Transcript ppt - Staff of CIT

File Transfer (FTP),
WWW, HTTP, DHCP
File Transfer Protocol (FTP)
้ ดการและแลกเปลีย
FTP คือ Protocol ทีใ่ ชในจั
่ น file ข ้อมูล จาก
้
เครือ
่ งหนึง่ ไปยังเครือ
่ งอืน
่ ๆ โดยสว่ นใหญ่จะถูกใชในระบบ
Internet
FTP ถูกสร ้างมาเพือ
่ ให ้ทางานในแบบ client-server
FTP ใช ้ service ของ TCP ซงึ่ ต ้องมี 2 การติดต่อของ TCP
FTP ใช ้ port 21 ในการติดต่อเพือ
่ ควบคุม (control connection)
และ port 20 เพือ
่ ติดต่อข ้อมูล (data connection)
File Transfer Protocol (FTP)
World Wide Web (WWW)
WWW ในปั จจุบน
ั เป็ นบริการแบบ client-server โดยที่ client จะใช ้
โปรแกรม browser ในการติดต่อเพือ
่ ขอข ้อมูลหรือ service ต่าง ๆ
ทีอ
่ ยูใ่ น server ซงึ่ service นัน
้ จะสามารถให ้บริการกับ client ได ้
หลาย ๆ เครือ
่ งพร ้อมกัน
Browser
URL
URL คือทีอ
่ ยูข
่ อง website ต่าง ๆ โดยประกอบไปด ้วย 4 สว่ นหลัก ๆ
ดังนี้
้
ื่ ของ
โดยทัว่ ไปในการเข ้าใชงาน
website ต่าง ๆ เรามักจะป้ อนแค่ชอ
่ www.kmutnb.ac.th ซงึ่ ในสว่ นของ protocol
website เหล่านัน
้ เชน
และ port จะถูกกาหนดโดยอัตโนมัต ิ คือ http และ port 80
Hypertext Transfer Protocol (HTTP)
้
HTTP เป็ นโปรโตคอลหลักทีใ่ ชในการเข
้าถึงข ้อมูลต่าง ๆ บน
WWW โดยใช ้ service ของ TCP บน port 80
ตัวอย่างการรับสง่ ข ้อมูล HTTP
Request ถูกสง่ ไปยัง server เพือ
่ แสดงว่า client ยอมรับรูปภาพ
gif หรือ jpeg หลังจากนัน
้ Response จะถูกสง่ กลับมา ซงึ่ header
จะบอกถึงรายละเอียดของข ้อมูลต่าง ๆ สว่ น Body คือข ้อมูลทีส
่ ง่ มา
Dynamic Host Configuration Protocol (DHCP)
้ Network ทีท
DHCP หรือ DHCPv6 คือโปรโตคอลทีใ่ ชใน
่ างานแบบ
client-server โดยเครือ
่ ง client จะทาการร ้องขอข ้อมูลทีจ
่ าเป็ น ใน
การเข ้าร่วมเครือข่ายจาก server ซงึ่ ข ้อมูลเหล่านีป
้ ระกอบไปด ้วย
- IP Address
- subnet mask
- gateway
- dns server
้
ซงึ่ ใชภายในเครื
อข่าย ซงึ่ server เป็ นฝ่ ายกาหนดให ้กับ client
้
่ การเข ้าใชงาน
้
ตัวอย่างของการใชงาน
DHCP เชน
Network ของ
มหาวิทยาลัย เมือ
่ เราทาการต่อ Wi-Fi แล ้ว Router ของมหาวิทยาลัย
จะเป็ นตัว server เพือ
่ แจกจ่าย IP Address และข ้อมูลต่าง ๆ เพือ
่
็ ค่าให ้กับคอมพิวเตอร์ของเราอัตโนมัต ิ โดยทีเ่ ราไม่จาเป็ นจะต ้อง
เซต
รู ้รายละเอียดเหล่านัน
้
Network Security
Security services
Network Security คือการรักษาความปลอดภัยของข ้อมูลภายใน
เครือข่าย ซงึ่ สามารถแบ่งออกเป็ น 5 service ดังนี้
ใน 4 services แรก จะคานึงถึงข ้อมูล (message) ทีม
่ ก
ี าร
้
แลกเปลีย
่ นกันในเครือข่าย สว่ น service สุดท ้ายจะใชการยื
นยัน
ตัวตนของผู ้ใช ้
MESSAGE CONFIDENTIALITY
ข ้อมูลต่าง ๆ จะถูกเข ้ารหัสในฝั่ งของผู ้สง่ และถอดรหัสในฝั่ งผู ้รับ
โดยจะใช ้ Key ในการเข ้ารหัส สามารถแบ่งออกได ้เป็ นแบบ
symmetric-key และ asymmetric-key
symmetric-key คือการแชร์ key ทีเ่ หมือนกัน
MESSAGE CONFIDENTIALITY
asymmetric-key คือการสร ้าง key คูห
่ นึง่ ของแต่ละเครือ
่ ง เป็ น
private key (สาหรับถอดรหัส) และ public key (สาหรับให ้เครือ
่ ง
อืน
่ ทีต
่ ้องการสง่ เข ้ารหัสข ้อมูล)
MESSAGE INTEGRITY
ข ้อมูลต่าง ๆ ก่อนทีจ
่ ะสง่ ไปยังปลายทางจะถูกเข ้ารหัสก่อนโดยการ
ย่อย (Hash function) เพือ
่ ให ้ได ้ข ้อมูลทีเ่ รียกว่า Fingerprint
เมือ
่ ทาการสง่ ข ้อมูล จะสง่ ไปทัง้ ข ้อมูล (Document) และ ข ้อมูลที่
ถูกย่อย (Fingerprint)
MESSAGE INTEGRITY
ในฝั่ งของผู ้รับเมือ
่ รับข ้อมูล (Document+Fingerprint) มาแล ้วจะ
ทาการ Hash ในสว่ นของ Document แล ้วนามาเปรียบเทียบกับ
Fingerprint ทีไ่ ด ้รับมา
MESSAGE INTEGRITY
ตัวอย่างของการ Hash แบบ SHA-1
MESSAGE AUTHENTICATION
ข ้อมูลในการสง่ จะใช ้ MAC Address เป็ นการยืนยันตัวตนของผู ้สง่
DIGITAL SIGNATURE
็ ชอ
ื่ กากับลงไปในข ้อมูลเพือ
Digital signature จะเหมือนกับการเซน
่
้
ใชในการยื
นยันตัวตนว่าถูกสง่ มาจากผู ้สง่ นัน
้ ๆ จริง โดยผู ้สง่ จะใช ้
็ ชอ
ื่ สว่ นผู ้รับจะได ้รับ Public key เพือ
้
Private key ในการเซน
่ ใชใน
็
การตรวจสอบเพือ
่ ยืนยันตัวบุคคลจากลายเซน
DIGITAL SIGNATURE
้
การใชงาน
Digital signature กับ Hash function เพือ
่ เข ้ารหัส
ข ้อมูลและยืนยันตัวตน
ENTITY AUTHENTICATION
Authentication คือการยืนยันตัวตน สามารถทาได ้โดยการใส่
Password ก่อนทีจ
่ ะเข ้าใช ้ และอีกวิธห
ี นึง่ คือ challenge-response
challenge คือ ค่าทีถ
่ ก
ู สง่ โดยผู ้ตรวจสอบซงึ่ เปลีย
่ นไปตามเวลา
response คือ ผลลัพธ์การคานวณของ challenge
ENTITY AUTHENTICATION
Challenge-response authentication โดยการใช ้ timestamp
Challenge-response authentication โดยการใช ้ keyed-hash function
ENTITY AUTHENTICATION
Challenge-response authentication โดยการใช ้ asymmetric-key
Challenge-response authentication โดยการใช ้ digital signature
Security in the Internet:
Firewalls และ VPN
Firewall
Firewall หรือกาแพงกันผู ้บุกรุก คือ Software หรือ Hardware ใน
ระบบเครือข่าย
ื่ สารระหว่างเขตที่
หน ้าทีข
่ อง Firewall คือเป็ นตัวกรองข ้อมูลสอ
ื่ ถือต่างกัน เชน
่ อินเทอร์เน็ ต (อาจนับเป็ นเขตทีเ่ ชอ
ื่ ถือไม่ได ้)
เชอ
ื่ ถือได ้) โดยการกาหนดกฎและระเบียบ
และ อินทราเน็ต (เขตทีเ่ ชอ
้
มาบังคับใชโดยเฉพาะเรื
อ
่ งของการดูแลระบบเครือข่าย
Firewall
ในตัว Firewall จะมีการกรองข ้อมูลก่อนทีจ
่ ะรับหรือสง่ ข ้อมูลออกไป
ยัง Internet (Packet-filter) โดยจะกรองจากสว่ น Network Layer
่ IP Address , Port Number
หรือ Transport Layer เชน
ตัวอย่าง (คาอธิบายให ้ดูในหน ้าถัดไป)
Firewall
จากรูปจะเห็นได ้ว่าแพ็กเก็ตจะถูกกรองดังนี้
1. แพ็กเก็ตขาเข ้าทัง้ หมดทีม
่ าจากเครือข่าย 131.34.0.0 จะถูก
บล็อก
2. แพ็กเก็ตขาเข ้าทัง้ หมดทีต
่ ้องการติดต่อไป TELNET port 23 ใน
เครือข่ายภายในจะถูกบล็อก (เป็ นการป้ องกันไม่ให ้แพ็กเก็ตจาก
ภายนอกสามารถ telnet เข ้ามาทีเ่ ซริ ฟ
์ เวอร์ในองค์กรได ้)
3. แพ็กเก็ตขาเข ้าทัง้ หมดทีต
่ ้องการติดต่อไปยังโฮสต์ทม
ี่ ี IP
194.78.20.8 จะถูกบล็อก
4. แพ็กเก็ตขาออกทัง้ หมดทีต
่ ้องติดต่อไปยังพอร์ต 80 จะถูกบล็อก
(เป็ นการป้ องกันไม่ให ้โฮสต์ภายในองค์กรสามารถใช ้ HTTP server
ภายนอกได ้)
Proxy Firewall
Proxy firewall ทาหน ้าทีใ่ นการกรองเนือ
้ หาของข ้อมูลทีส
่ ง่ มาจาก
client ว่าจะอนุญาตให ้ข ้อมูลเหล่านีเ้ ข ้ามาที่ server ได ้หรือไม่ ใน
การกรองข ้อมูลแบบนีจ
้ ะกระทาที่ Application Layer
Virtual Private Networks (VPN)
VPN ทาให ้เครือข่ายภายในองค์กรเป็ นเสมือนกับเป็ นเครือข่าย
สว่ นตัว หมายความว่า เครือข่ายภายนอกจะไม่สามารถมองเห็น
ี ก่อน เครือข่าย
เครือข่ายสว่ นตัวนีไ
้ ด ้ถ ้าไม่ได ้รับการอนุญาตเสย
สว่ นตัวจะมีความปลอดภัยจากการบุกรุกจากภายนอก แต่ไม่สามารถ
ป้ องกันการบุกรุกจากภายในด ้วยกันเองได ้
Virtual Private Networks (VPN)
้
VPN จะใชโพรโตคอล
IPSec ในการรักษาความปลอดภัยของ
packet ทีถ
่ ก
ู สง่ ออกไป โดย packet ทีจ
่ ะถูกสง่ ออกไปนัน
้ จะถูก
ี ก่อน แล ้วจึง
router ทาการเอ็นแคปซูเลตให ้เป็ น packet ใหม่เสย
ทาการสง่ ออกไป
การออกแบบระบบเครื อข่ าย
และ
แผนผังเครื อข่ าย
Network ของ KMUTNB
Network ของ KMUTNB (2)
แบบฝึ กหัด
จากตารางของ Packet filter firewall จงอธิบายผลลัพธ์ทเี่ กิดขึน
้ เมือ
่
1. Packet จากอินเตอร์เน็ ต ถูกสง่ เข ้ามาจาก Source IP Address คือ
131.34.0.0 และ Destination IP Address คือ 194.78.20.8
2. เครือ
่ งคอมพิวเตอร์ในเครือข่ายภายในเปิ ดเว็บไซท์คอ
ื
http://www.chaichan.in.th:8080
้
3. ผู ้ใชภายนอก
จาก Source IP Address คือ 131.10.1.2 ใช ้ Telnet เข ้ามาที่
เซริ ฟ
์ เวอร์ในเครือข่ายภายใน