VPN(虛擬私有網路) 王振生彙編.

Slides:



Advertisements
Similar presentations
第6章 路由器的配置和应用 教学目的: 本章的主要学习目的是了解路由器的结构,掌握路由器的硬件连接与软件配置连接,学会CISCO IOS的维护、常用操作命令的使用,并能在理解网络如何互连的基础上,通过在命令行状态下配置好CISCO路由器,实现特定的互连要求与安全访问控制要求。
Advertisements

密码学应用 培训机构名称 讲师名字.
電子商務安全防護 線上交易安全機制.
營運部胡乃馨副總 /技術部汪坤宏副總/業務部 陳富賢
大学计算机基础 8.3 信息安全技术.
實驗 9: 無線安全網路之建設.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
计算机网络 第 7 章 计算机网络的安全.
指導老師:林錦財 組員: 4970E047李家翔 4970E051湯偉均 4970E053謝瑋倫 4970E071莊爵貴
主讲:吴锐 安徽工业经济职业技术学院 QQ:
企業如何建置安全的作業系統 Windows XP 網路安全
Security and Encryption
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
校園網路管理實電務 電子計算機中心 謝進利.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
SIEMENS自动化控制系统于VPN网络技术的完美结合
資訊安全-資料加解密 主講:陳建民.
第9章 電子商務安全防範.
指導教授:陳偉業 老師 碩專資管二甲 N 林士淵 富強鑫公司 資訊工程師 2006/12/23
David liang 数据通信安全教程 防火墙技术及应用 David liang
虛擬私有網路 VPN (Virtual Private Network) VPN的資料安全 - PPTP、L2TP、IPSec
VPN A 黃明陽 指導教授:梁明章教授.
Virtual Private Network
TCP協定 (傳輸層).
元智大學網路技術系 TN307 進階網路技術   指導教授 :王井煦.
第9章 虛擬私人網路VPN.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
第 6 章 廣域網路 著作權所有 © 旗標出版股份有限公司.
網路存取的安全性管理 羅英嘉 2007年5月.
家用網路所遇到的問題 與解決方案 演講者:徐子浩 指導老師:梁明章 老師.
远程诊断技术及设备 ---今日坐拥明日之选.
第九章 IPSec VPN技术.
第四章 網路層 4-1 網路層簡介 4-2 電路交換技術 4-3 信息交換技術 4-4 分封交換技術 4-5 各種交換技術之比較
第14章虚拟专用网技术与应用实验.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
指導老師:林錦財 組員: 4970E047李家翔 4970E051湯偉均 4970E053謝瑋倫 4970E071莊爵貴
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
TCP/IP介紹 講師:陳育良 2018/12/28.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
無線路由器(AP)管理.
OpenID與WordPress使用說明
第八章 網路安全協定 課前指引 現今網際網路技術的興起,使得大家愈來愈仰賴Internet這個應用廣泛的公眾網路。在建立具專屬特質且快速傳輸的虛擬私有網路(Virtual Private Network,VPN)時,能再透過一些網路的安全機制與技術,使得網路內的資料能夠安全的通訊,在目前正蓬勃發展的Internet裡,此項需求尤為殷切。本章目的即針對在VPN中與安全/鑑定機制相關的結合與運作介紹。
電子商務 Electronic Commerce
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
第12章 远程访问、NAT技术.
FTP檔案上傳下載 實務與運用.
DHCP for W2K.
IPsec封装安全有效载荷.
網路安全技術期末報告 Proxy Server
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
Topic Introduction—RMI
本院使用建教合作之輔仁大學 圖書館資料庫 設定方式說明
Firewall-pfsense Mars Su
第9章 信息安全.
Bluetooth 技術篇 藍芽技術如何傳輸資料 藍芽傳輸的安全性 第六組 吳哲榮.
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
資訊網路專題 Special Topics on Information Networks
Mobile IPv4.
IP Layer Basics, Firewall, VPN, and NAT
第四章 通訊與網路管理 授課老師:褚麗絹.
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
ARP攻擊 A 吳峻誠.
VoIP安全議題 姓名:許雅玲 指導老師:梁明章 老師.
固若金湯的多層次防禦 謝長明 技術總監 長成資訊顧問股份有限公司.
指導教授 :逄愛君 資訊三 B 莊惟舜 資訊三 B 張憶婷 資訊三 B 徐嘉偉
DDoS A 林育全.
IP Layer Basics & Firewall
第一章 電子商務簡介 第一篇 電子商務概論篇.
第 4 章 网络层.
Presentation transcript:

VPN(虛擬私有網路) 王振生彙編

使用VPN的前因 在傳統網際網路時代,跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路(Intranet),通常需要向網際網路服務提供者(ISP)申請,架設一條專有線路以供企業體專門使用,但是線路建置之費用隨距離成倍數上升,而且每個月所需負擔之網路費用亦高的嚇人,每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。 VPN透過網際網路中利用協定建立專屬通道(tunnel),而達到傳統專有線路之功效。

什麼是 VPN VPN是私人網路的延伸 透過Internet利用加密通道傳送資料 模擬點對點連線特性 封裝後資料標頭加入了路由資訊 建立通道後傳送的資料已被加密,無法竊聽破解 虛擬私有網路(Virtual Private Network, VPN)是在公共Internet上使用密道及加密方法建立一個私人且安全的網路。所使用的加密技術是標準的IPSec(IP Security)方式, IPSec 結合了加密(Encryption)、 認證(Authentication)、密鑰管理(Key Management)、數位檢定(Digital Certification)等安全標準,具有高度的保護能力。

VPN的使用類型 Intranet VPN Remote Access VPN Site to Site VPN 常用三種VPN架構

Intranet VPN 透過Internet將遠端和分支辦公室鏈結到中央Intranet服務。連接可以是暫時的撥接或是永久的專線

Remote Access VPN VPN 用戶端可在遠端先與 ISP 撥接連上網際網路,而後透過 ISP 與總公司之 VPN伺服器進行連線請求以建立 VPN 連線,如此即可透過該連線安全地傳送資料,使VPN 用戶端感覺像身處總公司內部網路般。

Site to Site VPN 它又稱為路由器對路由器 VPN 連線 (router to router VPN connection); 該連線方式可透過兩分處不同地區之區域網路透過雙方之 VPN 伺服器來建立 VPN 連線,使兩區域網路內之使用者可安全地透過 VPN 連線來傳送資料。 兩地使用者亦感覺身處同一區域一樣方便。此時之 VPN 伺服器又稱為 VPN 閘道器(VPN gateway)。

VPN流行的原因 透過Internet經由加密的VPN通道,可存取內部網路資源 公司與分公司間,利用Site to Site VPN節省將昂貴的長途電路費轉為便宜的市內電路費 存取公司內部重要資訊 相較於傳統的專線式網路連結,VPN的架構至少提供了下列的幾項優點: 1.成本較低: VPN的架設,在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省,故能使企業網路的總成本降低。根據分析,在LAN-to-LAN的連結上, VPN將較專線式的架構成本節省20% ~ 40%左右;而就遠端存取(Remote Access)而言,VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。 2.網路架構彈性較大: VPN較專線式的架構來的有彈性,當有必要將網路擴充或是變更網路架構時,VPN可以輕易的達成;相對的,傳統的專線式架構便需大費周章了。 3.管理方便: 較少的網路設備及實體線路,使網路的管理較為輕鬆;不論分公司或是遠端存取用戶再多,均只需透過Internet的路徑進入企業網路。 此外,保護資源(Protection of resources)、驗證身份(Proof of identity)與保證資訊機密性(Privacy of information)是企業網路安全的構成要素,對VPN來說,亦是如此;資料在公眾網路中傳輸的安全性是VPN架構中相當重要的一個因素,當中的相 關技術包括通道(Tunneling)、加密(Encryption)、封包認證(Packet Authentication)、防火牆(Firewall)、使用者認證(User Authentication)及入侵偵防系統(Intrusion Detection)。

VPN 解決方案 使用者驗證(User Authentication) 位置管理(Address Management) 資料加密(Data Encryption) 金鑰管理(Key Management) 使用者驗證:必需驗證vpn使用者身份,並只給予授權使用者VPN的存取權限。也必須提供稽核和帳戶處理紀錄,以顯示誰在連線並使用多久。 位置管理:必需指定vpn用啟端一個內部網路位置,並確定為私人位置。也須要特別提供特定資訊,讓用戶端在這個保護的網路上能存取資源(如:routing table、DNS…),並有Packet Filter功能,防止內部資訊被未經授權使用者使用。 資料加密:在公用網路上的資料必須讓VPN用戶端首伺服器之外的人都無法讀取,若要達到這個目錄,必須在用戶端和VPN伺服器之間使用加密技術。 金鑰管理:為了使用加密技術,VPN需要提供某種加密機制,以建立Tunnel。

VPN通道技術 通道(Tunnel) 使用中間網路基礎架構的方法 被傳送資料(payload)的檔頭(header)已重新封裝(encapsulate) 重新封裝後的內容提供路由資訊 通道是一種使用中間網路基楚架構的方法,此方法將資料從一個網路傳送到另一個網路,而且同時維護原始資料的機密性和控制性。被傳送的資料(payload)可以是另一種通訊協定的框架(或封包)。通道通訊協定以一個新增的標頭來封裝框架,而不是傳送原始節點所產生的框架。該新增的標頭提供了routing table,所以封裝的payload可以在中間網路傳送。 被原裝的封包透過網路在通道端點之間傳輸,被封裝的封包穿越網路的邏輯路徑就稱為通道

VPN通道技術 PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer Two Tunneling Protocol with Internet Protocol Security) L2TP/IPSec (Internet Protocol Security)

PPTP RFC 2637 在IP資料段中封裝PPP框架 使用TCP連線作為通道管理 利用GRE (Generic Routing Encapsulation) 來封裝PPP框架 PPTP(Point-to-Point Tunneling Protocol)由Microsoft、3COM、U.S. Robotics、Ascend、ECI等企業所聯合發展。支援 Multi-Protocol 可說是他相當大的優點,如:IP、IPX、NetBEUI、AppleTalk。PPTP 的傳輸介面為 IP 封包、與下層介面無關。實質傳輸介面 (Physical Layer) 的改變,只要不影響 IP 封包傳輸,並不會影響 PPTP 封包的運送。

L2TP RFC 2661 L2TP由Cisco提出的L2TP是PPTP+L2F (Layer2 forwarding) 使用UDP連線作為通道管理 L2TP封裝PPP框架,以便透過IP/X.25/Frame relay/ATM網路來傳送 L2TP (Layer Two Tunneling Protocol/IPsec) 是經由 Cisco 的 L2F (Layer Two Forwarding) 和 Microsoft 的 PPTP 合作並在 IETF 的規範下發展而成。因此安全性更佳,且 L2TP 的傳輸介面為 UDP 封包、與下層介面無關。實質傳輸介面(Physical Layer) 的改變,只要不影響UDP封包傳輸,並不會影響 L2TP 封包的運送。其採用 IPsec (Internet Protocol Security) 的加密方式,並支援預先共用金鑰 (Pre-shared key) 與憑證 (certification) 兩種驗證方式。

L2TP/IPSec RFC 3193 微軟的L2TP使用IPSec ESP (Encapsulating Security Payload)來加密L2TP的資料 L2TP/IPSec擁有PPTP的功能,也提供IPSec安全性與控制性

PPTP與L2TP/IPsec比較 PPTP 加密金鑰是以使用驗證程序的密碼所產生的雜湊(hash) 資料加密是在PPP連線程序 容易遭受字典攻擊(dictionary attack) 使用MPPE,以RSA RC4加密演算法與40/56/128位元的加密金鑰為基礎 連線時只需使用者層級的驗證

PPTP與L2TP/IPsec比較 L2TP/IPsec 透過憑證在取得密碼前便設定加密通道 資料加密是在PPP連線程序之前 需要憑證或是預先共用金鑰 (preshared secret key) 使用56位元的DES,或是3DES做為加密基礎 連線時需使用者層級與憑證的電腦層級驗證

VPN安全性 驗證安全性 認證採用使用者名稱與密碼 或是憑證的形式 授權安全性 連接限制 群組原則 驗證安全性:安全的驗證是採用使用者名稱加上密碼或是憑證的形式。如果使用適當的驗證安全通訊,便能確保憑證的機密部分不會被傳送。 權權安全性:權的安全性可確保VPN用啟端允許建立VPN連線,並能提供一組連接限制(最大連線時間、逾時閒置、驗證方法….)

VPN安全性 加密安全性 加密演算法 連線加密過程 封包過濾 過濾不必要的封包 加密安全性:VPN用戶端和VPN伺服器之間的資料透過VPN連線傳送之前,它是使用只有VPN用戶端和VPN伺服器知道的加密演算法和秘密金鑰來加密,即使封包被擷取,也無法讀取(除了IP header以外) 封包過濾:VPN伺服器連線到Internet時容易遭受攻擊,可能使用flooding或是嘗試使用各種帳號登入VPN進入內部網路。所以需要針對VPN進來的流量做過濾,以確保安全。

驗證安全性-PAP 透過純文字密碼(clear-text)的證驗方法 可以截取 使用者密碼易被破解

驗證安全性-CHAP CHAP (Challenge-Handshake Authentication Protocol) 加密驗證機制 可避免連線時實際密碼的傳輸 使用MD5加密回應傳輸

驗證安全性-MS-CHAP 類似CHAP Use MD4 MS-CHAP v2 相互驗證

驗證安全性-EAP EAP (Extensible Authentication Protocol), RFC 2284 任意的驗證方法 Smart Card Token Cards 指紋掃描

PPTP連接的安全驗證 PPTP連線加密是使用MPPE為基礎 產生MPPE金鑰 MS-CHAP/MS-CHAPv2/EAP-TLS 最好使用Smart Card

L2TP/IPSec連接的安全驗證 IPSec電腦層級驗證 VPN用戶端與VPN伺服器相互電腦驗證(憑證或預設共享金鑰) 建立IPSec ESP SA (Security Association) L2TP使用者層級驗證 IPSec通道已建立完成,於加密模式下運作 使用者嘗試以PPP為基礎的認證協定(如EAP)建立L2TP連線