› uploads › 5 › 3 › 5 › 8 › ... บทที่ 5 : network...
TRANSCRIPT
บทท 5 : Network Securityสธ412 ความมนคงของระบบสารสนเทศอาจารยอภพงศ ปงยศ
Agenda
Web SecurityHTTPS
SSL/TLS
Remote Login SecuritySSH
Network Security
VPN
Web Security : HTTPS
HTTPS (HTTP over SSL) เปนโปรโตคอลทพฒนาโดย Netscape
ใชเขารหสขอมลทรบสงระหวางเซรฟเวอรและบราวเซอร
ปกต HTTPS จะใชพอรต 443 แทนทพอรต 80 (HTTP)
เวอรชนแรกใชการเขารหสแบบ RC4-40 bits ตอมานยมใช RSA 2048 bits และ ECC 256 bits โดยระบบน Digital Certificate
Web Security : SSL/TLS
SSL พฒนาโดย Netscape เปนโปรโตคอลทใชบรการ
เขารหสและพสจนตวตนระหวางเวบเซรฟเวอรกบไคลเอนต
เรมตนจะมการตกลงกนกอนวาจะใชอลกอรทมและคยใดใน
การเขารหสและการพสจนตวตน
จากนนเรมสอสารโดยขอมลทรบสงมการเขารหสดวยเซสชน
คย
เวบเซฟเวอรและเวบบราวเซอรสวนใหญจะรองรบโปรโตคอล
นอยแลว
Web Security : SSL/TLSTLS ไดมการพฒนาตอมาจาก SSL ซงไดขยายการรองรบ Digital Signature
การท างานของ SSL เทยบกบ HTTP ปกต
Remote Login & File Transfer Security
การใชงานรโมทลอกอนจ าเปนอยางยงทจะตองมการเขารหสขอมล เพอปองกนการแอบดขอมลทสอสารกน
โปรโตคอลทใชในการรโมทลอกอนทวไปคอ TELNET ซงไดมการพฒนาเปนโปรโตคอล SSH เพอเขารหสระหวางการสอสาร
โปรโตคอลทใชในการดาวนโหลด-อพโหลดไฟล คอ FTP ปกตจะไมมการเขารหส จงไดพฒนาโปรโตคอล SFTP ขนมาเพอเขารหสขอมล
Remote Login & File Transfer Security: SSH
SSH (Secure Shell) เปนรปแบบการรโมทลอกอนและ FTP ทนยมมากทสด ใชส าหรบเขารหสขอมลทรบ-สงระหวางไคลเอนตและเซรฟเวอร
ใชพอรต 22 แทนพอรต 23 (TELNET) และ 21 (FTP) หลกการคอไคลเอนตจะเชอมตอไปยงเซรฟเวอร เพอสราง Public
Key ส าหรบการเชอมตอ ปจจบนนยมใช RSA รวมกบ SHA-256 ในการเขารหสขอมลและท า Digital Signature
โปรแกรม SSH ทนยม เชน Putty, OpenTerm, OpenSSH
แบบจ าลองการท างานของ SSH
โปรแกรม Putty บน Linux
โปรแกรม OpenSSH
Network Security
โปรโตคอลทกลาวมาขางตนทงหมดเปนการเขารหสขอมลในเลเยอรทเหนอกวาชนเนตเวรค สวนใหญจะเปนแอพพล-เคชนทพฒนาขนเปนพเศษ
การรกษาความปลอดภยในระดบทต าลงมา เชนในระดบเนตเวรค จะตองใชโปรโตคอลทท างานในระดบเนตเวรค เชน VPN สวนโปรโตคอลยอยทนยมคอ IPsec
Network Security : VPN
เครอขายสวนบคคลเสมอน หรอ VPN (Virtual Private Network) หมายถงระบบเครอขายสวนบคคลทสรางโดยแชรลงก (เชน อนเทอรเนต)
ชวยใหผใชสามารถแชรขอมลผานเครอขายสาธารณะโดยมการเขารหสไว ท าใหดเสมอนวาเปนการสอสารกนภายในเครอขายสวนบคคล
ขอดคอท าใหผใชงานทอยภายนอกองคกรสามารถเชอมตอเขามายงเครอขายขององคกรไดอยางปลอดภย
Network Security : VPN
VPN แบงเปน 3 ประเภท ขนอยกบลกษณะการใชงาน
Access VPN : ใชเชอมตอผใชระยะไกล เชนพนกงานทตองเดนทางบอยๆ
Intranet VPN : เชอมตอกบเครอขายยอยขององคกร ผานเครอขายอนเทอรเนต เชน สาขายอยของบรษท
Extranet VPN : ใชเชอมตอระหวางองคกร
แบบจ าลองการท างานของ VPN
Network Security : VPN -> IPSec
เปนโปรโตคอลทรกษาความปลอดภยขอมลในระดบเนตเวรคเลเยอร
ถอเปนโปรโตคอลทเหมาะสมส าหรบการสราง VPNออกแบบมาส าหรบการเขารหสขอมลแพกเกตของ
โปรโตคอล IP รบรองความลบของขอมล (Confidentiality), ความคง
สภาพของขอมล (Integrity) และการพสจนตวตน (Authentication)
Network Security : VPN -> IPSec [2]
อลกอรทมท IPSec ใชเขารหสขอมล คอใช Diffie-Hellman ในการแลกเปลยนเซสชนคยผานเครอขาย
สาธารณะAES-GCM : ส าหรบการเขารหสขอมลและยนยนตวตนSHA2-256: ใชในการตรวจสอบความคงสภาพDigital Certificate : ส าหรบตรวจสอบเจาของพบลกคย
การใชงาน VPN ของมหาวทยาลยแมโจ เพอสบคนขอมลจากภายนอกเครอขายมหาวทยาลย
https://library.mju.ac.th/content.php?page=data&id=102:VPN