Embed Size (px)
DESCRIPTION
第十二章 網路安全綜合 解決方案. 課前指引 目前最廣為熟知的幾個軟體與協定分別為 PGP 、 SET&SSL 與防火牆。由於電子郵件在傳送上安全的重要性與日俱增,且內容格式愈趨多樣化,已非單純的文字檔,更加入影音、影像等許多檔案形式增強電子郵件功能,於是製定一套通訊協定標準整合各項通訊格式,並顧及傳輸上的安全性,已成為政府機關、研究組織的研究目標。. 章節大綱. 12-1 PGP. 12-4 Snort 使用. 12-2 SET&SSL. 12-5 Nessus. 12-3 防火牆. 12-6 結語. 備註:可依進度點選小節. - PowerPoint PPT Presentation
Citation preview
第十二章 網路安全綜合第十二章 網路安全綜合 解決方案解決方案
課前指引目前最廣為熟知的幾個軟體與協定分別為 PGP、 SET&SSL與防火牆。由於電子郵件在傳送上安全的重要性與日俱增,且內容格式愈趨多樣化,已非單純的文字檔,更加入影音、影像等許多檔案形式增強電子郵件功能,於是製定一套通訊協定標準整合各項通訊格式,並顧及傳輸上的安全性,已成為政府機關、研究組織的研究目標。
章節大綱
備註:可依進度點選小節
12-1 PGP
12-2 SET&SSL
12-4 Snort使用
12-5 Nessus
12-3 防火牆 12-6 結語
3
電子郵件易遭竄改且不會留下痕跡,收件者無法知道此封電子郵件在傳送途中是否經過他人變更。電子郵件在網路上傳送會經過許多端點(Node),如同明信片一般任何人均可窺見郵件內容,無法達到機密性。第三者可以很容易假冒他人寄電子郵件,收件者無法肯定電子郵件所顯示的來源位址是否真的是該寄件者所寄。PGP(Pretty Good Privacy) 的問世,有效解決電子郵件在傳送上所碰到的種種問題。
12-1 PGP
4
PGP廣受歡迎原因PGP是免費的軟體 使用的演算法:
IDEA(International Data Encryption Algorithm)RSAMD5(Message Digest)單向 HASH函數 (One-way Hash Function)
確保電子郵件機密性、完整性、身份認證、不可否認性。
12-1 PGP
5
PGP原理對稱式金鑰密碼系統:使用的是 IDEA單金鑰加密方法對文件進行加密,利用的即是「對稱式金鑰密碼系統」加密速度快速的優點。 PGP能產生一把 128位元的加密金鑰以 IDEA技術加密文件。非對稱式金鑰密碼系統:使用 RSA演算法以收件者的公開金鑰將 IDEA加密金鑰做加密,將用IDEA加密的密文、加密過的 IDEA加密金鑰傳送給收件者。
12-1 PGP
6
PGP加密及簽章流程
12-1 PGP
明文 MD5 訊息摘要 RSA私鑰加密
數位簽章壓縮
壓縮文件
IDEA金鑰RSA公鑰加密
壓縮文件密文
IDEA金鑰密文
Radix-64轉換
接收者
IDEA金鑰
7
PGP運作流程加密數位簽章壓縮電子郵件相容性切割
12-1 PGP
8
PGP運作流程 - 加密寄件者將寫好的訊息,利用 PGP所產生的 128位元的連線會期金鑰 (session key)進行加密,此把連線會期金鑰所運用的加密演算法即是 IDEA,為對稱式金鑰密碼系統。利用 RSA技術以接收者的公開金鑰將連線會期金鑰加密,並和加密後的訊息一起傳給收件者。
12-1 PGP
9
PGP運作流程 - 解密收件者利用和此把公開金鑰相對應的私密金鑰解密,得到連線會期金鑰。收件者再利用此把連線會期金鑰將密文解密得到原文。
12-1 PGP
10
PGP運作流程 - 數位簽章寄件者將寫好的訊息以 MD5單向 HASH函數做運算,得到一 128位元 Digest。寄件者以 RSA演算法金鑰對裡的私密金鑰對Digest做加密,然後將加密後的 Digest和訊息傳給收件者。收件者利用寄件者的公開金鑰將私密金鑰加密的 Digest解密,得到原 Digest。收件者將訊息以相同的單向 HASH演算法做運算,得到 Digest。並和解密後的 Digest做比對,如果結果相同,則此訊息在傳送的過程中並未遭到竄改;反之,則是遭到竄改。
12-1 PGP
11
PGP運作流程 - 電子郵件相容性經由 PGP加密處理過的文件,並無法在只能使用ASCII文字的電子郵件系統中正常傳送,必須得將文件再處理過。Radix-64便是讓加密過的文件符合限制轉換為可列印的 ASCII字元,其轉換雖然會讓原訊息長度增為原來的 1/3倍,但原訊息已經先經過壓縮處理,所以實際上經過 Radix-64轉換後的訊息長度仍會比原訊息長度較短。
12-1 PGP
12
PGP運作流程 - 切割電子郵件通常有最大長度的限制,例如有些電子郵件系統限定郵件長度最大不得超過 50000位元組,若超過此上限,便會將此郵件切割成許多段,每段長度均要在規定以下,再分別寄出。
12-1 PGP
13
安全電子交易 (Secure Electronic Transaction,簡稱 SET)。制定目的,在於確保網路交易的安全性,讓資訊在傳輸過程中保持其機密性和資訊的完整性,並能夠對商家及消費者做身份認證。
12-2 SET&SSL
14
SET交易流程
12-2 SET&SSL
15
SET-雙重簽章 (Dual Signature)以 HASH演算法對付款資訊及訂單資訊運算,取得兩份 Digests: D-PI及 D-OI。將兩 Digests合併在一起,再做一次 HASH運算取得第三份 Digest: D-POI。將 D-POI以消費者的私密金鑰做加密,便是所謂雙重簽章。
12-2 SET&SSL
16
SSL安全傳輸協定 (Secure Socket Layer,簡稱SSL)。介於應用層和 TCP/IP層之間,又可分為 SSL記錄層 (SSL Record Layer)和 SSL訊息層(SSL Message Layer)。SSL在伺服器端和用戶端之間建立一條秘密通訊的管道,保護資料在其間傳送的安全性,避免他人從中竊取、破壞或是冒充。
12-2 SET&SSL
17
SSL記錄層 (SSL Record Layer)將資料分段處理,每段的長度均固定不大於214=16384位元組。為每段資料進行壓縮,使用者可根據自己需求選擇壓縮或是不壓縮。加入 MAC(Message Authentication Code)。將前一步驟所分割的該段資料做 HASH函數運算取得 MAC,用來確保資料的完整性。將壓縮過的資料及 MAC做加密。為欲傳送的訊息加上標頭 (Header)。
12-2 SET&SSL
18
SSL記錄協定運作流程
12-2 SET&SSL
應用層資料
分段
壓縮
MACMAC加入
加密
加上標頭
MAC
19
SSL訊息層 (SSL Message Layer) 加密演算法更換協定警告協定交握協定 (Handshake Protocol)
12-2 SET&SSL
20
加密演算法更換協定 主要目的為更新目前所使用的加密演算法。假設用戶端和伺服器端目前正以一種加密演算法進行 SSL通訊,若用戶端 ( 或伺服器端 ) 想變更加密演算法,便是利用此協定來達成此一目的。
12-2 SET&SSL
21
SET vs SSL
12-2 SET&SSL
SET SSL
機密性 使用 DES加密法對信用卡資料做加密,預防商家竊取消費者信用卡資料,保護重要資料的機密性。
使用 IDEA、 DES、 3DES、 RC2、 RC4等加密演算法,確保資料在傳輸過程中的安全。
完整性 使用 HASH演算法 (SHA-1)和公開金鑰系統的 RSA數位簽章機制,保護付款資料使得資料在傳輸的過程中不會遭到變更。
使用 HASH演算法 (MD5或 SHA-1)等計算 MAC,確保資料的完整性。
身份認證
商家利用訊息憑證及簽章確認消費者身份。
利用訊息憑證驗證用戶端身份。
不可否認性
商家利用訊息憑證及簽章確認消費者身份,也能達到不可否認性。
由於所使用的加密演算法為對稱式加密演算法,故無法達到不可否認性。
優點 多重的防護機制使得其安全性相對較高。 可依環境不同加入適當的加密演算法,不需重新建構新的通訊協定。
缺點 消費者需安裝、學習電子錢包,並了解憑證的申請流程及使用方法,雖然安全性較高,但過程太過繁複,使用者不易了解。
雖然傳送資料的過程受到安全保護,但信用卡資料卻會被交易的商家知道,難保商家不會盜用信用卡資料。
22
一、防火牆的種類( 一 ) 封包過濾式防火牆( 二 ) 代理伺服器式防火牆
二、防火牆的限制( 一 ) 系統漏洞( 二 ) 內部攻擊( 三 ) 病毒威脅( 四 ) 網路釣魚
三、 DMZ四、防火牆的架構
12-3 防火牆
23
Snort是一套 GPL開放原始碼的軟體,他是由 Marty Foesch於 1998年所發展的輕量級入侵偵測工具,雖然起出定位為輕量級的入侵偵測工具,但發展至今他的功能上已相當完備成熟,加上模組化的程式設計,他相當具有延伸性與擴充性,如本節將介紹配合 ACID和Mysql資料庫的使用,結合成一個完善的入侵資料紀錄,與圖形化分析查詢的介面系統。
12-4 Snort使用
24
Nessus是一套弱點掃描工具, Nessus的緣起,是因為原本免費的 SATAN弱點掃描軟體,其功能性已被商業軟體超越,於是由 R.Deraison成立了一個名為Nessus的計畫,透過網路社群發起討論修改製作出 Nusses弱點掃瞄工具軟體,於 1999年第一次正式發表。弱點掃瞄工具,是一個廣泛的稱謂,他所執行的工作就是主機的安全稽核掃描,以幫助系統管理者搜尋系統主機的漏洞所在,及其原因。他能夠描述關於防禦者或者入侵者的資料。
12-5 Nessus
25
藉由 PGP軟體,郵件寄送者能輕鬆將電子郵件加密,保護自己的電子郵件在傳輸過程中,降低被窺見的風險,確保個人於電子通信上的隱私。網路電子交易安全成為大家所嚴重關切的問題, SET&SSL通訊協定便應運而生,成為目前解決電子付款安全性問題的採行方式。
12-6 結語
26
進而介紹 Snort、 Nessus及防火牆的使用讓個人或企業在電腦使用上更具其安全性,利用防火牆及 Snort來阻隔有心人事之攻擊、並發掘相關入侵及破壞等等之行為,讓電腦使用更有保障。最後透過 Nessus來偵測系統漏洞,以維護系統之安全。
12-6 結語
27
Q&A討論時間
本章結束
