2. 2
Nội dung
1. Giới thiệu mạng tin cậy
2. Cơ bản về hạ tầng khóa công khai (PKI)
3. Xây dựng một mạng tin cậy
– Mô hình triển khai
– Các bước làm
– Demo
Xây dựng mạng tin cậy - manthang
3. 3
1. Giới thiệu về mạng tin cậy
• Bảo vệ mạng theo kiến trúc phân lớp
Xây dựng mạng tin cậy - manthang
4. 4
Giới thiệu về mạng tin cậy (2)
• Trong một thế giới kết nối phức tạp như ngày
nay…
Xây dựng mạng tin cậy - manthang
5. 5
Giới thiệu về mạng tin cậy (3)
…thì chỉ phòng thủ ngoại vi cho mạng với firewall,
IDS/IPS, anti-virus gateway thôi là chưa đủ!
--> Cần thiết xây dựng mạng tin cậy giúp:
– Truyền thông an toàn .
– Nhận dạng các yêu cầu kết nối, truy cập.
– Xác thực các đối tượng tham gia truyền thông.
Xây dựng mạng tin cậy - manthang
6. 6
Giới thiệu về mạng tin cậy (4)
Nhận
dạng
Chống
Xác thực
chối từ
Cấp
Toàn vẹn
phép
6 dịch vụ Bảo mật
Xây dựng mạng tin cậy - manthang
7. 7
Giới thiệu về mạng tin cậy (5)
4 công nghệ
Chứng chỉ số
Chữ ký số
Chứng thực
mạnh
Mật mã
Xây dựng mạng tin cậy - manthang
8. 8
2. Cơ bản về PKI
Xây dựng mạng tin cậy - manthang
9. 9
Cơ bản về PKI (2)
Phần
mềm
Thủ Dịch
tục vụ
Chính Tiêu
sách chuẩn
Giao
thức
Xây dựng mạng tin cậy - manthang
10. 10
Cơ bản về PKI (3)
Các Thành Phần
• Certificate Authority (CA)
• Registration Authority (RA)
• Certificate Repository và Archive
• Security Server
• PKI-enabled Application và PKI
User
Xây dựng mạng tin cậy - manthang
11. 11
Cơ bản về PKI (4)
• Các kiến trúc triển khai
– Single CA
Xây dựng mạng tin cậy - manthang
12. 12
Cơ bản về PKI (5)
• Các kiến trúc triển khai
– Hierarchical PKI
Xây dựng mạng tin cậy - manthang
13. 13
Cơ bản về PKI (6)
• Các kiến trúc triển khai
– Mesh PKI
Xây dựng mạng tin cậy - manthang
14. 14
Tổng kết
• Mạng tin cậy là gì?
– 6 dịch vụ
– 4 công nghệ
• Hạ tầng khóa công khai (PKI)
– 5 thành phần
– 3 kiến trúc
Xây dựng mạng tin cậy - manthang
15. 15
3. Xây dựng mạng tin cậy
• Mô hình triển khai
Xây dựng mạng tin cậy - manthang
16. 16
Xây dựng mạng tin cậy (2)
• Yêu cầu
Tên máy Hệ điều
Tên đầy đủ Domain Địa chỉ IP Vai trò
tính hành
Domain
10.0.10.1 /
RootCA rootca.uit.vm Win2k3 Controller, DNS
8
server, Root CA
10.0.10.2 /
SubCA subca.uit.vm Win2k3 Subordinate CA
8
10.0.10.3 / Registration
RA ra.uit.vm Win2k3
8 Authority
uit.vm 10.0.10.4 /
WinClient1 winclient1.uit.vm WinXP Máy trạm
8
10.0.20.1 / SSL Website
DMZW dmzw.uit.vm Win2k3
8 Email Server
Ubuntu
10.0.30.1 /
LinRootCA linrootca.uit.vm Server Root CA
8
10.10
10.0.30.2 / Ubuntu
LinClient1 linclient1.uit.vm Máy trạm
Xây dựng mạng tin cậy - manthang 8 11.10
17. 17
Xây dựng mạng tin cậy (3)
Mục tiêu
Xây dựng Windows Domain
Cấu hình Enterprise CA
Cấu hình Linux CA
Thiết lập Cross Trust
Bảo mật email & web
Thu hồi chứng chỉ số
Xây dựng mạng tin cậy - manthang
18. 18
Các bước thực hiện
• Xây dựng Windows Domain
– Cài Active Directory (tích hợp DNS) trên RootCA
– Tạo các DNS record cho các máy Linux
– Cài Enterprise Root CA
• Cấu hình Enterprise CA
– CRL publication interval
– Certificate template
– Default GPO (tự nhận certificate khi join domain)
– Domain user (đăng nhập với smartcard)
– Cấu trúc CA phân cấp (gồm CA, Sub. CA, RA)
Xây dựng mạng tin cậy - manthang
19. 19
Các bước thực hiện (2)
• Xây dựng Linux CA
– Cài đặt EJBCA
– Tạo và cấp chứng chỉ cho Linux client
• Tạo cross trust
– Trusting Linux Root CA
– Trusting Windows Root CA
– Kiểm tra trust
Xây dựng mạng tin cậy - manthang
20. 20
Các bước thực hiện (3)
• Bảo mật website với SSL
– Tạo website
– Cấu hình SSL cho website
• Bảo mật email với certificate
– Cấu hình mail server
– Cấu hình các email client
– Kiểm tra việc gửi email có chữ ký và mã hóa
Xây dựng mạng tin cậy - manthang
21. Cảm Ơn Sự Theo Dõi Của Các Bạn
--- ---
Hỏi - Đáp