第八章安全性补充教材

按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,著作權所有,旗標出版股份有限公司,*,第八章 安全性 補充教材,1,著作權所有,旗標出版股份有限公司,檢查網路連線狀態,要知道網路目前的連線狀態，可以使用,netstat,a,在,Windows,下，必須先點選,開始,執行,輸入,cmd,，在,DOS,命令視窗下執行,遠端電腦的,IP,或名稱,Windows Messenger,的連線,通訊埠，常用者會以名稱顯示,協定,2,著作權所有,旗標出版股份有限公司,對稱式加密,明文,密文,密文,明文,加密,金鑰,解密,加密,3,非,對稱式加密,明文,密文,密文,明文,加密,私密金鑰,解密,公開金鑰,加密,4,非對稱式加密範例,RSA,C=M,e,mod n,M=,C,d,mod n=(M,e,),d,mod n=M,ed,mod n,選擇兩質數,p,q,7,17,計算,n=p x q,119,計算尤拉數,(n)=(p-1)(q-1),96,選擇與,(n),互質的整數,e,，且,1e(n),5,計算,d=e,-1,mod(n),77,公開金鑰,KU=e,n,5,119,私密金鑰,KR=d,n,77,119,E.g.when M=19,C=19,5,mod 119=66,M=66,77,mod 119=19,加密,5,Kerberos,認證機制,-1,在分散式環境中，用來進行使用者身分識別的一種機制,一個簡單的認證情境,由獨立的,認證伺服器,（,AS,-Authentication Server,）負責管理使用者的密碼，並且與每一台伺服器分別共用一把私密金鑰,假設使用者想存取伺服器,V,C,AS,：,ID,c,+P,c,+ID,v,ASC,：,Ticket,（,E,kv,IDc,+,ADc+IDv,亦即上述內容使用伺服器,V,私密金鑰加密後的密文）,CV,：,ID,c,+Ticket,C,：用戶端，,IDc,：位於用戶端的使用者,ID,Pc,：用戶端的使用者密碼，,IDv,伺服器上的,ID,ADc,：用戶端的網路位置，,Kv,：,AS,與,V,共有的私密金鑰,Kerberos,6,Kerberos,認證機制,-2,問題：在第一步中，是以明文傳送用戶資料,加入,通行授與伺服器,（,TGS,ticket-granting server),初次建立連線時：,CAS,：,ID,c,+ID,tgs,ASC,：,E,kc,Ticket,tgs,要使用某種服務時：,C,TGS,：,IDc+IDv+Tickettgs,TGSC,：,Ticketv,使用服務,V,時：,C,V,：,IDc+Ticketv,註：,Ticket,tgs,=,E,ktgs,ID,c,+AD,c,+ID,tgs,+TS,1,+lifetime,1,Ticket,v,=,E,kv,ID,c,+AD,c,+ID,v,+TS,2,+lifetime,2,TS,：,time stamp,Kerberos,7,Kerberos V4,的運作概要,AS,TGS,Kerberos,server,user,索取通行票,索取服務授與票,請求服務,TGS,門票,服務門票,提供服務,每次登入時進行,每次請求不同服務時進行,使用,DES,加密,Kerberos,8,Kerberos V5,的改良,可指定不同的加密技巧,可指定非,IP,的網路位置,使用,ASN.1,及,BER,的編碼方式，以提供一致的位元組順序,通行票的有效期限可設定為任意值,允許通行票的移轉,加強安全性，例如：,使用標準的,CBC,加密模式,用戶端與伺服器可自行產生子連線金鑰,提供事先認證來增加密碼攻擊的困難度,Kerberos,9,Windows 2000/XP,的,Kerberos,設定,控制台,系統管理工具,本機安全性原則,IP,安全性原則,按兩下要修改的原則,在,驗證方法,標籤頁中點選,新增,或,編輯,點選,ActiveDirectory,預設值,(Kerberos V5,通訊協定,),就可以將,Kerberos V5,安全性通訊協定,，套用到由,Windows 2000 Active Directory,網域驗證的電腦,Kerberos,10,Linux,的封包過濾功能,傳統上，,Linux,的封包過濾功能一直是外掛的程式,從,Linux 2.4,開始，封包過濾功能被整合到核心中，稱為,netfilter,架構,俗稱,Linux,防火牆的,iptables,，其實是用來傳遞命令給,netfilter,的一個模組,Linux的封包過濾,11,iptables,的架構,iptables,的架構由表格（,table,）組成，表格中包含不同的鏈（,chains,），鏈中則是記載封包過濾的規則（,rules,）,Iptables,內建的,3,個表格：,filter,：用來記錄封包的過濾規則，在設定防火牆時會用到,nat,：用來轉換,IP,位址，讓內部電腦可以上網,mangle,，配合,nat,表格做進階的封包管理,Linux的封包過濾,12,利用,iptables,來實作防火牆,要架設防火牆的主機上至少必須有兩片網路卡，分別連接外部網路與內部網路，以將兩者隔離,根據需要設定,iptables,中,filter,表格的規則,iptables,的,filter,表格包含,3,個內建的鏈：,Input,：針對目的位址為本機之封包的過濾規則,Output,：本機行程所產生的封包在外送前進行過濾的規則,Forward,：目的位址非本機（經本機轉送）之封包的過濾規則,Linux的封包過濾,13,