首页 > > > VPN 虚拟私有网路技术概说(窄频).pdf

VPN 虚拟私有网路技术概说(窄频).pdf

VPN 虚拟私有网路技术概说(窄频).pdf

上传者: bacon 2011-11-17 评分1 评论0 下载31 收藏10 阅读量355 暂无简介 简介 举报

简介:本文档为《VPN 虚拟私有网路技术概说(窄频)pdf》,可适用于专题技术领域,主题内容包含VPN虛擬私有網路技術概說李倫銓講師CISSP、BSLA課程大綱第一章VPN概述第二章VPN技術介紹第三章VPN的應用與風險簡述第四章結論第一章VP符等。

1 VPN 虛擬私有網路技術概說 李倫銓 講師 CISSP、 BS 7799 LA 2 課程大綱 第一章 VPN 概述 第二章 VPN 技術介紹 第三章 VPN 的應用與風險簡述 第四章結論 3 第一章 VPN 概述 1-1 何謂 VPN 1-2 VPN 種類 1-3 VPN 組成條件 4 1-1 何謂 VPN 5 VPN 虛擬私有網路 VPN 虛擬私有網路(Virtual Private Network) – 利用穿隧(Tunneling)技術、加解密等安全技術, 在公眾網路(例如Internet)上,建構出虛擬的私有 網路(Private Network),以達到私有網路的安全與 便利性。 台中分公司 高雄 台北總公司 Internet 隧道(Tunnel) 隧道(Tunnel) 6 虛擬與穿隧 何謂「虛擬」? – 虛擬是指此隧道並非實體上有專門的線路連 接,而是利用通信協定的技術所形成。 何謂「穿隧」? – 穿隧(Tunneling)技術即是設法在兩個網路 間或遠端使用者與內部網路間建立一個虛擬 隧道,跨越網際網路。 7 為何需要使用 VPN 技術 使用VPN可以以公眾網路的便宜價格,享 受專屬線路的安全。 遠端使用者可藉由ISP提供的撥接網路,不 需長途撥接費用,即可安全的連進公司內 網。 具備資料加密、確保資料完整性。 8 傳統私有網路 由訊框傳送(Frame Relay)或非同步傳輸模式 (ATM, Asynchronous Transfer Mode)等技術,提供 固定虛擬線路(PVC, Permanent Virtual Connection ) 來連接各點。 專線專用,所以網路傳輸品質有一定的保障。 業務要使用企業網路,需使用長途撥接連到公司企業 網路。 台南分公司 高雄分公司 台中分公司 台北總公司 撥接 公司自行架設撥 接伺服器 長途 通信 費用 Frame Relay ATM 9 虛擬私有網路 企業可利用現有網路接取方式,訂做屬於自己的 專屬網路,並不需受限於傳統專線接取點位置。 目前各大ISP已提供VPN服務,企業不需自行設定 自己VPN網路。 台南分公司 高雄分公司 台中分公司 台北總公司 Frame relay接取 ADSL雙向 512 ATM接取 撥接 Internet 備註:虛擬私有網路 指的是建構在Internet 上的企業專用私有網 路,而非Frame relay, ATM等所提供之固定 虛擬線路(PVC)。 10 VPN 的優點 應用更靈活 – 可使用已有之連線技術(如:ADSL、Cable modem、Frame Relay、ATM) 具有較佳的擴充性 – 擴點容易 – 更易依需求增加連線頻寬 花費較低廉 – 設備投資成本較低 – 管理維護簡便 11 虛擬私有網路與傳統私有網路的差異 管理與維護較為不便,備援性較差。 管理與維護都方便 涵蓋範圍廣 管理 架構調整,與擴充彈性較差。具彈性擴充性 使用專線擁有專屬頻寬 取決於 ISP 的提供的線路品 質以及線路擁塞程度 通訊品質 高,專有線路高,使用加密技術安全性 高,使用專線,設備投資成本高。低,使用網際網路通訊與設備費用 傳統私有網路虛擬私有網路 勝 勝 勝 勝 平 平 目前已有提供頻寬保證 且便宜的 VPN 服務了! 12 VPN 服務 目前國內各大 ISP都有提供相關的VPN服 務,企業不必自行規劃VPN連線。 – 目前已整合多種網路接取方式(例如:Frame Relay、ATM、ADSL等),企業可選擇符合 自己需求來連結自己的網路。 – ADSL+VPN服務所構成的企業VPN環境,不 但享有ADSL的經濟費率,亦提供同樣的私密 與安全性。 13 1-2 VPN 種類 14 依使用方式來分類 區網互連型 VPN – 如大企業中,子公司之間可互相連接。 遠端存取型 VPN – 提供業務在外仍可 安全使用公司內部網路。 路由器對路由器 PC 對遠端存取伺服器 15 依據建置單位來區分 客戶端設備 VPN (CPE -Based VPN, Customer Premises Equipment- Based VPN) – L2TP協定、PPTP協定 – IPSec協定 – GRE 封裝方式 網路提供者提供VPN服務 (Provider-Based VPN或稱Network-Based VPN) – OSI第二層VPN:Frame relay、ATM – MPLS技術 16 依據建立技術來分類 Frame Relay技術 內部網路 內部網路公眾網路 PVC ATM技術 MPLS PVC IP技術 IPSec、PPTP、L2TP MPLS技術 Labels 17 1-3 VPN 組成條件 18 VPN 主要採用四項原理技術 穿隧技術(Tunneling) 加解密技術(Encryption & Decryption) 金鑰管理技術(Key management) 使用者與設備身分鑑別技術 (Authentication) 19 Tunneling 穿隧技術 穿隧技術就是在 A、B 兩個網路之間建立一個網路 連線,這個連線會將 A 網路裡的封包包在這個網 路連線的封包裡送到 B,等封包送到 B 網路後再將 其解開,恢復成原來的樣子。 A B Tunnel 20 Tunneling 穿隧技術 資料 (Payload) 原始IP標頭 (Original IP Header) 新IP標頭 (New IP Header) 資料 (Payload) 原始IP標頭 (Original IP Header) 新的 Payload 21 加解密技術 (Encryption & Decryption) VPN節點之間,使用DES或3DES這類對稱 式加密法對隧道內容加密,才能擁有較快 的傳輸效能。 VPN靠著使用非對稱式密碼技術來做身分 確認或金鑰交換。 22 金鑰管理技術(Key management) 由於 VPN 節點間,仍需依靠金鑰管理技術 來交換傳輸金鑰。 – SKIP(Simple Key Management for IP)技術 • 由SUN發展,主要利用Diffie - Hellman演算法。 – ISAKMP/Oakley 技術 • Oakley定義如何分辨及確認金鑰,ISAKMP定義分配 金鑰的方法,亦為將來IPv6與IPSEC的金鑰管理技 術。 23 使用者與設備身分鑑別技術 (Authentication) 使用者身分鑑別部分: – 使用者名稱與密碼、IC 卡鑑別、one-time password 設備身分鑑別部分: – CA 的 X.509 憑證 – 分享金鑰(Pre-share key) 24 第二章 VPN 協定技術 2-1 VPN 協定技術介紹 2-2 PPTP協定 2-3 L2TP 協定 2-4 IPSEC 協定 2-5 MPLS 技術 2-6 SSL VPN 技術 2-7 各項協定技術比較 25 2-1 VPN 協定技術介紹 26 常見之VPN協定技術與其應用範圍 常見的五種VPN協定技術: – PPTP協定 – L2TP協定 – IPSEC協定 – MPLS技術 – SSL VPN技術 其中PPTP、L2TP皆為第二層VPN協定,而IPSEC 為第三層VPN協定、MPLS則是結合了傳統路由 技術與第二層標記交換技術的VPN技術,能提供 更好的效能。 27 常見之 VPN協定技術與其應用範圍 IPSec是新一代IP加密協定。 – 也是 IPv6中的封包加密的標準。 PPTP是基於PPP所設計的虛擬私有網路技術。 L2TP結合了L2F與PPTP的優點而成為新一代的第 二層虛擬私有網路的通道協定。 MPLS技術是一個可以在多種第二層協定上進行 標籤交換的網路技術,不必改變現有的路由協 定。 SSL VPN由於方便成為目前極受歡迎的VPN技 術。 28 2-2 PPTP協定 29 Point-to Point Protocol(PPP) 最常見的撥接協定 運作在OSI第二層 可支援下列鑑別方式: – PAP、CHAP、MS-CHAPv2、RADIUS… 具備加密與壓縮能力 – RC4、DES、3DES 30 Point-to-Point Tunneling Protocol 點對點穿隧協定(PPTP) PPTP是由Microsoft、3COM等提出經IETF通 過,有Microsoft 的全力支援,微軟作業系統內 建 PPTP,因此使用率相當高。 是OSI第二層的穿隧協定。 資料先封裝在 PPP 框架中,然後再加上IP封裝。 PPTP server Internet PPTP Client 撥接伺服器 PPP 連線 TCP 連線 PPTP control connection (TCP port 1723) IP 封包 31 遠端存取VPN如何減低成本 computer server 企業的撥接伺服器 LAN 昂貴的長途撥接費用 遠端使用者 傳統遠端存取需撥接到企業提供的撥接伺服器 便宜的 Internet 便宜的 Internet LAN computer PPTP server ISP端的撥接 伺服器 遠端使用者 藉由L2TP或PPTP,利用近端ISP撥接伺服器,再建立通道至企業網路。 32 強迫隧道與自願隧道 (Compulsory tunnel and Voluntary tunnel) PPTP有兩種使用架構 PPTP RAS Server 撥接伺服器 PPP 遠端使用者 (本身沒有PPTP client程式)強迫隧道 EthernetEthernet PPTP PPTP RAS Server 撥接伺服器 遠端使用者 (本身有PPTP client 程式)自願隧道 EthernetEthernet PPTP 33 PPTP 封包格式 Generic Routing Encapsulation(GRE) – 將一個Protocol封裝在另一個Protocol的規格 加密方式 – Microsoft Point to Point Encryption(MPPE) IP Header GRE Header PPP IP TCP Data GRE Payload (encrypted ) Compulsary pptp 34 PPTP 用戶端設定方式 35 2-3 L2TP 協定 36 L2TP協定 封包檔頭比 PPTP 檔頭短。 一個隧道可以容衲多個連線,可降低頻寬負擔。 L2TP使用 IPSec 來替 TCP/IP 傳輸加密(所以是一 種 L2 / L3 VPN)。 使用 UDP 來傳送 Control/Data 封包。 PPP PPTP L2F L2TP 加加加加密密密密 資 料 連 結 檔 尾 IPSec ESP 授權 檔尾 IPSec ESP 檔尾 PPP 資料PPP 標頭 L2TP 標頭 UDP 標頭 IPSec ESP 標頭 IP 標 頭 資 料 連 結 標 頭 ( IP、IPX、 NetBEUI) 37 L2TP –強迫隧道 企業內網Internet撥接網路 遠端使用者 撥接伺服器 L2TP 伺服器 IP,IPX Payload 1 ppp IP,IPX Payload 電話網路 PSTN PPP在電話網路 (PSTN)的封包格 式 2 L2TP ppp IP,IPX Payload L2TP 穿隧的封裝格式 3 UDPIP L2TP ppp IP,IPX Payload UDP Port 1701 Over IP 4 38 2-4 IPSEC協定 39 IPSEC 保障IP網路上的傳輸安全性。 運作在OSI第三層(IP layer)。 提供多樣的設定組合安全連線。 具備金鑰管理功能(Key management)。 也是下一代 IP 協定(IPv6)的安全功能。 40 IPSEC 的模式 AH模式(Authentication Header) – 只有確認封包的完整性與不可否認性的功能。 ESP模式(Encapsulating Security Payload) – 定義加密的標準與封包的完整性,擁有驗證和加密 的功能。 IP header Auth Header Others Upper protocol 套用 ESP之前 Orig IP Hdr TCP/UDP DataOrig IP Hdr TCP/UDP Data 套用 Transport mode ESP之後 Orig IP Hdr TCP/UDP DataOrig IP Hdr TCP/UDP DataESP Hdr ESP trlr ESP auth 41 傳輸模式與隧道模式 (Transport mode / Tunnel mode) 支援兩種封裝模式 傳輸模式(Transport mode) – 將封包加上檢查標頭 隧道模式(Tunnel mode) – 將整個封包封裝 內部網路內部網路 內部網路內部網路 Internet 企業內網企業內網 企業內網企業內網 企業內網企業內網 企業內網企業內網 將兩主機之間的 連線進行加密 將兩網路之間的 通訊全部加密 42 IPSEC 的運作原理 Security Associations(SA) – 一個連線中所含的一組安全服務。所以在建立了一個IP 連線時,任何的AH或是ESP功能都定義為一個獨立的 SA。 – SA包含下列內容 • 安全參數索引(SPI,Security Parameter Index)、目標IP位址、安 全協定等… IPSEC的金鑰管理機制 – Internet Key Exchange(IKE) • ISAKMP+OAKLEY – ISAKMP只是平台架構( framework) – OAKLEY是ISA KMP所使用的金鑰交換技術 – OAKLEY改良了一些Diffie-Hellman所沒有的安全機制 43 2-5 MPLS 技術 44 MPLS多重協定標籤交換技術 MPLS多重協定標籤交換技術(MultiProtocol Label Switching)為新一代確保網路通訊品 質的通訊協定。 – MPLS 結合了 IP、ATM 與 Frame Relay 等網路架 構的優點,可運作在這些網路架構之上。 – 能依需求提供服務品質保證(QoS),解決原本 IP VPN無法有效提供 QoS保證的缺點。 – 目前應用於 IP 網路之上,如 IP VPN(Virtual Private Network )網路上加上MPLS 的功能為目 前當紅之應用。 45 MPLS 多重協定標籤交換技術 運作原理 路由器路由表 (IP routing table) MPLS 標籤交換表 (Label forwarding table) 支援MPLS 的路由器 46 2-6 SSL VPN 技術 47 SSL VPN技術 SSL為Secure Socket Layer的簡稱。 適用於遠端存取型VPN 。 由於SSL VPN設定比IPSEC、PPTP來得簡易, 因此成為近幾年當紅的 VPN 存取技術。 簡易的 SSL VPN,用戶端不需安裝軟體,利 用瀏覽器介面,便可連線至企業內網。 缺點:由於基於 SSL,並非所有 IP層的應用 程式都可使用。 48 另一種 SSL VPN – SoftEther軟體 日本大學生所研發,可將主機通訊藉由SSL 對外連線。 – 藉由 SSL 通訊,將兩部或多部主機連接。彷 彿位於同一區域網路(虛擬 Hub) 電腦A、B、C彼此彷彿就像內網主機一般 防火牆 防火牆 SSL 通訊 SSL 通訊 外界伺服主機 (Softether Hub) 49 2-7 各項 VPN 協定技術比較 50 各項VPN協定技術比較表 Secure Socket Layer OSI 第 2和3 層 OSI 第 3 層 OSI 第 2和3 層 OSI 第 2層 運作階層 由於建構於SSL,並 不是所有程式都支援 使用瀏覽器,設定最簡便SSL VPN 需經由ISP業者提供服 務,無加密措施 基於IP-based的交換技術,為目前 最常見之service provider VPN技 術,傳輸速度快 MPLS 僅運作在OSI第3層 (IP層) 擁有完整規格,為下一代網路 IPv6之加密標準IPSEC 需要設定使用者端軟 體 適用遠端存取, IP部分使用 IPSEC加密,由L2F與PPTP改進 而來,每個隧道能支援多個連線 L2TP 標頭檔過大,每個隧 道僅能支援一個連線 適用遠端存取,由MS推廣, Windows系統內建PPTP client PPTP 缺 點優 點 51 第三章 VPN 的應用與風險簡述 3-1 VPN 的應用與風險 3-2 GSN VPN 介紹 52 3-1 VPN 的應用與風險 53 VPN 的應用 建構企業、政府機關網路。 應用於企業專屬電話網路、視訊會議。 遠距教學、遠距醫療。 54 VPN 的應用實例 台中分公司 台北總公司視訊會議 FR專線 ATM專線 Internet VPDN 上海分公司 視訊會議 中國電信網路 高雄分公司 遠距教學 企業電話網路 MPLS IP VPN 雙向512/ADSL ATU-R 遠端使用者 192.168.3.0/24 192.168.1.0/24192.168.2.0/24 192.168.4.0/24 55 VPN的風險說明 VPN並非完全安全的封閉網路 – 一旦網路蠕蟲進入VPN內部網路,仍可在內部造成 危害。 例如:筆記型電腦夾帶的病毒或蠕蟲 – 由於VPN仍會對外連接Internet,現在常見的Email木 馬,藉由使用者收信行為進入內網,亦成為VPN內 網最大威脅之一。 VPN所開啟的遠端撥接伺服器,需進行定期稽 核與管理,避免駭客盜取帳號後,藉此取得進 入企業內網的能力。 目前許多用戶藉由ADSL接取方式連上企業 VPN,一旦連線帳號被盜用,亦可讓駭客進入 企業內網。 56 3-2 GSN VPN介紹 57 GSN VPN簡介 GSN(Government Service Network,政府網際服 務網) 為了推動電子化政府,由行政院研考會推動,為 國內各政府機關建構安全的網路環境。 GSN VPN HiNet Internet TANET SeedNet 政府機關 政府機關 58 GSN VPN 特色 頻寬保證 安全管理 可靠度 分布廣、時效快 彈性大 提供網管功能 GSN VPN 政府機關 政府機關 鄉鎮區公所 59 GSN 應用實例 某政府機構下共有兩個所屬單位,分別藉由ADSL 連上GSN網路,並統一由該政府機關連接上 Internet,透過防火牆與入侵偵測系統來保護整個 內部網路。 GSN VPN 所屬機關 所屬機關 ADSL Internet 主管機關 防火牆/入侵 偵測系統 主管機關之主機 專屬的VPN環境 60 第四章結論 61 結論 虛擬私有網路利用穿隧、加解密等安全技 術,在公眾網路上,建構出安全的虛擬的 私有網路。 為了解決TCP/IP傳輸安全問題,IPsec成為 VPN解決方案之一,也是下一代IPv6網路的 安全標準。 MPLS VPN是基於MPLS網路的VPN架構, 在2001年IETF公佈MPLS標準之後,公認成 下一代網路基礎協定。 62 結論(續) PPTP是針對移動式使用者需求,而由於微 軟在作業系統內建PPTP,使得PPTP成為遠 端存取型VPN最常用的通訊協定。 目前Web應用程式已成為趨勢,加上移動員 工與在家辦公人員的增加,因此SSL VPN 成為另一股與IPSEC/MPLS VPN市場互補的 發展力量。 63 課程結束

该用户的其他资料

  • 名称/格式
  • 评分
  • 下载次数
  • 资料大小
  • 上传时间

用户评论

0/200
    暂无评论
上传我的资料

相关资料

资料评价:

/ 63
所需积分:0 立即下载
返回
顶部
举报
资料
关闭

温馨提示

感谢您对爱问共享资料的支持,精彩活动将尽快为您呈现,敬请期待!