Tải bản đầy đủ (.pdf) (49 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Tìm Hiểu Giao Thức SSTP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.89 MB, 49 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HỒ CHÍ MINH

Ngành: CÔNG NGHỆ THÔNG TIN
Chuyên Ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

Đề Tài: Tìm Hiểu Giao Thức SSTP
MÔN: CHUYÊN ĐỀ 1

Giảng Viên Hướng Dẫn: Nguyễn Đức Quang
Sinh Viên thực hiện:
Họ và Tên

Mssv

Điện Thoại

Email

Võ Hoàng Việt

1151020184

01693298215



TP. Hồ Chí Minh, Năm 2014


Sinh viên thực hiện: Võ Hoàng Việt



Gvhd: Nguyễn Đức Quang

Mục Lục
SSTP .................................................................................................................................... 2
1. Định Nghĩa .................................................................................................................... 2
1.2

TCP/UDP ............................................................................................................... 2

1.3

Port - Layer ............................................................................................................ 2

2. Công Dụng .................................................................................................................... 2
2.1

Môi Trường Hoạt Động ......................................................................................... 2

2.2

Mô Hình Hoạt Động .............................................................................................. 3

3. Cách thức hoạt động ..................................................................................................... 3
3.1

Quá trình xử lý: ...................................................................................................... 3

3.2


Cấu trúc gói tin:...................................................................................................... 3

Lab SSTP ............................................................................................................................. 4
I/ Giới thiệu: ........................................................................................................................ 4
II/ Chuẩn bị: ......................................................................................................................... 5
III/ Thực hiện: ...................................................................................................................... 7
1. Cài đặt Standalone Root CA: ....................................................................................... 8
2. Xin certificate cho VPN Server: ................................................................................ 11
3. Export và Import Certificate: ..................................................................................... 14
4. Cài đặt dịch vụ RPAS: ............................................................................................... 22
5. Thực hiện kết nối VPN: ............................................................................................. 28
6. Kiểm tra kết nối VPN:................................................................................................ 42
IV/ Gói tin bắt được và phân tích: ..................................................................................... 45

Giao Thức SSTP

1


Gvhd: Nguyễn Đức Quang

Sinh viên thực hiện: Võ Hoàng Việt

SSTP
1. Định Nghĩa
Secure Socket Tunneling Protocol (SSTP) là một giao thức đường hầm mới sử
dụng giao thức HTTPS trên cổng TCP 443 để vượt qua lưu lượng truy cập thông qua các
bức tường lửa và proxy Web mà có thể chặn lưu lượng truy cập và PPTP L2TP /
IPsec. SSTP cung cấp một cơ chế để đóng gói PPP giao thông qua Secure Sockets Layer
(SSL) kênh của giao thức HTTPS. Việc sử dụng PPP cho phép hỗ trợ cho các phương

pháp xác thực mạnh, chẳng hạn như EAP-TLS. SSL cung cấp an ninh giao thông cấp với
tăng cường các chính đàm phán, mã hóa, và toàn vẹn kiểm tra.

1.2 TCP/UDP
SSTP có thể đi qua hầu hết các tường lửa và máy chủ proxy bằng cách sử dụng
các kênh SSL trên nền TCP.

1.3 Port - Layer
SSTP sử dụng port 443.
SSTP thuộc Layer 7 mô hình OSI và Layer 4 mô hình TCP/IP. Vì sử dụng
kênh TLS/SSL.

2. Công Dụng
2.1 Môi Trường Hoạt Động
Secure Socket Tunneling Protocol đã được giới thiệu bởi Microsoft trong
Windows Vista SP1, và mặc dù nó là bây giờ có sẵn cho Linux , RouterOS và
SEIL, nó vẫn chủ yếu là một nền tảng Windows . SSTP sử dụng SSL v3, và do đó
có lợi thế tương tự như OpenVPN (chẳng hạn như khả năng sử dụng cho cổng TCP
443 để tránh các vấn đề tường lửa NAT), và bởi vì nó được tích hợp vào Windows
có thể được dễ dàng hơn để sử dụng và ổn định hơn.
 Ưu Điểm:


Rất an toàn (phụ thuộc vào cypher, nhưng AES thường rất mạnh)



Hoàn toàn tích hợp vào Windows (Windows Vista SP1, Windows 7,
Windows 8).


Giao Thức SSTP

2


Sinh viên thực hiện: Võ Hoàng Việt


Hỗ trợ của Microsoft.



Có thể bỏ qua hầu hết các tường lửa.

Gvhd: Nguyễn Đức Quang

 Nhược điểm:


Chỉ có thực sự làm việc chỉ trong một môi trường Windows.



Tiêu chuẩn độc quyền thuộc sở hữu của Microsoft vì vậy không thể được
kiểm toán độc lập cho cửa trở lại và như vậy.

2.2 Mô Hình Hoạt Động
Site – To – Gateway ( Client – Server )

3. Cách thức hoạt động

3.1 Quá trình xử lý:
1. VPN-Client gửi gói tin SSL Client-Hello cho VPN-Server để yêu cầu tạo kết
nối SSL với VPN-Server bằng port 443.
2. VPN-Server gửi gói tin SSL Server-Hello kèm theo Certificate( gồm Public
Key của VPN-Server) cho VPN-Client
3. VPN-Client kiểm tra tính hợp lệ của Certificate, nếu Certificate là hợp lệ,
VPN-Client sẽ phát sinh một SSL sesion Key ngẫu nhiên, và mã hóa SSL
sesion Key này bằng Public Key của VPN-Server
4. VPN-Client gửi SSL sesion Key đã được mã hóa tới VPN Server.
5. VPN-Server giải mã SSL sesion Key đã được mã hóa bằng Private Key.
6. VPN-Client thương lượng ( negotiates) kết nối PPP( Point-to-Point- Protocol)
với VPN-Server. Quá trình thương lượng bao gồm việc chứng thực User,
phương pháp chứng thực.
7. VPN-Client và VPN-Server bắt đầu gửi gói tin cho nhau.

3.2 Cấu trúc gói tin:
Cấu trúc của IPv4 hay IPv6 gói tin được gửi qua một kết nối VPN SSTP dựa trên.

Các cấu trúc tiêu đề sau đây là chung cho tất cả các loại của các gói SSTP:
Giao Thức SSTP

3


Gvhd: Nguyễn Đức Quang

Sinh viên thực hiện: Võ Hoàng Việt

Header


Bit bù
đắp

Bit 0-7

0

Version

32+

Dữ liệu







8-14

15

16-31

C Chiều dài

Ltd.

Version (8 bit) - giao và thương lượng các phiên bản của SSTP được sử dụng.

Ltd. (7 bit) - dành cho việc sử dụng trong tương lai.
C (1 bit) - bit điều khiển cho biết mỗi gói SSTP đại diện cho một gói kiểm soát SSTP
hoặc một gói dữ liệu SSTP. Bit này được thiết lập nếu các gói tin SSTP là một gói
điều khiển.
Length (16 bit) - lĩnh vực chiều dài gói, bao gồm hai giá trị: một phần được bảo lưu
và một phần dài.




Ltd. (4 bit) - dành cho việc sử dụng trong tương lai.
Length (12 bit) - chứa chiều dài của toàn bộ gói SSTP, bao gồm tiêu đề SSTP.

Dữ liệu (biến) - khi điều khiển bit C được thiết lập, lĩnh vực này có chứa một
thông điệp kiểm soát SSTP. Nếu không, các trường dữ liệu sẽ chứa một giao thức
cấp cao hơn. Tại thời điểm này, điều này chỉ có thể là PPP.

Lab SSTP
I/ Giới thiệu:
Bài lab bao gồm các bước:
1. Cài đặt Standalone Root CA
2. Xin certificate

Giao Thức SSTP

4


Sinh viên thực hiện: Võ Hoàng Việt


Gvhd: Nguyễn Đức Quang

3. Export và Import Certificate
4. Cài đặt dịch vụ RPAS
5. Tạo kết nối VPN
6. Kiểm tra kết nối

II/ Chuẩn bị:
Mô hình giả lập:

 Máy SSTP_SERVER: Windows Server 2008.
 Máy VPN_SERVER: Windows Server 2008 lên Domain.
 Máy VPN_CLIENT: Windows Server 2008 ( Không join Domain).

Giao Thức SSTP

5


Gvhd: Nguyễn Đức Quang

Sinh viên thực hiện: Võ Hoàng Việt
 Cấu hình TCP/IP cho 3 máy như trong bảng sau:
LAN

WAN

IP: 172.16.1.1 /24
Máy SSTP_SERVER
DG: 172.16.1.2

Máy VPN_SERVER

IP:172.16.1.2/24

IP:192.168.1.2 /24
IP:192.168.1.1 /24

Máy VPN_CLIENT
DG: 192.168.1.2

-

Máy VPN_SERVER : tạo User Account = User1/PW= Abc@123

Giao Thức SSTP

_ Allow Access (Dial In)

6


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Ở SSTP_SERVER: Tạo folder DATA_test, share với quyền Change và Read

III/ Thực hiện:
Giao Thức SSTP


7


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

* Máy VPN_SERVER:
1. Cài đặt Standalone Root CA:

- Vào Start\Run, gõ oobe.exe

- Trong phần Customize This Server, chọn Add Roles

- Hộp thoại Before You Begin, nhấn Next

Giao Thức SSTP

8


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Trong hộp thoại Select Server Roles, chọn Active Directory Certificate Services,
nhấn Next

- Trong hộp thoại Introduction to Active Directory Certificate Services, nhấn Next
- Trong hộp thoại Add role services and features, nhấn chọn Add Required Role

Services

- Trong hộp thoại Role Services, nhấn chọn Certification Authority và Certification
Authority Web Enrollment
- Trong hộp thoại Specify Setup Type, chọn Standalone
Giao Thức SSTP

9


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Trong hộp thoại Specify CA Type, chọn Root CA
- Trong hộp thoại Setup Private key, chọn Create a new private key
- Trong khung Configure Cryptography, bạn giữ nguyên cấu hình mặc định, nhấnNext
- Trong hộp thoại Configure CA Name, nhấn Next
- Trong hộp thoại Set Validity Period, nhấn Next
- Trong hộp thoại Configure Certificate Database, nhấn Next
- Trong hộp thoại Web Server (IIS), nhấn Next
- Nhấn Install để bắt đầu quá trình cài đặt

Giao Thức SSTP

10


Sinh viên thực hiện: Võ Hoàng Việt


Gvhd: Nguyễn Đức Quang

2. Xin certificate cho VPN Server:

- Vào Control Panel, mở Internet Option, chọn tab Security, chọn Local Intranet và
chọn mức độ Low

- Mở Internet Explorer, gõ vào địa chỉ: http://localhost/certsrv
Giao Thức SSTP

11


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Chọn Request a certificate
- Chọn advanced certificate request
- Chọn Create and submit a request to this CA
- Điền các thông tin đầy đủ :

- Trong hộp thoại Web Access Confirmation, nhấn Yes

Giao Thức SSTP

12


Sinh viên thực hiện: Võ Hoàng Việt


Gvhd: Nguyễn Đức Quang

- Tiếp theo bạn vào Start->Programs-->Administrative Tools, chọn Certification
Authority
- Trong hộp thoại certsrv, bung dấu cộng của tên máy, chọn Pending Requests. Khung
bên phải chuột phải vào CA vừa tạo, nhấn chọn All Tasks--> Issue
- Mở Internet Explorer, truy cập lại vào trang: http://localhost/certsrv, chọn View the
status of a pending certificate request
- Chọn Server Authentication Certificate
- Chọn Install this certificate

Giao Thức SSTP

13


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

3. Export và Import Certificate:

- Vào Start\Run, gõ mmc. Vào menu File-->chọn Add/Remove Snap In…

- Chọn Certificate, nhấn Add

Giao Thức SSTP

14



Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Chọn My User Account

- Tiếp theo bạn chọn lại Certificate, nhấn Add thêm lần nữa
- Lần này bạn chọn Computer Account

- Trong khung Select Computer, nhấn chọn Local Computer, nhấn Finish

Giao Thức SSTP

15


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Chuột phải vào CA, chọn All Tasks-->Export…

Giao Thức SSTP

16


Sinh viên thực hiện: Võ Hoàng Việt


Gvhd: Nguyễn Đức Quang

- Trong hộp thoại Welcome, nhấn Next
- Trong hộp thoại Export Private Key, chọn Yes, export the private key, nhấn Next
- Đánh dấu chọn vào Personal Information Exchange – PKCS #12 (.PFX), nhấnNext

- Nhập vào Password, nhấn Next

Giao Thức SSTP

17


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Lưu lại với tên : VpnCert
- Nhấn chọn Finish

- Sau khi export xong, ta Import file “VpnCert” vừa Export. phần: Certificates(Local
Computer) -> Chuột phải vào Personal, chọn All Task-->Import.

Giao Thức SSTP

18


Sinh viên thực hiện: Võ Hoàng Việt


Gvhd: Nguyễn Đức Quang

- Hộp thoại Welcome, nhấn Next

- Browse đến file VPNCert.pfx.

Giao Thức SSTP

19


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Nhập vào password

- Giữ nguyên cấu hình mặc định, nhấn Next

Giao Thức SSTP

20


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Nhấn Finish để hoàn tất


Giao Thức SSTP

21


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

4. Cài đặt dịch vụ RPAS:
- Vào Start\Run, gõ oobe.exe

- Trong phần Customize This Server, chọn Add Roles
- Hộp thoại Before You Begin, nhấn Next
- Trong khung Select Server Roles, đánh dấu chọn vào Network Policy and Access
Services, nhấn Next

- Trong hộp thoại Role Services, đánh dấu chọn Routing and Remote Access Services,
nhấn Next

Giao Thức SSTP

22


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang


- Trong hộp thoại Confirmation, nhấn chọn Install
- Sau khi cài đặt xong, bạn vào Start-->Programs-->Adminsitrative Tools, chọn
Routing and Remote Access
- Chuột phải vào tên PC, chọn Configure and Enable Routing and Remote Access

- Trong hộp thoại Welcome, nhấn Next

Giao Thức SSTP

23


Sinh viên thực hiện: Võ Hoàng Việt

Gvhd: Nguyễn Đức Quang

- Trong hộp thoại Configuration, chọn Remote Access (dial-up or VPN), nhấnNext

- Trong khung Remote Access, đánh dấu chọn vào VPN, nhấn Next

Giao Thức SSTP

24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×