Muc dich Lab nay yéu cau bạn sử dụng chứng chỉ SSL đề xác thực thiết bị trên điều khiển công nghiệp mô phỏng mạng hệ thống được chia sẻ bởi Programmable Logie Controlers PLCs va Human Ma
Trang 1
BO THONG TIN VA TRUYEN THONG HOC VIEN CONG NGHE BUU CHINH VIEN THONG
BAO CAO BAI TAP LON
TIM HIEU BAI THUC HANH
SSL
Sinh vién tim hiéu
Nguyễn Đình Đông : B2IDCAT065
Phùng Dức Giang : B2IDCAT077 Môn học: Cơ sở An toàn thông tin - Nhóm 04
Giảng viên hướng dẫn: thầy Nguyễn Ngọc Diệp
Hà Nội - 2023
Trang 2
Muc luc
Muc luc
1
DANH MUC HINH VE VA BANG ceecsssssssssesesssseessssseesecessecessteecenseneecnvnneecetescsseeentess
1.Nội dung và hướng dẫn thực hiện bài thực hành 2 2 SE SE Eg 1E SE ren 1.1 h/01s:,1 0
1.2 _ Yêu cầu đối với sinh viên + 22s 29 ESEEEE122127121121112121 11x erre
1.3 Nội dung thực hành - L0 2221122111211 1115211511111 1511511121111 11511111 1.3.1 Khoi dong 6n s4 1.3.2 Tạo chứng chỉ và khóa - c2 c1 2211212121211 111111112 11118115 211115181111 rkg
1.3.3 Thẻ hiện sự giao tiếp giữa cả 4 thành phân cty
Trang 3DANH MUC HINH VE VA BANG
Hình I: Mô phỏng bài thực hành L0 2221122112221 121 1115115 1117111512511 1 181121 ke rrekg 4
Hình 2: Mô phỏng bài thực hành SSÌ c2 2222221121121 115535 1155151153111 8111 k2 7
Hình 3: Thư mục triển khai và cầu hình bải thực hành sc55cccccccvcrrrrrerrree 9
Hình 4: Cầu hình container CA 2s 2t 1221E112127112121221221212E1 1E nrrde 10
Hình 5: Cầu hình 2 container hmil và hmH2 - 52-25 2222 2223122233122112 2211222 10
Hình 6: Cầu hình 2 container plc và pÏŒ2 -.- 5c St SE 2E EEEE121EE1 121.11 e.rre II Hình 7: Chạy dịch vụ trên pÏlcl và pÏ€2 - - 2c 2211212122211 121 115115111 581258111 1152 xe te 11 Hình 8: Giao tiếp HMII với PLLCI 52- -S22E2EE9E12E15212E1217122121272212112121EE xe 12 Hình 9: Giao tiếp HMI2 với PLLC2 52-52 S22E2E19E12E15215E1117122111712111221E xe 12
Hình 10: Thử giao tiếp với PLC1 bằng HM2 2-55 s9 E22E221222121221212E xe 13
Hình II: Sử dụng /client_ ssÏ với HÍMI2 - - 2 12111211121 1111 111151111111 1111 11 5x key 13
Hình 12: Tạo khóa bảo mật cho PLC2 G c1 SH S190 60 0111 11k ng kvy 15
Hình 13: Xin cấp chứng chỉ bảo mật cho PLLC2 2252212 2271221111211 xe 15 Hinh 14: Dang ký chứng chi cho PLC2 thanh công 2c 2222121112 22x xssk2 16
Hình 15: Tạo khóa bảo mật cho HÌMĨ2 eeeeeecssseectecccececccccccsseesesstttttttseeanaens 17
Hình 16: Xin cấp quyền chứng chỉ bảo mật cho HMI2 2-5225 E2EE E23 teet 17 Hình 17: Đăng ký chứng chỉ cho HMI2 thành công 0 22 2 12 2 12tr 18 Hình 18: Copy các khóa mã hóa đến các máy chủ HMI2 và PLC2 - 2-52 s+cs>sẻ 18 Hình 19: Copy chứng chỉ đến các máy chủ HMI2 và PLC2 (dựa theo IP) 19 Hình 20: Copy các chứng chỉ đến các máy chủ HMI2 và PLC2 (dựa theo IP) 19 Hình 21: Thử lại giao tiếp giữa HMI2 và PL/C2 225cc E2 111121 rrree 19 Hình 22: Thử lại giao tiếp với HMII và PLC2 - - 55 s2 2221221712122 eee 20
Hình 23: Checkwork kiểm tra tiền trình hoàn thành lab -.-c::cccccsccsccverrveez 20
Bang 2.1: Cac tiéu chí chấm điểm 5S SE 1 1121111 1121111 2.22 11 1 111tr 8 Bảng 2.2: Cầu hình cho kiểm tra kết quả - 5-5 2s SE 12122111121 21E121 2 1E re 9 Bảng 2.3: Kết quả chấm điểm 5: ST 1 E1EE111E11111111 1212111111 rrey 9
Trang 41 Nội dung và hướng dẫn thực hiện bài thực hành
1.1 Muc dich
Lab nay yéu cau bạn sử dụng chứng chỉ SSL đề xác thực thiết bị trên điều khiển công nghiệp mô phỏng mạng hệ thống được chia sẻ bởi Programmable Logie Controlers (PLCs) va Human Machine Inteface (HMI) Các khái niệm được đề cập trong lab nay co thê áp dụng cho các cặp máy khách và máy chủ, ví du: web browser va web server
1.2 Yêu cầu đối với sinh viên
- Tìm hiểu riêng về các thành phần cơ bản của chứng chỉ PKI, ví dụ như cặp khóa public/private, Cơ quan phát hành chứng chỉ kỹ thuat s6 (Certification Authorities), dang
ký chứng nhận chứng chỉ số (signing requests) và chuỗi chứng chỉ (certificate chains) Một số video hướng dẫn về mật mã khóa công khai có tại: đây
- Tim hiéu cach str dung openss/ trén web va c6 thé xem chi tiét bằng cách sử dụng dong lệnh “man openss?”
- Sinh viên cần có các hiểu biết cơ bản về dòng lệnh Linux, những điều cơ bản về hệ thong tép va kha nang su dung scp dé sao chép tệp từ máy tính này sang máy tính khác 1.3 Nội dung thực hành
- Lab chạy trong Labtainer, có sẵn tại hítp://my.nps.edu/web/c3o/labtainers Trang web
bao gồm các liên kết đến một máy ảo dựng san da cai đặt Labtainers, tuy nhién
Labtainers có thê chạy trên bất kỳ trên máy Linux nào hỗ trợ Docker
- Từ thư mục labtainer-student, bắt đầu lab bằng cách sử dụng: /abiainer -r ss/
- Một liên kết đến hướng dẫn sử dụng lab này sẽ được hiền thị
- Tất cả id người dùng sử dụng trong lab đều là admin và tất cả mật khâu đều là password
- Lab này bao gồm hai PLC mô phỏng, hai thiết bị HMI và Cơ quan phát hành chứng chỉ (Certification Authority - CA) như trong hình 1
- Khi lab bắt đầu, ta sẽ nhận được một số terminal ảo, mỗi terminal được kết nỗi với từng
thành phân
- Tên máy chủ của từng thành phần được sắp xếp theo sơ đồ Các tập tin /etc/hosts cho phép sử dụng tên các máy chủ này thay vì địa chỉ TP rõ ràng
- Ban đầu, các thành phần ø/c7 và i1 có chứng chỉ và khóa PKI do CA cưng cấp
- Thành phân #7! chứa một chương trình cen_ssỉ sẽ gửi hướng dẫn đến PLC bằng TLS được xác thực bằng máy client Thành phần ø/c7 bao gồm dịch vụ service_ ssỉ nhận hướng dẫn tir thanh phan Ami Két nối SSL được sử dụng bởi phía máy khách và máy chủ
3
Trang 5của giao tiếp này đều được xác thực bằng khóa và chứng chỉ được tạo bằng thành phần
CA
- Các thành phân plc2 và hmi2 ban đầu thiếu khóa và chứng chỉ Nó bao gồm cjez và các chương trình server có chức năng giống hệt với các chương trình trên thành phần piel và hmiÏ, ngoại trừ việc chúng không sử dụng SSL
- Thành phần CA được định cấu hình đề đăng ký chứng chỉ trong miền “example.com”
và đã được str dung dé tao va cap vào bộ chứng chỉ ban đầu
Hình 1: Mô phỏng bài thực hành 1.3.1 Khởi động bài lab
- Khởi động dịch vụ server ssÏ trên PLCI: /server ssl và dịch vu server trên PLC2: /server
- Sau đó khởi động Wireshark trên cả hai thành phần HMI đề xem lưu lượng mạng: Wireshark &
Trang 6+ Trén thanh phan hmi?: /client plc? This is an instruction
- Có sự khác biệt nao 6 Wireshark khi giao tiếp giữa plel với hmil và plc2 với hmi2?
- Hãy thử gửi hướng dẫn từ hmi2 đến plc1 Điều gì xảy ra và tại sao? Hãy thử sử dụng chương trình c/en/_ ss trên hm12 đề giao tiếp với từng PLUC
- Sau đó thử gửi hướng dẫn từ hmil đến plc2 Một lần nữa, điều gì xảy ra và tại sao? 1.3.2 Tạo chứng chỉ và khóa
- Sử dụng tiện ích openss/ trên thành phần CA đề tạo khóa và chứng chỉ cho các thành phan hmi2 va plc2
- Ví dụ: việc tạo khóa, đăng ký các yêu cầu và các hoạt động ký chứng chỉ đã được sử dụng cho plel được cung câp dưới đây:
# plcl key gen
openssl genrsa -out intermediate/private/plcl.example.com.key.pem 2048
chmod 400 intermediate/private/plc1.example.com.key.pem
# plcl cert signing request
openssl req -config intermediate/openssl.cnf \
-key intermediate/private/plc1.example.com.key.pem \
-subj ’/CN=plcl.example.com/O=Example./C=US/ST=CA ’ \
-new -sha256 -out intermediate/csr/plcl.example.com.csr.pem
# sign plcl cert
openssl ca -bhatch -config intermediate/openssl.cnf \
-extensions server_cert -days 375 -notext -md sha256 \
Trang 7intermediate/certs/ca-chain.cert.pem vao thu muc /certs cua hai thành phần (Lưu ý rằng chúng ta có plcl và hmil làm ví dụ hoạt động)
1.3.3 Thể hiện sự giao tiếp giữa cả 4 thành phần
- Sau khi cài đặt chứng chỉ và khóa, hãy khởi động dịch vu server _ssƒ trên từng thành phần PLC
- Nếu đã cài đặt đúng chứng chỉ và khóa trên hmi2 và plc2 thì chúng ta có thê str dung chương trình ssI máy khách đề gửi hướng dẫn tới một trong 2 PLC từ một trong các thành phần HMI
1.3.4 Nộp bài
- Sau khi kết thúc bài thực hành, vào terminal đầu tiên trên hệ thông Labtainer đã được sử
dụng đề khởi động bài thực hành và gõ: stoplab
- Khi bạn đừng lab, hệ thông sẽ hiền thị đường dẫn đến các kết quả lab được lưu trên hệ thống của bạn
Trang 82 Phan tich, thiét ké bai thuc hanh
2.1 Phân tích yêu cầu bài thực hành
2.2 Thiết kế bài thực hành
Trên môi trường máy ảo Ubuntu được cung cấp, bài lab sử đụng Docker để tạo 5 container: 2 container mang tên “hmil” và “hmi2” đóng vai trò là chương trình trên máy khách, 2 container mang tén “plcl” và “ple2” đóng vai trò là chương trình máy chủ, | container tên “ca” là chương trình cung cấp chứng chỉ SSL
© _ Confainer ca: chứa câu hình chương trình cung cấp chứng chỉ
o Tén may chu : admin@ca
6_ Người dùng: admin
o_ Mật khâu: password
©_ Địa chỉ trong mạng LAN: 172.25.0.2
© _ Confainer hmil và hmi2: cùng trên l terminal chứa cầu hình chương trình máy khách
Trang 9Tên may chu: admin@hmuil, admin@hmi2
Người dùng: admin
Mat khau: password
o Dia chi trong mang LAN: hmil - 172.25.0.3 ; hmi2 — 172.25.0.5
© Container plcl và plc2: cùng trên l terminal chứa cầu hình chương trình máy chủ
o Tén may chu: admin@plcl, admin@plc2
6_ Người dùng: admin
o_ Mật khâu: password
o Dia chi trong mang LAN: hmil - 172.25.0.4 ; hmi2 — 172.25.0.6
e Folder config: chita cầu hình của hệ thông
¢ Folder dockerfiles: mé ta cau hinh cua 5 container
© openssl openssh-server openvpn wget tcpdump update-inetd xinetd: str
dung cac thu vién mac dinh cua hé thong cùng với cầu hình NETWORK trong đó đã cải sẵn các dịch vụ, ngoài ra cần cài thêm địch vụ sshpass
® Folder docs: lưu các mô tả hướng dẫn làm bài thực hành
© Sử dụng các câu lệnh server ssÏ và /server cho plcl và plc2
Thử giao tiếp giữa cac ple voi hmi
Tạo các tập tin chứng chỉ cho ple2 và hm12
Chuyền các tập tin chứng chỉ vào đúng vị trí file
o Ket thuc bai lab và đóng gói kết quả
® Tolder instr config: lưu câu hình cho phần nhận kết quá và chấm điểm
- Thiết lập hệ thống mạng để các máy chủ và máy khách đều cùng một mạng LAN
- Các thư viện cần cho máy chủ và máy khách đề sử dụng địch vụ openssh
- Ngoài ra cần cài thêm địch vụ sshpass
- Đề hoàn thành bài lab, cần kết nối được các máy khách đến từng máy chủ mà không bị báo lôi
- Sau khi hoàn thành bài thực hành, hệ thống cần tự động lưu lại kết quả vào một file
- Đề đánh giá được việc đã hoàn thành bài thực hành hay chưa, bài thực hành ssl có hai
nhiệm vụ nhỏ, mối nhiệm vụ phải chỉ rõ ket qua dé co thê dựa vào đó đánh gia va cham điểm Đối với bài thực hành ssl thì cần ghi nhận các sự kiện được mô tả và cầu hình như
sau:
Hmi2_to_plc2 Hmil_to_ple2
Trang 10Connection from hmi2 Connection from hmil
Bang 2.1: Cac tiéu chi cham diém
- Mục tiêu cần kiêm tra trong bang 2.1
®©_ Kếtnôi thành công hmil và hmi2 với plc2 mà không báo lỗi
- Kiêm tra kết quả sẽ dựa theo câu hình sau
Result Tag Container | File Field Type | Field ID Timestamp
Type hmi2_ to ple2 | ple2 server _ssl.stdout | CONTAINS | Connection | File
from hmi2 hmil to plc2 | plc2 server ssL.stdout | CONTAINS | Comnectlon | File
from hmil
Bang 2.2: Cau hinh cho kiém tra két qua
- Sau khi nhan dugc file đóng gói từ sinh viên, giảng viên sử dụng chức năng chấm điểm
đề xem kết quả được thiết kế đạng bảng trong đó ghi rõ email của sinh viên thực hiện, từng tiêu chí chấm điểm được ghi nhận ( nêu có chữ “*Y” là đã hoàn thành, nêu không có
là chưa hoàn thành) và kết luận là sinh viên đã hoàn thành bài thực hành đó hay chưa
Kiểm tra bài thực hành đúng đo sinh viên làm bằng cách kiểm tra email
Student Hmi2_to_plc2 Hmil_to_plc2
Mã sinh viên Đã kết nôi được từ hm12 Đã kêt nôi được từ hm1l
đên plc chưa (Y là đã hoàn | đến plc2 chưa (Y là đã thành hoàn thành)
Bảng 2.3: Kết quả chấm điểm
Trang 113 Cài đặt và cầu hình các máy ảo
- File cầu hình bài thực hành được lưu trữ tại thư mục ~/labtainer/trunk/labs/ssl
ssl
ca
config dockerfiles docs
hmi1
011174 instr_config pict plc2
Hình 3: Thư mục triển khai và cấu hình bời thực hành
10
Trang 12Cau hinh cac file may ao:
ENV APT_SOURCE $apt_source
RUN apt-get update && apt-get install -y sshpass
ADD $labdir/$imagedir/sys tar/sys.tar /
ADD $labdir/sys $lab.tar.gz /
RUN useradd -ms /bin/bash fuser_name
RUN echo “$user_name:$password" | chpasswd
RUN adduser $user_name sudo|
USER $user_name
ENV HOME /home/$user_name
ADD $labdir/$imagedir/home_tar/home.tar $HOME
RUN rm -f $HOME/home.tar
ADD $labdir/$lab.tar.gz $HOME
USER root
CMD ["/bin/bash", “-c", “exec /sbin/init log-target=journal 3>&1"]
Hình 4: Cau hinh container CA
- Đối với Container CA chung ta can cai thém dich vu sshpass
ENV APT_SOURCE $apt_source
ADD $labdir/$imagedir/sys tar/sys.tar /
ADD $labdir/sys $lab.tar.gz /
RUN useradd -ms /bin/bash $user_name
RUN echo “$user_name:$password" | chpasswd
RUN adduser $user name sudo
USER $user_name
ENV HOME /home/$user_name|
ADD $labdir/$imagedir/home_tar/home.tar $HOME
RUN rm -f $HOME/home.tar
ADD $labdir/$lab.tar.gz $HOME
USER root
CHD ["/bin/bash", “-c", “exec /sbin/init log-target=journal 3>&1"]
Hình 5: Cau hinh 2 container hmil va hmi2
ll
Trang 13RUN useradd -ms /bin/bash $user_name
RUN echo "$user_name:$password" | chpasswd
RUN adduser $user_name sudo
USER $user_name
ENV HOME /home/$user_name|
ADD $labdir/¢imagedir/home_tar/home.tar $HOME
