บทท 5 : Network Securityสธ412 ความมนคงของระบบสารสนเทศอาจารยอภพงศ ปงยศ

apipong.ping@gmail.com

Agenda

Web SecurityHTTPS

SSL/TLS

Remote Login SecuritySSH

Network Security

VPN

Web Security : HTTPS

HTTPS (HTTP over SSL) เปนโปรโตคอลทพฒนาโดย Netscape

ใชเขารหสขอมลทรบสงระหวางเซรฟเวอรและบราวเซอร

ปกต HTTPS จะใชพอรต 443 แทนทพอรต 80 (HTTP)

เวอรชนแรกใชการเขารหสแบบ RC4-40 bits ตอมานยมใช RSA 2048 bits และ ECC 256 bits โดยระบบน Digital Certificate

Web Security : SSL/TLS

SSL พฒนาโดย Netscape เปนโปรโตคอลทใชบรการ

เขารหสและพสจนตวตนระหวางเวบเซรฟเวอรกบไคลเอนต

เรมตนจะมการตกลงกนกอนวาจะใชอลกอรทมและคยใดใน

การเขารหสและการพสจนตวตน

จากนนเรมสอสารโดยขอมลทรบสงมการเขารหสดวยเซสชน

คย

เวบเซฟเวอรและเวบบราวเซอรสวนใหญจะรองรบโปรโตคอล

นอยแลว

Web Security : SSL/TLSTLS ไดมการพฒนาตอมาจาก SSL ซงไดขยายการรองรบ Digital Signature

การท างานของ SSL เทยบกบ HTTP ปกต

Remote Login & File Transfer Security

การใชงานรโมทลอกอนจ าเปนอยางยงทจะตองมการเขารหสขอมล เพอปองกนการแอบดขอมลทสอสารกน

โปรโตคอลทใชในการรโมทลอกอนทวไปคอ TELNET ซงไดมการพฒนาเปนโปรโตคอล SSH เพอเขารหสระหวางการสอสาร

โปรโตคอลทใชในการดาวนโหลด-อพโหลดไฟล คอ FTP ปกตจะไมมการเขารหส จงไดพฒนาโปรโตคอล SFTP ขนมาเพอเขารหสขอมล

Remote Login & File Transfer Security: SSH

SSH (Secure Shell) เปนรปแบบการรโมทลอกอนและ FTP ทนยมมากทสด ใชส าหรบเขารหสขอมลทรบ-สงระหวางไคลเอนตและเซรฟเวอร

ใชพอรต 22 แทนพอรต 23 (TELNET) และ 21 (FTP) หลกการคอไคลเอนตจะเชอมตอไปยงเซรฟเวอร เพอสราง Public

Key ส าหรบการเชอมตอ ปจจบนนยมใช RSA รวมกบ SHA-256 ในการเขารหสขอมลและท า Digital Signature

โปรแกรม SSH ทนยม เชน Putty, OpenTerm, OpenSSH

แบบจ าลองการท างานของ SSH

โปรแกรม Putty บน Linux

โปรแกรม OpenSSH

Network Security

โปรโตคอลทกลาวมาขางตนทงหมดเปนการเขารหสขอมลในเลเยอรทเหนอกวาชนเนตเวรค สวนใหญจะเปนแอพพล-เคชนทพฒนาขนเปนพเศษ

การรกษาความปลอดภยในระดบทต าลงมา เชนในระดบเนตเวรค จะตองใชโปรโตคอลทท างานในระดบเนตเวรค เชน VPN สวนโปรโตคอลยอยทนยมคอ IPsec

Network Security : VPN

เครอขายสวนบคคลเสมอน หรอ VPN (Virtual Private Network) หมายถงระบบเครอขายสวนบคคลทสรางโดยแชรลงก (เชน อนเทอรเนต)

ชวยใหผใชสามารถแชรขอมลผานเครอขายสาธารณะโดยมการเขารหสไว ท าใหดเสมอนวาเปนการสอสารกนภายในเครอขายสวนบคคล

ขอดคอท าใหผใชงานทอยภายนอกองคกรสามารถเชอมตอเขามายงเครอขายขององคกรไดอยางปลอดภย

Network Security : VPN

VPN แบงเปน 3 ประเภท ขนอยกบลกษณะการใชงาน

Access VPN : ใชเชอมตอผใชระยะไกล เชนพนกงานทตองเดนทางบอยๆ

Intranet VPN : เชอมตอกบเครอขายยอยขององคกร ผานเครอขายอนเทอรเนต เชน สาขายอยของบรษท

Extranet VPN : ใชเชอมตอระหวางองคกร

แบบจ าลองการท างานของ VPN

Network Security : VPN -> IPSec

เปนโปรโตคอลทรกษาความปลอดภยขอมลในระดบเนตเวรคเลเยอร

ถอเปนโปรโตคอลทเหมาะสมส าหรบการสราง VPNออกแบบมาส าหรบการเขารหสขอมลแพกเกตของ

โปรโตคอล IP รบรองความลบของขอมล (Confidentiality), ความคง

สภาพของขอมล (Integrity) และการพสจนตวตน (Authentication)

Network Security : VPN -> IPSec [2]

อลกอรทมท IPSec ใชเขารหสขอมล คอใช Diffie-Hellman ในการแลกเปลยนเซสชนคยผานเครอขาย

สาธารณะAES-GCM : ส าหรบการเขารหสขอมลและยนยนตวตนSHA2-256: ใชในการตรวจสอบความคงสภาพDigital Certificate : ส าหรบตรวจสอบเจาของพบลกคย

การใชงาน VPN ของมหาวทยาลยแมโจ เพอสบคนขอมลจากภายนอกเครอขายมหาวทยาลย

https://library.mju.ac.th/content.php?page=data&id=102:VPN