Module09-虚拟私有网路.ppt

Module9：虛擬私有網路(VPN),學習目的,在傳統網際網路時代，跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路（Intranet），通常需要向網際網路服務提供者（ISP）申請，架設一條專有線路以供企業體專門使用，但是線路建置之費用隨距離成倍數上升，而且每個月所需負擔之網路費用亦高的嚇人，每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。VPN透過網際網路中利用協定建立專屬通道（tunnel），而達到傳統專有線路之功效。,本課程模組將探討如何建置安全的VPN環境及正確的使用管理，在便利與安全的天秤上做好權衡，不僅是MIS人員所應注重之課題，亦是主管單位所應好好考量的重點。本模組共有二個小節包括(1)虛擬私有網路概念與類型(2)建置虛擬私有網路(3)專案實作，共須三個鐘點。,Module9：虛擬私有網路(VPN),Module9-1：虛擬私有網路概念與類型(*)Module9-2：建置虛擬私有網路(*)Module9-3：專案實作(*),*初級(basic):基礎性教材內容*中級(moderate):教師依據學生的吸收情況，選擇性介紹本節的內容*高級(advanced):適用於深入研究的內容,Module9-1：虛擬私有網路概念與類型(*),什麼是VPN?,VPN是私人網路的延伸可透過Internet利用加密通道傳送資料模擬點對點連線特性封裝後資料標頭加入了路由資訊建立通道後傳送的資料已被加密，無法竊聽破解,什麼是VPN?,IntranetVPNRemoteAccessVPNSitetoSiteVPN,IntranetVPN,RemoteAccessVPN,SitetoSiteVPN,為什麼需要VPN?,透過Internet經由加密的VPN通道，可存取內部網路資源美国VPN公司與分公司間，利用SitetoSiteVPN節省電路費公司內部存取內部重要資訊,VPN解決方案,使用者驗證(UserAuthentication)位置管理(AddressManagement)資料加密(DataEncryption)金鑰管理(KeyManagement),VPN通道技術,通道(Tunnel)使用中間網路基礎架構的方法被傳送資料(payload)的檔頭(header)已重新封裝(encapsulate)重新封裝後的內容提供路由資訊,VPN通道技術,PPTP(Point-to-PointTunnelingProtocol)L2TP(LayerTwoTunnelingProtocolwithInternetProtocolSecurity)L2TP/IPSec(InternetProtocolSecurity),PPTP,RFC2637在IP資料段中封裝PPP框架使用TCP連線作為通道管理利用GRE(GenericRoutingEncapsulation)來封裝PPP框架,L2TP,RFC2661L2TP由Cisco提出的L2TP是PPTP+L2F(Layer2forwarding)使用UDP連線作為通道管理L2TP封裝PPP框架，以便透過IP/X.25/Framerelay/ATM網路來傳送,L2TP/IPSec,RFC3193微軟的L2TP使用IPSecESP(EncapsulatingSecurityPayload)來加密L2TP的資料L2TP/IPSec擁有PPTP的功能，也提供IPSec安全性與控制性,PPTP與L2TP/IPsec比較,PPTP加密金鑰是以使用驗證程序的密碼所產生的雜湊(hash)資料加密是在PPP連線程序容易遭受字典攻擊(dictionaryattack)使用MPPE，以RSARC4加密演算法與40/56/128位元的加密金鑰為基礎連線時只需使用者層級的驗證,PPTP與L2TP/IPsec比較,L2TP/IPsec透過憑證在取得密碼前便設定加密通道資料加密是在PPP連線程序之前需要憑證或是預先共用金鑰(presharedsecretkey)使用56位元的DES，或是3DES做為加密基礎連線時需使用者層級與憑證的電腦層級驗證,VPN安全性,驗證安全性認證採用使用者名稱與密碼或是憑證的形式授權安全性連接限制群組原則,VPN安全性,加密安全性加密演算法連線加密過程封包過濾過濾不必要的封包,驗證安全性-PAP,透過純文字密碼(clear-text)的證驗方法可以截取使用者密碼易被破解,驗證安全性-CHAP,CHAP,(Challenge-HandshakeAuthenticationProtocol)加密驗證機制可避免連線時實際密碼的傳輸使用MD5加密回應傳輸,驗證安全性-MS-CHAP,類似CHAPUseMD4MS-CHAPv2相互驗證,驗證安全性-EAP,EAP(ExtensibleAuthenticationProtocol),RFC2284任意的驗證方法SmartCardTokenCards指紋掃描,PPTP連接的安全驗證,PPTP連線加密是使用MPPE為基礎產生MPPE金鑰MS-CHAP/MS-CHAPv2/EAP-TLS最好使用SmartCard,L2TP/IPSec連接的安全驗證,IPSec電腦驗證VPN用戶端與VPN伺服器相互電腦驗證建立IPSecESPSA(SecurityAssociation)L2TP使用者層級驗證IPSec通道已建立完成，於加密模式下運作使用者嘗試以PPP為基礎的認證協定(如EAP)建立L2TP連線,Module9-2：建置虛擬私有網路(*),IntranetVPNforWindows2003,IntranetVPNforWindows2003,VPNIP:IntranetMail:IntranetWWW:只能對Intranet內的IP連線,RemoteVPNforWindows2003,RemoteVPNforWindows2003,VPNIP:IntranetMail:IntranetWWW:透過VPN撥號進來後，可連線至Intranet，也可透過NAT方式連線至Internet,Windows2003使用者VPN權限,若使用ActiveDirectory管理帳號可使用群組來管理使用VPN撥入權限在VPN中新增一般遠端存取原則指定群組可以存取VPN連線,WindowsVPNClient設定,SitetoSiteVPN,SitetoSiteVPN,SiteAVPNIP:SiteBVPNIP:02SiteBVPN透過PPTP撥號至SiteAVPN進立SitetoSiteVPN,SiteA設定,SiteBVPN設定,習題,習題一,請比較PPTP、L2TP、IPSec的差異性。,習題二,請說明RemoteVPN架構可應用於企業網路中的例子。,習題三,請說明IntranetVPN架構可應用於企業網路中的例子。,習題四,請說明SiteToSiteVPN架構可應用於企業網路中的例子。,習題五,請說明EAP驗證方法與其它驗證方法的優缺點。,習題六,請說明通道技術。,Module9-3:專案實作(*),建置VPN應用環境。利用實際操作的方式讓同學了解VPN工作原理。,專案目的,專案描述,您是台商公司的MIS人員，因公司與分公司分別在兩岸，需要建置一個VPN的網路架構，確保公司間傳送資料透過VPN是被加密過的。需求公司與分公司需要以SitetoSiteVPN建立連線總公司的使用者可透過總公司的VPN利用RemoteAccessVPN連線方式存取總公司與分公司的資料分公司使用者僅可透過SitetoSiteVPN存取總公司內部網路只有部分使用者擁有存取VPN權限,Hint:,兩公司間需建立SitetoSiteVPN總公司還需要建立RemoteAccessVPN透過AD控管能使用VPN使用者,參考文獻,DeployingVirtualPrivateNetworkswithMicrosoftWindowsServer2003TechnicalReference,MicrosoftPressIPSec,2/e,NaganandDoraswamy,DanHarkinsComparing,Designing,