狠狠撸

電腦網路网路安全科技二甲 495711274 續書豪

目錄資訊安全网路安全防火牆 (Firewall) 加密 (Encryption) 認證 (Authentication) 駭客入侵的方式入侵偵測系統 (IDS)

資訊安全資訊安全的目標資訊安全的成因资讯安全的范围

資訊安全的目標機密性 (Confidentiality) 資料在傳輸能安全無虞，即使取得資料也因加密而無法利用。完整性 (Integrity) 資料不被篡改或破壞。可用性 (Availability) 使系統無論遭遇任何破壞或攻擊，皆能有效防範或復原。

資訊安全的目標機密性 (Confidentiality) 完整性 (Integrity) 可用性 (Availability) 資訊安全機密性完整性可用性

資訊安全的成因日本通訊株式會社對資訊系統故障成因調查排名次序：網路火災地震人員操作不良實體資訊犯罪電力雷擊軟體

资讯安全的范围實體安全：主機伺服器、單機電腦軟體安全：病毒的防範、軟體開發的安全考量人員安全：進出機房人員的管制系統安全：系統資源的備份、系統存取紀錄网路安全：防火牆策略、資料加密、身分驗證

网路安全威脅的對象网路安全威脅的方式网路安全策略网路安全

网路安全网路安全威脅的對象网路安全威脅的方式网路安全策略

网路安全威脅的對象資源：需對主機系統、 CPU 時間、磁碟空間、　　　　　傳輸通道等資源進行安全控制。資料：需要加以保護具有機密性、私密性的　　　　資料。身分：保護簽入系統或電子郵件的帳號及密　　　　碼資料、信用卡的卡號等資料。

网路安全威脅的方式中斷傳輸：使原來可互相傳輸的兩方通訊中斷。資料竊取：監聽網路傳輸的資料。資料篡改：攔截傳輸中的資料並加以篡改再發送出去。身份冒用：假冒他人帳號及密碼、冒用網路內系統位址、以他　　　　　　人名義發電子郵件等。系統入侵：入侵或破解至管理階層的帳號及密碼，竊取、篡改　　　　　　或破壞整個系統資源。惡意破壞：不侵入系統來進行破壞。如：以大量資料灌爆電子　　　　　　郵件系統或癱瘓通訊等。病毒感染：利用程式破壞系統使電腦無法正常運作或使電腦執　　　　　　行一些增加負擔的額外工作。

討論各位同學在接觸電腦的經驗中，是否曾經有過网路安全威脅的經驗，它又屬於上述的那一類？自己如何面對解決？

网路安全策略防火牆 (Firewall) ：　如同網路的警衛，可用以保護網路內部，使網路不讓外界因連結而入侵。加密 (Encryption) ：　將資料加密後再送出去，加密後的資料即使被竊取也無法得知其內容為何。認證 (Authentication) ：　通訊連線前先辨認身份，以避免冒充身分者的破壞或入侵。

防火牆的設置防火牆的功能防火墙的种类防火牆 (Firewall)

防火牆 (Firewall) 防火牆的設置防火牆的功能防火墙的种类

防火牆的設置為了保護網路系統，將往來於網路間的工作進行控管的工作，將不正常的工作組絕在外，使系統不為外界所破壞而建立的一種裝置。設置的位置是其要保護的系統而定，可能置於企業內網路與網際網路間，也可能為了保護特別部門的網路系統而置於企業網路內

防火牆的設置防火牆防火牆防火牆 Internet Intranet Intranet 與 Internet 間建構一個保護 Intranet 的防火牆 Internet Intranet 防火牆資料中心會計部門除了對外的防火牆外，也對特殊部門進行網路防火牆建置

防火牆防火牆的設置防火牆的功能防火墙的种类

防火牆的功能連線的控管從封包中取得相關資訊，決定同意或拒絕該封包的傳輸要求。活動的紀錄將所有進出網路的工作做詳細紀錄，來防範主機遭受外來的入侵，且能追蹤入侵者的來源及意圖。

防火墙的种类封包過濾式 (Packet Filter) 應用閘道器 (Application Gateway)

封包過濾式在 OSI 架構的網路層與傳輸層來進行。運用封包標頭內的資料　　　　　　　　與存取控制規則進行封　　　　　　　包的過濾工作。可建立在路由器、作　　　　　　　　業系統或伺服程式中　　　　　　　 ( 如： WWW 、 FTP 等 )

封包過濾式防火牆 Internet Intranet 應用層呈現層會議層傳輸層網路層資料連結層實體層

封包標頭檢查每個封包標頭內的四項欄位：來源端的 IP 位址目的端的 IP 位址來源端的 TCP/UDP 埠目的端的 TCP/UDP 埠

規則表列與過濾表列規則來源 IP 位址目的 IP 位址類型來源埠編號目的埠編號結果 1 20.210.21.72 140.130.149.* 4 3 2 5 140.122.* 140.* * * 140.122.* 140.130.149.* 140.* * * * TCP TCP TCP * * * * 23 * 23(TELNET) * * 25(Email) 拒絕拒絕通過通過通過封包來源 IP 位址目的 IP 位址類型來源埠目的埠結果 1 20.210.21.72 140.130.149.28 4 3 2 5 120.132.78.54 140.112.68.35 140.130.149.186 140.130.149.60 140.130.149.48 TCP TCP TCP UDP TCP 18162 23 6726 2558 1692 23 拒絕通過通過拒絕通過規則 25 53 4396 23 1 4 5 3 2 140.130.149.60 140.130.149.210 140.112.127.3

小 Quiz 規則來源位址目的位址類型來源埠目的埠結果 1 * 140.130.149.60 4 3 2 5 140.130.* 140.* * 140.130.135.2 * 140.130.* * * TCP TCP * TCP * 23 * * * * 25 23 * * 拒絕拒絕通過通過拒絕來源位址目的位址類型來源埠目的埠 140.132.2.98 140.130.23.1 140.130.135.5 140.56.2.5 UDP TCP 32745 23 32745 規則 23 140.* 結果 _______ _______ _______ _______ 已知有一封包過濾式防火牆的過慮規則如下所示：目前如果有下列兩個封包欲通過該防火牆，則其行動所遵循的規則及其結果分別為何？ 4 拒絕 3 通過

封包過濾式防火牆的優缺點優點：　　　　　　　　　　　　　　　速度快，且具通透性，使用者不會察覺有防火牆的存在。缺點：　　　　　　　　　　　　　　　僅在網路層或傳輸層中進行，對於較高層的安全防範無法有效偵測。

應用閘道器在 OSI 架構的應用層來進行連結過濾。又稱為代理伺服　　　　　　　　　　　　　器 (Proxy Sever) 　　　　　　　　　　　　　防火牆。負責服務連結之　　　　　　　　　　　　　代理與資料的轉　　　　　　　　　　　　　　送和過濾。網際網路網路伺服器端內部伺服器主機應用代理伺服器 ( 驗證訊息是否安全 ) 接收 / 傳送外界檔案經過確認的訊息封包

應用閘道器防火牆應用層呈現層會議層傳輸層網路層資料連結層實體層 Intranet Internet 應用層呈現層會議層傳輸層網路層資料連結層實體層 P R O X Y

應用閘道器防火牆的優缺點優點：　　　　　　　　　　　　　　　由於不允許封包通過防火牆，且可完全檢驗至應用層的資訊，因此較為安全。缺點：　　　　　　　　　　　　　　　網路速度較慢；對所有服務都要有相對應的 Proxy 應用程序。

封包過濾式 VS. 應用閘道器對所有服務都要有相對應的 Proxy 應用程序由於不允許封包通過防火牆因此較為安全允許封包直接通過，容易造成資料內容式攻擊的潛在危險 ( 如病毒 ) 無法運用在加密過的資訊 ( 如 SSL) 設定較複雜，容易出現因防火牆細部設定不當所帶來的問題安全機制多，網路速度較慢性能負荷小，網路處理速度快價格較高價格較低應用閘道器封包過濾式

資料加密要件何謂加密 (Encryption) 密碼系統的種類雜湊函數 (Hash Function) 加密 (Encryption)

加密 (Encryption) 資料加密要件何謂加密 (Encryption) 密碼系統的種類雜湊函數 (Hash Function)

資料加密要件私密性 (Confidentiality) 使傳輸的資料在傳送的過程中不為人所竊知，以加密的方式來達成。完整性 (Integrity) 確認資料在傳輸過程不受干擾、破壞或篡改，運用雜湊函數進行檢驗。不可否認性 (Non-Repudiation) 確認發送者的身分，對此則可以運用數位簽章來實現。

何謂加密 (Encryption) 為了使資料在傳送過程能不為人所竊知，資料加密後再傳送是最直接有效的方法之ㄧ。將原始資料根據事先定義好的演算法則，將之轉換為無法理解的資料。原始資料稱為明文 (Plaintext 或 Cleartext) ；經過轉換所得的資料稱為密文 (Cryptogram 或 Ciphertext) 。

沒錯 !!! 就是使用者名稱和密碼啦 ! 從這兩個封包裡，你發現了什麼 ?

加密與解密 My name is Lily. My name is Lily. O{ " pcog " ku " Nkn{0 O{ " pcog " ku " Nkn{0 加密解密將明文中每個文字符號以 ASCII 內碼比它大 2 的文字符號取代。

加密 O { " p c o g " k u " N k n { 0 ~ 126 } 125 | 124 { 123 z 122 y 121 x 120 w 119 v 118 u 117 t 116 s 115 r 114 q 113 p 112 o 111 n 110 m 109 l 108 k 107 j 106 i 105 h 104 g 103 f 102 e 101 d 100 c 99 b 98 a 97 ` 96 _ 95 ^ 94 ] 93 \ 92 [ 91 Z 90 Y 89 X 88 W 87 V 86 U 85 T 84 S 83 R 82 Q 81 P 80 O 79 N 78 M 77 L 76 K 75 J 74 I 73 H 72 G 71 F 70 E 69 D 68 C 67 B 66 A 65 @ 64 ? 63 > 62 = 61 < 60 ; 59 : 58 9 57 8 56 7 55 6 54 5 53 4 52 3 51 2 50 1 49 0 48 / 47 . 46 - 45 ' 44 + 43 * 42 ) 41 ( 40 ' 39 & 38 % 37 $ 36 # 35 " 34 ! 33 SPACE 32 ESC 27 鍵盤 ASCII 碼鍵盤 ASCII 碼鍵盤 ASCII 碼鍵盤 ASCII 碼 My name is Lily.

加密小 Q u i z K"nqxg"{qw## ~ 126 } 125 | 124 { 123 z 122 y 121 x 120 w 119 v 118 u 117 t 116 s 115 r 114 q 113 p 112 o 111 n 110 m 109 l 108 k 107 j 106 i 105 h 104 g 103 f 102 e 101 d 100 c 99 b 98 a 97 ` 96 _ 95 ^ 94 ] 93 \ 92 [ 91 Z 90 Y 89 X 88 W 87 V 86 U 85 T 84 S 83 R 82 Q 81 P 80 O 79 N 78 M 77 L 76 K 75 J 74 I 73 H 72 G 71 F 70 E 69 D 68 C 67 B 66 A 65 @ 64 ? 63 > 62 = 61 < 60 ; 59 : 58 9 57 8 56 7 55 6 54 5 53 4 52 3 51 2 50 1 49 0 48 / 47 . 46 - 45 ' 44 + 43 * 42 ) 41 ( 40 ' 39 & 38 % 37 $ 36 # 35 " 34 ! 33 SPACE 32 ESC 27 鍵盤 ASCII 碼鍵盤 ASCII 碼鍵盤 ASCII 碼鍵盤 ASCII 碼 I love you!!

加解密金鑰加密解密明文明文密文密文加密金鑰解密金鑰

密碼系統的種類秘密金鑰 (Secret Key) 密碼系統公開金鑰 (Public Key) 密碼系統

秘密金鑰密碼系統加密與解密的過程中，雙方採用相同的單一金鑰來進行處理，所以又稱為對稱金鑰密碼系統。優點：運算方式較簡單，處理速度較快。缺點：每兩個人進行通訊就要有一把金鑰，對不　　　　同的人通訊也不能使用相同的金鑰。常見的秘密金鑰密碼系統有 DES 、 FEAL 、 IDEA 、 SKIPJACK 等。

秘密金鑰密碼系統加密解密明文明文密文密文加密金鑰解密金鑰傳送相同 ( 如何安全交付 ?) 發送端 ( A ) 發送端 ( B ) C n 2 = n(n-1) 2

公開金鑰密碼系統加密與解密過程所採用的金鑰不同，因此又稱為非對稱金鑰密碼系統。通訊時採用一對金鑰來進行加解密，需有兩把金鑰，一把是公開的公鑰（ Public Key ）；另一把是不公開的私鑰 (Private Key) 。處理過程以公鑰對資料加密，私鑰對密文解密。優點：每個人只要把有兩把金鑰便可在網路中以　　　密文傳送資料。缺點：加解密的計算相當複雜，運算相當緩慢。常見的公開金鑰密碼系統有 RSA 、 DSA 、 SHA 等。

公開金鑰密碼系統加密解密明文明文密文密文加密金鑰解密金鑰傳送發送端 ( A ) 接收端 ( B ) 2n 不同

小 Quiz 若今有 10 個使用者相互加密通訊：在秘密金鑰密碼系統中，整個系統共有 _____ 把金鑰，每個使用者需保管 _____ 把金鑰。在公開金鑰密碼系統中，整個系統共有 _____ 把金鑰，每個使用者需保管 _____ 把金鑰。 45 9 20 1

雜湊函數 (Hash Function) 確保資料的真實性及完整性。將一個欲傳送的訊息轉換成一個固定長度的數值，視為此訊息的代表值。訊息內容不同則其雜湊值也會有所差異，所以又稱為訊息摘要 (Message Digest) 。不易由其雜湊值將原來訊息內容還原，更能保障資料的安全性，因此又稱為單項雜湊函數 (One-way Hash Function)

雜湊函數 (Hash Function) 不同訊息卻產生相同雜湊值的情況稱為碰撞 (Collision) 。除了與雜湊函數的演算法有關之外，也與該雜湊值所佔的長度有直接的關係；位元數越多，雜湊值重複的機率也就越低。常見的雜湊函數演算法有 MD4 、 MD5 、 SHA 。

雜湊函數資料 A 資料 B ( 任意不訂長度明文 ) 雜湊函數 4153067 8061802 ( 唯一且長度固定的雜湊值 ) 雜湊值 A 雜湊值 B

以雜湊函數來確認資料的完整性訊息 M 雜湊值 H 傳送訊息 M’ 雜湊值 H’ Hash 雜湊值 H“ H’=H”? 捨棄 No Yes 正確 A B Hash

如何認證數位簽章 (Digital Signature) 數位凭证 (Digital Certificate) 認證 (Authentication)

認證 (Authentication) 如何認證數位簽章 (Digital Signature) 數位凭证 (Digital Certificate)

如何認證進行認證的工作是要達到傳輸的不可否認性。達到不可否認性的主要目的是要使傳輸完成後，發送者無法否認其曾發送該訊息，也就是可確認發送者的身份。以公開金鑰系統加密是進行認證的良好工具。

三種加解密處理方式加密解密明文明文密文密文 B 的公鑰 B 的私鑰傳送 A B 加密解密明文明文密文密文 A 的私鑰 A 的公鑰傳送 A B 加密明文密文 B 的公鑰 B 的私鑰 A B 加密密文傳送解密明文密文 A 的公鑰 B 的私鑰解密密文

數位簽章一種類似簽章功能、可用以表示自己身份的機制，對資料發送者的身份進行識別。以雜湊函數與公開金鑰系統一起配合來達成。

數位簽章訊息 M 數位簽章 S 傳送訊息 M’ Hash 雜湊值 H“ H’=H”? 捨棄 No Yes 正確 A B Hash 數位簽章 S’ 雜湊值 H 加密 A 的私鑰解密 A 的公鑰雜湊值 H’ 如要私密性，則需運用 B 的公鑰進行加密， B 收到後再以 B 的私鑰解密。

數位凭证 (Digital Certificate) 網路使用者必須向 CA (Certification Authority) 申請數位凭证。 CA 主要負責管理使用者的公鑰並簽署數位凭证，以證明網路使用者的身份。

數位凭证 (Digital Certificate) 序號：由 CA 指配的編號，唯一且不重複的。使用者：如使用者姓名等資料。使用者公鑰：提供公開使用的公鑰及其演算法。有效日期：超過有效日期時該凭证就失效。發證者：簽發凭证的認證機構 (CA) 名稱。凭证簽章： CA 以私鑰對此凭证進行的簽章。演算法：用以計算凭证簽章的演算法。

數位凭证的兩種使用時機 A B CA A 將自己的數位凭证傳給 B B 以 CA 的公鑰　　　驗證凭证的真確性可驗證 A 的身份 A B CA A 收到 B 的密文，以自己的私鑰解密 B 向 CA 申請取得 A 的凭证 B 以 CA 的公鑰驗證凭证的真確性由凭证中取得 A 的公鑰，將欲傳送給 A 的資料加密

數位凭证之一例在瀏覽網頁時，為使網頁資料能加密傳送，常利用 SSL (Secure Sockets Layer) 安全協定傳送資料。協定網址會以 https:// 為開頭。以台灣銀行網路銀行為例，其網址是 https:// ebank.bot.com.tw

密碼破解封包監聽阻斷服務 (DoS) ARP 欺騙 (ARP Spoofing) 駭客入侵的方式

駭客入侵的方式密碼破解封包監聽阻斷服務 (Denial of Service) ARP 欺騙 (ARP Spoofing)

密碼破解直接對不良的密碼進行猜測字典攻擊法密碼監聽記憶體下載取得密碼檔

封包監聽將網路上的所有封包皆接收進來，需將網路卡的工作模式設為混亂模式 (Promiscuous Mode) ，在這種模式下，會關閉檢查 IP 位址的過濾機制，將原先不屬於自己的封包也都接收進來。

阻斷服務 (Denial of Service) 啟動溢滿 (Syn Flood) 碰撞死結 (Ping of Death) 分散式阻斷服務 (Distribute DoS) 實體阻斷

啟動溢滿 (Syn Flood) 利用送出大量 TCP 連線啟動要求來癱瘓目標主機。 Seq ： X, Syn Seq ： Y Ack ： X+A, A, Syn 之後，攻擊者不回應使 TCP 連線未完成攻擊者目標主機時間

碰撞死結 (Ping of Death) 利用發送 ICMP (Internet Control Message Protocol; 網際網路控制訊息協定 ) 的回應請求 (Echo Request) 封包來攻擊目標主機。將大量資料包含在封包中，使堆疊溢滿而達到癱瘓目標主機的目的。

分散式阻斷服務 (Distribute DoS) 由許多節點同時對同一目標進行攻擊。攻擊者目標主機 Echo Request ( 假冒目標主機身分廣播送出 )

實體阻斷將實體破壞、網路線中斷、線路短路來達成阻斷目的，這樣的破壞在整個 DoS 中所佔的比例其實也不小，而且所造成的成本損耗也可能很高。

ARP 欺騙 (ARP Spoofing) 利用 ARP 機制誤導交換式集線器 (Switch Hub) 或作業系統，使封包傳送到錯誤的位置。以下列出三種較廣為討論的攻擊法：對交換式集線器的欺騙對作業系統的欺騙之ㄧ對作業系統的欺騙之二

ARP 機制 IP 只是來源端與目的端間的用以通訊的邏輯位址，真正在網路設備與主機間用以執行通訊的位址是實體位址。 ARP (Address Resolution Protocol ; 位址解析協定 ) 是將 IP 位址映射為實體位置的機制

ARP 機制 ARP Table ：動態儲存 IP 位址與實體位址的對照表。來源端主機在對照表找不到目的端 IP 位址所相對應的實體位址時，會以廣播方式送出一個 ARP 詢問 (ARP Request) 封包，封包內有目的端 IP 位址，所有主機都會收到封包，但只有 IP 位址跟封包目的端 IP 位址相同者才能執行 ARP 回覆 (ARP Reply) ，回應封包內包含了回覆主機的實體位址。由於是動態儲存，所以可以更新。

對交換式集線器的欺騙攻擊者送出大量的 ARP 回覆 (ARP Reply) ，且這些回復封包皆是採用不同位置的偽造封包，使交換式集線器的記憶體塞滿。為了讓通訊繼續正常運作，交換式集線器會如同一般集線器來工作，所有封包便會在網路中以廣播的方式傳送，駭客便可很容易在網路中監聽封包內容。

對作業系統的欺騙之ㄧ以偽造的封包發出另一個回覆訊息給來源端。以目的端 IP 與攻擊者實體位址送給來源端，因此來源端會更新其 ARP Table ，原本要送給目的端的資料都會送給攻擊者了。

對作業系統的欺騙之二攻擊者同時對來源端與目的端進行 ARP 欺騙。攻擊者便可在全程的監控下，了解傳送的內容，甚至將其內容攔截、竄改再轉寄到雙方。

何謂入侵偵測系統入侵偵測系統的分類入侵偵測系統的功能入侵偵測系統 (IDS)

入侵偵測系統 (IDS) 何謂入侵偵測系統入侵偵測系統的分類入侵偵測系統的功能

何謂入侵偵測系統所謂入侵偵測系統 (Intrusion Detection System) 是一種防範入侵系統的工具設備，對駭客可能的入侵行動或已成功入侵之行為能在最短的時間內偵測出來，並發出警告。不像防火牆會阻擋可能的駭客。系統需先建立已知攻擊模式的資料庫。資料庫建立越完整，偵測的效率也就越高。

入侵偵測系統的分類主機型入侵偵測系統 (Host-Based IDS) 安裝在欲保護的主機上。網路型入侵偵測系統 (Network-Based IDS) 安裝在可監聽與主機通訊內容的節點上。

主機型 IDS 由在主機上的活動紀錄分析其行為是否有可能的攻擊行動，這主要是針對系統的記錄檔 (Log Files) 進行監控與分析。優點：可直接檢視在主機上的紀錄，可偵測網路型 IDS 所無法偵測到的入侵。可在加密的環境下運作，因為加密的內容送到主機後就會解密了。可在交換式網路 (Switched Network) 環境下運作，不會因無法監聽而無法運作。

主機型 IDS 缺點：每台要保護的主機皆需安裝並維護。若主機受到入侵，則 IDS 也可能會受到入侵而無法運作。無法了解其他主機是否也受到類似的攻擊。佔用主機的硬體資源。

網路型 IDS 在網路中以監聽者的身份，在網路中監聽與主機通訊的封包內容，再依據所建資料庫中的特徵規則與封包比對。優點：不容易被察覺偵測系統的存在及其位置。一部網路型 IDS ，可同時監聽多台主機的入侵情形。平均成本較低。偵測的進行並不會對網路通訊的流量及運作有顯著的影響。

網路型 IDS 缺點：當網路傳送大量資料時，可能會遺漏部份封包，而未能偵測這些封包。無法在加密的環境下運作。無法在交換式網路環境下監聽。可推測可能有入侵行動，但無法得知是否入侵成功。

入侵偵測系統的功能資料收集：由主機系統或網路上取得資料，如網路封包、系統記錄檔。特徵選擇：資料收集後，其資料量可能會很大，因此還需再進行篩選，或對資料進行分類。資料分析：整個入侵偵測系統中最核心的部份，根據所選取的資料進行規則比對、統計分析來推測系統是否已經遭到入侵。回報機制：通知系統或網路管理者，也可在螢幕上發出警告或聲響，甚至可直接將目前可能的入侵程式中止，也可通知其他相關的入侵偵測系統或主機提高警覺。

狠狠撸

電腦網路网路安全

Recommended

More Related Content

Viewers also liked (20)

Similar to 電腦網路网路安全 (20)

電腦網路网路安全

狠狠撸

電腦網路 网路安全

Recommended

More Related Content

Viewers also liked (20)

Similar to 電腦網路 网路安全 (20)

電腦網路 网路安全

電腦網路网路安全

Similar to 電腦網路网路安全 (20)

電腦網路网路安全