友善的圖形操作介面

本研究是利用 Open Source 軟體中的 IP Filter 及 Sun 的作業系統 Solaris 的系統指令 來達成本研究加強資料傳輸時的安全性目的 ， 在許多的系統操作經驗中顯示，透過友善 的圖形介面操作會遠比命令模式下操作指令更能讓使用者容易接受，尤其對不熟悉系統指 令的管理人員而言，更是如此，光是要記憶許多的指令及路徑就可能讓管理人員傷透腦筋，

因此本研究一開始便朝發展出一個簡易的圖形介面為方向，方便協助系統管理人員能夠在 很短的時間內能夠利用該系統來加強網路上的資訊安全。

當使用者以系統管理人員(root)的身份登入的時候，只需一個指令即可開始使用該系統 的功能 ，完成 IP Filter 及網路參數的設定。圖 22 為進入系統後所見到的啟始介面，此一 介面也是設定 VPN 網路相關參數所見到的畫面。

此一介面可設定主機的網路參數，如 IP Address、是否支援 IPv6 等。若要建立一個 VPN 通道的話，則只需點選 Tunnel Setup 的按鈕選項，則系統即會開啟通道設定的新視窗

（如圖 23），將設定一一填入後，只要執行 submit 選項後，所設定的網路參數會立即生效，

因此系統管理人員不必記憶設定系統網路參數及通道設定時所需的指令及每個指令的語法 格式及選項，系統管理人員只需記得每一欄位所代表的意義，一一填入即可完成設定，而 個個選項的名稱也都儘量以一般常見的名詞命名，所以要了解其意義並不困難。

VPN 設定畫面中各欄位的說明如下：

Network Interface Name：網路介面的名稱，此為 Sun Solaris 所能辨認的網路介面的敍述，

如 hme0 或 eri0；如該主機有二個網路介面的話，則需填寫下面的 Network Interface Name 欄位。

Supports：確認該網路介面支援 IPv4/IPv6 的程度 IP Address：填入網路介面所需的 IP Address

圖 22 VPN 網路設定的圖形介面

通道設定畫面中各個欄位的說明如下：

Tunnel No.：針對每一個 VPN 連線都必需確認其編號，而該編號可以由管理人員自行設定。

Source：來源主機的 IP Address，分為 IPv4 及 IPv6 二種。

Target：目的地主機的 IP Address，分為 IPv4 及 IPv6 二種。

圖 23 VPN - Tunnel 設定介面

若是要設定 IP Filter 的 firewall 功能時，則系統管理人員只要以滑鼠點選上方的 Firewall 選項即可看到如圖 24 的畫面。此一畫面為進入 firewall 設定後所看到的預設畫面，畫面中 會將目前系統中所執行的規則全部列出，而每一行在“#”符號後方的所有內容均視為說明，

不會交由 IP Filter 執行或判斷。系統管理人員可以在畫面中立即編修所要增刪的規則內 容，確定內容編輯完成後，務必要以滑鼠點選 Save 按鈕選項將所編輯過的規則記錄下來，

如此離開本系統之後才不致於將剛才所做的改變遺失，而每次點選 Save 功能時，系統會自 動將原先記錄檔的檔名後方加入時間註腳，以便日後要重回特定時間的規則時，可以輕易 地回復到當時的情形。

圖 24 Firewall - 設定的啟始畫面

而 load 按鈕選項則是專門為了將 firewall 規則回復到某一特定時間時所用。 使用者可 以透過選單的方式點選所需的設定檔案，每一個設定檔案的最後一個欄位即為該記錄檔 save 時的時間點，若沒有時間點的檔案則為目前執行的設定檔。舉例來說，若最後一個欄 位的數字為 200504160324 則代表此檔案的儲存時間為 2005 年 04 月 16 日 03 點 24 分。其 畫面如圖 25 所示。

圖 25 Firewall - Load config file 畫面

當你編輯 Firewall 設定檔時，若要確認所設定的規則是否有誤時，則可以利用“Check Rules”的選項先 check 是否有不符合 IP Filter 的設定。若有問題的話，則會在畫面中顯示錯 誤，否則便會將所有檢查過的規則一一列出，而設定檔中的說明部份則不會列出。其畫面 如圖 26 所示。

圖 26 Firewall – 檢查 firewall rules 介面

而 Help 選項則是將此系統各個欄位簡略地提示使用者知道，因其內容己於前面介紹過 了，在此不再重複。而 Quit 選項則是讓使用者點選離開系統，但是為了避免使用者是誤選 到該功能，所以會出現新的視窗再次與使用者確認動作，如圖 27，若確認後，方會真正離 開系統。

圖 27 系統 Quit 確認視窗

第4章測試驗證

4.1 驗證環境的建構

為了驗證本論文中所提之方法確實可以增加資料傳遞時的安全性，故擬建構一個模擬 之測試環境，並利用封包解讀之工具的輔助，來了解設定 VPN 通道前後對於所傳遞之資 料封包所造成的差異性。

硬體需求：

1. 二台測試主機，以便安裝測試軟體，進行測試。

2. 本文以 Solaris 為測試的作業系統，故機器的硬體以 Sun Workstation 為測試的機種。

3. 一台監控的主機，以監控網路上所傳遞的封包內容。本論文擬利用 Solaris 的內建 工具 snoop 為分析資料封包的工具軟體，故監控機器仍以 Sun Workstation 為監控 的機種。

4. 一台網路設備，以便模擬建構出一個簡單的網路環境，本論文以集線器（Hub）

為測試設備。

軟體需求：

1. 作業系統，本論文以昇陽電腦之 Solaris 8 為測試機器上所安裝的作業系統，因為 昇陽電腦從 Solaris 8 之後的作業系統可以支援 IPv6 的網路功能，符合本論文的 需求。

2. 編譯器（Compiler），本論文同樣以網路上免費的 GNU C 編譯程式（簡稱 GCC）

為本論文所使用的編譯器，以符合本論文希望使用開放原始碼軟體來完成達到增 加系統安全的目的。

3. 監控軟體，市場上有許多的軟體可以達到此功能，但是同樣希望能以開放原始碼 軟體為主要考量，昇陽電腦的 Solaris 作業系統中所提供的 snoop 程式便可以用來 進行網路封包的監控與分析，所以便不另外安裝其他軟體。

所以測試環境的示意圖如下（圖 28）：

通道二端的二台主機分別為主機 A 及主機 B，其設定如下：

VPN 主機 A（vpn1）：

IPv4 的 IP Address （192.168. 0.2）

IPv6 的 IP Address （3ffe:400:350:2db3:a00:20ff:fee6:3196/64）

VPN 主機 B：

IPv4 的 IP Address （192.168. 0.1）

IPv6 的 IP Address （4ffe:400:350:2db3:a00:20ff:fee6:3195/64）

圖 28 測試環境示意圖

將 vpn1 及 vpn2 二台主機的網路介面透過 UI 的操作介面設定完成後，一併將 vpn1 及 vpn2 之間的通道也設定完成，並透過事先設定好的 IPSec 機制，將在 vpn1 及 vpn2 二端的 封包都經過 IPSec 的安全機制。

4.2 IPSec 機制的確認

要在Solaris環境中確認是否有支援ESP的加密演算法十分地容易，只要以root的身份執 行”ndd /dev/ipsecesp ipsecesp_status”指令即可，若得到的status為 1 的話，代表沒有支援 ESP，若status為 3 的話，則表示該系統已可支援ESP。Solaris作業系統在安裝時，並不會 主動安裝SUNWcry 及SUNWcryrx這二個軟體元件，所以必須要另外安裝後重新開機即 可，這二個軟體可以從http://wwws.sun.com/software/solaris/encryption/download.html這個網 址下載後安裝即可。

[root@vpn1]ndd /dev/ipsecesp ipsecesp_status ESP status

--- # ndd /dev/ipsecesp ipsecesp_status ESP status ---

4.3網路監控工具的應用

本論文所使用的網路監控工具為使用 Sun Solaris 作業系統本身所附的工具程式 snoop 為主，並搭配 sniffer 的軟體來輔助，以截取機器在網路上所傳遞的所有封包內容，以驗證 論文中的想法。

作業系統 Solaris 所提供的 snoop 工具程式可以將所有網路上的封包截取下來分析，

snoop 的語法如下：

1. snoop <host1> <host2>

截取 host1 與 host2 之間傳遞的封包。

2. snoop -o filename <machine1> <machine2>

截取 host1 與 host2 之間的封包並將結果存在 filename 的檔案中。

ETHER: Destination = 8:0:20:ee:c4:e3， Sun ETHER: Source = 8:0:20:86:af:11， Sun

IP: ...0 .... = normal delay IP: .... 0... = normal throughput IP: .... .0.. = normal reliability IP: Total length = 124 bytes

IP: Identification = 56442 IP: Flags = 0x4

IP: Source address = 192.168.0.2， 192.168.0.2 IP: Destination address = 192.168.0.1， 192.168.0.1 IP: No options

IPv6: Source address = 4ffe:400:350:2db3:a00:20ff:fee6:3196 IPv6: Destination address = 3ffe:400:350:2db3:a00:20ff:fee6:3195 IPv6:

ETHER: Destination = 8:0:20:86:af:11， Sun

ETHER: Source = 8:0:20:ee:c4:e3， Sun

IP: Identification = 42774 IP: Flags = 0x4

IP: Source address = 192.168.0.1， 192.168.0.1 IP: Destination address = 192.168.0.2， 192.168.0.2 IP: No options

IPv6: Source address = 3ffe:400:350:2db3:a00:20ff:fee6:3195 IPv6: Destination address = 4ffe:400:350:2db3:a00:20ff:fee6:3196 IPv6:

ICMPv6: --- ICMPv6 Header --- ICMPv6:

ICMPv6: Type = 129 (Echo reply)

ICMPv6: Code = 0 (ID: 460 Sequence number: 0) ICMPv6: Checksum = 4cd

第5章結論

5.1 研究成果

隨著電腦硬體設備的不斷進步以及網路的興起，資訊系統的面貌也變得越來越不同，

所能達到的功能也越來越複雜，也因此，資料傳送的安全性也越來越被人們所重視，但是 利用網路來傳送資料，雖然可以節省許多的成本，但也因此產生了許多安全性方面的考量。

而隨著網路世界的意氣風發，原有的定址方法已逐漸顯現出其不足的現象，故本論文利用 網路上的 OpenSource 的軟體，配合 Solaris 作業系統提供新一代的定址方式來架構私人的 虛擬私有網路，可以解決現有定址方法的位址不足之窘境，並可以獲得 IPv6 的優點：

本研究具體的成果有：

1. 利用 IPv6 新一代的定址方式來彌補 IPv4 定址方式的若干缺點。

2. 利用 Solaris 的 IPv4/IPv6 的共存模式，可以在不必更換現有多數的 IPv4 網路設備 的情形下架設私人的虛擬私有網路，意即不必有額外的成本增加。

3. 建立私人的虛擬私有網路，並將資料其透過 tunneling 的方式傳送，使得所傳送的 網路封包不易為人所竊取或是修改，可以達到資料保全之目的。

4. VPN 和以其為基礎所發展的系統，皆已經成為許多業界所追求的解決方案。這樣 的話，對於與業界合作時，可以很容易地與實務結合在一起。

5. VPN 的技術，已有許多良好的支援，因此在實作上並不會十分困難，而系統以 UNIX 為基礎，更能利用 UNIX 的優勢發展這樣的技術，尤其現今多數的大型主 機多是 UNIX 的作業環境，更使得此系統很容易移植到大型主機上運作。

6. 本論文所採用的軟體多為網路上的 OpenSource 軟體，取得容易且不需要增加成 本。

7. 透過本論文友善且簡單的介面設定私人的虛擬私有網路，可以讓企業設定私人的 虛擬私有網路時，更有彈性，也因此更增加其安全性。

從作業的資訊安全角度來看，網路的安全性一直為許多人所懷疑，隨著電腦科技的不 斷精進，系統遭非法入侵的手法也不斷翻新。企業如何保障自己的網路資訊安全並利用 Internet 此便利且便宜的媒介來完成各分公司或合作夥伴之間的機密資料交換，是一個滿有 趣的課題。如果經過省慎的規劃，相信對企業的發展將有很大的幫助。