86e20a764dc35942e23eea4daf07d16f.ppt
- Количество слайдов: 47
資訊安全導論 淡江大學 資訊管理系 侯 永 昌 http: //mail. im. tku. edu. tw/~ychou ftp: //mail. im. tku. edu. tw/Prof_Hou
教科書:資訊與網路安全概論,黃明 祥、林詠章著,Mc Graw Hill出版,普林斯頓總經銷 淡江大學資管系所侯永昌 1
第十一章 網路通訊協定安全 淡江大學資管系所侯永昌 2
前言 § 為了確保網路間電腦能夠溝通,網路需要 有一通訊協定(Protocol) § TCP/IP (Transmission Control Protocol /Internet Protocol) 是目前網際網路普遍採 用的通訊協定標準 淡江大學資管系所侯永昌 3
TCP/IP 通訊協定 § TCP/IP是 1970年美國國防部發展分封交換 網路(ARPANET)時發表,是一種網路通信 協定 § 目前已成為一項國際標準協定 § TCP/IP由一群協定組成,負責處理兩台主機 之間的連結與資訊交換 § 細分四個層級(Layer),每一層都透過呼叫它 的下一層所提供的服務來完成自己的需求 淡江大學資管系所侯永昌 4
TCP/IP 通信協定四個層級 SMTP TELNET FTP DNS SNMP 應用層 (Application) TCP UDP 傳輸層 (Transport) IP ICMP 網際層 (Internet) 網路介面:驅動程式 (Drivers) 網路介面層 (Interface) 或資料連結層 網路硬體:Ethernet、Token Ring等 淡江大學資管系所侯永昌 5
OSI網路協定與TCP/IP協定 淡江大學資管系所侯永昌 6
應用層 l l TCP/IP 協定的最上層,可相對於OSI的交談 層 (session layer)、展示層(presentation layer)與應用層(application layer) 主要提供應用程式資料傳輸的介面 根據網路協定(如socket)可在應用層上開發 網路通訊相關的應用程式,好讓使用者能利 用這些應用程式進行資料傳輸 應用層中相關的應用程式有簡易郵件傳輸協 定 SMTP、檔案傳輸協定FTP與超文件傳輸 協定等HTTP 淡江大學資管系所侯永昌 7
傳輸層 § 由傳輸控制協定(Transmission Control Protocol, TCP)及使用者資料流協定(User Datagram Protocol, UDP)組成 § 提供主機間的資料分割及傳送服務,並確定資料已 被送達及接收 § TCP:具備錯誤回復及封包(Packet)重組的能力, 提供兩主機之間可信賴的傳輸,接受端收到每一封 包均會送出回應 § UDP:是一種非連結協定(Connectionless),沒有 錯誤回復功能及考慮流量控制及可靠性。優點是傳 輸速度快,適用在快速查詢回應 淡江大學資管系所侯永昌 8
網路層 § 為TCP/IP的第二層,相對於OSI的網路層 § 由網際網路協定(Internet Protocol, IP)及網 際網路控制訊息協定(Internet Control Message Protocol, ICMP)組成 § 負擔安排資料封包的傳送或轉送,使每一封 包均能順利到達目的地 淡江大學資管系所侯永昌 9
網路層的通訊協定 § IP (Internet Protocol) l l l 定義資料單元的格式 定義網際網路定址方式(IP Address) 決定資料封包在網路上的傳遞路徑 § ICMP (Internet Control Message Protocol) l 一個網路狀況監視 具 § ARP (Address Resolution Protocol) l 透過網路IP位址來找出網路卡的實體位置MAC位址 § RARP (Reverse Address Resolution Protocol) l 協助發送端來找到本身的IP位址 淡江大學資管系所侯永昌 10
資料連結層 § 資料連結層也稱為網路介面層(Network Interface Layer) § 負責提供實質網路媒體的驅動程式(Device Drivers),定義如何使用網路實體(Ethernet) 來傳送資料 淡江大學資管系所侯永昌 11
封包 § 電腦與電腦間溝通的資料,會先拆解成一定 長度的訊息,而這些被拆解出來的訊息,便 是封包(Packet) § 封包在網路上會以不同的路線傳送到目的地, 之後再進行重組 § 封包是網路通訊的最小單位,將資料切割成 封包傳輸,速度較快,且不會影響到其他電 腦的運作 淡江大學資管系所侯永昌 12
封包的傳遞與拆裝 封包傳遞與拆裝之流 程 淡江大學資管系所侯永昌 13
利用TCP/IP傳送訊息 § TCP負責將訊息切割成適合傳送的小塊資料 (Datagram),在遠端主機重新按順序組合起 資料包,並且要負責重送遺失的資料包。故 其主功能是用來打包封包和組合封包 § TCP在每一塊資料包的前面加上一個Header, 告知IP層此資料包要送達之IP Address § IP負責為資料包(封包)找到一條可達接收端主 機的適當路徑 § IP必須在資料包前加上自己的資料頭,才能讓 資料包能藉由各網路上的路由器往前傳送 淡江大學資管系所侯永昌 14
TCP/IP資料頭的格式 § TCP資料頭格式包括下列幾個重要欄位: l l 來源埠(Source Port) 目的埠(Destination Port) 資料包序號(Sequence Number) 回執編號(Acknowledge Number) § IP資料頭格式包括下列幾個重要欄位: l l l 來源位址(Source Address) 目的位址(Destination Address) 協定代碼(Protocol Number) 淡江大學資管系所侯永昌 15
Ethernet資料頭格式的重要欄位 § § 來源主機位址(Source Address) 目的主機位址(Destination Address) 類型代碼(Type Code) 檢查碼 (Checksum Code) 淡江大學資管系所侯永昌 16
應用層的網路安全通訊協定 § § § SMTP : 簡易電子郵件傳輸協定 TELNET : 遠端登入協定 FTP : 檔案傳輸協定 DNS : 網域名稱伺服器 SNMP : 簡易網路管理協定 淡江大學資管系所侯永昌 17
應用層的網路安全通訊協定(續) § 以資訊為基礎的服務 l l l Gopher:一種選項導向的資訊瀏覽器與伺服器 WAIS:廣域資訊服務,用來索引並蒐尋資料庫 檔的服務 WWW/HTTP:通訊協定的資訊系統 § 以遠端程序呼叫為基礎的服務 l l NFS : 網路檔案系統(Network File System) NIS : 網路資訊服務(Network Information Services) 淡江大學資管系所侯永昌 18
網際網路安全架構 SHTTP SSL HTTP UDP 安全評量 GSAPPI PGP Telnet, FTP GSSAPI PEM E-Mail IP SEC IP 作業系統 (OS) 淡江大學資管系所侯永昌 19
PGP安全電子郵件系統 § PGP是 1991年Philip Zimmermann 設計,以公 開金鑰演算法為基礎所發展出來的電子郵件傳 送 具,提供隱密性、資料來源鑑別、資料真 確性與不可否認性等服務 § PGP應用下列技術提供電子郵件安全服務: l l 隱密性:採用CBC模式的IDEA加密演算法 金鑰管理:應用RSA長度 384、512或 1024位元 訊息真確性及數位簽章:使用RSA與MD 5的演算法 壓縮:訊息在加密前先用ZIP 2. 0 壓縮,可減少資料 量和明文資料的重複性 淡江大學資管系所侯永昌 20
PGP 訊息的傳送及接收 淡江大學資管系所侯永昌 21
電子郵件系統所使用的符號及其意義 淡江大學資管系所侯永昌 22
PGP協定的數位簽章機制 PGP的數位簽章結構 圖 鑑別 性 淡江大學資管系所侯永昌 23
PGP協定的訊息加密機制 PGP的訊息加密結構 圖 機密 性 淡江大學資管系所侯永昌 24
SSL安全傳輸協定 § SSL (Secure Socket Layer)是由Netscape於 1995年所發表的網路安全協定。其主要功能 是建立瀏覽器與web伺服器間資料傳遞的安全 通道 § SSL透過加密的技術來保障交易資料的安全, 當用戶端在傳送資料時,便啟動 SSL加密機 制 § 「https: //」開頭,即表示具有SSL保護的網頁 淡江大學資管系所侯永昌 25
SSL安全傳輸協定(續) § SSL提供的安全服務主要有下列幾項: l l l 提供資料傳送的機密性 (Confidentiality) 提供資料傳送的完整性 (Integrity) 提供使用者與顧客間的身分鑑別機制 (Authenticity) § SSL協定主要分成兩部份: l l SSL紀錄協定(SSL Record Protocol) • 提供資料機密性及完整性兩種服務 SSL交握協定(SSL Handshake Protocol) • 提供使用者與伺服器間的身分驗證機制 淡江大學資管系所侯永昌 26
SSL紀錄協定運作過程 完整 性 機密 性 淡江大學資管系所侯永昌 27
SSL交握協定運作過程 淡江大學資管系所侯永昌 28
TLS傳輸層安全協定 § IETF (Internet Engineering Task Force)組織 在 1999年發表了傳輸層安全(Transport Layer Security, TLS)協定 § TLS主要是以SSL第三版本為基礎,TLS大部 分的記錄格式與SSL相同 l l 僅版本編號的部分有些出入 在加密套件與訊息驗證碼的選擇上也有些許不同 在亂數的產生方式及訊息驗證碼也有些微出入 但基本精神都是一致的 淡江大學資管系所侯永昌 29
IPSec § 由於網路層目前多半使用IP作為資料傳輸的協定, 但在安全上仍有漏洞,有鑑於此,IETF便積極制定 一套網路層的安全通訊協定,稱之為IP安全通訊協 定(IP Secure, IPSec) § IPSec主要提供三種安全服務: l l l 鑑別性(Authentication) 機密性(Confidentiality) 金鑰管理(Key Management) § IPSec主要包含兩種協定: l l 確認性標頭協定(Authentication Header, AH):用來確保 來源認證性及資料完整性 安全資料封裝協定(Encapsulating Security Payload, ESP):用來提供資料機密性 淡江大學資管系所侯永昌 30
IPSec之確認性標頭協定 確認性標頭的格式內容 淡江大學資管系所侯永昌 31
IPSec之安全資料封裝協定 IP並不在簽章的範圍內, 因此,ESP無法偵測到 IP 標頭是否遭到竄改 安全資料封裝協定的格式內容 淡江大學資管系所侯永昌 32
IPSec § Transport Mode l l 在原IP Header與IP Payload間插入IPSec Header 適用Host-to-Host環境 Host A LAN 1 (加密) Payload IPA, IPB Rout er Internet Route r Host B IPSec between Hosts LAN 2 (解密) Payload IPSec IPA, IPB Payload IPA, IPB 淡江大學資管系所侯永昌 33
IPSec § Tunnel Mode l l 在封包前面加上新IP Header與IPSec Header 適用Gateway-to-Gateway環境 Host A LAN 1 (加密) Payload IPA, IPB IPSec Gateway X Internet IPSec Gateway Y IPSec between Gateways Payload IPA, IPB IPSec IPX, IPY Host B LAN 2 (解密) Payload IPA, IPB 淡江大學資管系所侯永昌 34
IPSec之金鑰管理機制 § 金鑰管理服務的主要目的是在幫助使用者安 全地協議出所需的秘密金鑰 § 手動(Manual)金鑰管理: l l 系統管理者以人 的方式用自己的金鑰與其他系 統的金鑰來設定所需的安全協議 適合小型且通訊對象固定的環境來使用 § 自動(Automated)金鑰管理: l l l 安全協議的設定 作由系統自動來執行 適合大型且通訊對象經常變動的環境中 採用改良的Diffie-Hellman 淡江大學資管系所侯永昌 35
IPSec IP Security Architecture RFC 2401/1825 安全資料封裝協定 確認性標頭協定 金鑰管理 Authentication Header Encapsulating Security Payloads (2406/1827) Key Management (2402/1826) Keyed MD 5 HMAC-MD 5 (1828) HMAC-SHAI (2403 -2404) Other Transforms DES Triple DES (2405/2410 (1851) 2451/1829) Other Transforms IKE (2409) ISAKMP/ Oakley (2408/2412) Other Key Management 淡江大學資管系所侯永昌 36
Diffie-Hellman的金鑰交換機制 § 讓春嬌和志明能以互動的方式,產生一把 相同的祕密金鑰 SK,只要他們有共同同意 的 g(與 p互質之原根 )和 p(很大之質數 ) 淡江大學資管系所侯永昌 37
Diffie-Hellman演算法的優缺點 § 優點: l l 祕密金鑰只有在需要時才產生,可以避免許多金 鑰保管上的問題 金鑰的產生只需少數幾個事先協定好的共同參數, 幾乎不需要任何前置作業 § 缺點: l Deffie-Hellman並未要求身分鑑別,攻擊者可以 假借「春嬌」的身分不斷的請求交換金鑰,因此 容易遭受「藏鏡人」「塞爆」的網路攻擊 • 每次作訊息交換時,都要求附上驗證對方身分 的資訊,以確認對方的身分 淡江大學資管系所侯永昌 38
如何預防塞爆攻擊? § 可以利用Cookies 來協助,Cookies為是一64位元 的亂數 l l l A 先產生其Cookies (CA),並傳送給B B 亦產生其Cookies (CB),將CB連同CA一起傳送給使用 者A A 收到之後便將公開金鑰YA連同CA及CB一起傳送給B 同樣地, B也將其公開金鑰YB連同CA及CB一起傳送給A A與B收到對方的公開金鑰後會先去驗證所收到的CA及 CB是否與紀錄上的相同 若相同才執行所對應的指數運算,若不同則拒絕處理該 訊息 淡江大學資管系所侯永昌 39
阻斷服務攻擊 § 阻斷服務攻擊 (Denial-of-Service Attack, Do. S)是目前TCP/IP協定上常見的攻擊方式, 其攻擊方式是試圖讓系統的 作超過其所能負 荷,導致系統癱瘓 § Do. S的攻擊方式可分為下列幾種: l l l 死亡偵測攻擊(Ping-of-Death Attack) 分割重組攻擊(Teardrop Attack) 來源位址欺騙攻擊(Land Attack) 請求氾濫攻擊(SYN Flooding Attack) 回覆氾濫攻擊(Smurf Flooding Attack) 分散式攻擊(Distributed Attack) 淡江大學資管系所侯永昌 40
死亡偵測攻擊 § 藉由傳送一個大於 65, 535位元組的偵測 (Ping)封包給系統,由於系統最大只能接收 65, 535位元組的IP封包,因此一個大於 65, 535位元組的封包將使系統因溢位而發生 錯誤 § 雖然通常系統無法接受一個大於 65, 535位元 組的封包,但攻擊者還是可以將此封包分解 後傳送,然後再到被攻擊系統處組合,進而 造成系統癱瘓 § 現今的作業系統大部份都已經可以自動地來 淡江大學資管系所侯永昌 41 偵測這類型的攻擊
分割重組攻擊 § 利用封包分割與重組間的落差 (Gap)來對系 統進行攻擊 § 當封包的大小超過封包所能傳送的最大單位 時,封包就必須進行分割,然後依序地將這 些分割後的封包傳輸到目標主機,目標主機 收到後,會對這些封包重組 § 刻意製造不正常的封包序列,例如資訊重疊 位移或改變封包大小等,使得主機在重組過 程因發生錯誤而造成當機 淡江大學資管系所侯永昌 42
來源位址欺騙攻擊 • 來源位址欺騙攻擊是利用IP欺騙 (IP Spoofing)的方式來攻擊目標主機 • 攻擊者刻意將目標主機的IP位址附在封包的 來源 (Source) IP位址與目的地 (Destination) IP位址這兩個欄位上,使得這 個封包的來源及目的地位址都一樣 • 主機在收到這些封包時,由於無法回應訊 息給自己而使得系統當機或處理速度變慢 淡江大學資管系所侯永昌 43
請求氾濫攻擊 § 是藉由傳送大量SYN封包給目標主機,使得目標主機忙於 處理這些封包,而無法正常地提供合法使用者服務 § SYN封包是當使用者要跟目標主機通訊時,會先送出一個 SYN封包來要求目標主機進行通訊,目標主機收到後會回 應一個SYN-ACK封包給使用者,使用者再送一個ACK封包 給目標主機確認 § 然後才開始進行通訊協議。攻擊者就送出多個SYN封包給 目標主機,主機以為要進行通訊便開啟一個通訊埠並傳送 SYN-ACK訊息給使用者,並等待使用者回覆ACK封包 § 這個等待必須等到該封包溢時 (Overflow)才會移除,若一個 時段內有多個這樣的等待事件,則會使得系統處理速度變 緩慢 淡江大學資管系所侯永昌 44
回覆氾濫攻擊 § 攻擊者傳送一連串Ping封包(或 ICMP echo messages)給一個第三者 § 然後以IP欺騙的方式將之送給第三者的這些 封包上之來源位址改為受攻擊主機的IP位址 l l 第三者會誤以為這些封包是由這個受害主機所傳 送過來的,因此將回覆封包傳送給這個受害主機 由於Ping封包會要求路由器對網路廣播,使得網 路上充滿了要求及回應封包,進而讓網路壅塞甚 至中斷 淡江大學資管系所侯永昌 45
分散式攻擊 § 指多個遠端主機在同一時段內傳送許多訊息 給目標主機,使得目標主機在短時間內因收 到大量的訊息而癱瘓(DDo. S) § 另一種分散攻擊方式是針對網路來進行攻擊, 其攻擊方式就是在網路上傳輸許多訊息,藉 以浪費頻寬,造成網路壅塞,這種攻擊雖不 致會對電腦主機造成傷害,但能使合法的使 用者無法正常地存取資料 § 一般來說分散式阻斷服務攻擊是很難防範的, 因為由這些分散主機所做的傳輸都跟正常的 使用者無異,因此系統很難去分辨真假 淡江大學資管系所侯永昌 46
86e20a764dc35942e23eea4daf07d16f.ppt