企業內部網路認證系統的探討

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：97

、訪客IP：3.128.206.122

姓名

黃政維(Cheng-Wei Huang) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

企業內部網路認證系統的探討

相關論文

★ 網路合作式協同教學設計平台－以國中九年一貫課程為例	★ 內容管理機制於常用問答集(FAQ)之應用
★ 行動多重代理人技術於排課系統之應用	★ 存取控制機制與國內資安規範之研究
★ 信用卡系統導入NFC手機交易機制探討	★ App應用在電子商務的推薦服務-以P公司為例
★ 建置服務導向系統改善生產之流程-以W公司PMS系統為例	★ NFC行動支付之TSM平台規劃與導入
★ 關鍵字行銷在半導體通路商運用-以G公司為例	★ 探討國內田徑競賽資訊系統－以103年全國大專田徑公開賽資訊系統為例
★ 航空地勤機坪作業盤櫃追蹤管理系統導入成效評估—以F公司為例	★ 導入資訊安全管理制度之資安管理成熟度研究－以B個案公司為例
★ 資料探勘技術在電影推薦上的應用研究-以F線上影音平台為例	★ BI視覺化工具運用於資安日誌分析—以S公司為例
★ 特權帳號登入行為即時分析系統之實證研究	★ 郵件系統異常使用行為偵測與處理-以T公司為例

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

美國電腦安全協會在「2009年電腦犯罪與安全調查」報告顯示，30%的資安專家曾處理過內部人士濫用網路事件，15%處理過內部人士未授權連接。因為區域網路所使用的TCP/IP與IEEE 802.3技術沒有認證功能，導致這些資安事件層出不窮。若有一套網路認證系統的解決方案，要求使用者需先經過認證才能存取網路，對企業資訊安全會有很大助益。
然則目前現有解決方案，有些導入成本高，有些功能不足，有些會與現況產生衝突。本研究提出一套網路認證系統的架構，以開放原始碼為基礎，結合DHCP、DNS與防火牆的功能與技術，其設計與建置的原則是：用最小導入成本，並能相容於現有情況，來達到最大效益。
此系統主要特色與功能有：
1. 相容現況：現有網路設備可以繼續使用，只需把網路架構做些調整即可有網路認證的功能。
2. 認證使用：使用者電腦需先通過認證，才能存取區域網路與外部網路，未通過認證會被網路認證系統予以阻擋攔截。
3. 系統管理：監視使用者認證連線，即時得知網路現況，並能透過報表了解系統運作情形。
並經過網路流量與連線數量的實驗，證實此系統能實際應用於真實企業網路環境。一個兼俱低成本與高效益表現的網路認證系統，是本研究的貢獻。

摘要(英)

Review the “2009 CSI Computer Crime & Security Survey” from Computer Security Institute (CSI), 30% of information security experts processed the event of “Insider abuse of Internet access”, 15% processed the event of “Unauthorized access by insider”. Because of the technology TCP/IP and IEEE 802.3 used by LAN lack of authentication, this is an endless event of information security now and future, but will be helpful if adopting one network authentication solution ask user to do authentication first before access network.
But all network authentication solutions, some are expensive, some are insufficient, and some will make an impact on current state. This thesis brings one type of network authentication system, with the technology DHCP, DNS and Firewall based on the open source software. Idea to build this system is: the lowest cost, the best compatibility, and the highest performance.
The features and functions of this system are:
1. Compatibility: All current network equipments can be used after adopting this system, just make a little adjustment in the network structure.
2. Authentication: All users must to do authentication so that be allowed to access the LAN and WAN, or be blocked by this system without doing it.
3. Administration: System administrator can monitor current authenticated session, get the network state, and the system operation status by doing a query to show the report in this system.
This authentication system was verified that can be applied to the real business network environment because of two examinations: the maximum network throughput and the maximum network connections, so that one system both low cost and high performance is the contribution of this thesis.

關鍵字(中)

★ 防火牆
★ iptables
★ 認證
★ DHCP
★ DNS

關鍵字(英)

★ iptables
★ Firewall
★ DHCP
★ DNS
★ Authentication

論文目次

摘要　i
Abstract　ii
致謝辭　iii
目錄　iv
圖目錄　vi
表目錄　vii
第一章　前言　1
1.1　研究背景　1
1.2　研究動機　2
1.3　研究目的　3
1.4　論文架構　3
第二章　文獻探討　4
2.1　DHCP　4
2.1.1　DHCP 運作流程　4
2.1.2　DHCP 流程說明　6
2.2　DNS　7
2.2.1　DNS簡介　7
2.2.2　DNS管理設定　8
2.2.3　DNS查詢　8
2.2.4　DNS更多功能　10
2.3　防火牆　11
2.3.1　防火牆種類　11
2.4　iptables　13
2.5　認證型產品　16
2.5.1　認證型DHCP　16
2.5.2　認證型防火牆　18
2.5.3　NAC　19
第三章　系統設計與建置　22
3.1　系統定義　22
3.2　流程分析　24
3.2.1　用戶流程分析　24
3.2.2　網路認證系統流程分析　25
3.2.3　系統管理流程分析　26
3.3　系統分析　27
3.4　系統架構　28
3.5　系統使用軟體　30
3.6　系統建置　32
3.6.1　iptables　35
3.6.2　dnsmasq　36
3.6.3　Apache　41
3.6.4　PHP　42
3.6.5　MySQL　44
第四章　系統實驗與討論　48
4.1　系統運作實驗　48
4.1.1　用戶端運作過程　50
4.1.2　系統管理端運作過程　55
4.2　系統性能實驗　59
4.2.1　實驗環境　59
4.2.2　最大網路流量實驗　62
4.2.3　最大連線數量實驗　67
4.3　實驗討論　72
第五章結論　74
參考文獻　77
附錄1：dnsmasq 2.51的patch　80

參考文獻

中文參考文獻
1.　NAC強力執法 (2008)．iThome專刊，32。
2.　NAC採購特輯 (2008)．iThome 電腦報，353。
3.　中央大學管理學院 (2008)．學院簡介．2010年5月26日取自http://www.mgt.ncu.edu.tw/01/main.php
4.　中央大學管院電算中心 (2008)．服務簡介．2010年5月26日取自http://mgtcc.mgt.ncu.edu.tw/03/main02.php
5.　中央大學電子計算機中心 (2010)．Traffic Analysis for 120 -- Juniper M160：ge-2/2/0 MGT Force 10．2010年5月26日取自http://cygnus.cc.ncu.edu.tw/mrtg/m160/m160_120.html
6.　行政院主計處 (2007)．「政府機構資訊安全防護概況」調查報告．政府機關資訊通報，237。
7.　洪興國、季延平、趙榮耀 (2003)．組織制定資訊安全政策對資訊安全影響之研究．資訊管理研究．3．72-95
8.　陳進偉 (2005)．具有AAA之動態防火牆研究與建置．世新大學。
9.　游啟勝 (2003)．合作式防火牆之設計與應用．國立中央大學。
10.　楊有信 (2007)．校園網路中用戶身份認證過濾系統之實作．中華大學。
11.　臺華科技 (2010)．2010年2月23日取自 http://www.gennet.com.tw/
12.　蔡連發 (2004)．中小企業網路應用程度與競爭力關係之研究．輔仁大學。
13.　微軟知識庫：KB-224829 (2006)．Windows 2000及Windows Server 2003 TCP功能的描述．2010年4月13日取自 http://support.microsoft.com/kb/224829/zh-tw/
14.　微軟知識庫：KB-314053 (2006)．Windows XP的TCP/IP及NBT設定參數．2010年4月13日取自 http://support.microsoft.com/kb/314053/zh-tw
英文參考文獻
1.　Albitz, P., & Liu, C. (2006). DNS and BIND (5th ed.): O'Reilly.
2.　Andreasson, O. (2006). Iptables Tutorial. 1.2.2. 2009年11月21日取自http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
3.　The Apache Software Foundation. (2010). Apache HTTP Server. 2010年3月18日取自http://httpd.apache.org/
4.　Arkin, O. (2009). Bypassing Network Access Control Systems. Whitepaper, Insightix Ltd
5.　Beck, R. (1999, November 7-12). Dealing with Public Ethernet Jacks - Switches, Gateways, and Authentication. Paper presented at the Proceedings of LISA '99: 13th Systems Administration Conference, Seattle, Washington, USA.
6.　Cheswick, W. R., Bellovin, S. M., & Rubin, A. D. (2003). Firewalls and Internet Security - Repelling the Wily Hacker (2nd ed.). Boston, MA: Addison-Wesley, Pearson Education.
7.　Cisco Corp. (2009). Cisco ASA 5500 Series Adaptive Security Appliances. 2010年5月14日取自http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/prod_brochure0900aecd80285492.pdf
8.　Cisco Corp. (2010). Cisco NAC Appliance. 2010年5月19日取自http://www.cisco.com/en/US/products/ps6128/index.html
9.　CSI. (2008). 2008 CSI Computer Crime & Security Survey.
10.　CSI. (2009). 2009 CSI Computer Crime & Security Survey.
11.　Demerjian, J., & Serhrouchni, A. (2004). E-DHCP: extended dynamic host configuration protocol. Paper presented at the Information and Communication Technologies: From Theory to Applications, 2004. Proceedings. 2004 International Conference on.
12.　Droms, R., & Lemon, T. (2003). The DHCP Handbook (2nd ed.). Indianapolis, Indiana: Sams.
13.　Erle, S., & Flickenger, R. (2003). NoCat Authentication. 2010年2月5日取自http://nocat.net/
14.　FreeNAC. (2010). 2010年5月18日取自 http://freenac.net/
15.　Harrison, P. (2010). Ch14: Linux Firewalls Using iptables. Linux Home Networking, 2010年1月28日取自 http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
16.　HP Lab. (2008). the httperf homepage. 2010年5月2日取自http://www.hpl.hp.com/research/linux/httperf/
17.　Infoblox. (2010). 2010年2月23日取自http://www.infoblox.com/
18.　Kadlecsik, J. (2010). IP sets. 2010年3月16日取自http://ipset.netfilter.org/
19.　Kadlecsik, J., & Pásztor, G. (2004). Netfilter Performance Testing. 2010年5月23日取自http://people.netfilter.org/kadlec/nftest.pdf
20.　Kelley, S. (2010). Dnsmasq. 2010年3月16日取自http://www.thekelleys.org.uk/dnsmasq/doc.html
21.　Komori, T., & Saito, T. (2002). The secure DHCP system with user authentication. Paper presented at the Local Computer Networks, 2002. Proceedings. LCN 2002. 27th Annual IEEE Conference on.
22.　Linux Website. (2010). 2010年3月16日取自http://www.linux.org/
23.　Lowe, G. (1997). A Hierarchy of Authentication Specifications. Paper presented at the 10th Computer Security Foundations Workshop (CSFW '97).
24.　McGuire, T. M. (2005). Horatio: Authenticated Network Access. 2010年2月5日取自http://horatio.sourceforge.net/
25.　Microsoft Corp. (2010). Network Access Protection. 2010年5月19日取自http://technet.microsoft.com/en-us/network/bb545879.aspx
26.　MySQL Website. (2010). 2010年3月16日取自http://www.mysql.com/
27.　Netcraft. (2010). February 2010 Web Server Survey. 2010年3月16日取自http://news.netcraft.com/archives/2010/02/22/february_2010_web_server_survey.html
28.　Netfilter Website. (2010). 2010年2月23日取自http://www.netfilter.org/
29.　NLANR. (2008). Iperf. 2010年5月2日取自http://iperf.sourceforge.net/
30.　Orans, L., Pescatore, J., & Nicolett, M. (2009). Magic Quadrant for Network Access Control: Gartner RAS Core Research.
31.　PacketFence. (2010). 2010年5月18日取自http://www.packetfence.org/
32.　PHP Website. (2010). 2010年3月16日取自http://www.php.net/
33.　Poskanzer, J. (2003). thttpd - tiny/turbo/throttling HTTP server. 2010年5月5日取自http://www.acme.com/software/thttpd/
34.　Pruss, R. (2007). Authentication Extensions for the Dynamic Host Configuration Protocol. 2010年2月23日取自http://tools.ietf.org/html/draft-pruss-dhcp-auth-dsl-00
35.　RFC-2131. (1997). Dynamic Host Configuration Protocol, 2009年11月26日取自http://www.ietf.org/rfc/rfc2131.txt
36.　RFC-3118. (2001). Authentication for DHCP Messages, 2009年11月23日取自http://www.ietf.org/rfc/rfc3118.txt
37.　Symantec Corp. (2010). Symantec Network Access Control. 2010年5月21日取自http://www.symantec.com/business/network-access-control
38.　Valian, P., & Watson, T. K. (1999, November 7-12). NetReg: An Automated DHCP Registration System. Paper presented at the Proceedings of LISA '99: 13th Systems Administration Conference, Seattle, Washington, USA.
39.　Zorn, N. (2002). Authentication Gateway HOWTO. 2010年2月22日取自http://tldp.org/HOWTO/Authentication-Gateway-HOWTO/index.html

指導教授

林熙禎(Shi-Jen Lin)

審核日期

2010-6-23

推文