第十二章網路安全綜合解決方案

第十二章網路安全綜合 解決方案課前指引目前最廣為熟知的幾個軟體與協定分別為PGP、SET&SSL與防火牆。由於電子郵件在傳送上安全的重要性與日俱增，且內容格式愈趨多樣化，已非單純的文字檔，更加入影音、影像等許多檔案形式增強電子郵件功能，於是製定一套通訊協定標準整合各項通訊格式，並顧及傳輸上的安全性，已成為政府機關、研究組織的研究目標。

章節大綱 12-1PGP 12-4Snort使用 12-2SET&SSL 12-5Nessus 12-3 防火牆 12-6 結語備註：可依進度點選小節

12-1 PGP • 電子郵件易遭竄改且不會留下痕跡，收件者無法知道此封電子郵件在傳送途中是否經過他人變更。 • 電子郵件在網路上傳送會經過許多端點(Node)，如同明信片一般任何人均可窺見郵件內容，無法達到機密性。 • 第三者可以很容易假冒他人寄電子郵件，收件者無法肯定電子郵件所顯示的來源位址是否真的是該寄件者所寄。 • PGP(Pretty Good Privacy) 的問世，有效解決電子郵件在傳送上所碰到的種種問題。

12-1 PGP • PGP廣受歡迎原因 • PGP是免費的軟體 • 使用的演算法： • IDEA(International Data Encryption Algorithm) • RSA • MD5(Message Digest)單向HASH函數(One-way Hash Function) • 確保電子郵件機密性、完整性、身份認證、不可否認性。

12-1 PGP • PGP原理 • 對稱式金鑰密碼系統：使用的是IDEA單金鑰加密方法對文件進行加密，利用的即是「對稱式金鑰密碼系統」加密速度快速的優點。PGP能產生一把128位元的加密金鑰以IDEA技術加密文件。 • 非對稱式金鑰密碼系統：使用RSA演算法以收件者的公開金鑰將IDEA加密金鑰做加密，將用IDEA加密的密文、加密過的IDEA加密金鑰傳送給收件者。

12-1 PGP • PGP加密及簽章流程

12-1 PGP • PGP運作流程 • 加密 • 數位簽章 • 壓縮 • 電子郵件相容性 • 切割

12-1 PGP • PGP運作流程-加密 • 寄件者將寫好的訊息，利用PGP所產生的128位元的連線會期金鑰(session key)進行加密，此把連線會期金鑰所運用的加密演算法即是IDEA，為對稱式金鑰密碼系統。 • 利用RSA技術以接收者的公開金鑰將連線會期金鑰加密，並和加密後的訊息一起傳給收件者。

12-1 PGP • PGP運作流程-解密 • 收件者利用和此把公開金鑰相對應的私密金鑰解密，得到連線會期金鑰。 • 收件者再利用此把連線會期金鑰將密文解密得到原文。

12-1 PGP • PGP運作流程-數位簽章 • 寄件者將寫好的訊息以MD5單向HASH函數做運算，得到一128位元Digest。 • 寄件者以RSA演算法金鑰對裡的私密金鑰對Digest做加密，然後將加密後的Digest和訊息傳給收件者。 • 收件者利用寄件者的公開金鑰將私密金鑰加密的Digest解密，得到原Digest。 • 收件者將訊息以相同的單向HASH演算法做運算，得到Digest。並和解密後的Digest做比對，如果結果相同，則此訊息在傳送的過程中並未遭到竄改；反之，則是遭到竄改。

12-1 PGP • PGP運作流程-電子郵件相容性 • 經由PGP加密處理過的文件，並無法在只能使用ASCII文字的電子郵件系統中正常傳送，必須得將文件再處理過。 • Radix-64便是讓加密過的文件符合限制轉換為可列印的ASCII字元，其轉換雖然會讓原訊息長度增為原來的1/3倍，但原訊息已經先經過壓縮處理，所以實際上經過Radix-64轉換後的訊息長度仍會比原訊息長度較短。

12-1 PGP • PGP運作流程-切割 • 電子郵件通常有最大長度的限制，例如有些電子郵件系統限定郵件長度最大不得超過50000位元組，若超過此上限，便會將此郵件切割成許多段，每段長度均要在規定以下，再分別寄出。

12-2 SET&SSL • 安全電子交易(Secure Electronic Transaction，簡稱SET)。 • 制定目的，在於確保網路交易的安全性，讓資訊在傳輸過程中保持其機密性和資訊的完整性，並能夠對商家及消費者做身份認證。

12-2 SET&SSL • SET交易流程

12-2 SET&SSL • SET-雙重簽章(Dual Signature) • 以HASH演算法對付款資訊及訂單資訊運算，取得兩份Digests：D-PI及D-OI。 • 將兩Digests合併在一起，再做一次HASH運算取得第三份Digest：D-POI。 • 將D-POI以消費者的私密金鑰做加密，便是所謂雙重簽章。

12-2 SET&SSL • SSL • 安全傳輸協定(Secure Socket Layer，簡稱SSL)。 • 介於應用層和TCP/IP層之間，又可分為SSL記錄層(SSL Record Layer)和SSL訊息層(SSL Message Layer)。 • SSL在伺服器端和用戶端之間建立一條秘密通訊的管道，保護資料在其間傳送的安全性，避免他人從中竊取、破壞或是冒充。

12-2 SET&SSL • SSL記錄層(SSL Record Layer) • 將資料分段處理，每段的長度均固定不大於214=16384位元組。 • 為每段資料進行壓縮，使用者可根據自己需求選擇壓縮或是不壓縮。 • 加入MAC(Message Authentication Code)。將前一步驟所分割的該段資料做HASH函數運算取得MAC，用來確保資料的完整性。 • 將壓縮過的資料及MAC做加密。 • 為欲傳送的訊息加上標頭(Header)。

12-2 SET&SSL • SSL記錄協定運作流程

12-2 SET&SSL • SSL訊息層(SSL Message Layer) • 加密演算法更換協定 • 警告協定 • 交握協定(Handshake Protocol)

12-2 SET&SSL • 加密演算法更換協定 • 主要目的為更新目前所使用的加密演算法。 • 假設用戶端和伺服器端目前正以一種加密演算法進行SSL通訊，若用戶端(或伺服器端)想變更加密演算法，便是利用此協定來達成此一目的。

12-2 SET&SSL • SET vs SSL

12-3 防火牆 • 一、防火牆的種類 • (一)封包過濾式防火牆 • (二)代理伺服器式防火牆 • 二、防火牆的限制 • (一)系統漏洞 • (二)內部攻擊 • (三)病毒威脅 • (四)網路釣魚 • 三、DMZ • 四、防火牆的架構

12-4 Snort使用 • Snort是一套GPL開放原始碼的軟體，他是由Marty Foesch於1998年所發展的輕量級入侵偵測工具，雖然起出定位為輕量級的入侵偵測工具，但發展至今他的功能上已相當完備成熟，加上模組化的程式設計，他相當具有延伸性與擴充性，如本節將介紹配合ACID和Mysql資料庫的使用，結合成一個完善的入侵資料紀錄，與圖形化分析查詢的介面系統。

12-5 Nessus • Nessus是一套弱點掃描工具，Nessus的緣起，是因為原本免費的SATAN弱點掃描軟體，其功能性已被商業軟體超越，於是由R.Deraison成立了一個名為Nessus的計畫，透過網路社群發起討論修改製作出Nusses弱點掃瞄工具軟體，於1999年第一次正式發表。 • 弱點掃瞄工具，是一個廣泛的稱謂，他所執行的工作就是主機的安全稽核掃描，以幫助系統管理者搜尋系統主機的漏洞所在，及其原因。他能夠描述關於防禦者或者入侵者的資料。

12-6 結語 • 藉由PGP軟體，郵件寄送者能輕鬆將電子郵件加密，保護自己的電子郵件在傳輸過程中，降低被窺見的風險，確保個人於電子通信上的隱私。 • 網路電子交易安全成為大家所嚴重關切的問題，SET&SSL通訊協定便應運而生，成為目前解決電子付款安全性問題的採行方式。

12-6 結語 • 進而介紹Snort、Nessus及防火牆的使用讓個人或企業在電腦使用上更具其安全性，利用防火牆及Snort來阻隔有心人事之攻擊、並發掘相關入侵及破壞等等之行為，讓電腦使用更有保障。最後透過Nessus來偵測系統漏洞，以維護系統之安全。

本章結束 Q&A討論時間

第十二章 網路安全綜合 解決方案