nhau tạo nên một hệ thống bảo vệ vững chắc cho ngoại vi của mạng. Mặc dù vậy chúng vẫn là chưa đủ để đáp ứng các yêu cầu kết nối an toàn cho một thế giới mạng phức tạp như ngày nay. Hình 1 – Các lớp phòng thủ ngoại vi của mạng An toàn mạng ngày nay có thể được định nghĩa như là việc đảm bảo an toàn (bao gồm sự bí mật, tính toàn vẹn và độ sẵn sàng) cho các phiên truyền thông trên mạng và bảo vệ ngoại vi của mạng. Khi mà các mạng bên ngoài thường không đáng tin cậy thì các công cụ và kỹ thuật trên vẫn rất quan trọng nhưng chúng chỉ có thể giúp kiểm soát, sàng lọc các lưu lượng mạng vào và ra mạng nội bộ của tổ chức. Dưới đây, chúng ta sẽ xem xét những thách thức và mục tiêu mà thực tế một doanh nghiệp ngày nay thường gặp phải để từ đó thấy được việc phòng thủ ngoại vi cho mạng thôi là chưa đủ. Doanh nghiệp có nhiều khách hàng ở các châu lục, đất nước, vùng miền khác nhau. Mỗi khách hàng cần có khả năng trao đổi thông tin với doanh nghiệp một cách nhanh nhất có thể. Một cách để đạt được điều này là cung cấp cho họ một kết nối trực tiếp vào mạng doanh nghiệp. Điều này có nghĩa rằng các khách hàng cũng như các nhà cung cấp, đối tác cần truy cập tới các thông tin không chỉ ở dạng công khai, như website, mà còn là các thông tin ở dạng bí mật của doanh nghiệp. Những thông tin bí mật này được lưu trữ bên trong hệ thống mạng của doanh nghiệp thay vì nằm trên các máy chủ công cộng như webserver. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 3 Hình 2 – Mô hình mạng Extranet điển hình Đến đây ta cần đặt ra các câu hỏi: những người dùng bên ngoài tổ chức đó cụ thể là những ai và làm sao để tin cậy được các kênh truyền thông của họ? Các kênh truyền thông tin cậy, an toàn luôn là một yêu cầu cần thiết. Vì vậy mà cần có cơ chế để đảm bảo không ai có thể đọc trộm được những thông tin bí mật trên kênh truyền. Và cũng cần có biện pháp để chắc rằng không ai có thể giả dạng là một người dùng có quyền truy cập hợp pháp vào mạng của tổ chức. Giải quyết được các câu hỏi trên chính là ta đã hình thành được cái gọi là mạng tin cậy rồi. Tóm lại, mạng tin cậy cần đạt được các mục tiêu sau: • Có khả năng thiết lập được các kênh truyền thông an toàn giữa 2 điểm đầu cuối bất kỳ, như giữa các nhân viên, khách hàng và đối tác. • Có khả năng nhận dạng được bất kỳ yêu cầu kết nối, truy cập nào là hợp lệ hay không hợp lệ. • Có khả năng xác thực người dùng, thiết bị. 1.2 Các yêu cầu và thành phần của mạng tin cậy Khi thực hiện chuyển dịch từ một mạng hướng phòng thủ sang mạng tin cậy thì cần đáp ứng một vài dịch vụ/yêu cầu bảo mật thiết yếu sau: • Nhận dạng • Xác thực • Cấp phép • Bảo mật • Toàn vẹn • Không thể chối từ Nếu không có khả năng đảm bảo tất cả các dịch vụ trên vận hành chính xác trong mạng thì không thể thiết lập được một mạng tin cậy một cách đầy đủ. Còn trong các mạng hướng phòng Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 4 thủ thì chú trọng tới các dịch vụ sau mà thôi: bí mật, toàn vẹn và xác thực. Dưới đây sẽ bàn thêm về 6 dịch vụ trên. Nhận dạng (Identification) là bước đầu tiên trong quá trình xác thực, một đối tượng sẽ cung cấp một vài dữ liệu dùng để nhận dạng nó (như tên người dùng, mật khẩu, mã PIN, vân tay,…) cho dịch vụ xác thực. Xác thực (Authentication) là quá trình xác định xem ai hoặc thứ gì đó có thực sự là người (hoặc là thứ) mà nó tuyên bố hay không. Hay nói cách khác, đây là việc xác minh nhận dạng của một người, một thiết bị, một chương trình… nào đó. Cấp phép (Authorization) là quá trình xác định xem đối tượng (đã được xác thực) được phép làm những gì. Bước này thường xảy ra sau bước xác thực ở trên. Bảo mật (Confidentiality) là việc đảm bảo tính bí mật, chỉ để những người được cấp phép mới có thể đọc được thông tin mang tính riêng tư. Toàn vẹn (Integrity) là việc đảm bảo tính chính xác và tin cậy của thông tin, và bất kỳ sự thay đổi trái phép nào tới thông tin sẽ được phát hiện và ngăn chặn. Chống chối từ (Non-repudiation) là việc đảm bảo rằng đối tượng đã gửi đi thông điệp không thể phủ nhận việc gửi đó và ngược lại, đối tượng đã nhận được thông điệp cũng không thể phủ nhận là chưa biết đến thông điệp đó. Để triển khai những dịch vụ trên thì cần tới các công nghệ cốt lõi sau: • Mật mã • Chứng thực mạnh • Chữ ký số • Chứng chỉ số Các công nghệ này gắn kết với nhau để cùng xây dựng nên một mạng tin cậy. Mật mã Đây là thành phần có vai trò rất quan trọng, là trái tim của bất cứ mạng tin cậy nào. Nó giúp đảm bảo bảo mật và toàn vẹn cho các thông điệp, cũng như nhận dạng và xác thực các đối tượng tham gia vào phiên truyền thông. Về cơ bản, mật mã được phân làm 2 loại chính: mã hóa đối xứng và mã hóa bất đối xứng. Loại mã hóa đối xứng thường được gọi là mật mã khóa bí mật và cả hai bên đều sử dụng cùng một khóa để mã hóa và giải mã thông tin. Các thuật toán mã hóa đối xứng phổ biến như 3DES, AES, RC5. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 5 Còn loại mã hóa bất đối xứng còn được gọi là mật mã khóa công khai và cần sử dụng một cặp khóa để mã hóa và giải mã. Nếu mã hóa bằng khóa thứ nhất (gọi là khóa công khai) thì chỉ có thể giải mã bằng khóa thứ hai (gọi là khóa bí mật) và ngược lại. DSA, RSA, Diffie-Hellman là ví dụ về các thuật toán mã hóa bất đối xứng nổi tiếng. Ngoài ra trong mật mã còn có kỹ thuật băm một chiều (one-way hash) là một hàm nhận vào một thông điệp có chiều dài bất kỳ và tạo ra một chuỗi có chiều dài cố định được gọi là giá trị băm. Ví dụ, giá trị mà giải thuật băm MD5 tạo ra luôn là 128-bit, với SHA-1 là 160-bit. Hàm băm một chiều làm việc mà không cần sử dụng bất kỳ khóa nào và đặc biệt, từ kết quả băm cuối cùng thì rất khó (thường không thể) lần ngược lại thông điệp gốc ban đầu. Nó thường được dùng để kiểm tra tính toàn vẹn của thông điệp, tập tin. Chứng thực mạnh Để thỏa mãn yêu cầu này, hệ thống chứng thực cần phải sử dụng ít nhất 2 trong 3 yếu tố sau: Thứ mà bạn biết (something you know): mật khẩu hoặc mã PIN là ví dụ điển hình cho phương thức chứng thực phổ biến nhất này. Cách này thì rẻ tiền, dễ triển khai nhưng có nhược điểm là nếu ai đó biết được bí mật này thì họ có thể đạt được quyền truy cập vào hệ thống. Thứ mà bạn có (something you have): ví dụ cho phương thức chứng thực này là thẻ ATM, thẻ thông minh, thẻ truy cập, phù hiệu v.v… Hạn chế của cách này là những vật đó có thể bị mất hoặc đánh cắp và bị ai đó lạm dụng để truy cập trái phép vào hệ thống. Đặc điểm duy nhất trên cơ thể bạn (something you are): là cách nhận diện dựa trên thuộc tính vật lý duy nhất của một người như võng mạc mắt, dấu vân tay. Phương pháp chứng thực này hiệu quả vì khó giả mạo hay sao chép nhưng lại mắc tiền để triển khai. Các phương pháp chứng thực 2 yếu tố (two-factor authentication) trong thực tế thường thấy như sự kết hợp giữa mật khẩu với thẻ truy cập hoặc thẻ thông minh với sinh trắc học mang lại sự tin cậy, an toàn hơn chỉ là sử dụng tên người dùng và mật khẩu để đăng nhập vào hệ thống. Các kỹ thuật trong mật mã cũng được ứng dụng rộng rãi vào các phương thức xác thực như Kerberos, RADIUS, CHAP, NTLM, v.v… Chữ ký số Được tạo ra sử dụng kết hợp giữa hàm băm và mật mã khóa công khai để đảm bảo tính toàn vẹn, giúp xác thực nguồn gốc của thông điệp và đồng thời bên gửi không thể chối từ việc đã tạo ra thông điệp đó. Nó là một giá trị băm của thông điệp được mã hóa bằng khóa bí mật của bên gửi rồi được đính kèm với thông điệp gốc. Bên nhận sẽ dùng khóa công khai của bên gửi để giải mã phần chữ ký ra được giá trị băm của thông điệp rồi đối chiếu với giá trị mà nó thu được từ việc thực hiện lại hàm băm trên thông điệp gốc. Nếu hai giá trị đó giống nhau thì bên nhận có thể tin cậy được rằng thông điệp không bị thay đổi và nó chỉ được gửi từ bên sở hữu khóa công khai ở trên. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 6 Chứng chỉ số Là một tập tin giúp chắc chắn rằng khóa công khai thuộc về một thực thể nào đó như người dùng, tổ chức, máy tính và điều này được xác minh bởi một bên thứ ba đáng tin cậy thường gọi là CA (Certificate Authorities). Chứng chỉ số chứa các thông tin nhận dạng về thực thể như tên, địa chỉ, khóa công khai (cùng nhiều thông tin khác) và được ký số bởi khóa bí mật của CA. Cuối cùng, tất cả 6 dịch vụ và 4 công nghệ nói trên được cung cấp và triển khai bởi một hạ tầng khóa công khai (Public Key Infrastructure - PKI) làm nền tảng cho các mạng tin cậy mà chúng ta sẽ cùng tìm hiểu trong phần 2 của chuyên đề này. 2. CƠ BẢN VỀ HẠ TẦNG KHÓA CÔNG KHAI Dựa trên nền tảng của mật mã khóa công khai, PKI là một hệ thống bao gồm phần mềm, dịch vụ, chuẩn định dạng, giao thức, quy trình, chính sách để giúp đảm bảo an toàn, tin cậy cho các phiên truyền thông. PKI đáp ứng các yêu cầu về xác thực, bảo mật, toàn vẹn, chống chối từ cho các thông điệp được trao đổi. 1.3 Các thành phần của PKI Ngoài các thành phần cơ bản đã được đề cập ở phần 1 là chứng chỉ số, chữ ký số và mật mã. PKI còn được tạo nên bởi các thành phần chức năng chuyên biệt sau: • Certificate Authority • Registration Authority • Certificate Repository và Archive • Security Server • PKI-enabled applications và PKI users Certificate Authority (CA): là một bên thứ được tin cậy có trách nhiệm tạo, quản lý, phân phối, lưu trữ và thu hồi các chứng chỉ số. CA sẽ nhận các yêu cầu cấp chứng chỉ số và chỉ cấp cho những ai đã xác minh được nhận dạng của họ. Registration Authority (RA): đóng vai trò trung gian giữa CA và người dùng. Khi người dùng cần chứng chỉ số mới, họ gửi yêu cầu tới RA và RA sẽ xác nhận tất cả các thông tin nhận dạng cần thiết trước khi chuyển tiếp yêu cầu đó tới CA để CA thực hiện tạo và ký số lên chứng chỉ rồi gửi về cho RA hoặc gửi trực tiếp cho người dùng. Certificate Repository và Archive: có 2 kho chứa quan trọng trong kiến trúc của PKI. Đầu tiên là kho công khai lưu trữ và phân phối các chứng chỉ và CRL (chứa danh sách các chứng chỉ không còn hiệu lực). Cái thứ 2 là một cơ sở dữ liệu được CA dùng để sao lưu các khóa hiện đang sử dụng và lưu trữ các khóa hết hạn, kho này cần được bảo vệ an toàn như chính CA. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 7 Security Server: là một máy chủ cung cấp các dịch vụ quản lý tập trung tất cả các tài khoản người dùng, các chính sách bảo mật chứng chỉ số, các mối quan hệ tin cậy (trusted relationship) giữa các CA trong PKI, lập báo cáo và nhiều dịch vụ khác. PKI-enabled applications và PKI users: bao gồm các người dùng sử dụng các dịch vụ của PKI và các phần mềm có hỗ trợ cài đặt và sử dụng các chứng chỉ số như các trình duyệt web, các ứng dụng email chạy phía máy khách. 1.4 Các kiến trúc triển khai PKI Tùy vào các yêu cầu, quy mô và khả năng của từng tổ chức mà có thể chọn triển khai một trong 3 mô hình PKI phổ biến sau: • Hierarchical PKI • Mesh PKI • Single CA Single CA Hình 3 – Kiến trúc Single CA Đây là mô hình PKI cơ bản nhất phù hợp với các tổ chức nhỏ trong đó chỉ có một CA cung cấp dịch vụ cho toàn hệ thống và tất cả người dùng đặt sự tin cậy vào CA này. Mọi thực thể muốn tham gia vào PKI và xin cấp chứng chỉ đều phải thông qua CA duy nhất này. Mô hình này dễ thiết kế và triển khai nhưng cũng có các hạn chế riêng. Thứ nhất là ở khả năng co giãn – khi quy mô tổ chức được mở rộng, chỉ một CA thì khó mà quản lý và đáp ứng tốt các dịch vụ. Hạn chế thứ hai là CA này sẽ là điểm chịu lỗi duy nhất, nếu nó ngưng hoạt động thì dịch vụ bị ngưng trệ. Cuối cùng, nếu nó bị xâm hại thì nguy hại tới độ tin cậy của toàn bộ hệ thống và tất cả các chứng chỉ số phải được cấp lại một khi CA này được phục hồi. Trust List Nếu có nhiều CA đơn lẻ trong tổ chức nhưng lại không có các trust relationship giữa các CA được tạo ra thì bằng cách sử dụng trust list người dùng vẫn có thể tương tác với tất cả các CA. Lúc này các người dùng sẽ duy trì một danh sách các CA mà họ tin cậy. Các CA mới về sau có thể dễ dàng được thêm vào danh sách. Phương thức này tuy đơn giản nhưng cũng sẽ tốn thời gian để cập nhật hết các CA cho một lượng lớn người dùng, mặt khác nếu một CA nào đó bị thỏa hiệp thì không có một hệ thống cảnh báo nào báo cho những người dùng mà tin cậy CA đó biết được sự cố này. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 8 Hierarchical PKI Đây là mô hình PKI được áp dụng rộng rãi trong các tổ chức lớn. Có một CA nằm ở cấp trên cùng gọi là root CA, tất cả các CA còn lại là các Subordinate CA (gọi tắt là sub. CA) và hoạt động bên dưới root CA. Ngoại trừ root CA thì các CA còn lại trong đều có duy nhất một CA khác là cấp trên của nó. Hệ thống tên miền DNS trên Internet cũng có cấu trúc tương tự mô hình này. Hình 4 – Kiến trúc Hierarchical PKI Tất cả các thực thể (như người dùng, máy tính) trong tổ chức đều phải tin cậy cùng một root CA. Sau đó các trust relationship được thiết lập giữa các sub. CA và cấp trên của chúng thông qua việc CA cấp trên sẽ cấp các chứng chỉ cho các sub. CA ngay bên dưới nó. Lưu ý, root CA không trực tiếp cấp chứng chỉ số cho các thực thể mà chúng sẽ được cấp bởi các sub. CA. Các CA mới có thể được thêm ngay dưới root CA hoặc các sub. CA cấp thấp hơn để phù hợp với sự thay đổi trong cấu trúc của tổ chức. Sẽ có các mức độ tổn thương khác nhau nếu một CA nào đó trong mô hình này bị xâm hại. Trường hợp một sub. CA bị thỏa hiệp thì CA cấp trên của nó sẽ thu hồi chứng chỉ đã cấp cho nó và chỉ khi sub. CA đó được khôi phục thì nó mới có thể cấp lại các chứng chỉ mới cho người dùng của nó. Cuối cùng, CA cấp trên sẽ cấp lại cho nó một chứng chỉ mới. Nếu root CA bị xâm hại thì đó là một vấn đề hoàn toàn khác, toàn bộ hệ thống PKI sẽ chịu ảnh hưởng. Khi đó tất cả các thực thể cần được thông báo về sự cố và cho đến khi root CA được phục hồi và các chứng chỉ mới được cấp lại thì không một phiên truyền thông nào là an toàn cả. Vì thế, cũng như single CA, root CA phải được bảo vệ an toàn ở mức cao nhất để đảm bảo điều đó không xảy ra và thậm chí root CA có thể ở trạng thái offline – bị tắt và không được kết nối vào mạng. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 9 Mesh PKI Nổi lên như một sự thay thế chính cho mô hình Hierarchical PKI truyền thống, thiết kế của Mesh PKI giống với kiến trúc Web-of-Trust trong đó không có một CA nào làm root CA và các CA sẽ có vai trò ngang nhau trong việc cung cấp dịch vụ. Tất cả người dùng trong mạng lưới có thể tin cậy chỉ một CA bất kỳ, không nhất thiết hai hay nhiều người dùng phải cùng tin một CA nào đó và người dùng tin cậy CA nào thì sẽ nhận chứng chỉ do CA đó cấp. Hình 5 – Kiến trúc Mesh PKI Các CA trong mô hình này sau đó sẽ cấp các chứng chỉ cho nhau. Khi hai CA cấp chứng chỉ cho nhau thì một sự tin cậy hai chiều được thiết lập giữa hai CA đó. Các CA mới có thể được thêm vào bằng cách tạo các mối tin cậy hai chiều giữa chúng với các CA còn lại trong mạng lưới. Vì không có một CA duy nhất làm cấp cao nhất nên sự tổn hại khi tấn công vào mô hình này có khác so với hai mô hình trước đó. Hệ thống PKI không thể bị đánh sập khi chỉ một CA bị thỏa hiệp. Các CA còn lại sẽ thu hồi chứng chỉ mà chúng đã cấp cho CA bị xâm hại và chỉ khi CA đó khôi phục hoạt động thì nó mới có khả năng cấp mới các chứng chỉ cho người dùng rồi thiết lập trust với các CA còn lại trong mạng lưới. Trên đây là tổng quan các vấn đề trong PKI, còn nhiều nội dung khác về hạ tầng này mà không tiện đề cập do sẽ vượt ra khỏi trọng tâm của chuyên đề. Ở phần tiếp theo sẽ trình bày việc xây dựng và triển khai một môi trường tin cậy giữa hai mạng nhỏ Windows và Linux để giúp các máy trạm trao đổi thông tin một cách an toàn. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 1 0 [...]... Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks 3 XÂY DỰNG VÀ TRIỂN KHAI MỘT MẠNG TIN CẬY Đây là phần tổng hợp và áp dụng các kiến thức từ các chuyên đề trước như Cryptography and Data Security, Secure Email, Planning A Trusted Network, v.v… Chúng ta sẽ từng bước xây dựng hai mạng nhỏ là Windows và Linux, cả hai đều cần tới các chứng chỉ số nếu muốn truy cập tài nguyên hay trao đổi thông điệp... 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks Hình 31 – Tải về chứng chỉ cho máy trạm Linux 7 Thực hiện Import chứng chỉ vừa tải về ở trên vào trình duyệt với, với mật khẩu bảo vệ là thangmv90 Hình 32 – Import chứng chỉ của máy trạm Linux vào trình duyệt web Môn UDTT & ANTT | Nhóm 1 3 3 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy 1.6.4 Building Trusted Networks Tạo Cross Trust Môi trường mạng tin cậy. .. /force Môn UDTT & ANTT | Nhóm 1 3 4 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks Hình 34 – Import chứng chỉ của Linux Root CA trong Default GPO 7 Thử sao chép chứng chỉ của LinuxRootCA qua máy WinClient1 và mở nó, ta sẽ thấy chứng chỉ này đã được tin cậy Hình 35 – Kiểm tra các máy Windows trong domain đã tin cậy chứng chỉ của Linux Root CA Môn UDTT & ANTT | Nhóm 1 3 5 Chuyên Đề 24 - Xây. .. và cấu hình email server và các email client để trao đổi email an toàn giữa 2 mạng Windows và Linux 1.5 Mô hình và yêu cầu chuẩn bị Để đạt được các mục tiêu ở trên, trong bài thực hành này cần chuẩn bị 7 máy Mô hình mạng logic và các yêu cầu chuẩn bị cho từng máy như sau: Hình 6 – Mô hình triển khai mạng tin cậy Môn UDTT & ANTT | Nhóm 1 1 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Tên máy tính Tên đầy... smartcard để đăng nhập vào domain là một biện pháp chứng thực mạnh (gồm 2 yếu tố là mật khẩu và smartcard) giúp tăng cường độ tin cậy cho mạng Bước 2-5: Cấu hình đăng nhập với smartcard Thực hiện tại máy RootCA 1 2 Mở Active Directory Users and Computers Nhấn đúp vào tài khoản winuser1 để mở cửa sổ Properties của nó Môn UDTT & ANTT | Nhóm 1 1 9 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy 3 4 Building Trusted... ejbca_4_0_9/conf/ejbca.properties Build và deploy EJBCA cho JBoss #cd ejbca_4_0_9 #ant bootstrap Mở một cửa sổ Termnial mới là jboss và khởi chạy JBoss #jboss-5.1.0.GA/bin/run.sh Trở lại cửa sổ ejbca và chạy lệnh sau để khởi tạo CA Môn UDTT & ANTT | Nhóm 1 2 9 >> Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks #ant install Tới đây, khi được hỏi cung cấp các thông số, ta nhập vào như sau: - CA name:... https://linrootca.uit.vm:8443/ejbca Tại nhóm Miscellaneous, chọn Administration Môn UDTT & ANTT | Nhóm 1 3 1 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy 2 3 Building Trusted Networks Tại nhóm RA Functions, chọn Add End Entity Khung bên phải, nhập vào các thông tin sau: - End entity profile: EMPTY - Username: linclient1 - Password: thangmv90 - Email address: linclient1@uit.vm - CN, Common name: LinClient1 - O, Organization: UIT - C, Country:... C:\sslwebcert.cer Hình 24 – Cài đặt chứng chỉ SSL cho website 8 Dưới Secure Communications, nhấn Edit rồi đánh dấu vào mục Require Secure Channel và Require 128-bit Encryption Môn UDTT & ANTT | Nhóm 1 2 7 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks Hình 25 – Bắt buộc người dùng truy cập webiste qua SSL 9 10 11 12 Qua tab Web Site và nhập 443 vào ô SSL Port Nhấn OK Thực hiện Start... Encoded và nhấn Download CA certificate - Lưu file tại C:\sslwebcert.cer Môn UDTT & ANTT | Nhóm 1 2 6 Chuyên Đề 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks Hình 23 – Gửi yêu cầu cấp và tải về chứng chỉ cho website 7 Vào Properties của website sslweb, quay lại mục Secure communications, nhấn Server Certificate rồi lần lượt: - Chọn Process The Pending Request And Install The Certificate - Chọn chứng... 24 - Xây Dựng Mạng Tin Cậy Building Trusted Networks Bước 4-2: Trusting Windows Root CA Thực hiện trên 2 máy LinRootCA và RootCA 1 Tại máy RootCA, vào Certificates MMC, duyệt tới nhánh Trusted Root Certification Authorities và thực hiện Export chứng chỉ của UIT Root CA Sau đó sao chép nó sang máy LinRootCA Hình 36 – Export chứng chỉ của Windows Root CA 2 3 Tại máy LinRootCA, truy cập vào trang quản . Trường Đại Học Công Nghệ Thông Tin – ĐHQG Tp.HCM Khoa Mạng Máy Tính và Truyền Thông  MÔN ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN CHYÊN ĐỀ 24 XÂY DỰNG MẠNG TIN CẬY (BUILDING TRUSTED NETWORKS) Giảng. việc xây dựng và triển khai một môi trường tin cậy giữa hai mạng nhỏ Windows và Linux để giúp các máy trạm trao đổi thông tin một cách an toàn. Môn UDTT & ANTT | Nhóm 1 Chuyên Đề 24 - Xây Dựng. đọc được thông tin mang tính riêng tư. Toàn vẹn (Integrity) là việc đảm bảo tính chính xác và tin cậy của thông tin, và bất kỳ sự thay đổi trái phép nào tới thông tin sẽ được phát hiện và ngăn