網路安全

840 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
840
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

網路安全

  1. 1. 電腦網路 網路安全 科技二甲 495711274 續書豪
  2. 2. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  3. 3. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  4. 4. 資訊安全 <ul><li>資訊安全的目標 </li></ul><ul><li>資訊安全的成因 </li></ul><ul><li>資訊安全的範圍 </li></ul>
  5. 5. 資訊安全 <ul><li>資訊安全的目標 </li></ul><ul><li>資訊安全的成因 </li></ul><ul><li>資訊安全的範圍 </li></ul>
  6. 6. 資訊安全的目標 <ul><li>機密性 (Confidentiality) 資料在傳輸能安全無虞,即使取得資料也因加密而無法利用。 </li></ul><ul><li>完整性 (Integrity) 資料不被篡改或破壞。 </li></ul><ul><li>可用性 (Availability) 使系統無論遭遇任何破壞或攻擊,皆能有效防範或復原。 </li></ul>
  7. 7. 資訊安全的目標 <ul><li>機密性 (Confidentiality) </li></ul><ul><li>完整性 (Integrity) </li></ul><ul><li>可用性 (Availability) </li></ul>資訊安全 機密性 完整性 可用性
  8. 8. 資訊安全 <ul><li>資訊安全的目標 </li></ul><ul><li>資訊安全的成因 </li></ul><ul><li>資訊安全的範圍 </li></ul>
  9. 9. 資訊安全的成因 <ul><li>日本通訊株式會社對資訊系統故障成因調查排名次序: </li></ul><ul><li>網路 </li></ul><ul><li>火災 </li></ul><ul><li>地震 </li></ul><ul><li>人員操作不良 </li></ul><ul><li>實體 </li></ul><ul><li>資訊犯罪 </li></ul><ul><li>電力 </li></ul><ul><li>雷擊 </li></ul><ul><li>軟體 </li></ul>
  10. 10. 資訊安全的成因 <ul><li>日本通訊株式會社對資訊系統故障成因調查排名次序: </li></ul><ul><li>網路 </li></ul><ul><li>火災 </li></ul><ul><li>地震 </li></ul><ul><li>人員操作不良 </li></ul><ul><li>實體 </li></ul><ul><li>資訊犯罪 </li></ul><ul><li>電力 </li></ul><ul><li>雷擊 </li></ul><ul><li>軟體 </li></ul>
  11. 11. 資訊安全 <ul><li>資訊安全的目標 </li></ul><ul><li>資訊安全的成因 </li></ul><ul><li>資訊安全的範圍 </li></ul>
  12. 12. 資訊安全的範圍 <ul><li>實體安全: 主機伺服器、單機電腦 </li></ul><ul><li>軟體安全: 病毒的防範、軟體開發的安全考量 </li></ul><ul><li>人員安全: 進出機房人員的管制 </li></ul><ul><li>系統安全: 系統資源的備份、系統存取紀錄 </li></ul><ul><li>網路安全: 防火牆策略、資料加密、身分驗證 </li></ul>
  13. 13. 資訊安全的範圍 <ul><li>實體安全: 主機伺服器、單機電腦 </li></ul><ul><li>軟體安全: 病毒的防範、軟體開發的安全考量 </li></ul><ul><li>人員安全: 進出機房人員的管制 </li></ul><ul><li>系統安全: 系統資源的備份、系統存取紀錄 </li></ul><ul><li>網路安全: 防火牆策略、資料加密、身分驗證 </li></ul>
  14. 14. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  15. 15. <ul><li>網路安全威脅的對象 </li></ul><ul><li>網路安全威脅的方式 </li></ul><ul><li>網路安全策略 </li></ul>網路安全
  16. 16. 網路安全 <ul><li>網路安全威脅的對象 </li></ul><ul><li>網路安全威脅的方式 </li></ul><ul><li>網路安全策略 </li></ul>
  17. 17. 網路安全威脅的對象 <ul><li>資源: 需對 主機系統 、 CPU 時間 、 磁碟空間、  </li></ul><ul><li>    傳輸通道 等資源進行安全控制。 </li></ul><ul><li>資料: 需要加以保護具有 機密性 、 私密性 的 </li></ul><ul><li>    資料。 </li></ul><ul><li>身分: 保護 簽入系統 或 電子郵件的帳號 及 密 </li></ul><ul><li>    碼資料 、 信用卡的卡號 等資料。 </li></ul>
  18. 18. 網路安全 <ul><li>網路安全威脅的對象 </li></ul><ul><li>網路安全威脅的方式 </li></ul><ul><li>網路安全策略 </li></ul>
  19. 19. 網路安全威脅的方式 <ul><li>中斷傳輸: 使原來可互相傳輸的兩方通訊中斷。 </li></ul><ul><li>資料竊取: 監聽網路傳輸的資料。 </li></ul><ul><li>資料篡改: 攔截傳輸中的資料並加以篡改再發送出去。 </li></ul><ul><li>身份冒用: 假冒他人帳號及密碼、冒用網路內系統位址、以他 </li></ul><ul><li>      人名義發電子郵件等。 </li></ul><ul><li>系統入侵: 入侵或破解至管理階層的帳號及密碼,竊取、篡改 </li></ul><ul><li>      或破壞整個系統資源。 </li></ul><ul><li>惡意破壞: 不侵入系統來進行破壞。如:以大量資料灌爆電子 </li></ul><ul><li>      郵件系統或癱瘓通訊等。 </li></ul><ul><li>病毒感染: 利用程式破壞系統使電腦無法正常運作或使電腦執 </li></ul><ul><li>      行一些增加負擔的額外工作。 </li></ul>
  20. 20. 討論 各位同學在接觸電腦的經驗中,是否曾經有過網路安全威脅的經驗,它又屬於上述的那一類?自己如何面對解決?
  21. 21. 網路安全 <ul><li>網路安全威脅的對象 </li></ul><ul><li>網路安全威脅的方式 </li></ul><ul><li>網路安全策略 </li></ul>
  22. 22. 網路安全策略 <ul><li>防火牆 (Firewall) : </li></ul><ul><li> 如同網路的警衛,可用以保護網路內部,使網路不讓外界因連結而入侵。 </li></ul><ul><li>加密 (Encryption) : </li></ul><ul><li>  將資料加密後再送出去,加密後的資料即使被竊取也無法得知其內容為何。 </li></ul><ul><li>認證 (Authentication) : </li></ul><ul><li>  通訊連線前先辨認身份,以避免冒充身分者的破壞或入侵。 </li></ul>
  23. 23. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  24. 24. <ul><li>防火牆的設置 </li></ul><ul><li>防火牆的功能 </li></ul><ul><li>防火牆的種類 </li></ul>防火牆 (Firewall)
  25. 25. 防火牆 (Firewall) <ul><li>防火牆的設置 </li></ul><ul><li>防火牆的功能 </li></ul><ul><li>防火牆的種類 </li></ul>
  26. 26. 防火牆的設置 <ul><li>為了保護網路系統,將往來於網路間的工作進行控管的工作,將不正常的工作組絕在外,使系統不為外界所破壞而建立的一種裝置 。 </li></ul><ul><li>設置的位置是其要保護的系統而定,可能置於企業內網路與網際網路間,也可能為了保護特別部門的網路系統而置於企業網路內 </li></ul>
  27. 27. 防火牆的設置 防火牆 防火牆 防火牆 Internet Intranet Intranet 與 Internet 間建構一個保護 Intranet 的防火牆 Internet Intranet 防火牆 資料中心 會計部門 除了對外的防火牆外,也對特殊部門進行網路防火牆建置
  28. 28. 防火牆 <ul><li>防火牆的設置 </li></ul><ul><li>防火牆的功能 </li></ul><ul><li>防火牆的種類 </li></ul>
  29. 29. 防火牆的功能 <ul><li>連線的控管 從封包中取得相關資訊,決定同意或拒絕該封包的傳輸要求。 </li></ul><ul><li>活動的紀錄 將所有進出網路的工作做詳細紀錄,來防範主機遭受外來的入侵,且能追蹤入侵者的來源及意圖。 </li></ul>
  30. 30. 防火牆 <ul><li>防火牆的設置 </li></ul><ul><li>防火牆的功能 </li></ul><ul><li>防火牆的種類 </li></ul>
  31. 31. 防火牆的種類 <ul><li>封包過濾式 (Packet Filter) </li></ul><ul><li>應用閘道器 (Application Gateway) </li></ul>
  32. 32. 封包過濾式 <ul><li>在 OSI 架構的 網路層 與 傳輸層 來進行。 </li></ul><ul><li>運用 封包標頭 內的資料        與存取控制規則進行封       包的過濾工作。 </li></ul><ul><li>可建立在 路由器 、作        業系統或伺服程式中        ( 如: WWW 、 FTP 等 ) </li></ul>
  33. 33. 封包過濾式防火牆 Internet Intranet 應用層 呈現層 會議層 傳輸層 網路層 資料連結層 實體層
  34. 34. 封包標頭 <ul><li>檢查每個封包標頭內的四項欄位: </li></ul><ul><li>來源端的 IP 位址 </li></ul><ul><li>目的端的 IP 位址 </li></ul><ul><li>來源端的 TCP/UDP 埠 </li></ul><ul><li>目的端的 TCP/UDP 埠 </li></ul>
  35. 35. 規則表列與過濾表列 規則 來源 IP 位址 目的 IP 位址 類型 來源 埠編號 目的 埠編號 結果 1 20.210.21.72 140.130.149.* 4 3 2 5 140.122.* 140.* * * 140.122.* 140.130.149.* 140.* * * * TCP TCP TCP * * * * 23 * 23(TELNET) * * 25(Email) 拒絕 拒絕 通過 通過 通過 封包 來源 IP 位址 目的 IP 位址 類型 來源埠 目的埠 結果 1 20.210.21.72 140.130.149.28 4 3 2 5 120.132.78.54 140.112.68.35 140.130.149.186 140.130.149.60 140.130.149.48 TCP TCP TCP UDP TCP 18162 23 6726 2558 1692 23 拒絕 通過 通過 拒絕 通過 規則 25 53 4396 23 1 4 5 3 2 140.130.149.60 140.130.149.210 140.112.127.3
  36. 36. 小 Quiz 規則 來源位址 目的位址 類型 來源埠 目的埠 結果 1 * 140.130.149.60 4 3 2 5 140.130.* 140.* * 140.130.135.2 * 140.130.* * * TCP TCP * TCP * 23 * * * * 25 23 * * 拒絕 拒絕 通過 通過 拒絕 來源位址 目的位址 類型 來源埠 目的埠 140.132.2.98 140.130.23.1 140.130.135.5 140.56.2.5 UDP TCP 32745 23 32745 規則 23 140.* 結果 _______ _______ _______ _______ 已知有一封包過濾式防火牆的過慮規則如下所示: <ul><li>目前如果有下列兩個封包欲通過該防火牆,則其行動所遵循的規則及其結果分別為何? </li></ul>4 拒絕 3 通過
  37. 37. 封包過濾式防火牆的優缺點 <ul><li>優點:                速度快,且具通透性,使用者不會察覺有防火牆的存在。 </li></ul><ul><li>缺點:                僅在網路層或傳輸層中進行,對於較高層的安全防範無法有效偵測。 </li></ul>
  38. 38. 應用閘道器 <ul><li>在 OSI 架構的 應用 層 來進行連結過濾。 </li></ul><ul><li>又稱為代理伺服             器 (Proxy Sever)              防火牆。 </li></ul><ul><li>負責服務連結之             代理與資料的轉              送和過濾。 </li></ul>網際網路 網路伺服器端 內部伺服器主機 應用代理伺服器 ( 驗證訊息是否安全 ) 接收 / 傳送 外界檔案 經過確認的訊息封包
  39. 39. 應用閘道器防火牆 應用層 呈現層 會議層 傳輸層 網路層 資料連結層 實體層 Intranet Internet 應用層 呈現層 會議層 傳輸層 網路層 資料連結層 實體層 P R O X Y
  40. 40. 應用閘道器防火牆的優缺點 <ul><li>優點:                由於不允許封包通過防火牆,且 可完全檢驗至應用層的資訊, 因此較為安全。 </li></ul><ul><li>缺點:                網路速度較慢;對所有服務都要有相對應的 Proxy 應用程序。 </li></ul>
  41. 41. 封包過濾式 VS. 應用閘道器 對所有服務都要有相對應的 Proxy 應用程序 由於不允許封包通過防火牆 因此較為安全 允許封包直接通過,容易造成 資料內容式攻擊的潛在危險 ( 如病毒 ) 無法運用在加密過的資訊 ( 如 SSL) 設定較複雜,容易出現因 防火牆細部設定不當所帶來 的問題 安全機制多,網路速度較慢 性能負荷小,網路處理速度快 價格較高 價格較低 應用閘道器 封包過濾式
  42. 42. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  43. 43. <ul><li>資料加密要件 </li></ul><ul><li>何謂 加密 (Encryption) </li></ul><ul><li>密碼系統的種類 </li></ul><ul><li>雜湊 函數 (Hash Function) </li></ul>加 密 (Encryption)
  44. 44. 加 密 (Encryption) <ul><li>資料加密要件 </li></ul><ul><li>何謂 加密 (Encryption) </li></ul><ul><li>密碼系統的種類 </li></ul><ul><li>雜湊 函數 (Hash Function) </li></ul>
  45. 45. 資料加密要件 <ul><li>私密性 (Confidentiality) 使傳輸的資料在傳送的過程中不為人所竊知,以 加密 的方式來達成。 </li></ul><ul><li>完整性 (Integrity) 確認資料在傳輸過程不受干擾、破壞或篡改,運用 雜湊函數 進行檢驗。 </li></ul><ul><li>不可否認性 (Non-Repudiation) 確認發送者的身分,對此則可以運用 數位簽章 來實現。 </li></ul>
  46. 46. 加 密 (Encryption) <ul><li>資料加密要件 </li></ul><ul><li>何謂加密 (Encryption) </li></ul><ul><li>密碼系統的種類 </li></ul><ul><li>雜湊 函數 (Hash Function) </li></ul>
  47. 47. 何謂加密 (Encryption) <ul><li>為了使資料在傳送過程能不為人所竊知,資料 加密 後再傳送是最直接有效的方法之ㄧ。 </li></ul><ul><li>將原始資料根據事先定義好的演算法則,將之轉換為無法理解的資料。 </li></ul><ul><li>原始資料稱為 明文 (Plaintext 或 Cleartext) ;經過轉換所得的資料稱為 密文 (Cryptogram 或 Ciphertext) 。 </li></ul>
  48. 48. 沒錯 !!! 就是 使用者名稱 和 密碼 啦 ! 從這兩個封包裡,你發現了什麼 ?
  49. 49. 加密與解密 My name is Lily. My name is Lily. O{ &quot; pcog &quot; ku &quot; Nkn{0 O{ &quot; pcog &quot; ku &quot; Nkn{0 加密 解密 <ul><li>將明文中每個文字符號以 ASCII 內碼 比它 大 2 的文字符號取代。 </li></ul>
  50. 50. 加密 O { &quot; p c o g &quot; k u &quot; N k n { 0 ~ 126 } 125 | 124 { 123 z 122 y 121 x 120 w 119 v 118 u 117 t 116 s 115 r 114 q 113 p 112 o 111 n 110 m 109 l 108 k 107 j 106 i 105 h 104 g 103 f 102 e 101 d 100 c 99 b 98 a 97 ` 96 _ 95 ^ 94 ] 93 92 [ 91 Z 90 Y 89 X 88 W 87 V 86 U 85 T 84 S 83 R 82 Q 81 P 80 O 79 N 78 M 77 L 76 K 75 J 74 I 73 H 72 G 71 F 70 E 69 D 68 C 67 B 66 A 65 @ 64 ? 63 > 62 = 61 < 60 ; 59 : 58 9 57 8 56 7 55 6 54 5 53 4 52 3 51 2 50 1 49 0 48 / 47 . 46 - 45 ' 44 + 43 * 42 ) 41 ( 40 ' 39 & 38 % 37 $ 36 # 35 &quot; 34 ! 33 SPACE 32 ESC 27 鍵盤 ASCII 碼 鍵盤 ASCII 碼 鍵盤 ASCII 碼 鍵盤 ASCII 碼 My name is Lily.
  51. 51. 加密 小 Q u i z K&quot;nqxg&quot;{qw## ~ 126 } 125 | 124 { 123 z 122 y 121 x 120 w 119 v 118 u 117 t 116 s 115 r 114 q 113 p 112 o 111 n 110 m 109 l 108 k 107 j 106 i 105 h 104 g 103 f 102 e 101 d 100 c 99 b 98 a 97 ` 96 _ 95 ^ 94 ] 93 92 [ 91 Z 90 Y 89 X 88 W 87 V 86 U 85 T 84 S 83 R 82 Q 81 P 80 O 79 N 78 M 77 L 76 K 75 J 74 I 73 H 72 G 71 F 70 E 69 D 68 C 67 B 66 A 65 @ 64 ? 63 > 62 = 61 < 60 ; 59 : 58 9 57 8 56 7 55 6 54 5 53 4 52 3 51 2 50 1 49 0 48 / 47 . 46 - 45 ' 44 + 43 * 42 ) 41 ( 40 ' 39 & 38 % 37 $ 36 # 35 &quot; 34 ! 33 SPACE 32 ESC 27 鍵盤 ASCII 碼 鍵盤 ASCII 碼 鍵盤 ASCII 碼 鍵盤 ASCII 碼 I love you!!
  52. 52. 加解密金鑰 加密 解密 明文 明文 密文 密文 加密金鑰 解密金鑰
  53. 53. 加 密 (Encryption) <ul><li>資料加密要件 </li></ul><ul><li>何謂加密 (Encryption) </li></ul><ul><li>密碼系統的種類 </li></ul><ul><li>雜湊 函數 (Hash Function) </li></ul>
  54. 54. 密碼系統的種類 <ul><li>秘密金鑰 (Secret Key) 密碼系統 </li></ul><ul><li>公開金鑰 (Public Key) 密碼系統 </li></ul>
  55. 55. 秘密金鑰密碼系統 <ul><li>加密與解密的過程中,雙方採用相同的單一金鑰來進行處理,所以又稱為 對稱金鑰密碼系統 。 </li></ul><ul><li>優點: 運算方式較簡單,處理速度較快。 </li></ul><ul><li>缺點: 每兩個人進行通訊就要有一把金鑰,對不  </li></ul><ul><li>   同的人通訊也不能使用相同的金鑰。 </li></ul><ul><li>常見的秘密金鑰密碼系統有 DES 、 FEAL 、 IDEA 、 SKIPJACK 等。 </li></ul>
  56. 56. 秘密金鑰密碼系統 加密 解密 明文 明文 密文 密文 加密金鑰 解密金鑰 傳送 相同 ( 如何安全交付 ?) 發送端 ( A ) 發送端 ( B ) C n 2 = n(n-1) 2
  57. 57. 公開金鑰密碼系統 <ul><li>加密與解密過程所採用的金鑰不同,因此又稱為 非對稱金鑰密碼系統 。 </li></ul><ul><li>通訊時採用一對金鑰來進行加解密,需 有兩把金鑰,一把是公開的 公鑰( Public Key ) ;另一把是不公開的 私鑰 (Private Key) 。 </li></ul><ul><li>處理過程以公鑰對資料加密,私鑰對密文解密。 </li></ul><ul><li>優點: 每個人只要把有兩把金鑰便可在網路中以 </li></ul><ul><li>   密文傳送資料。 </li></ul><ul><li>缺點: 加解密的計算相當複雜,運算相當緩慢。 </li></ul><ul><li>常見的公開金鑰密碼系統有 RSA 、 DSA 、 SHA 等。 </li></ul>
  58. 58. 公開金鑰密碼系統 加密 解密 明文 明文 密文 密文 加密金鑰 解密金鑰 傳送 發送端 ( A ) 接收端 ( B ) 2n 不同
  59. 59. 小 Quiz <ul><li>若今有 10 個使用者相互加密通訊: </li></ul><ul><li>在 秘密金鑰密碼系統 中,整個系統共有 </li></ul><ul><li>_____ 把金鑰,每個使用者需保管 _____ 把 </li></ul><ul><li>金鑰。 </li></ul><ul><li>在 公開金鑰密碼系統 中,整個系統共有 </li></ul><ul><li>_____ 把金鑰,每個使用者需保管 _____ 把 </li></ul><ul><li>金鑰。 </li></ul>45 9 20 1
  60. 60. 加 密 (Encryption) <ul><li>資料加密要件 </li></ul><ul><li>何謂加密 (Encryption) </li></ul><ul><li>密碼系統的種類 </li></ul><ul><li>雜湊 函數 (Hash Function) </li></ul>
  61. 61. 雜湊 函數 (Hash Function) <ul><li>確保資料的 真實性 及 完整性 。 </li></ul><ul><li>將一個欲傳送的訊息轉換成一個 固定長度 的數值,視為此訊息的代表值。 </li></ul><ul><li>訊息內容不同則其雜湊值也會有所差異,所以又稱為 訊息摘要 (Message Digest) 。 </li></ul><ul><li>不易由其雜湊值將原來訊息內容還原,更能保障資料的安全性,因此又稱為 單項雜湊函數 (One-way Hash Function) </li></ul>
  62. 62. 雜湊 函數 (Hash Function) <ul><li>不同訊息卻產生相同雜湊值的情況稱為 碰撞 (Collision) 。 </li></ul><ul><li>除了與雜湊函數的演算法有關之外,也與該雜湊值所佔的長度有直接的關係; 位元數越多,雜湊值重複的機率也就越低。 </li></ul><ul><li>常見的雜湊函數演算法有 MD4 、 MD5 、 SHA 。 </li></ul>
  63. 63. 雜湊函數 資料 A 資料 B ( 任意不訂長度明文 ) 雜湊函數 4153067 8061802 ( 唯一且長度固定的雜湊值 ) 雜湊值 A 雜湊值 B
  64. 64. 以雜湊函數來確認資料的完整性 訊息 M 雜湊值 H 傳送 訊息 M’ 雜湊值 H’ Hash 雜湊值 H“ H’=H”? 捨棄 No Yes 正確 A B Hash
  65. 65. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  66. 66. <ul><li>如何認證 </li></ul><ul><li>數位 簽章 (Digital Signature) </li></ul><ul><li>數位憑證 (Digital Certificate) </li></ul>認證 (Authentication)
  67. 67. 認證 (Authentication) <ul><li>如何認證 </li></ul><ul><li>數位 簽章 (Digital Signature) </li></ul><ul><li>數位憑證 (Digital Certificate) </li></ul>
  68. 68. 如何認證 <ul><li>進行認證的工作是要達到傳輸的 不可否認性 。 </li></ul><ul><li>達到不可否認性的主要目的是要使傳輸完成後,發送者無法否認其曾發送該訊息,也就是可確認發送者的身份。 </li></ul><ul><li>以 公開金鑰系統 加密是進行認證的良好工具。 </li></ul>
  69. 69. 三種加解密處理方式 加密 解密 明文 明文 密文 密文 B 的公鑰 B 的私鑰 傳送 A B 加密 解密 明文 明文 密文 密文 A 的私鑰 A 的公鑰 傳送 A B 加密 明文 密文 B 的公鑰 B 的私鑰 A B 加密 密文 傳送 解密 明文 密文 A 的公鑰 B 的私鑰 解密 密文
  70. 70. 認證 (Authentication) <ul><li>如何認證 </li></ul><ul><li>數位 簽章 (Digital Signature) </li></ul><ul><li>數位憑證 (Digital Certificate) </li></ul>
  71. 71. 數位簽章 <ul><li>一種類似簽章功能、可用以表示自己身份的機制,對資料發送者的身份進行識別。 </li></ul><ul><li>以 雜湊函數 與 公開金鑰系統 一起配合來達成。 </li></ul>
  72. 72. 數位簽章 訊息 M 數位簽章 S 傳送 訊息 M’ Hash 雜湊值 H“ H’=H”? 捨棄 No Yes 正確 A B Hash 數位簽章 S’ 雜湊值 H 加密 A 的私鑰 解密 A 的公鑰 雜湊值 H’ <ul><li>如要私密性,則需運用 B 的公鑰進行加密, B 收到後再以 B 的私鑰解密。 </li></ul>
  73. 73. 認證 (Authentication) <ul><li>如何認證 </li></ul><ul><li>數位 簽章 (Digital Signature) </li></ul><ul><li>數位憑證 (Digital Certificate) </li></ul>
  74. 74. 數位憑證 (Digital Certificate) <ul><li>網路使用者必須向 CA (Certification Authority) 申請數位憑證。 </li></ul><ul><li>CA 主要負責管理使用者的公鑰並簽署數位憑證,以證明網路使用者的身份。 </li></ul>
  75. 75. 數位憑證 (Digital Certificate) <ul><li>序號: 由 CA 指配的編號,唯一且不重複的。 </li></ul><ul><li>使用者: 如使用者姓名等資料。 </li></ul><ul><li>使用者公鑰: 提供公開使用的公鑰及其演算法。 </li></ul><ul><li>有效日期: 超過有效日期時該憑證就失效。 </li></ul><ul><li>發證者: 簽發憑證的認證機構 (CA) 名稱。 </li></ul><ul><li>憑證簽章: CA 以私鑰對此憑證進行的簽章。 </li></ul><ul><li>演算法: 用以計算憑證簽章的演算法。 </li></ul>
  76. 76. 數位憑證的兩種使用時機 A B CA <ul><li>A 將自己的數位憑證傳給 B </li></ul><ul><li>B 以 CA 的公鑰 </li></ul><ul><li>   驗證憑證的真確性 </li></ul><ul><li>可驗證 A 的身份 </li></ul>A B CA <ul><li>A 收到 B 的密文,以自己的私鑰解密 </li></ul><ul><li>B 向 CA 申請取得 A 的憑證 </li></ul><ul><li>B 以 CA 的公鑰驗證憑證的真確性 </li></ul><ul><li>由憑證中取得 A 的公鑰,將欲傳送給 A 的資料加密 </li></ul>
  77. 77. 數位憑證之一例 <ul><li>在瀏覽網頁時,為使網頁資料能加密傳送,常利用 SSL (Secure Sockets Layer) 安全協定傳送資料。 </li></ul><ul><li>協定網址會以 https:// 為開頭 。 </li></ul><ul><li>以 台灣銀行網路銀行 為例,其網址是 https:// ebank.bot.com.tw </li></ul>
  78. 78. 數位憑證之一例
  79. 79. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  80. 80. <ul><li>密碼破解 </li></ul><ul><li>封包監聽 </li></ul><ul><li>阻斷服務 (DoS) </li></ul><ul><li>ARP 欺騙 (ARP Spoofing) </li></ul>駭客入侵的方式
  81. 81. 駭客入侵的方式 <ul><li>密碼破解 </li></ul><ul><li>封包監聽 </li></ul><ul><li>阻斷服務 (Denial of Service) </li></ul><ul><li>ARP 欺騙 (ARP Spoofing) </li></ul>
  82. 82. 密碼破解 <ul><li>直接對不良的密碼進行猜測 </li></ul><ul><li>字典攻擊法 </li></ul><ul><li>密碼監聽 </li></ul><ul><li>記憶體下載 </li></ul><ul><li>取得密碼檔 </li></ul>
  83. 83. 駭客入侵的方式 <ul><li>密碼破解 </li></ul><ul><li>封包監聽 </li></ul><ul><li>阻斷服務 (Denial of Service) </li></ul><ul><li>ARP 欺騙 (ARP Spoofing) </li></ul>
  84. 84. 封包監聽 <ul><li>將網路上的所有封包皆接收進來,需將網路卡的工作模式設為 混亂模式 (Promiscuous Mode) ,在這種模式下,會關閉檢查 IP 位址的過濾機制,將原先不屬於自己的封包也都接收進來。 </li></ul>
  85. 85. 駭客入侵的方式 <ul><li>密碼破解 </li></ul><ul><li>封包監聽 </li></ul><ul><li>阻斷服務 (Denial of Service) </li></ul><ul><li>ARP 欺騙 (ARP Spoofing) </li></ul>
  86. 86. 阻斷服務 (Denial of Service) <ul><li>啟動溢滿 (Syn Flood) </li></ul><ul><li>碰撞死結 (Ping of Death) </li></ul><ul><li>分散式阻斷服務 (Distribute DoS) </li></ul><ul><li>實體阻斷 </li></ul>
  87. 87. 啟動溢滿 (Syn Flood) <ul><li>利用送出大量 TCP 連線啟動要求來癱瘓目標主機。 </li></ul>Seq : X, Syn Seq : Y Ack : X+A, A, Syn 之後,攻擊者不回應 使 TCP 連線未完成 攻擊者 目標主機 時 間
  88. 88. 碰撞死結 (Ping of Death) <ul><li>利用發送 ICMP (Internet Control Message Protocol; 網際網路控制訊息協定 ) 的 回應請求 (Echo Request) 封包來攻擊目標主機。 </li></ul><ul><li>將大量資料包含在封包中,使堆疊溢滿而達到癱瘓目標主機的目的。 </li></ul>
  89. 89. 分散式阻斷服務 (Distribute DoS) <ul><li>由許多節點同時對同一目標進行攻擊。 </li></ul>攻擊者 目標主機 Echo Request <ul><li>( 假冒目標主機身分廣播送出 ) </li></ul>
  90. 90. 實體阻斷 <ul><li>將 實體破壞 、 網路線中斷 、 線路短路 來達成阻斷目的,這樣的破壞在整個 DoS 中所佔的比例其實也不小,而且所造成的成本損耗也可能很高。 </li></ul>
  91. 91. 駭客入侵的方式 <ul><li>密碼破解 </li></ul><ul><li>封包監聽 </li></ul><ul><li>阻斷服務 (Denial of Service) </li></ul><ul><li>ARP 欺騙 (ARP Spoofing) </li></ul>
  92. 92. ARP 欺騙 (ARP Spoofing) <ul><li>利用 ARP 機制 誤導 交換式集線器 (Switch Hub) 或 作業系統 ,使封包傳送到錯誤的位置。以下列出三種較廣為討論的攻擊法: </li></ul><ul><li>對交換式集線器的欺騙 </li></ul><ul><li>對作業系統的欺騙之ㄧ </li></ul><ul><li>對作業系統的欺騙之二 </li></ul>
  93. 93. ARP 機制 <ul><li>IP 只是來源端與目的端間的用以通訊的邏輯位址,真正在網路設備與主機間用以執行通訊的位址是 實體位址 。 </li></ul><ul><li>ARP (Address Resolution Protocol ; 位址解析協定 ) 是將 IP 位址映射為實體位置的機制 </li></ul>
  94. 94. ARP 機制 <ul><li>ARP Table : 動態儲存 IP 位址與實體位址的對照表。 </li></ul><ul><li>來源端主機在對照表找不到目的端 IP 位址所相對應的實體位址時,會以廣播方式送出一個 ARP 詢問 (ARP Request) 封包,封包內有目的端 IP 位址,所有主機都會收到封包,但只有 IP 位址跟封包目的端 IP 位址相同者才能執行 ARP 回覆 (ARP Reply) ,回應封包內包含了回覆主機的實體位址。 </li></ul><ul><li>由於是動態儲存,所以可以更新。 </li></ul>
  95. 95. 對交換式集線器的欺騙 <ul><li>攻擊者送出大量的 ARP 回覆 (ARP Reply) ,且這些回復封包皆是採用不同位置的偽造封包,使交換式集線器的記憶體塞滿。 </li></ul><ul><li>為了讓通訊繼續正常運作,交換式集線器會如同一般集線器來工作, 所有封包便會在網路中以廣播的方式傳送 ,駭客便可很容易在網路中監聽封包內容。 </li></ul>
  96. 96. 對作業系統的欺騙之ㄧ <ul><li>以偽造的封包發出另一個回覆訊息給來源端。 </li></ul><ul><li>以 目的端 IP 與 攻擊者實體位址 送給來源端,因此來源端會更新其 ARP Table ,原本要送給目的端的資料都會送給攻擊者了。 </li></ul>
  97. 97. 對作業系統的欺騙之二 <ul><li>攻擊者 同時對來源端與目的端 進行 ARP 欺騙。 </li></ul><ul><li>攻擊者便可在全程的監控下,了解傳送的內容,甚至將其內容攔截、竄改再轉寄到雙方。 </li></ul>
  98. 98. 目錄 <ul><li>資訊安全 </li></ul><ul><li>網路安全 </li></ul><ul><li>防火牆 (Firewall) </li></ul><ul><li>加密 (Encryption) </li></ul><ul><li>認證 (Authentication) </li></ul><ul><li>駭客入侵的方式 </li></ul><ul><li>入侵偵測系統 (IDS) </li></ul>
  99. 99. <ul><li>何謂入侵偵測系統 </li></ul><ul><li>入侵偵測系統的分類 </li></ul><ul><li>入侵偵測系統的功能 </li></ul>入侵偵測系統 (IDS)
  100. 100. 入侵偵測系統 (IDS) <ul><li>何謂入侵偵測系統 </li></ul><ul><li>入侵偵測系統的分類 </li></ul><ul><li>入侵偵測系統的功能 </li></ul>
  101. 101. 何謂入侵偵測系統 <ul><li>所謂 入侵偵測系統 (Intrusion Detection System) 是一種防範入侵系統的工具設備,對駭客可能的入侵行動或已成功入侵之行為能在最短的時間內偵測出來,並發出警告 。 </li></ul><ul><li>不像防火牆會阻擋可能的駭客。 </li></ul><ul><li>系統需先建立已知攻擊模式的資料庫。 </li></ul><ul><li>資料庫建立越完整,偵測的效率也就越高。 </li></ul>
  102. 102. 入侵偵測系統 (IDS) <ul><li>何謂入侵偵測系統 </li></ul><ul><li>入侵偵測系統的分類 </li></ul><ul><li>入侵偵測系統的功能 </li></ul>
  103. 103. 入侵偵測系統的分類 <ul><li>主機型入侵偵測系統 (Host-Based IDS) </li></ul><ul><li>安裝在欲保護的主機上。 </li></ul><ul><li>網路型入侵偵測系統 (Network-Based IDS) </li></ul><ul><li>安裝在可監聽與主機通訊內容的節點上。 </li></ul>
  104. 104. 主機型 IDS <ul><li>由在主機上的活動紀錄分析其行為是否有可能的攻擊行動,這主要是針對系統的記錄檔 (Log Files) 進行監控與分析。 </li></ul><ul><li>優點: </li></ul><ul><ul><li>可直接檢視在主機上的紀錄,可偵測網路型 IDS 所無法偵測到的入侵。 </li></ul></ul><ul><ul><li>可在加密的環境下運作,因為加密的內容送到主機後就會解密了。 </li></ul></ul><ul><ul><li>可在交換式網路 (Switched Network) 環境下運作,不會因無法監聽而無法運作。 </li></ul></ul>
  105. 105. 主機型 IDS <ul><li>缺點: </li></ul><ul><ul><li>每台要保護的主機皆需安裝並維護。 </li></ul></ul><ul><ul><li>若主機受到入侵,則 IDS 也可能會受到入侵而無法運作。 </li></ul></ul><ul><ul><li>無法了解其他主機是否也受到類似的攻擊。 </li></ul></ul><ul><ul><li>佔用主機的硬體資源。 </li></ul></ul>
  106. 106. 網路型 IDS <ul><li>在網路中以監聽者的身份,在網路中監聽與主機通訊的封包內容,再依據所建資料庫中的 特徵規則 與封包比對。 </li></ul><ul><li>優點: </li></ul><ul><ul><li>不容易被察覺偵測系統的存在及其位置。 </li></ul></ul><ul><ul><li>一部網路型 IDS ,可同時監聽多台主機的入侵情形。 </li></ul></ul><ul><ul><li>平均成本較低。 </li></ul></ul><ul><ul><li>偵測的進行並不會對網路通訊的流量及運作有顯著的影響。 </li></ul></ul>
  107. 107. 網路型 IDS <ul><li>缺點: </li></ul><ul><ul><li>當網路傳送大量資料時,可能會遺漏部份封包,而未能偵測這些封包。 </li></ul></ul><ul><ul><li>無法在加密的環境下運作。 </li></ul></ul><ul><ul><li>無法在交換式網路環境下監聽。 </li></ul></ul><ul><ul><li>可推測可能有入侵行動,但無法得知是否入侵成功。 </li></ul></ul>
  108. 108. 入侵偵測系統 (IDS) <ul><li>何謂入侵偵測系統 </li></ul><ul><li>入侵偵測系統的分類 </li></ul><ul><li>入侵偵測系統的功能 </li></ul>
  109. 109. 入侵偵測系統的功能 <ul><li>資料收集: 由主機系統或網路上取得資料,如網路封包、系統記錄檔。 </li></ul><ul><li>特徵選擇: 資料收集後,其資料量可能會很大,因此還需再進行篩選,或對資料進行分類。 </li></ul><ul><li>資料分析: 整個入侵偵測系統中最核心的部份,根據所選取的資料進行規則比對、統計分析來推測系統是否已經遭到入侵。 </li></ul><ul><li>回報機制: 通知系統或網路管理者,也可在螢幕上發出警告或聲響,甚至可直接將目前可能的入侵程式中止,也可通知其他相關的入侵偵測系統或主機提高警覺。 </li></ul>
  110. 110. Thanks for your listening

×