Tải bản đầy đủ (.pdf) (63 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kỹ thuật

triển khai giải pháp tăng cường xác thực trong hệ thống quản trị tập trung dùng freeipa

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.7 MB, 63 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b>ĐẠI HỌC DUY TÂNTRƯỜNG KHOA HỌC MÁY TÍNH</b>

<b>KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THƠNGBỘ MƠN KỸ THUẬT MẠNG</b>

<b>KHĨA LUẬN TỐT NGHIỆP ĐẠI HỌC </b>

<i><b>Tên đề tài: </b></i>

<b>TRIỂN KHAI GIẢI PHÁP TĂNG CƯỜNG XÁC THỰCTRONG HỆ THỐNG QUẢN TRỊ TẬP TRUNG DÙNG</b>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>Đà Nẵng, 05/2021</b>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>LỜI CẢM ƠN</b>

Khóa luận này được thực hiện tại Trường Khoa học máy tính - Đại học Duy Tân dưới sự hướng dẫn của thầy Th.S Đặng Ngọc Cường. Tôi xin được gửi lời cảm ơn sâu sắc nhất đến thầy đã định hướng, giúp đỡ, quan tâm và tạo mọi điều kiện thuận lợi trong suốt quá trình nghiên cứu để hồn thành khóa luận này.

Tơi cũng xin gửi lời cảm ơn tới gia đình và bạn bè đã ln quan tâm và động viên giúp tơi có thêm nghị lực để có thể hồn thành được khóa luận này.

Dù đã có nhiều cố gắng, song khơng tránh khỏi thiếu sót, nên tơi rất mong nhận được những góp ý q báu của thầy cơ và các bạn để báo cáo khóa luận này được hồn thiện hơn.

Tôi xin chân thành cảm ơn!

Đà Nẵng, ngày 15 tháng 05 năm 2022

<b>Người thực hiện</b>

<b>Phan Hữu Minh Nhân</b>

i

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>LỜI CAM ĐOAN</b>

Tôi xin cam đoan:

a. Những nội dung trong khóa luận này là do tơi thực hiện dưới sự hướng dẫn trực tiếp của thầy Th.S Đặng Ngọc Cường.

b. Mọi tham khảo dùng trong khóa luận đều được trích dẫn rõ ràng và trung thực tên tác giả, tên cơng trình, thời gian, địa điểm cơng bố.

c. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm.

Đà Nẵng, ngày 15 tháng 05 năm 2022

<b>Người thực hiện</b>

<b>Phan Hữu Minh Nhân </b>

ii

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

1.3. Một số phương pháp xác thực Giới thiệu về IDS...3

1.3.1. Xác thực dựa trên định danh người dùng và mật khẩu...3

1.3.2. Sử dụng giao thức bắt tay có thử thách ( Challenge Handshake Authentication Protocol – CHAP )...4

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

2.3.1. Định nghĩa về PKI...15

2.3.2. Các khái niệm liên quan PKI...16

2.3.3. Vai trò và chức năng...19

2.4. Các thành phần chính của PKI...22

2.4.1. Tổ chức chứng nhận(Certificate Authority – CA)...24

2.4.2. Tổ chức đăng kí chứng nhận (Registration Authority – RA)...24

2.4.3. Thực thể cuối (End Entity – EE)...26

2.4.4. Chứng nhận khố cơng khai (Public Key Certificate)...26

2.4.5. Kho lưu trữ chứng nhận (Certificate Repository – CR)...26

2.5. Cách thức hoạt động của PKI...26

2.6. Các tiến trình trong PKI...27

2.6.1. Khởi tạo...27

2.6.2. Yêu cầu chứng thư số...27

2.6.3. Tạo lại chứng thư số...27

2.6.4. Hủy bỏ chứng thư số...28

2.6.5. Lưu trữ và phục hồi khóa...28

2.7. Ứng dụng của PKI...28

CHƯƠNG 3. TRIỂN KHAI GIẢI PHÁP TĂNG CƯỜNG XÁC THỰC TRONG HỆ THỐNG QUẢN TRỊ TẬP TRUNG DÙNG FREEIPA...30

3.1. Kịch bản và sơ đồ...30

3.2. Mơ hình triển khai...31

3.2.1. Định cấu hình FreeIPA server...31

3.2.2. Định cấu hình DNS...34

3.2.3. Cài đặt tài khoản người dùng FreeIPA...35

3.2.4. Định cấu hình Client FreeIPA...37

3.2.5. Hoạt động cơ bản của người dùng...38

3.2.6. Web FreeIPA dành cho quản trị viên...39

3.2.7. Định cấu hình bản sao FreeIPA...39

iv

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

3.2.8. Định cấu hình Cross Forest Trust giữa miền FreeIPA và miền

Windows Active Directory...41

3.2.9. Xác thực chứng chỉ PKI...44

3.3. Kết quả triển khai...47

3.4. Ưu điểm và hạn chế của hệ thống...48

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>Hình 2. 4: Quá trình xác thực dựa trên CA...24</b>

<b>Hình 3.1: Thêm tên miền FreeIPA server vào domain</b>...31

<b>Hình 3.2: Cài đặt FreeIPA server</b>...32

<b>Hình 3.3: Cài đặt máy chủ FreeIPA tích hợp DNS</b>...33

<b>Hình 3. 4: Giao diện DNS server</b>...34

<b>Hình 3.5: Thêm địa chỉ ip của FreeIPA server vào DNS server</b>...35

<b>Hình 3. 6: Tạo Username và password của người dùng</b>...35

<b>Hình 3.7: Đăng nhập vào User vừa tạo và xem id của người dùng</b>...36

Hình 3.8: Người dùng trong FreeIPA...36

Hình 3.9: Thêm tiền miền FreeIPA vào domain client...37

Hình 3.10: Cài đặt máy client FreeIPA...38

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>DANH MỤC TỪ VIẾT TẮT</b>

CSDL Cơ sở dữ liệu

TCP/IP Transmission Control Protocol /Internet Protocol PKI Public Key Infrastructure: Hạ tầng khóa cơng khai

CA Certification Authority: Tổ chức chứng thực RA Rigistration Authority: Tổ chức đăng ký EJBC Enterprise Java Beans Certificate Authority

Certificate Revocation List: Danh sách hủy bỏ chứng nhận

SHS Secure Hash Standard: Chuẩn băm bảo mật

SHA SHA Secure Hash Algorithm: Thuật toán băm bảo mật SSL Secure Sockets Layer

VPN Virtual Private Network

DN Distinguished Name: Tên phân biệt

Public Key Cryptography Standard: Chuẩn mật mã khóa cơng khai

PEM Privacy-enhanced Electronic Mail: Thư điện tử bảo mật CPS Certification Pratice Statement

DNS Domain Name System: Hệ thống tên miền

viii

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<b>LỜI MỞ ĐẦU1) Lý do chọn đề tài</b>

Ngày nay, với sự phát triển mạnh mẽ của Internet và mạng máy tính đã giúp cho việc trao đổi thông tin trở nên nhanh gọn, dễ dàng. Email cho phép việc nhận và gửi thư ngay trên thiết bị có kết nối Internet, E-business cho phép thực hiện giao dịch buôn bán trên mạng,…Tuy nhiên, thông tin quan trọng nằm ở kho dữ liệu hay trên đường truyền có thể bị trộm cắp, có thể bị làm sai lệch, có thể bị giả mạo gây ảnh hưởng lớn tới một tổ chức, các công ty hay cả một quốc gia. Đặc biệt, các giao dịch điện tử có nguy cơ xảy ra mất an toàn dẫn đến hậu quả tiềm ẩn rất lớn. Do vậy, để bảo mật các thơng tin truyền trên Internet thì xu hướng mã hóa được sử dụng thường xuyên. Trước khi truyền qua Intenet, thơng tin phải được mã hóa, khi đó kẻ trộm có chặn được thơng tin trong q trình truyền thì cũng khơng thể đọc được nội dung bởi vì thơng tin đã được mã hóa. Khi tới đích, thơng tin sẽ được người nhận giải mã.

Trước sự phát triển mạnh mẽ của công nghệ thông tin thì nhu cầu cho các phiên giao dịch và trao đổi thông tin điện tử cần bảo mật ngày càng tăng nên đã này sinh ra các vấn đề về an tồn như sau: bảo mật, tính tồn vẹn, xác thực, không chối bỏ. Để giải quyết các vấn đề này, khóa luận nghiên cứu về “ GIẢI PHÁP TĂNG CƯỜNG XÁC THỰC TRONG HỆ THỐNG FREEIPA”. Đặc biệt là giải pháp xác thực bằng chứng chỉ PKI thông qua Certmonger trong hệ thống FreeIPA

<b>2) Mục tiêu của đề tài</b>

Mục tiêu của đề tài này là nói về hoạt động của các hệ thống cơ sở hạ tầng quan trọng phụ thuộc rất nhiều vào cơ sở hạ tầng thơng tin, trong đó PKI đóng vai trò cơ bản trong việc hỗ trợ xác thực danh tính, chứng nhận kỹ thuật số, giao tiếp an tồn và ủy quyền đặc quyền. Vì PKI là một cơ chế tin cậy, nên để tránh những sai lầm trong việc ra quyết định đối với an ninh mạng, cần phải hiểu ngữ nghĩa của chứng nhận khóa cơng khai và cơ chế tin cậy PKI.

ix

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>3) Đối tượng và phạm vi nghiên cứu</b>

<b>Đối tượng nghiện cứu: Các hệ thống cơ sở hạ tầng, tất cả khách hàng của </b>

<b>Phạm vi nghiên cứu: Đề tài được nghiên cứu và xây dựng trên mô hình thử </b>

nghiệm. Sử dụng mơi trường ảo hóa

<b>4) Ý nghĩa khoa học và thực tiễn</b>

<b>Ý nghĩa khoa học: </b>

- Nắm vững các kiến thức về hệ thống xác thực - Xây dựng mơ hình dựa trên mã nguồn mở

- Nghiên cứu, đóng góp được thuật tốn của FreeIPA đến hệ thống máy tính. - FreeIPA là một hệ thống tích hợp được xây dựng dựa trên các cơng nghệ

hiện có và đáng tin cậy như LDAP và các giao thức chứng chỉ (PKI, CA,…), với một bộ công cụ mạnh mẽ nhưng đơn giản

<b>Ý nghĩa thực tiễn: </b>

- Tăng cường hệ thống xác thực dựa trên chứng chỉ PKI, CA,…. - Công cụ quản lý dòng lệnh đơn giản và dễ cài đặt, sử dụng

- Có thể xác thực và kiểm sốt truy cập của các hệ thống Linux và Unix - FreeIPA cung cấp một lớp thống nhất tất cả các dịch vụ riêng biệt này và đơn

giản hóa các tác vụ quản trị để quản lý người dùng, hệ thống và bảo mật

<b>5) Bố cục khóa luận</b>

Nội dung luận văn được chia thành 3 chương Chương 1: Tổng quan về hệ thống xác thực

Chương 2: Tổng quan về giải pháp xác thực trong hệ thống FreeIPA Chương 3: Triển khai giải pháp tăng cường xác thực trong hệ thống quản trị tập trung dùng FreeIPA

x

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG XÁC THỰC</b>

Trong chương này khóa luận giới thiệu tổng quan về mơ hình xác thực người dùng phổ biến nhất. Đồng thời cũng đưa ra các hiện trạng các mơ hình xác thực người dùng đang sử dụng trong các hệ thống hiện tại. Bố cục của khóa luận cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi đi vào chi tiết.Những mối đe dọa về bảo mật

Xác thực (Authentication) là việc xác lập hoặc chứng thực một thực thể (người nào đó hay một cái gì đó) đáng tin cậy, có nghĩa là những thơng tin do một người đưa ra hoặc về một cái gì đó là đúng đắn. Xác thực một đối tượng cịn có nghĩa là cơng nhận nguồn gốc của đối tượng, còn xác thực một người thường bao gồm việc thẩm tra nhận dạng cá nhân của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều yếu tố xác thực (authentication factor) làm minh chứng cụ thể.

Xác thực là khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động của một hệ thống thơng tin. Đó là một quy trình nhằm xác minh nhận dạng số (digital identity) của bên gửi thông tin (sender) trong liên lạc trao đổi, xử lý thông tin, chẳng hạn như một yêu cầu đăng nhập. Bên gửi cần phải xác thực có thể là một người sử dụng máy tính, bản thân một máy tính hoặc một phần mềm. Đầu tiên, hệ thống ln xác thực một thực thể khi nó cố gắng thử thiết lập liên lạc. Khi đó, nét nhận dạng của thực thể được dùng để xác định sự truy nhập của thực thể đó như một đặc quyền hoặc để đạt được sự sẵn sàng phục vụ. Đối với các giao dịch ngân hàng điện tử điển hình như giao dịch qua ATM/POS, giao dịch Online/Internet Banking, giao dịch Mobile Banking... thì xác thực là bắt buộc trong quản lý truy cập.

1

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

<b>Hình 1.1: Xác thực và Ủy Quyền</b>

Những yếu tố xác thực cho người sử dụng có thể được phân loại như sau:  Những cái mà người sử dụng sở hữu bẩm sinh, chẳng hạn như dấu vân tay hoặc

mẫu dạng võng mạc mắt, chuỗi ADN, mẫu dạng giọng nói, chữ ký, tín hiệu sinh điện đặc thù do cơ thể sống tạo ra, hoặc những định dạng sinh trắc học khác.

 Những cái người sử dụng có, chẳng hạn như chứng minh thư, chứng chỉ an ninh (security token), chứng chỉ phần mềm (software token) hoặc điện thoại di động.

 Những gì người sử dụng biết, chẳng hạn như mật khẩu (Password), mật ngữ (pass phrase) hoặc mã số định danh cá nhân (personal identification number - PIN).

Trong thực tế, nhiều khi một tổ hợp của những yếu tố trên được sử dụng, lúc đó người ta nói đến xác thực đa yếu tố. Chẳng hạn trong giao dịch ATM, thẻ ngân hàng và mã số định danh cá nhân (PIN) được sử dụng – trong trường hợp này là một trong các dạng xác thực hai yếu tố (two – factor authentication – 2FA).

2

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

<b>1.3.Một số phương pháp xác thực Giới thiệu về IDS</b>

Hiện nay, trong các giao dịch trực tuyến, một số phương pháp xác thực phổ biến gồm:

<b>1.3.1. Xác thực dựa trên định danh người dùng và mật khẩu</b>

Sự kết hợp của một cặp Username và Password là cách xác thực phổ biến nhất hiện nay. Với phương thức xác thực này, thông tin cặp Username và Password nhập vào được đối chiếu với dữ liệu đã được lưu trữ trên hệ thống. Nếu thơng tin trùng khớp thì người sử dụng được xác thực, cịn nếu khơng người sử dụng bị từ chối hoặc cấm truy cập. Phương thức xác thực này có tính bảo mật khơng cao, vì thơng tin cặp Username và Password dùng đăng nhập vào hệ thống mà ta gửi đi xác thực là trong tình trạng ký tự văn bản rõ, tức khơng được mã hóa và có thể bị chặn bắt trên đường truyền, thậm chí ngay trong quá trình nhập vào Password cịn có thể bị lộ do đặt quá đơn giản (dạng ‘123456’, ‘abc123’, v.v.) hoặc dễ đốn (tên, ngày sinh của người thân, v.v.).

<b>Hình 1.2: Xác thực dựa trên Username – Password</b>

3

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

 Tính xác thực (Authentication): PKI phải đảm bảo danh tính của thực thể được xác minh.

 Tính không thể chối từ (Non-Repudiation): PKI phải đảm bảo dữ liệu không thể bị không thừa nhận hoặc giao tác bị từ chối.

2.3.3.1. Xác thực

Về cơ bản, tính xác thực cung cấp 2 khía cạnh ứng dụng chính đó là định danh thực thể và định danh nguồn gốc dữ liệu.

 Định danh thực thể

Định danh thực thể đơn giản dùng để định danh thực thể xác định nào đó có liên quan. Do đó, trên thực tế, định danh thực thể thông thường sẽ tạo ra một kết quả cụ thể, sau đó, được sử dụng để thực hiện các hoạt động khác hoặc truyền thông khác.

Định danh thực thể bao gồm: một nhân tố và nhiều nhân tố.

Có rất nhiều cách để chứng minh định danh, ta có thể chia thành 4 loại sau: + Cái mà người dùng có (ví dụ thẻ thông minh hoặc thiết bị phần cứng). + Cái mà người dùng biết (ví dụ mật khẩu hoặc Pin).

+ Cái mà là người dùng hoặc gắn với người dùng (ví dụ dấu vân tay hoặc võng mạc mắt).

+ Cái mà người dùng thực hiện(ví dụ gõ các ký tự nào đó).

Có hai kiểu xác thực được biết đến như là định danh thực thể, đó là xác thực cục bộ và xác thực từ xa.

 Xác thực cục bộ:

Xác thực ban đầu của một thực thể tới môi trường cục bộ hầu như liên quan trực tiếp tới người dùng. Ví dụ như mật khẩu hoặc số định danh cá nhân (Pin) phải được nhập vào, sử dụng dấu vân tay để nhận dạng.

 Xác thực từ xa:

Xác thực của một thực thể tới môi trường ở xa: nghĩa là có thể hoặc khơng cần liên quan trực tiếp tới người dùng. Trên thực tế, hầu hết các hệ thống xác thực từ xa

20

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

phức tạp khơng hồn tồn liên quan tới người dùng vì rất khó để bảo vệ hệ thống xác thực mà đưa ra các thông tin xác thực nhạy cảm, ví dụ như mật khẩu hoặc dấu vân tay, và truyền trên một kênh không an toàn.

 Định danh nguồn gốc dữ liệu

Định danh nguồn gốc dữ liệu sẽ định danh một thực thể xác định nào đó như nguồn gốc dữ liệu được đưa ra. Hoạt động định danh này không phải là định danh cơ lập, cũng khơng phải hồn tồn là định danh cho mục đích thực hiện các hoạt động khác.

2.3.3.2. Bí mật

Dịch vụ bí mật đảm bảo tính riêng tư của dữ liệu. Khơng ai có thể đọc được dữ liệu ngoại trừ thực thể nhận. Dịch vụ bí mật được yêu cầu khi dữ liệu được lưu trữ trên phương tiện (như phần cứng máy tính) mà người dùng khơng hợp pháp có thể đọc được. Được dự phịng trên thiết bị (ví dụ băng từ) mà có thể bị rơi vào tay người dùng không hợp pháp. Được truyền trên mạng không được bảo vệ.

Các kỹ thuật mật mã đảm bảo tính bí mật cần phải được áp dụng với mọi loại dữ liệu nhạy cảm.

2.3.3.3. Toàn vẹn dữ liệu

Toàn vẹn dữ liệu đảm bảo rằng dữ liệu không bị thay đổi. Sự đảm bảo này là một phần thiết yếu trong bất kỳ môi trường thương mại điện tử hoặc loại hình kinh doanh nào. Mức độ tồn vẹn dữ liệu có thể đạt được bằng các cơ chế chẵn lẻ của các bit và mã kiểm tra dịch vòng (Cyclic Redundancy Codes - CRCs)

Để bảo vệ dữ liệu khỏi tấn cơng nhằm phá vỡ tính tồn vẹn dữ liệu, các kỹ thuật mật mã được sử dụng. Do đó, khóa và các thuật tốn phải được triển khai và phải được biết giữa các thực thể muốn cung cấp tính tồn vẹn dữ liệu với thực thể muốn được đảm bảo tính tồn vẹn của dữ liệu.

Dịch vụ tồn vẹn của PKI có thể xây dựng dựa trên hai kỹ thuật: + Chữ ký số

21

</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">

Mặc dù nó được dùng cho mục đích cung cấp sự xác thực, nhưng nó cũng được sử dụng để cung cấp tính tồn vẹn cho dữ liệu được ký. Nếu có sự thay đổi bất kỳ trước và sau khi ký thì chữ ký số sẽ bị loại bỏ khi kiểm tra, vì vậy, việc mất tính tồn vẹn của dữ liệu sẽ dễ dàng bị phát hiện.

+ Mã xác thực thông báo

Kỹ thuật này thông thường sử dụng một mã khối đối xứng (ví dụ DESCBC-MAC) hoặc một hàm băm mật mã (HMAC-SHA-1)

2.3.3.4. Chống chối bỏ

Dịch vụ chống chối bỏ là dịch vụ đảm bảo rằng thực thể không thể chối bỏ hành động của mình. Các biến thể thường được nhắc tới nhiều nhất là chống chối bỏ nguồn gốc (người dùng không thể chối bỏ rằng đã gửi một tài liệu hoặc một văn bản) hoặc chối bỏ sự tiếp nhận (người dùng không thể chối bỏ rằng đã nhận được văn bản hoặc tài liệu).

Một vài các biến thể khác của tính chống chối bỏ là: chối bỏ đã tạo ra, chối bỏ đã chuyển, chối bỏ việc tán thànhông thừa nhận hoặc giao tác bị từ chối.

PKI là cơ cấu tổ chức gồm con người, tiến trình, chính sách, thủ tục, phần cứng và phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai và thu hồi các chứng nhận khóa cơng khai.

Một hệ thống PKI gồm các thành phần sau:

 Certification Authority (CA): Cấp và thu hồi chứng thư số.

 Rigistration Authority (RA): Gắn kết giữa khóa cơng khai và định danh  của người giữ chứng thư số.

 Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng thư số PKI.  Repositories: Hệ thống lưu trữ chứng thư số và danh sách các chứng thư số bị

thu hồi. Cung cấp cơ chế phân phối chứng thư số và CRLs đến các thực thể cuối.

22

</div>

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×