1 / 44

網路架構概論 與系統安全防護 張裕敏 e-mail: ymc@iss.com.tw

網路架構概論 與系統安全防護 張裕敏 e-mail: ymc@iss.com.tw. 課程簡介. 網站架構與網站應用 系統安全介紹. 網路架構 簡介. 觀念篇 應用篇 實作篇. 觀念篇. client/server 主從式架構 3-Tire structure 三層式架構 WAP (Wireless Application Protocol). 應用篇. 電子商務 會員認證 購物車 系統安全 SSL (Secure Socket Layer) SET(Secure Electronic Transaction) 安全電子交易.

aloha
Download Presentation

網路架構概論 與系統安全防護 張裕敏 e-mail: ymc@iss.com.tw

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路架構概論與系統安全防護張裕敏e-mail: ymc@iss.com.tw

  2. 課程簡介 • 網站架構與網站應用 • 系統安全介紹

  3. 網路架構簡介 • 觀念篇 • 應用篇 • 實作篇

  4. 觀念篇 • client/server 主從式架構 • 3-Tire structure 三層式架構 • WAP (Wireless Application Protocol)

  5. 應用篇 • 電子商務 • 會員認證 • 購物車 • 系統安全 • SSL (Secure Socket Layer) • SET(Secure Electronic Transaction) 安全電子交易

  6. 實作篇 browser • client: browser • netscape • internet explorer • opera • lynx

  7. 實作篇web server • server: web server • Internet Information Server(iis) • Personal Web Server • apache • netscape enterprise • IBM WebSphere Application Server

  8. 實作篇client language • client language • HTML • client side javascript • VBScript • DHTML • Java Applet • XML

  9. 實作篇server language • server language • ASP(Active Server Pages) • Server Side JavaScript(Netscape LiveWire) • Java Application • Java Servlet • CGI • Php • Perl

  10. 互動式網頁課程簡介 • Browser, HTML, Client-Side Script, Server-Side Script • JavaScript • VBScript • ASP(Active Server Page)

  11. Browser(瀏覽器) • Netscape Communicator • Internet Explorer

  12. Netscape Communicator • HTML • XML • JavaScript • Java • CSS • DHTML

  13. Internet Explorer • HTML • XML • Active X Control • JScript • VBScript • Java • CSS • DHTML

  14. Script • Client-Side Script • 在Browser端執行 • JavaScript, VBScript • Server Side Script • 在Web端執行 • CGI, ASP

  15. HTML • HyperText Markup Language (HTML) • 超文件標註語言 • SGML (Standard Generalized Markup Language) • 標準格式化標註語言

  16. 範例觀摩-1 • HTML語言介紹 • JavaScript 語言介紹 • JavaScript範例觀摩----使用者輸入資料檢查 • JavaScript範例觀摩----瀏覽器判斷 • JavaScript範例觀摩----萬年曆 • JavaScript範例觀摩----時鐘

  17. 範例觀摩-2 • JavaScript範例觀摩----電子看板 • JavaScript範例觀摩----走馬燈 • JavaScript範例觀摩----網頁產生器 • VBScript 語言介紹 • VBScript範例觀摩----第一個VBSCRIPT程式 • VBScript範例觀摩----日期

  18. 範例觀摩-3 • VBScript範例觀摩----使用者輸入資料檢查 • VBScript範例觀摩----調色盤 • VBScript範例觀摩----四子棋 • ASP語言介紹 • ASP範例觀摩----瀏覽器版本與強度 • ASP範例觀摩----計算連線時間

  19. 範例觀摩-4 • ASP範例觀摩----訪客計數器 • ASP範例觀摩----訪客計數器 2 • ASP範例觀摩----線上查榜 • ASP範例觀摩----電子郵件 • ASP範例觀摩----線上聊天室

  20. 系統安全大綱 • 網路安全現況 • WWW 安全簡介 • 入侵者可能使用的手法 • 企業的因應之道 • 結論

  21. 網路安全現況 • 根據 1999 年 FBI 所舉行的電腦犯罪及電腦安全調查報告指出 • 62% 的企業指出他們在過去的一年內遭受過越權的電腦使用 • 57% 的企業認為 Internet 是常被使用的攻擊入口 • 163 個組織回報損失,總金額達到 123.7 (百萬)美元 • 51% 受害單位了解他們在財務方面受到損失 • 其中 31% 無法量化他們的損失

  22. 網路安全現況 • 96% 的單位擁有 Web 網站 • 30% 的單位提供 e-commerce 的服務 • 20 % 的單位在過去 12 個月中發現有人曾經誤用或攻擊他們的 Web 站台 • 33% 的組織對這個問題回答 “不知道”

  23. 網路安全現況 • 作業平台種類愈來愈複雜 • 網路服務種類增加 • 網路安全的資訊愈來愈發達,各種網路安全工具愈來愈容易取得 • 網路上的行動幾乎是“隱形“的

  24. 網路安全現況 • 網頁程式遭受惡意抹黑的情形相當常見 • 系統遭受入侵的小道消息可以在 Attrition.org 找到 ( http://www.attrition.org ) • 根據 eEyes ( http://www.eeyes.com/ ) 的觀察發現最常遭受攻擊的系統為: Windows NT, Solaris, Linux

  25. 網路安全現況 1999年 八月統計資料 (取前五名) Reported Hacks: 319 Average number of website defacements per day since 99.08.01: 10.3.

  26. 網路安全現況 1999年 九月統計資料 (取前五名) Reported Hacks: 260 Average number of website defacements per day since 99.09.01: 8.7.

  27. 網路安全現況 1999年 十月統計資料 (取前五名) Reported Hacks: 459 Average number of website defacements per day since 99.10.01: 14.8.

  28. 網路安全現況 • 根據台灣電腦網路危機處理中心 ( TW-CERT, http://www.cert.org.tw/ ) 於 1999 年八月發布的一項調查結果,台灣地區網站遭受攻擊時存活率不超過五成五

  29. WWW 安全簡介 • www 伺服器安全考量 • 網頁內容遭受竄改 • 公司機密資料遭受竊取 • 公司伺服器成為害客跳板 • 害客可能的入侵手段 • 針對 Web 伺服器程式漏洞進行攻擊 • 針對 CGI 漏洞進行攻擊 • 針對作業系統本身的漏洞進行攻擊 • NT 作業系統的木馬攻擊

  30. 入侵者可能使用的手法 • 調查 Web Server 版本

  31. 入侵者可能使用的手法 • 目前全球 WWW 伺服器版本分布情形 Internet Web 伺服器佔有率分布趨勢 (1996-2000) 來源: NetCraft (http://www.netcraft.com)

  32. 入侵者可能使用的手法 • 針對特定 Web 伺服器存在的漏洞下手 • iishack • Windows NT 8+3 filename extensions. (IIS/NetScape Enterprise and FastTrak Server) • IIS 3.0 dot problem. • IIS :$DATA streaming problem. • Netscape Enterprise %20 problem. • Misc buffer overflow problem.

  33. 入侵者可能使用的手法 • 偵測 CGI 的存在

  34. 入侵者可能使用的手法 • 偵測 CGI 的存在

  35. 入侵者可能使用的手法 • 偵測 CGI 的存在

  36. 入侵者可能使用的手法 • 針對特定 CGI 漏洞進行攻擊 • IIS codebrws.asp / showcode.asp • Unix Count.cgi buffer overflow • Phf exec misc command • test-cgi problem • 絕大部分的管理者在安裝 WWW 之後都沒有檢查安裝了哪些 cgi 程式 • 絕大部分管理者不了解安裝了哪些 cgi,以及這些 cgi 到底有哪些用途,在大型網站上這些問題更加嚴重

  37. 入侵者可能使用的手法

  38. 入侵者可能使用的手法

  39. 入侵者可能使用的手法

  40. 入侵者可能使用的手法 • 針對作業系統漏洞進行攻擊 • Solaris rpc.* • qpopper 2.4 (pop3 server) • uw-imap4 • 取得系統管理者權限

  41. 入侵者可能使用的手法 • 針對作業系統漏洞進行攻擊

  42. 企業的因應之道 • 移除不必要的 CGI 程式,並且對目前所有的 CGI 程式進行檢查 • 更新 Web 伺服器的版本,並安裝補漏 • 進行網路安全檢查 • 培養專業的網管人員 • 運用各種網路安全產品輔助網管人員進行安全的稽核 • 資訊安全委外

  43. 企業的因應之道 網路安全掃描 系統內部檢查 防火牆 • Intranet • Internet 入侵偵測 防毒軟體 加密軟體

  44. 結論 • 入侵已不是高手的專利 • 防火牆不是萬靈丹 • 網路安全需要各種不同的技術來進行協防 • 網路安全需要有專才來負責 • 網管必須注意最新的相關訊息

More Related