网路安全简介

網路安全簡介張仁俊Jcchang@csie.nctu.edu.tw2資訊的趨勢共享的系統(Sharedsystem)分散式系統(Distributedsystem)網路:Internet3資訊安全系統安全(Systemsecurity)網路安全(Networksecurity)4確保系統安全的方式使用者認證控制使用權限(Accesscontrol)審查使用記錄5網路安全(Model)67安全攻擊8被動式攻擊(Passiveattacker):讀取訊息內容,流量分析主動式攻擊(Activeattacker):偽裝,重播,更改資料9網路安全的目的保護開放網路上資料的傳遞保護與網路相連之電腦內部的資料針對不同的需求建立安全系統,例如,安全電子郵件,安全電子交易等.10網路安全的要求Confidentiality(privacy,secrecy):(機密性、隱私性、私密性)保護資料內容的機密性.Authentication:(認證、確認)確保通訊的可信性(包括來源及資料內容)Integrity:(完整性、真確性)確保資料內容的完整性11Non-repudiation:(不可否認性、存證性)防止通訊雙方否認先前的動作Accesscontrol:(存取控制)限制及控制對主機的存取權Availability:(可用性)確保系統能被合法使用者所使用12網路安全方法加密(Encryption):機密性數位簽章(Digitalsignature):認證及不可否認性雜湊函數(Hashfunction)完整性安全協定(Secureprotocols)Generalsecurity13密碼學技術加密技術(Encryption)密鑰密碼系統(Secret-keycryptosystem):DES公鑰密碼系統(Public-keycryptosystem):RSA串流密碼(Streamcipher):LFSR數位簽章(Digitalsignature)RSADigitalsignaturealgorithm:DSAHashingSHA,MD514課程概要基本概念:加解密演算法數位簽章演算法Hashfunctionetc...15通訊協定安全登入系統認證服務(AuthenticationService)EmailSecurity憑證管理(CertificateManagement)WebSecurity安全電子交易SecureElectronicTransaction(SET)虛擬私人網路VirtualPrivateNetwork(VPN)etc.16系統安全侵入者(Intruders)病毒(Viruses)防火牆(Firewall)17侵入者(Intruders)Hacker,cracker,etc三種身份偽裝者濫用職權者秘密滲透者1819偵察侵入行為Statisticalanomaly(不規則)detection•Thresholddetection•ProfilebasedRule-baseddetection•Anomalydetection•Penetration(穿透深度)identification審查紀錄•一般的審查紀錄•偵測用途的審查紀錄20病毒(Viruses)惡意的程式21病毒的分期潛伏期(Dormantphase)繁殖期(Propagationphase)觸發期(Triggeringphase)發作期(Executionphase)病毒的類型Memory-residentvirusBootsectorvirusetc.22防毒方式使用合法軟體安裝防毒軟體先進防毒技術數位免疫系統(Digitalimmunesystem)2324系統入侵對Server端的入侵IPSpoofingSniffing(SessionHijacking)取得密碼Other…(如：Backdoor、權限設計缺失等)25正常連線時﹍﹍DABC1.A向網路上其他機器詢問B的IP2.D告訴B的正確IP位址DABC3.A和B交談ABCIPSpoofing26IPSpoofing時﹍﹍DABC1.A向網路上其他機器詢問B的IPABC2.C將自己的IP位址傳給AABC3&4.C介於A和B之間，可任意妄為27ABCC竊聽A和B的談話ABCA和B彼此傳輸資料正常連線時﹍﹍Sniffing時﹍﹍Sniffing28預防方式入侵途徑IPSpoofing=AlllayerHardware/ARP/ICMP/Routing/DNS/TCP...Sniffing(SessionHijacking)=Lowlayer需硬體支援來配合軟體必須讓機器位在可竊聽之路徑上防堵方法BelowroutersStopusing/UsingServer/DetectBelowbridges/switchesHub啟動防竊聽/建立SecurityPathProtocol/Crypt/ZeroKnowledge29入侵途徑取得密碼暴力式侵害法：用程式不斷嘗試到成功為止。字典式侵害法：依字典來算出加密後的密碼Other…防堵方法啟動自動關閉帳號，停止使用一段時間。以分析來避免weak密碼、強迫定期改變密碼…30對Client端的入侵直接攻擊•PingofDeath,Smurf,SYN,OOB…...間接攻擊•瀏覽器的漏洞–Java,JavaScript,ActiveX,CGI,URL31PingofDeath封包假設達112,000bytes目標系統殺手封包正常封包最大為65,536bytes駭客系統直接攻擊PingofDeath(Win95/NT可抵抗)使用超過65,536bytes標準封包大小的封包進行攻擊，某些系統接到這些錯誤封包後便會當機鎖死或重開機。32回應封包目標路由器Multiplenetworksubnets川流不息的Ping駭客系統從假造的IP位址發出Ping要求網際網路SmurfSmurf攻擊是利用假造的IP位址欺騙被攻擊的系統，接著再向其所屬的子網路發出PING廣播要求，結果氾濫的垃圾封包便淹沒了整個網路。33網際網路TCPSYN-ACK封包Backlog佇列假造來源和目的IP的Ping要求封包未完成的程序目標系統駭客系統SYNSYN攻擊模式利用建立連結時期的三個步驟，在送出初始封包後，便不回應接下來的部分，被攻擊系統佇列將因此而塞滿等待回應的封包，由於佇列的空間有限，系統將無法再接受其他的進入請求。34間接攻擊病毒特洛依木馬(TrojanHorse)Windows95/98中目前最盛行的有：BackOrifice(BO),NetBus,….瀏覽器的漏洞JavaJavaScriptActiveXCGIURL加解密技術36傳統加密技術模型3738專門用語密文(Ciphertext):Y=EK(X)明文(Plaintext):X=DK(Y)•例如：E100101(001110)=101000D100101(101000)=00111039密碼系統系統明文空間P(plaintextspace)密文空間C(ciphertextspace)密鑰空間K(keyspace)加密演算法E(encryptionalgorithm)解密演算法D(decryptionalgorithm)目標:混亂訊息使其不可讀傳統加密方式one-keyciphersymmetriccipher40安全性假設:E已知D已知只有密鑰k未知41無條件地安全(Unconditionallysecure)無論有多少時間都不可能破密只有one-timepadcipher有此特性計算上的安全(Computationallysecure)要破密所花費的時間金錢超過破密後的價值42密碼分析TypeofAttackKnowntoCryptanalysisCiphertextOnlyEncryptionalgorithmCiphertexttobedecodedKnownplaintextEncryptionalgorithmCiphertexttobedecodedOneormoreplaintext-ciphertextpairsformedwiththesecretkeyChosenplaintextEncryptionalgorithmCiphertexttobedecodedPlaintextmessagechosenbycryptanalyst,togetherwithitscorrespondingdecryptedplaintextgeneratedwiththesecretkeyChosenciphertextEncryptionalgorithmCiphertexttobedecodedPurportedciphertextchosenbycryptanalyst,togetherwithitscorrespondingdecryptedplaintextgeneratedwiththesecretkeyChosentextEncryptionalgorithmCiphertexttobedecodedPlaintextmessagechosenbycryptanalysttogetherwithitscorrespondingciphertextgeneratedwiththesecretkeyPurportedciphertextchosenbycryptanalyst,togetherwithitscorrespondingdecryptedgeneratedwiththesecretkey43KeySize(bits)NumberofAlternativeKeysTimerequiredat1encryption/sTimerequiredat106encryptions/s32232=4.3109231s=35.8minutes2.15milliseconds56256=7.21016255s=1142years10.01hours1282128=3.410382127s=5.41024years5.41018years26characters(permutation)26!=4102621026s=6.41012years6.4106years暴力窮舉法Averagetimerequiredforexhaustivekeysearch44ReferenceMagnitudeSecondsinayear3×107Ageofoursolarsystem(years)6×109Secondssincecreationofsolarsystem2×1017Clockcyclesperyearofa500MHzCPU1.6×1016Binarystringsoflength553.6×1016Binarystringsoflength641.8×1019Binarystringsoflength1283.4×1038Binarystringsoflength2561.2×1077Numberof75-digitprimes5.2×1072Electronsintheuniverse8.37×107745古典加密技術替代密碼法CaesarCipherMonoalphabeticCiphersHillCipherRotorMachinesMulti-stageciphers46CaesarCipher已知最早的替代密碼法每個英文字位移k位plain:meetmeafterthetogapartycipher:PHHWPHDIWHUWKHWEJDSDUWBKey:Plain:abcdefghIjklmnopqrstuvwxyzcipher:DEFGHIJKLMNOPQRSTUVWXYZABCC=E(P)=(P+k)mod(26)P=D(C)=(C-k)mod(26)47只有25個可能的keyK=1plain:oggvogchvgtvjgvq