Module09-虚拟私有网路

網路安全9-1Module9：虛擬私有網路(VPN)網路安全9-2學習目的1.在傳統網際網路時代，跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路（Intranet），通常需要向網際網路服務提供者（ISP）申請，架設一條專有線路以供企業體專門使用，但是線路建置之費用隨距離成倍數上升，而且每個月所需負擔之網路費用亦高的嚇人，每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。2.VPN透過網際網路中利用協定建立專屬通道（tunnel），而達到傳統專有線路之功效。網路安全9-33.本課程模組將探討如何建置安全的VPN環境及正確的使用管理，在便利與安全的天秤上做好權衡，不僅是MIS人員所應注重之課題，亦是主管單位所應好好考量的重點。4.本模組共有二個小節包括(1)虛擬私有網路概念與類型(2)建置虛擬私有網路(3)專案實作，共須三個鐘點。網路安全9-4Module9：虛擬私有網路(VPN)Module9-1：虛擬私有網路概念與類型(*)Module9-2：建置虛擬私有網路(*)Module9-3：專案實作(*)*初級(basic):基礎性教材內容**中級(moderate):教師依據學生的吸收情況，選擇性介紹本節的內容***高級(advanced):適用於深入研究的內容網路安全9-5Module9-1：虛擬私有網路概念與類型(*)網路安全9-6什麼是VPN?•VPN是私人網路的延伸•可透過Internet利用加密通道傳送資料•模擬點對點連線特性–封裝後資料標頭加入了路由資訊–建立通道後傳送的資料已被加密，無法竊聽破解網路安全9-7什麼是VPN?•IntranetVPN•RemoteAccessVPN•SitetoSiteVPN網路安全9-8IntranetVPN網路安全9-9RemoteAccessVPN網路安全9-10SitetoSiteVPN網路安全9-11為什麼需要VPN?•透過Internet經由加密的VPN通道，可存取內部網路資源•美国VPNwww.zhuvi.com•公司與分公司間，利用SitetoSiteVPN節省電路費•公司內部存取內部重要資訊網路安全9-12VPN解決方案•使用者驗證(UserAuthentication)•位置管理(AddressManagement)•資料加密(DataEncryption)•金鑰管理(KeyManagement)網路安全9-13VPN通道技術•通道(Tunnel)–使用中間網路基礎架構的方法–被傳送資料(payload)的檔頭(header)已重新封裝(encapsulate)–重新封裝後的內容提供路由資訊網路安全9-14VPN通道技術•PPTP(Point-to-PointTunnelingProtocol)•L2TP(LayerTwoTunnelingProtocolwithInternetProtocolSecurity)•L2TP/IPSec(InternetProtocolSecurity)網路安全9-15PPTP•RFC2637•在IP資料段中封裝PPP框架•使用TCP連線作為通道管理•利用GRE(GenericRoutingEncapsulation)來封裝PPP框架網路安全9-16L2TP•RFC2661•L2TP由Cisco提出的L2TP是PPTP+L2F(Layer2forwarding)•使用UDP連線作為通道管理•L2TP封裝PPP框架，以便透過IP/X.25/Framerelay/ATM網路來傳送網路安全9-17L2TP/IPSec•RFC3193•微軟的L2TP使用IPSecESP(EncapsulatingSecurityPayload)來加密L2TP的資料•L2TP/IPSec擁有PPTP的功能，也提供IPSec安全性與控制性網路安全9-18PPTP與L2TP/IPsec比較•PPTP–加密金鑰是以使用驗證程序的密碼所產生的雜湊(hash)–資料加密是在PPP連線程序–容易遭受字典攻擊(dictionaryattack)–使用MPPE，以RSARC4加密演算法與40/56/128位元的加密金鑰為基礎–連線時只需使用者層級的驗證網路安全9-19PPTP與L2TP/IPsec比較•L2TP/IPsec–透過憑證在取得密碼前便設定加密通道–資料加密是在PPP連線程序之前–需要憑證或是預先共用金鑰(presharedsecretkey)–使用56位元的DES，或是3DES做為加密基礎–連線時需使用者層級與憑證的電腦層級驗證網路安全9-20VPN安全性•驗證安全性–認證採用使用者名稱與密碼–或是憑證的形式•授權安全性–連接限制–群組原則網路安全9-21VPN安全性•加密安全性–加密演算法–連線加密過程•封包過濾–過濾不必要的封包網路安全9-22驗證安全性-PAP•透過純文字密碼(clear-text)的證驗方法•可以截取•使用者密碼易被破解網路安全9-23驗證安全性-CHAP•CHAP,(Challenge-HandshakeAuthenticationProtocol)•加密驗證機制–可避免連線時實際密碼的傳輸•使用MD5加密回應傳輸網路安全9-24驗證安全性-MS-CHAP•類似CHAP•UseMD4•MS-CHAPv2–相互驗證網路安全9-25驗證安全性-EAP•EAP(ExtensibleAuthenticationProtocol),RFC2284•任意的驗證方法–SmartCard–TokenCards–指紋掃描網路安全9-26PPTP連接的安全驗證•PPTP連線加密是使用MPPE為基礎•產生MPPE金鑰–MS-CHAP/MS-CHAPv2/EAP-TLS–最好使用SmartCard網路安全9-27L2TP/IPSec連接的安全驗證•IPSec電腦驗證–VPN用戶端與VPN伺服器相互電腦驗證–建立IPSecESPSA(SecurityAssociation)•L2TP使用者層級驗證–IPSec通道已建立完成，於加密模式下運作–使用者嘗試以PPP為基礎的認證協定(如EAP)建立L2TP連線網路安全9-28Module9-2：建置虛擬私有網路(*)網路安全9-29IntranetVPNforWindows2003網路安全9-30IntranetVPNforWindows2003•VPNIP:210.71.4.7•IntranetMail:192.168.163.1•IntranetWWW:192.168.163.2•只能對Intranet內的IP連線網路安全9-31網路安全9-32網路安全9-33網路安全9-34網路安全9-35網路安全9-36網路安全9-37RemoteVPNforWindows2003網路安全9-38RemoteVPNforWindows2003•VPNIP:210.71.4.7•IntranetMail:192.168.163.1•IntranetWWW:192.168.163.2•透過VPN撥號進來後，可連線至Intranet，也可透過NAT方式連線至Internet網路安全9-39網路安全9-40網路安全9-41網路安全9-42網路安全9-43網路安全9-44網路安全9-45Windows2003使用者VPN權限•若使用ActiveDirectory管理帳號–可使用群組來管理使用VPN撥入權限•在VPN中新增一般遠端存取原則–指定群組可以存取VPN連線網路安全9-46網路安全9-47網路安全9-48網路安全9-49網路安全9-50網路安全9-51網路安全9-52網路安全9-53網路安全9-54網路安全9-55網路安全9-56網路安全9-57WindowsVPNClient設定網路安全9-58網路安全9-59網路安全9-60網路安全9-61網路安全9-62網路安全9-63網路安全9-64網路安全9-65SitetoSiteVPN網路安全9-66SitetoSiteVPN•SiteAVPNIP:210.71.4.7•SiteBVPNIP:192.168.33.202•SiteBVPN透過PPTP撥號至SiteAVPN進立SitetoSiteVPN網路安全9-67SiteA設定網路安全9-68網路安全9-69網路安全9-70網路安全9-71網路安全9-72網路安全9-73SiteBVPN設定網路安全9-74網路安全9-75網路安全9-76網路安全9-77網路安全9-78網路安全9-79網路安全9-80網路安全9-81網路安全9-82網路安全9-83網路安全9-84網路安全9-85網路安全9-86網路安全9-87網路安全9-88網路安全9-89網路安全9-90習題網路安全9-91習題一•請比較PPTP、L2TP、IPSec的差異性。網路安全9-92習題二•請說明RemoteVPN架構可應用於企業網路中的例子。網路安全9-93習題三•請說明IntranetVPN架構可應用於企業網路中的例子。網路安全9-94習題四•請說明SiteToSiteVPN架構可應用於企業網路中的例子。網路安全9-95習題五•請說明EAP驗證方法與其它驗證方法的優缺點。網路安全9-96習題六•請說明通道技術。網路安全9-97Module9-3:專案實作(*)網路安全9-98•建置VPN應用環境。•利用實際操作的方式讓同學了解VPN工作原理。專案目的網路安全9-99專案描述•您是台商公司的MIS人員，因公司與分公司分別在兩岸，需要建置一個VPN的網路架構，確保公司間傳送資料透過VPN是被加密過的。•需求–公司與分公司需要以SitetoSiteVPN建立連線–總公司的使用者可透過總公司的VPN利用RemoteAccessVPN連線方式存取總公司與分公司的資料–分公司使用者僅可透過SitetoSiteVPN存取總公司內部網路–只有部分使用者擁有存取VPN權限網路安全9-100Hint:•兩公司間需建立SitetoSiteVPN•總公司還需要建立RemoteAccessVPN•透過AD控管能使用VPN使用者網路安全9-101參考文獻1.DeployingVirtualPrivateNetworkswithMicrosoftWindowsServer2003TechnicalReference,MicrosoftPress2.IPSec,2/e,NaganandDoraswamy,DanHarkins3.Comparing,Designing,andDeployingVPNs,MarkLewis,CiscoPressIPSecVPNDesign,VijayBollapragada,MohamedKhalid,ScottWainner,CiscoPress4.IPSec:SecuringVPNs,CarltonDavis,McGraw-HillVirtualPrivateNetworks,Microsoft,