1、Module 9:虛擬私有網路:虛擬私有網路(VPN)1 學習目的 1.在傳統網際網路時代,跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路(Intranet),通常需要向網際網路服務提供者(ISP)申請,架設一條專有線路以供企業體專門使用,但是線路建置之費用隨距離成倍數上升,而且每個月所需負擔之網路費用亦高的嚇人,每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。2.VPN透過網際網路中利用協定建立專屬通道(tunnel),而達到傳統專有線路之功效。2 3.本課程模組將探討如何建置安全的VPN環境及正確的使用管理,在便利與安全的天秤上做好權衡,不僅是MIS
2、人員所應注重之課題,亦是主管單位所應好好考量的重點。4.本模組共有二個小節包括(1)虛擬私有網路概念與類型(2)建置虛擬私有網路(3)專案實作,共須三個鐘點。3 Module 9:虛擬私有網路:虛擬私有網路(VPN)Module 9-1:虛擬私有網路概念與類型(*)Module 9-2:建置虛擬私有網路(*)Module 9-3:專案實作(*)*初級(basic):基礎性教材內容*中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容*高級(advanced):適用於深入研究的內容 4 Module 9-1:虛擬私有網路概念與類型:虛擬私有網路概念與類型(*)5 什麼是 VPN
3、?VPN是私人網路的延伸 可透過Internet利用加密通道傳送資料 模擬點對點連線特性 封裝後資料標頭加入了路由資訊 建立通道後傳送的資料已被加密,無法竊聽破解 6 什麼是 VPN?Intranet VPN Remote Access VPN Site to Site VPN 7 Intranet VPN 8 Remote Access VPN 9 Site to Site VPN 10 為什麼需要VPN?11 VPN解決方案 使用者驗證(User Authentication)位置管理(Address Management)資料加密(Data Encryption)金鑰管理(Key Man
4、agement)12 VPN通道技術 通道(Tunnel)使用中間網路基礎架構的方法 被傳送資料(payload)的檔頭(header)已重新封裝(encapsulate)重新封裝後的內容提供路由資訊 13 VPN通道技術 PPTP(Point-to-Point Tunneling Protocol)L2TP(Layer Two Tunneling Protocol with Internet Protocol Security)L2TP/IPSec(Internet Protocol Security)14 PPTP RFC 2637 在IP資料段中封裝PPP框架 使用TCP連線作為通道管理
5、 利用GRE(Generic Routing Encapsulation)來封裝PPP框架 15 L2TP RFC 2661 L2TP由Cisco提出的L2TP是PPTP+L2F(Layer2 forwarding)使用UDP連線作為通道管理 L2TP封裝PPP框架,以便透過IP/X.25/Frame relay/ATM網路來傳送 16 L2TP/IPSec RFC 3193 微軟的L2TP使用IPSec ESP(Encapsulating Security Payload)來加密L2TP的資料 L2TP/IPSec擁有PPTP的功能,也提供IPSec安全性與控制性 17 PPTP與L2TP/
6、IPsec比較 PPTP 加密金鑰是以使用驗證程序的密碼所產生的雜湊(hash)資料加密是在PPP連線程序 容易遭受字典攻擊(dictionary attack)使用MPPE,以RSA RC4加密演算法與40/56/128位元的加密金鑰為基礎 連線時只需使用者層級的驗證 18 PPTP與L2TP/IPsec比較 L2TP/IPsec 透過憑證在取得密碼前便設定加密通道 資料加密是在PPP連線程序之前 需要憑證或是預先共用金鑰(preshared secret key)使用56位元的DES,或是3DES做為加密基礎 連線時需使用者層級與憑證的電腦層級驗證 19 VPN安全性 驗證安全性 認證採用
7、使用者名稱與密碼 或是憑證的形式 授權安全性 連接限制 群組原則 20 VPN安全性 加密安全性 加密演算法 連線加密過程 封包過濾 過濾不必要的封包 21 驗證安全性-PAP 透過純文字密碼(clear-text)的證驗方法 可以截取 使用者密碼易被破解 22 驗證安全性-CHAP CHAP,(Challenge-Handshake Authentication Protocol)加密驗證機制 可避免連線時實際密碼的傳輸 使用MD5加密回應傳輸 23 驗證安全性-MS-CHAP 類似CHAP Use MD4 MS-CHAP v2 相互驗證 24 驗證安全性-EAP EAP(Extensibl
8、e Authentication Protocol),RFC 2284 任意的驗證方法 Smart Card Token Cards 指紋掃描 25 PPTP連接的安全驗證 PPTP連線加密是使用MPPE為基礎 產生MPPE金鑰 MS-CHAP/MS-CHAPv2/EAP-TLS 最好使用Smart Card 26 L2TP/IPSec連接的安全驗證 IPSec電腦驗證 VPN用戶端與VPN伺服器相互電腦驗證 建立IPSec ESP SA(Security Association)L2TP使用者層級驗證 IPSec通道已建立完成,於加密模式下運作 使用者嘗試以PPP為基礎的認證協定(如EAP)
9、建立L2TP連線 27 Module 9-2:建置虛擬私有網路建置虛擬私有網路(*)28 Intranet VPN for Windows 2003 29 Intranet VPN for Windows 2003 30 31 32 33 34 35 36 Remote VPN for Windows 2003 37 Remote VPN for Windows 2003 38 39 40 41 42 43 44 Windows 2003使用者VPN權限 若使用Active Directory管理帳號 可使用群組來管理使用VPN撥入權限 在VPN中新增一般遠端存取原則 指定群組可以存取VPN連
10、線 45 46 47 48 49 50 51 52 53 54 55 56 Windows VPN Client設定 57 58 59 60 61 62 63 64 Site to Site VPN 65 Site to Site VPN Site A VPN IP:210.71.4.7 Site B VPN IP:192.168.33.202 Site B VPN透過PPTP撥號至Site A VPN進立Site to Site VPN 66 Site A設定 67 68 69 70 71 72 Site B VPN設定 73 74 75 76 77 78 79 80 81 82 83 84
11、 85 86 87 88 89 習 題 90 習題一 請比較PPTP、L2TP、IPSec的差異性。91 習題二 請說明Remote VPN架構可應用於企業網路中的例子。92 習題三 請說明Intranet VPN架構可應用於企業網路中的例子。93 習題四 請說明Site To Site VPN架構可應用於企業網路中的例子。94 習題五 請說明EAP驗證方法與其它驗證方法的優缺點。95 習題六 請說明通道技術。96 Module 9-3:專案實作(*)97 建置VPN應用環境。利用實際操作的方式讓同學了解VPN工作原理。專案目的 98 專案描述 您是台商公司的MIS人員,因公司與分公司分別在兩岸,需要建置一個VPN的網路架構,確保公司間傳送資料透過VPN是被加密過的。需求 公司與分公司需要以Site to Site VPN建立連線 總公司的使用者可透過總公司的VPN利用Remote Access VPN連線方式存取總公司與分公司的資料 分公司使用者僅可透過Site to Site VPN存取總公司內部網路 只有部分使用者擁有存取VPN權限 99 Hint:兩公司間需建立Site to Site VPN 總公司還需要建立Remote Access VPN 透過AD控管能使用VPN使用者 100 參考文獻 101 演讲完毕,谢谢观看!