NGHIÊN CỨU CHỨNG THỰC TUẦN 2

Trung tâm An ninh mạng Bkis

NGHIÊN C U CH NG TH C TU N 2Ứ Ứ Ự Ầ

I. M c đíchụ .................................................................................................................................2

II. H ng nghiên c uướ ứ ...................................................................................................................2

III. N i dungộ ..............................................................................................................................2

1. Extensible Authentication Protocol (EAP)............................................................................2

1.1:Đ nh nghĩa:ị ........................................................................................................................2

1.2:Ho t đ ngạ ộ .........................................................................................................................3

1.2.2:Các lo i gói tin trong gói tin.ạ ............................................................................................4

1.2.4:Ki n trúc trong ch ng th c EAP:ế ứ ự .....................................................................................6

2. Các phiên b n c a giao th c EAP.ả ủ ứ .........................................................................................8

2.1:EAP-TLS:............................................................................................................................8

3:EAP-MD5:...........................................................................................................................10

4:PEAP..................................................................................................................................11

5:EAP RADIUS.......................................................................................................................11

3:MSCHAP.................................................................................................................................13

4:MSCHAP 2:.............................................................................................................................14

IV. K t qu đ t đ cế ả ạ ượ ..............................................................................................................15

3. N i dungộ ............................................................................................................................15

4. N i dung 2ộ .........................................................................................................................15

V. Các v n đ còn l iấ ề ạ .................................................................................................................15

1. N i dung 1ộ .........................................................................................................................15

2. N i dung 2ộ .........................................................................................................................15

VI. Tài li u tham kh oệ ả .............................................................................................................15


1. Đ ng linkườ .........................................................................................................................15

2. Tên tài li uệ ........................................................................................................................15

I. M c đíchụ

II. H ng nghiên c uướ ứ

III. N i dungộ

1. Extensible Authentication Protocol (EAP)

1.1:Đ nh nghĩa:ị

EAP là giao th c h tr đ m b o an ninh trong trao đ i các b n tin ch ng th c ứ ỗ ợ ả ả ổ ả ứ ựgi a các bên b ng ph ng th c mã hóa thông tin ch ng th c.EAP có th h tr ữ ằ ươ ứ ứ ự ể ỗ ợk t h p v i nhi u ph ng th c ch ng th c c a các hãng khác nhau,lo i hình ế ợ ớ ề ươ ứ ứ ự ủ ạch ng th c khác nhau ví d ngoài user/password nh ch ng th c b ng đ c ứ ự ụ ư ứ ự ằ ặđi m sinh h c ch ng th c b ng th chip,th t ,b ng khóa công khai….ể ọ ứ ự ằ ẻ ẻ ừ ằ

Ki n trúc EAP c b n đ c ch ra trong hình sau,nó đ c thi t k đ v n hành ế ơ ả ượ ỉ ượ ế ế ể ậtrên b t c l p đ ng d n nào và dùng b t c ph ng pháp xác th c nào.ấ ứ ớ ườ ẫ ấ ứ ươ ự


1.2:Ho t đ ngạ ộ

1.2.1:EAP packet format:

1 gói tin EAP g m có 2 ph n : header và Data. ồ ầ

EAP header:

Header c a EAPủ packet có đ dài là 32 bit đ c chia làm 3 ph n :ộ ượ ầ

Tr ng Code:có đ dài 8 bit đ c dùng đ xác đ nh n i dung và lo i ườ ộ ượ ể ị ộ ạgói tin EAP.Giá tr c a tr ng Code đ c miêu t trong b ng sau:.ị ủ ườ ượ ả ả


Tr ng EAP Identifier:ườ bao g m 1 s nguyên không d u đ c dùng ồ ố ấ ượđ xác đ nh các b n tin yêu c u và tr l i.ể ị ả ầ ả ờ

EAP message length: có đ dài 16 bit dùng đ miêu t đ dài c a ộ ể ả ộ ủpacket g m t t c các tr ng:Code,indentifier,Length,Data.ồ ấ ả ườ

Data :là tr ng cu i cùng c a gói tin EAP,tr ng Data có đ dài và n i dungườ ố ủ ườ ộ ộ thay đ i tùy theo giá tr code đ c miêu tr trên tr ng Code.ổ ị ượ ả ườ

1.2.2:Các lo i gói tin trong gói tin.ạ

a)Gói tin Request và Response:

Gói tin Reuquest và Response đ c minh h a d i đây:ượ ọ ướ

Gói tin Request : có giá tr trong tr ng code là 1,đ c g i t Server t i Clientị ườ ượ ử ừ ớ đ yêu c u Client đ a ra thông tin ch ng th c. Các gói tin Additional ể ầ ư ứ ựReuquest sẽ đ c g i cho đ n khi Authenticator nh n đ c 1 Valid ượ ử ế ậ ượpacket,phiên truy c p b h t h n ho c nh n đ c thông tin báo l i.ậ ị ế ạ ặ ậ ượ ỗ

Gói tin Response: đ c xác đ nh trong tr ng Code b i giá tr 2,tr l i l i cácượ ị ườ ở ị ả ờ ạ yêu c u c a server.ầ ủ


Giá tr các tr ng trong 2 lo i gói tin trên :ị ườ ạ

Tr ng Code:ườ có giá tr b ng 1 v i gói Request và 2 v i gói Response.ị ằ ớ ớ

Tr ng Identifier:ườ có đ dài 8 bit.Giá tr c a tr ng Identifier trong gói ộ ị ủ ườResponse ph i t ng thích v i tr ng Identifier trong gói tin Request.ả ươ ớ ườ

Tr ng Length:ườ

Type:là 1 tr ng ch ra lo i các b n tin Request hay response.Ch có 1 byte ườ ỉ ạ ả ỉđ c dùng trong m i gói tin.Khi 1 b n tin yêu c u không đ c ch p nh n,nó ượ ỗ ả ầ ượ ấ ậcó th g i 1 NAK đ ngh thay đ i lo i,có trên 4 lo i đ ch ra các ph ng ể ử ề ị ổ ạ ạ ể ỉ ươpháp ch ng th c.ứ ự

Các giá tr trong tr ng Typeị ườ :

o Lo i code 1:identityạ

o N i ti p nh n ch ng th c th ng dùng lo i Identity nh yêu c u thi tơ ế ậ ứ ự ườ ạ ư ầ ế l p.Sau đó vi c xác đ nh ng i dùng là b c đ u tiên trong ch ng ậ ệ ị ườ ướ ầ ứth c,tr ng Type-Data có th bao g m 1 chu i đ nh c ng i ự ườ ể ồ ỗ ể ắ ườdùng,chi u dài c a chu i đ c tính t tr ng length trong chính gói ề ủ ỗ ượ ừ ườEAP.

o Lo i code 2:Notification(thông báo)ạ

o N i ti p nh n ch ng th c có th dùng lo i thông báo đ g i 1 b n tin ơ ế ậ ứ ự ẻ ạ ể ử ảt i ng i dùng.Sau đó h th ng c a ng i dùng hi n th b n tin ớ ườ ệ ố ủ ườ ể ị ảđó,B n tin thông báo ng i dùng đ cung c p b n tin t i ng i dùng ả ườ ể ấ ả ớ ườt h th ng ch ng th c nhu là password v vi c h t quy n s ừ ệ ố ứ ự ề ệ ế ề ửd ng.Các b n tin đáp ng ph i đ c g i đ tr l i các yêu c u thông ụ ả ứ ả ượ ử ể ả ờ ầbáo.Tuy nhiên, chúng th ng là các ph n h i đ n gi n và tr ng type-ườ ả ồ ơ ả ườdata có chi u dài là 0.ề

o Lo i code 3ạ :NAK

o Các NAK đ c dùng đ đ a ra 1 ph ng th c ch ng th c m i,n i ti p ượ ể ư ươ ứ ứ ự ớ ơ ếnh n ch ng th c đ a ra chu i m i k t n i,đ c mã hóa b i 1 lo i ậ ứ ự ư ỗ ờ ế ố ượ ở ạma,Các lo i ch ng th c đ c đánh s th t trên 4.N u h thông ạ ứ ự ượ ố ứ ự ế ệng i dùng ko phù h p v i lo i ch ng th c này nó có th đ a ra 1 ườ ợ ớ ạ ứ ự ể ư


NAK.Các b n tin NAK c a tr ng type-data bao g m 1 byte đ n t ng ả ủ ườ ồ ơ ương v i các lo i ch ng th c.ứ ớ ạ ứ ự

o Lo i Code 4ạ :Chu i MD-5ỗ

o MD5-challenge th ng đ c s d ng trongEAP t ng t giao th c ườ ượ ử ụ ươ ự ứCHAP.Đây là yêu c u b o m t c b n mà EAP s d ng g m có ten ầ ả ậ ơ ả ử ụ ồđăng nh p và m t kh u.MD5 b o v gói tin b ng cách t o ra nh ng ậ ậ ẩ ả ệ ằ ạ ữd u hi u đ c tr ng riêng l u trong gói tin đó.ấ ệ ặ ư ư

o Lo i code 5ạ :OTP

o H th ng OTP dùng b i EAP đ c đ nh nghĩa trong RFC 1938.b n tin ệ ố ở ượ ị ảyêu c u d c đ a t i ng i dùng bao g m 1 chu i k t n i OTP,.ầ ượ ư ớ ườ ồ ỗ ế ố

o Lo i Code 6ạ :Generic Token Card.

o Các message yêu c u ch a đ ng thông tin đ c đi m th Token c n ầ ứ ự ặ ể ẻ ầthi t cho ch ng th c,tr ng data-type yêu c u ph i có đ dài l n ế ứ ự ườ ầ ả ộ ớhown0 byte.trong response message tr ng Data-Type d c dùng đ ườ ượ ểmang thông tin đ c sao chép t th Token c a ng i dùngượ ừ ẻ ủ ườ

o Lo i code 13:TLSạ

o TLS đ c đ a vào trong tr ng data c a EAP message(sẽ đ c nói rõ ượ ư ườ ủ ượtrong ph n ầ

o sau).

B:Success and Failue Message

Khi các trao đ i k t thúc,ng i dùng ho c ch ng th c thành công ho c ổ ế ườ ặ ứ ự ặch ng th c th t b i.Khi n i ti p nh n ch ng th c xác nh n vi c trao đ i là ứ ự ấ ạ ơ ế ậ ứ ự ậ ệ ổhoàn t t nó đ a ra các Success hay Failue message đ k t thúc trao đ i ấ ư ể ế ổEAP.Nó cho phép g i nhi u b n tin yêu c u tr c khi g i tr l i đ cho phép ử ề ả ầ ướ ử ả ạ ểng i dùng nh n đ c các thông tin ch ng th c đúng.ườ ậ ượ ứ ự


1.2.4:Ki n trúc trong ch ng th c EAP:ế ứ ự

Trong quá trình ch ng th c EAP có 3 bên chính tham gia:ứ ự

Client/Supplicant-Máy khách/Máy xin ch ng th c:các ph n t ứ ư ầ ửcó nhu c u c n ch ng th c đ k t n iầ ầ ứ ự ể ế ố

Authentocator:là các ph n t trung gian ti p nh n nhu c u ầ ử ế ậ ầch ng th c và trao đ i b n tin qua l i gi a client và ứ ự ổ ả ạ ữAuthentication server.

Authentication server-server ch ng th c:ph n t ch x lú yêu ứ ự ầ ử ỉ ửc u ch ng th c g i đ n,c p phép hay t ch i.Nó ko ch x lý ầ ứ ự ử ế ấ ừ ố ỉ ửyêu c u ch ng th c c a Client mà còn g i đên Client yêu c u ầ ứ ự ủ ử ầch ng th c c a b n thân nó.Server ch ng th c có th theo mô ứ ự ủ ả ứ ự ểhình Radius server hay active Directory server

Mô hình ch ng th c EAPứ ự

1.2.5:NAS trong EAP

Vai trò c a NAS trong EAP r t đ n gi n ch là forward request t server t i ủ ấ ơ ả ỉ ừ ớuser và ng c l i response t user t i server mà không bi t v n i dung c a ượ ạ ừ ớ ế ề ộ ủEAP message .N u NAS đ c c u hình đ hi u đ c n i dung các gói EAP ế ượ ấ ể ể ượ ộfailue và EAP success thì công vi c c a NAS trong tr ng h p này cũng ch ệ ủ ườ ợ ỉ


đ n gi n là ch đ i cho t i khi nh n đ c gói tin EAP success và failue và ơ ả ờ ợ ớ ậ ượnh n bi t quá trình xác th c thành công hay th t b i.ậ ế ự ấ ạ

EAP có th ch y tr c ti p trên l p liên k t(link layer) mà không yêu c u ể ạ ự ế ớ ế ầch y trên l p network t ng t nh IP và có th đ c thi t k đ tăng thêm ạ ớ ươ ự ư ể ượ ế ế ểch c năng phân c p chuy n phát và retransmission.ứ ấ ể

M c dù EAP đ c thi t k ch y trên PPP nh ng nó cũng có th đ c dùng ặ ượ ế ế ạ ư ể ượtrong m ng wireless.ạ

1.2.5:Các l h ng c a EAPỗ ổ ủ

Các k t n công có th truy c p vào h th ng v i các cách sau:ẻ ấ ể ậ ệ ố ớ

Attacker có th xác đ nh đ c user identities b ng cách snooping.ể ị ượ ằ

Attacker có th t n công b ng ph ng pháp : spoofing EAP packet.:do ể ấ ằ ươsau khi ch ng th c thì quá trình truy n tin đ c di n ra mà không có ứ ự ề ượ ễthêm s xác th c nào khác.ự ự

Attacker có th ti n hành t n công DOS.ể ế ấ

Attacker có th t n công theo ki u Dictionary do m t mã đ c truy n ể ấ ể ậ ượ ềlà ki u clear text.ể

Attacker có th t n công b ng ph ng pháp Man-In-Middle.ể ấ ằ ươ

Attacker

2. Các phiên b n c a giao th c EAP.ả ủ ứ

2.1:EAP-TLS:

2.1.1:Đ nh nghĩa:ị

EAP-TLS đ c thi t k đ h tr xác th c trên liên k t PPP.EAP có th ho t ượ ế ế ẻ ỗ ợ ự ế ể ạđ ng trên PPP hay LAN link gi a ng i s d ng và b ph n ch ng th c.TLS ộ ữ ườ ử ụ ộ ậ ứ ựch là giao th c peer-to-peer,x y ra khi k t thúc m i phiên v n chuy n.B i ỉ ứ ả ế ỗ ậ ể ởv y có th đóng gói TLS message trong EAP packet và chúng đ c v n ậ ể ượ ậchuy n trên PPP ho c LAN link.Sao đó EAP framework sẽ chuy n đ i TLS ể ặ ể ổnh ph ng th c qu n lý khóa và xác th c và t đó EAP-TLS ra đ i.ư ươ ứ ả ự ừ ờ


Các đ c tính c a EAP-TLS bao g m:ặ ủ ồ

Xác th c l n nhau (gi a máy ch và khách hàng)ự ẫ ữ ủ Trao đ i khoá (đ thi t l p WEP đ ng và khoá TKIP)ổ ể ế ậ ộ Phân m nh và n i l i (v i b n tinả ố ạ ớ ả EAP dài c n có ph n kích th cầ ầ ướ

ki m tra n u c n)ể ế ầ K t n i nhanh (thông qua TLS)ế ố

EAP request và EAP response có tr ng type đ ch ra lo i thông tin đ c ườ ể ỉ ạ ượmang gi a user và ng i xác th c ho c authentication server và n u nó có ữ ườ ự ặ ếgiá tr l n h n 4 thì ch ra nó đ c mang b i 1 ph ng th c đ c bi t.EAP ị ớ ơ ỉ ượ ở ươ ứ ặ ệdata type là 13 ch ra TLS data đ c v n chuy n b i EAP-TLS ỉ ượ ậ ể ởauthentication.Nh v y EAP-TLS cung c p c ch đ mang TLS message ư ậ ấ ơ ế ểtrong EAP- request message.

EAP-TLS cung c p 1 c ch đóng gói đ n gi n xung quanh TLS messaging ấ ơ ế ơ ảb ng cách thêm tr ng EAP-start và EAP-indentity đ b t đ u quá trìh TLS ằ ườ ể ắ ầhandshake và EAP-success/failure message đ đ thúc TLS handshake.NA chể ể ỉ c n bi t v các thông tin này đ n m b t đ c quá trình trên có thành công ầ ế ề ể ắ ắ ượhay kh ng.ộ

Ki n thúc 3 bên cho EAP-TLS:ế


2.1.2:Quá trình xác th c trong EAP-TLSự

Xác th c c a EAP-TLS di n ra theo quá trình sau:ự ủ ễ

Khi EAP s d ng PPP link,quá trình b t đ u v i vi c client g i PPP LCP ử ụ ắ ầ ớ ệ ửacknowledgment,thông báo đ ng ý s d ng EAP trong quá trình ch ng th c.ồ ử ụ ứ ự

Quá trình trao đ i cung c p cho server thông tin v user.Quá trình này b t ổ ấ ề ắđ u v i server g i EAP-request/identity packer t i client.ầ ớ ử ớ

TLS signal b t đ u cùng v i vi c server g i EAP-TLS /start packet.EAP-TLS ắ ầ ớ ệ ửstart packet đ n gi n ch là EAP –request packet.ơ ả ỉ

Client tr l i l i v i gói EAP-response đ c đóng gói v i TLS client hello ả ờ ạ ớ ượ ớmessage<là gói tin kh i đ ng quá trình TLS handshake>.ở ộ

Server tr l i l i v i EAP packet v i TLS server hello message ch a đ ng các ả ờ ạ ớ ớ ứ ựthông tin c n thi t cho vi c ch ng th c nh : ầ ế ệ ứ ự ưserver_key_exchange,certificate_request, server_hello_done và finish handshake message…

Client tr l a v i EAP message v i TLS đ c đóng gói bên trong.TLS record ả ọ ớ ớ ượbao g m TLS change_cipher_spec message và finish handshake ồmessage,certificate_verify….

Khi TLS handshake thành công,user g i 1 gói tin EAP khác mà không có EAP-ửTLS đ thông báo v i server xác th c thành công và k t thúc quá trình xác ể ớ ự ếth c.ự

2.1.3:B o m t trong EAP-TLS.ả ậ

Do tr ng Header c a gói tin EAP không đ c b o v n n hacker có th d ườ ủ ượ ả ệ ệ ể ễdàng thay đ i thông tin c a chúng .Trong ph n l n các tr ng h p,đi u này ổ ủ ầ ớ ườ ợ ềđ c x y ra khi có 1 cu c t n công DOS làm tràn b đ m.Hacker sẽ chèn thêm ượ ả ộ ấ ộ ệdata vào trong EAP-packet,nh v y đ l n c a packet sẽ l n h n ch sô trong ư ậ ộ ớ ủ ớ ơ ỉtr ng lengrth,1 h th ng s d ng EAP-TLS ko đ c c u hình đ ki m tra nó vàườ ệ ố ử ụ ượ ấ ể ể đi u này khi n cho l i tràn b đ m x y ra.ề ế ỗ ộ ệ ả

Attacker cũng có th t n công vào tr ng Type hay Flags.Khi thay th i thông tin ể ấ ườ ổ tr ng Type hacker có th làm cho giao th c xác th c b thay đ i.Ví d khi ở ườ ể ứ ự ị ổ ụ

thay đ i giá tr tr ng Type t EAP-TLS(13) thành ph ng th c TLS-based ổ ị ở ườ ừ ươ ứ


EAP nào đó,s d ng 1 khóa khác so v i khóa ngu n.Và đi u này khi n cho cu c ử ụ ớ ồ ề ế ột n công Man-In-Middle x y ra mà không b phát hi n,ấ ả ị ệ

3:EAP-MD5:

Là ph ng th c trong đó máy ch RADIUS xác th c các yêu c u k t n i b ng cách ươ ứ ủ ự ầ ế ố ằki m tra mã MD5 c a user password.ể ủ

Khi s d ng EAP Md5 thì giá tr type trong EAP packet sẽ là 4.ử ụ ị

Là 1 giao th c đ n gi n b i v y EAP-Md5 hi n nay đã không đ m b o an toàn cho ứ ơ ả ở ậ ệ ả ảh th ng m ng,xác th c.ệ ố ạ ự

Nó có th d dành b phá b i 1 cu c t n công brute-force.ể ễ ị ở ộ ấ

4:PEAP

Protectes EAP(PEAP) là giao th c xác th c đ c s d ng cho m ng không ứ ự ượ ử ụ ạdây,nó t o kh năng xác th c cho m ng Lan không dây mà không yêu c u xác ạ ả ự ạ ầth c.Đ b o veejPEAP thêm l p TLS lên trên cùng c a EAP r i sôi đó s d ng kêt ự ể ả ớ ủ ồ ử ụqu c a phiên TLS nh là ph ng ti n đ v n chuy n b o v ph ng th c ả ủ ư ươ ệ ể ẫ ể ả ệ ươ ứEAP.PEAP s d ng TLS đ xác th c t máy ch t i máy tr m và không có chi u ử ụ ể ự ừ ủ ớ ạ ềng c l i.Ph ng th c này ch có server yêu c u khóa khác th c còn client thì ượ ạ ươ ứ ỉ ầ ựkhông .Server và Client trao đ i chu i thông tin mã hóa trong TLS và TLS message ổ ỗđ c xác th c và mã hóa s d ng khi đ c thông qua gi a 2 bên:ượ ự ử ụ ượ ữ

PEAP cung c p các ph ng th c sau:ấ ươ ứ

Xác nh n gói tin,ậ

Mã hóa gói tin

Xác th c t máy ch đ n khách hàngự ừ ủ ế

Trao đ i khóaổ

Thi t l p k t n i nhanhế ậ ế ố

B o m t trong PEAP:ả ậ

Do PEAP là giao th c ki u one-way authenticate nên nó có nguy c b t n công b i ứ ể ơ ị ấ ởki u Man-In-Middle..ể


5:EAP RADIUS

EAP RADIUS đ c thi t k đ cho thu c tính ch ng th c EAP đ c nhúng ượ ế ế ể ộ ứ ự ượbên trong RADISU message đ nâng cao tính b o m t cho RADIUS.ể ả ậ

Trong EAP-RADIUS,các gói tin RADIUS-encapsulated EAP sẽ đ c s d ng đ ượ ử ụ ểv n chuy n thông tin gi a NAS và authenticatin server.ậ ể ữ

5.1:EAP-RADIUS message:

Đ h tr EAP,RADIUS t o thêm 2 thu c tính : ể ỗ ợ ạ ộ EAP-message<Type=79> và Message-Authenticaticator.<type=80>

Thu c tính Message-authentication là mã băm HMAC-MD5 c a Access-Reuquestộ ủ packet bao g m các tr ng Type,ID,Length và Authenticator v i Shared secret làồ ườ ớ khóa.

Message-Authenticator=HMAC-MD5(type,Identifier,Length,Request Authenticator,Attributes)

Quá trình ch ng th c b ng EAP-RADIUS trên đ c mô t trong hình sau:ứ ự ằ ượ ả

Request t RADIUS server t i user(EAP request message) đ c ừ ớ ượchèn vào bên trong mà truy n đi trong RASDIUS access ềChallenge message.NAS sẽ decapsulate EAP request bên trong Access Challenge và g i nó b ng giao th c l p 2 t i user.ử ằ ứ ớ ớ


Response t user t i RADIUS server đ c chèn bên trong EAP ừ ớ ượresponse đ g i t i NAS,n i đóng gói chúng bên trong gói Accessể ử ớ ơ Request đ g i t i Serverể ử ớ

B o m t trong EAP-RADIUS:ả ậ

EAP-RAIDUS có th có th b t n công b i các d ng sau:ể ể ị ấ ở ạ

Snooping RADIUS packet.

Gi m o gói tin EAP-RADIUS.ả ạ

T n công t đi n vào hared secret key c a RADIUSấ ừ ể ủ

Replay Attack.

Do EAP-RADIUS là ki u one way authentication nên nó có th b t n công ể ể ị ấb i ki u Man-In-Middle.ở ể

Snoofing và Hijacking.

Known Plaint Attack:hacker d a vào nh ng đo n plaintext đã bi t trong ự ữ ạ ếcác gói tin đ c g ng tìm ra khóaể ố ắ

3:MSCHAP

MS-CHAP đ c Microsoft t o ra đ ch ng th c trong h th ng MS ượ ạ ể ứ ự ệ ốworkstation.

MS-Chap Challenge packet có c u trúc gi ng v i Challenge packet.MS –CHAP ấ ố ớauthenticator g i 8-octet challenge Value field t i client.ử ớ

MS-CHAP response có c u trúc t ng t nh CHAP-response packet,tuy ấ ươ ự ưnhiên nó v n còn 1 vài đi m khác bi t:ẫ ể ế

24 octets:LAN Manager compatible challage response 24 octets :Windown NT compatible challage 1 octets : « use Windown NT compatible challenge response.

Success Packet: có c u trúc t ng t nh CHAP-success packetấ ươ ự ư

Failue packet:cũng có c u trúc t ng t nh CHAPấ ươ ự ư


Ho t đ ng:ạ ộ

Client yêu c u login challenge t serverầ ừ

Server t o 8 byte challenge ng u nhiênạ ẫ

Client s d ng LAN Manage “băm” client password b ng 3DES. Và ử ụ ằđ c đ a vào trong 24 byte reply message.ượ ư

Server s d ng mã băm trong Client password, đã đ c l u tr trong ử ụ ượ ư ữdatabase đ gi i mã reply message.N u thành công Client đ c ch ng ể ả ế ượ ứth c và “success message đ c g i cho client.ự ượ ử

An ninh b o m t:ả ậ

V i giao th c MS-CHAP kh năng t n công b ng Brute –force v n có ớ ứ ả ấ ằ ẫth x y ra.ể ả

Do MSCHAP là giao th c ki u One-way authentication nên nó có nguy ứ ểc b t n công Man-In-Middleơ ị ấ

Do các challenge đ c truy n d ng cleartext nên các cu c t n công ượ ề ở ạ ộ ấd a vào chúng có th x y ra.ự ể ả

4:MSCHAP 2:Hoạt động:

1. Client yêu c u login challenge t server.ầ ừ

2. Server g i l i 16 byte challenge ng u nhiên.ử ạ ẫ

3. A)Client t o 16 bytes s ng u nhiên g i là “ Peer authenticator ạ ố ẫ ọchallenge”,(b)Client t o 8 bytes challenge b i băm 16 bytes challenge ạ ởnh n d c t server và Client username.(c) Client t o 24 bytes reply ậ ượ ừ ạs d ng hash function c a WinNT và 8 bytes đ c t o 3(b).(d) ử ụ ủ ượ ạ ởclient g i cho server thông tin đ c t o ra trong (3a),3(c).ử ượ ạ

4. (a)Server s d ng mã băm trong Client password đ c l u trong ử ụ ượ ưdatabase đ gi i mã replies.N u quá trình gi i mã thành công.Client ể ả ế ảđ c ch ng th c. (b) Server s d ng 16 bytes Peer Authenticator ượ ứ ự ử ụChallenge t Client đ t o 20 bytes “authenticator response”ừ ể ạ


5. Client tính toán tr c Authenticator Response ,n u trùng v i ướ ế ớAuthenticator nh n đ c thì quá trình ch ng th c thành công,Server ậ ượ ứ ựđ c ch ng th c.ượ ứ ự

So sánh MS-CHAP1 và MS-CHAP 2 đ th y đ c các u đi m c a nó so v i MS-ể ấ ượ ư ể ủ ớCHAP

MS-CHAP 1 MS_CHAP 2

Server g i 8 byte challenges/ử Server g i 16 bytesử

Client g i 24 bytes LANMAN và 24 ửbytes NT response Client send 16 bytes peer challenge,nó

đ c s d ng trogn quá trinh t o 8 ượ ử ụ ạbytes challenge và 24 byte NT response

Ch x y ra quá trình xác nh n 1 chi u ỉ ả ậ ềServer đ i v i client ố ớ

Xác nh n c 2 chi u.Client có th ậ ở ả ề ểkiêm tra mình có giao ti p đúng v i ế ớserver c n thi t koầ ế

An ninh và b o m t:ả ậ

Do đ c thi t k t ng đ i t t nên hi m h a l n nh t v i MS-CHAP 2 là ượ ế ế ươ ố ố ể ọ ớ ấ ớcác cu c t n công brute-force b i v y nên gi i h n s l n đăng nh p cho ộ ấ ở ậ ớ ạ ố ầ ậcác thi t b /th i gian đ h n ch chúng.ế ị ờ ể ạ ế

Nó cũng có các l h ng đ c t o ra trong quá trình sinh ra Challenge,l ỗ ổ ượ ạ ỗh ng đ c t o ra b i các gi i thu t mã hóa.ổ ượ ạ ở ả ậ


5. CHAP

1:Đ nh nghĩa:ị

Challenge-Hanshake Anthentication Protocol(CHAP) đ c s d ng đ đ nh kì xác ượ ử ụ ể ịth c l i peer thông qua quá trình : 3-way handshake.Sau khi peer đ c ch ng ự ạ ượ ứth c,quá trình xác th c có th đ c l p l i nhi u l n.ự ự ể ượ ặ ạ ề ầ

Quá trình trên di n ra nh sau:ễ ư

Sauk hi liên k t đ c hoàn t t,authenticator g i “challenge message” t i ế ượ ấ ử ớpeer.

Peer tr l i l i v i thông tin đ c t o ra b i :” one-way-hash” function.ả ờ ạ ớ ượ ạ ở Authenticator so sánh response v i giá tr nó t t o ra nh hàm băm c a ớ ị ự ạ ờ ủ

mình,n u response phù h p v i giá tr mà authenticator t o ra thì ch ng ế ợ ớ ị ạ ứth c thành công,n u không k t n i b ch m d t.ự ế ế ố ị ấ ứ

Vào các kho ng th i gian ng u nhiên khi sau khi đ c ch ng th c, ả ờ ẫ ượ ứ ựauthenticator g i “challenge” t i peer và ti p t c l p l i các b c 1,2,3.ử ớ ế ụ ặ ạ ướ

L i ích c a CHAP:ợ ủ

CHAP b o v h th ng tr c các cu c t n công ki u nh Man-In-Middle và Hijack ả ệ ệ ố ướ ộ ấ ể ưdo có quá trình xác th c l i sau khi quá trình xác th c đ u tiên hoàn t t,b i v y 1 ự ạ ự ầ ấ ở ậcu c t n công đ n l ki u Man-In-Middle .. sẽ b ch n,hacker n u mu n t n công ộ ấ ơ ẻ ể ị ặ ế ố ấbu c ph i t n công nhi u l n khác nhau.ộ ả ấ ề ầ

Ph ng th c xác th c c a CHAP ph thu c vào khóa “secret” gi a peer và ươ ứ ự ủ ụ ộ ữauthenticator ,nó ko đ c v n chuy n qua m ng .ượ ậ ể ạ

M c dù là giao th c one-way nh ng nh có secret nên quá trình xác th c l n nhau ặ ứ ư ờ ự ẫv n đ c ti n hành d dàng.ẫ ượ ế ễ

H n ch c a CHAP:ạ ế ủ

CHAP đòi h i các “secret” ph i đ c hi n th d i d ng plaintext.ỏ ả ượ ể ị ướ ạ

2:Packet Format:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data ... +-+-+-+-+


Tr ng Codeườ : có đ dài 1 octet và đ c dùng đ đ nh nghĩa lo i packet:ộ ượ ể ị ạ

1:Challenge

2:Response.

3:Success.

4:Failure.

Tr ngườ Identifier:có đ dài 1 octet:dùng đ ki m tra tính t ng thích gi a ộ ể ể ươ ữresponses và replies.

Tr ng length:ườ có đ dài 2 octet xác đ nh đ dài c a gói tinộ ị ộ ủ

Tr ng data:ườ mang theo d li u đ c đ nh d ng b i tr ng code.ữ ệ ượ ị ạ ở ườ

Configuration option format:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Authentication-Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Algorithm | +-+-+-+-+-+-+-+-+

Tr ng type:3ườTr ng length:5ườTr ng authentication-protocol : c223(hex) v i CHAP.ườ ớTr ng Algorithm:có đ dài 1 octet khai báo ph ng th c đ c s d ng:mang giá ườ ộ ươ ứ ượ ử ụtr 5 v i CHAP with MD5.ị ớ3:Vấn đề an ninh trong CHAP.


IV. K t qu đ t đ cế ả ạ ượ

1.N i dungộ

2.N i dung 2ộ

V. Các v n đ còn l iấ ề ạ

1. N i dung 1ộ

2. N i dung 2ộ

VI. Tài li u tham kh oệ ả

1. Đ ng linkườ

2. Tên tài li uệ

13

NGHIÊN CỨU CHỨNG THỰC TUẦN 2

Documents

Transcript of NGHIÊN CỨU CHỨNG THỰC TUẦN 2