第八章安全性补充教材.ppt

第八章 安全性 補充教材1著作權所有 旗標出版股份有限公司檢查網路連線狀態o要知道網路目前的連線狀態，可以使用netstat an在Windows下，必須先點選開始執行輸入cmd，在DOS命令視窗下執行遠端電腦的IP或名稱Windows Messenger的連線通訊埠，常用者會以名稱顯示協定2著作權所有 旗標出版股份有限公司對稱式加密對稱式加密明文明文密文密文密文密文明文明文加密加密金鑰金鑰解密解密加密3非非對稱式加密對稱式加密明文明文密文密文密文密文明文明文加密加密私密金鑰私密金鑰解密解密公開金鑰公開金鑰加密4非對稱式加密範例RSAoC=Me mod noM=Cd mod n=(Me)d mod n=Med mod n選擇兩質數p,q 7,17計算 n=p x q 119計算尤拉數(n)=(p-1)(q-1)96選擇與(n)互質的整數 e，且1e(n)5計算d=e-1 mod(n)77公開金鑰 KU=e,n 5,119私密金鑰 KR=d,n 77,119E.g.when M=19,C=195 mod 119=66,M=6677mod 119=19加密5Kerberos認證機制-1o在分散式環境中，用來進行使用者身分識別的一種機制o一個簡單的認證情境n由獨立的認證伺服器（AS-Authentication Server）負責管理使用者的密碼，並且與每一台伺服器分別共用一把私密金鑰n假設使用者想存取伺服器V1.CAS：IDc+Pc+IDv2.ASC：Ticket（EkvIDc+ADc+IDv亦即上述內容使用伺服器V私密金鑰加密後的密文）3.CV：IDc+TicketlC：用戶端，IDc：位於用戶端的使用者IDlPc：用戶端的使用者密碼，IDv伺服器上的IDlADc：用戶端的網路位置，Kv：AS與V共有的私密金鑰Kerberos6Kerberos認證機制-2o問題：在第一步中，是以明文傳送用戶資料o加入通行授與伺服器（TGS,ticket-granting server)o初次建立連線時：nCAS：IDc+IDtgsnASC：EkcTickettgso要使用某種服務時：nCTGS：IDc+IDv+TickettgsnTGSC：Ticketvo使用服務V時：nCV：IDc+Ticketvo註：nTickettgs=Ektgs IDc+ADc+IDtgs+TS1+lifetime1nTicketv=Ekv IDc+ADc+IDv+TS2+lifetime2nTS：time stampKerberos7Kerberos V4的運作概要ASTGSKerberosserveruser索取通行票索取通行票索取服務授與票索取服務授與票請求服務請求服務TGS門票門票服務門票服務門票提供服務提供服務每次登入時進行每次請求不同服務時進行 使用DES加密Kerberos8Kerberos V5的改良o可指定不同的加密技巧o可指定非IP的網路位置o使用ASN.1及BER的編碼方式，以提供一致的位元組順序o通行票的有效期限可設定為任意值o允許通行票的移轉o加強安全性，例如：n使用標準的CBC加密模式n用戶端與伺服器可自行產生子連線金鑰n提供事先認證來增加密碼攻擊的困難度Kerberos9Windows 2000/XP的Kerberos設定o控制台系統管理工具本機安全性原則IP 安全性原則按兩下要修改的原則o在 驗證方法 標籤頁中點選新增 或編輯o點選ActiveDirectory 預設值(Kerberos V5 通訊協定)o就可以將 Kerberos V5 安全性通訊協定，套用到由 Windows 2000 Active Directory 網域驗證的電腦Kerberos10Linux的封包過濾功能o傳統上，Linux的封包過濾功能一直是外掛的程式o從Linux 2.4開始，封包過濾功能被整合到核心中，稱為netfilter架構o俗稱Linux防火牆的iptables，其實是用來傳遞命令給netfilter的一個模組Linux的封包過濾11iptables的架構oiptables的架構由表格（table）組成，表格中包含不同的鏈（chains），鏈中則是記載封包過濾的規則（rules）oIptables內建的3個表格：nfilter：用來記錄封包的過濾規則，在設定防火牆時會用到nnat：用來轉換IP位址，讓內部電腦可以上網nmangle，配合nat表格做進階的封包管理Linux的封包過濾12利用iptables來實作防火牆o要架設防火牆的主機上至少必須有兩片網路卡，分別連接外部網路與內部網路，以將兩者隔離o根據需要設定iptables中filter表格的規則oiptables的filter表格包含3個內建的鏈：nInput：針對目的位址為本機之封包的過濾規則nOutput：本機行程所產生的封包在外送前進行過濾的規則nForward：目的位址非本機（經本機轉送）之封包的過濾規則Linux的封包過濾13