非对称式的演算法-NTOU资料库试验室.PPT

特洛伊木馬 植入後門進而竊取資訊 帳號、密碼、郵件等各種資料 除了竊取資料外，還可以遠端遙控 成為駭客的跳板 殭屍網路 駭客控制一大群木馬 發送垃圾郵件、發動分散式網路攻擊、進行網路釣魚等各種大規模的攻擊 網路監聽 網路上傳輸的資料若未加密，就可能遭到監聽 可取得使用者的帳號、密碼以及傳輸的資料 儘量使用安全的傳輸軟體 9-6 網路防護 防毒軟體 網路加密 防火牆與入侵偵測系統 無線網路安全 防毒軟體 選擇多樣，有付費版，也有免費版 防毒軟體的偵測方式 病毒的定義檔 「啟發式」的偵測方式 使用防毒軟體之後並非一勞永逸，而是需要正確的使用習慣 定期修補作業系統的漏洞 不要使用來路不明的程式 防毒軟體 (續) 病毒很常見，甚至連作業系統都內建防毒軟體 圖為Windows內建的Windows Defender 偵測病毒 使用病毒定義檔進行偵測 將病毒樣本的特徵碼字串取出來，建立資料庫 透過字串比對，找出病毒 要定義更新，確保可以偵測出最新的病毒 「啟發式」的偵測方式 依據病毒的「行為模式」，如修改系統檔案、修改其他執行檔等等 目標：高偵測率、低誤判率、低漏判率 安全傳輸 網路上常用的安全傳輸協定是SSL以及TLS SSL於1995年被提出 TLS則於1999年被提出，是SSL的後繼者 提供應用層協定一個透通(transparent)的加密連線保護 應用層協定可以不用修改 SSL/TLS安全連線建立後，應用層協定可在受保護的連線內進行資料傳輸 SSL/TLS連線示意圖 常見的SSL/TLS應用服務 安全的網頁瀏覽 HTTPS 安全的寄電子郵件 SMTPS 安全的下載電子郵件 POP3S/IMAPS 建立安全連線時，同樣需要檢查公鑰是否正確無誤 防火牆 避免網路型的攻擊 防火牆上可設定封包過濾規則 使用規則比對封包，以按照相對應的動作處理 允許封包通過、丟棄封包，或是修改封包內容等 過濾規格可針對OSI協定的各層設定 防火牆通常置於區域網路連往廣域網路的位置 防火牆的規則大多從OSI的第二層到第四層 防火牆的分區 WAN 廣域網路，用以連接外部網路 LAN 區域網路，用以連接內部網路，即受保護的使用者 DMZ 非軍事區 (demilitarized zone) 通常放置會對外服務的伺服器 非軍事區的目的 通常放置會對外服務的伺服器 外部的使用者可以連線到這一區的伺服器 但這些伺服器不一定是安全的 萬一伺服器有漏泂被入侵成功了，避免駭客透過被攻陷的伺服器進入區域網路 可以達到隔離的效果 防火牆與入侵偵測系統示意圖 常見的基本防火牆規則 假設每一個封包圴由規則編號小至大依序比對 比對符合的規則即執行，並乎略後面的規則 允許LAN 的主機透過任何協定建立新連線至任意位置 允許DMZ 的主機透過任何協定建立新連線至WAN 允許WAN的主機透過TCP連接埠80 建立新連線至DMZ（瀏覽網頁） 允許所有已建立的連線通過防火牆 禁止其他未定義的所有網路連線 入侵偵測系統 提供更完整的封包檢測功能 從OSI第二層到第七層都可以檢測 因此檢測時間較長、效率較差 通常只用被動的方式進行檢測，不會攔截封包 可紀錄偵測到的入侵事件，並通知網路管理人員 入侵偵測系統擺放的位置非常有彈性 防火牆前：可監測到所有可能的攻擊 防火牆後：可監測到穿過防火牆的攻擊 入侵偵測系統的偵測方式 類似掃毒軟體 可使用特徵碼 如，紀錄應用層的攻擊行為特徵碼 或是使用「啟發式」的規則 如，統計特定主機發送封包的頻率、觀察主機是否存取列於黑名單的網站等等 同樣也有偵測率、誤判率、漏判率的問題 無線網路安全 無線網路愈來愈普及 無線網路更容易被監聽 無線網路的安全主要透過加密和認證來保護 一般的做法 SSID – 用來識別無線網路存取點 密碼加密 – 確保資料傳輸的過程中不會被監聽 帳號認證 – 通常只有企業無線網路採用 基本的保護 隱藏SSID 只有知道SSID的使用者可以連接 但仍有機會透過無線監聽的方式取得 利用無線網路卡的網路卡卡號過濾 可設定存取點僅允許特定的卡號連線 非常有效的方式，但使用前需要先進行設定 卡號也可能被盜用 一定要使用強度夠強的加密方式 無線網路的認證 一般家用的存取點，通常只會設定加密 目前最新的標準WPA2 企業用的存取點，還會要求使用者輸入帳號密碼後，才可上網 常見的做法 先連上特定網頁，輸入帳號密碼 或是，透過802.1X協定，進行帳號密碼認證 相關標準整理 * * 加解密演算法的應用 日常生活隨處可見 安全的資料傳輸，如HTTPS 左下：Chrome瀏覽器 右上：Firefox瀏覽器 右下：Internet Explorer瀏覽器 光是看到HTTPS是不夠的… 以Google Chrome為例 左：沒問題的網站；右：憑證有問題的網站 檢視憑證