VPN(虛擬私有網路) 王振生彙編

使用VPN的前因 在傳統網際網路時代，跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路（Intranet），通常需要向網際網路服務提供者（ISP）申請，架設一條專有線路以供企業體專門使用，但是線路建置之費用隨距離成倍數上升，而且每個月所需負擔之網路費用亦高的嚇人，每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。 VPN透過網際網路中利用協定建立專屬通道（tunnel），而達到傳統專有線路之功效。

什麼是 VPN VPN是私人網路的延伸 透過Internet利用加密通道傳送資料 模擬點對點連線特性 封裝後資料標頭加入了路由資訊 建立通道後傳送的資料已被加密，無法竊聽破解 虛擬私有網路（Virtual Private Network, VPN）是在公共Internet上使用密道及加密方法建立一個私人且安全的網路。所使用的加密技術是標準的IPSec（IP Security）方式， IPSec 結合了加密（Encryption）、 認證（Authentication）、密鑰管理（Key Management）、數位檢定（Digital Certification）等安全標準，具有高度的保護能力。

VPN的使用類型 Intranet VPN Remote Access VPN Site to Site VPN 常用三種VPN架構

Intranet VPN 透過Internet將遠端和分支辦公室鏈結到中央Intranet服務。連接可以是暫時的撥接或是永久的專線

Remote Access VPN VPN 用戶端可在遠端先與 ISP 撥接連上網際網路，而後透過 ISP 與總公司之 VPN伺服器進行連線請求以建立 VPN 連線，如此即可透過該連線安全地傳送資料，使VPN 用戶端感覺像身處總公司內部網路般。

Site to Site VPN 它又稱為路由器對路由器 VPN 連線 (router to router VPN connection)； 該連線方式可透過兩分處不同地區之區域網路透過雙方之 VPN 伺服器來建立 VPN 連線，使兩區域網路內之使用者可安全地透過 VPN 連線來傳送資料。 兩地使用者亦感覺身處同一區域一樣方便。此時之 VPN 伺服器又稱為 VPN 閘道器(VPN gateway)。

VPN流行的原因 透過Internet經由加密的VPN通道，可存取內部網路資源 公司與分公司間，利用Site to Site VPN節省將昂貴的長途電路費轉為便宜的市內電路費 存取公司內部重要資訊 相較於傳統的專線式網路連結，VPN的架構至少提供了下列的幾項優點： 1.成本較低： VPN的架設，在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省，故能使企業網路的總成本降低。根據分析，在LAN-to-LAN的連結上， VPN將較專線式的架構成本節省20% ~ 40%左右；而就遠端存取（Remote Access）而言，VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。 2.網路架構彈性較大： VPN較專線式的架構來的有彈性，當有必要將網路擴充或是變更網路架構時，VPN可以輕易的達成；相對的，傳統的專線式架構便需大費周章了。 3.管理方便： 較少的網路設備及實體線路，使網路的管理較為輕鬆；不論分公司或是遠端存取用戶再多，均只需透過Internet的路徑進入企業網路。 此外，保護資源（Protection of resources）、驗證身份（Proof of identity）與保證資訊機密性（Privacy of information）是企業網路安全的構成要素，對VPN來說，亦是如此；資料在公眾網路中傳輸的安全性是VPN架構中相當重要的一個因素，當中的相 關技術包括通道（Tunneling）、加密（Encryption）、封包認證（Packet Authentication）、防火牆（Firewall）、使用者認證（User Authentication）及入侵偵防系統（Intrusion Detection）。

VPN 解決方案 使用者驗證(User Authentication) 位置管理(Address Management) 資料加密(Data Encryption) 金鑰管理(Key Management) 使用者驗證:必需驗證vpn使用者身份，並只給予授權使用者VPN的存取權限。也必須提供稽核和帳戶處理紀錄，以顯示誰在連線並使用多久。 位置管理:必需指定vpn用啟端一個內部網路位置，並確定為私人位置。也須要特別提供特定資訊，讓用戶端在這個保護的網路上能存取資源(如:routing table、DNS…)，並有Packet Filter功能，防止內部資訊被未經授權使用者使用。 資料加密:在公用網路上的資料必須讓VPN用戶端首伺服器之外的人都無法讀取，若要達到這個目錄，必須在用戶端和VPN伺服器之間使用加密技術。 金鑰管理:為了使用加密技術，VPN需要提供某種加密機制，以建立Tunnel。

VPN通道技術 通道(Tunnel) 使用中間網路基礎架構的方法 被傳送資料(payload)的檔頭(header)已重新封裝(encapsulate) 重新封裝後的內容提供路由資訊 通道是一種使用中間網路基楚架構的方法，此方法將資料從一個網路傳送到另一個網路，而且同時維護原始資料的機密性和控制性。被傳送的資料(payload)可以是另一種通訊協定的框架(或封包)。通道通訊協定以一個新增的標頭來封裝框架，而不是傳送原始節點所產生的框架。該新增的標頭提供了routing table，所以封裝的payload可以在中間網路傳送。 被原裝的封包透過網路在通道端點之間傳輸，被封裝的封包穿越網路的邏輯路徑就稱為通道

VPN通道技術 PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer Two Tunneling Protocol with Internet Protocol Security) L2TP/IPSec (Internet Protocol Security)

PPTP RFC 2637 在IP資料段中封裝PPP框架 使用TCP連線作為通道管理 利用GRE (Generic Routing Encapsulation) 來封裝PPP框架 PPTP（Point-to-Point Tunneling Protocol）由Microsoft、3COM、U.S. Robotics、Ascend、ECI等企業所聯合發展。支援 Multi-Protocol 可說是他相當大的優點，如：IP、IPX、NetBEUI、AppleTalk。PPTP 的傳輸介面為 IP 封包、與下層介面無關。實質傳輸介面 (Physical Layer) 的改變，只要不影響 IP 封包傳輸，並不會影響 PPTP 封包的運送。

L2TP RFC 2661 L2TP由Cisco提出的L2TP是PPTP+L2F (Layer2 forwarding) 使用UDP連線作為通道管理 L2TP封裝PPP框架，以便透過IP/X.25/Frame relay/ATM網路來傳送 L2TP (Layer Two Tunneling Protocol/IPsec) 是經由 Cisco 的 L2F (Layer Two Forwarding) 和 Microsoft 的 PPTP 合作並在 IETF 的規範下發展而成。因此安全性更佳，且 L2TP 的傳輸介面為 UDP 封包、與下層介面無關。實質傳輸介面(Physical Layer) 的改變，只要不影響UDP封包傳輸，並不會影響 L2TP 封包的運送。其採用 IPsec (Internet Protocol Security) 的加密方式，並支援預先共用金鑰 (Pre-shared key) 與憑證 (certification) 兩種驗證方式。

L2TP/IPSec RFC 3193 微軟的L2TP使用IPSec ESP (Encapsulating Security Payload)來加密L2TP的資料 L2TP/IPSec擁有PPTP的功能，也提供IPSec安全性與控制性

PPTP與L2TP/IPsec比較 PPTP 加密金鑰是以使用驗證程序的密碼所產生的雜湊(hash) 資料加密是在PPP連線程序 容易遭受字典攻擊(dictionary attack) 使用MPPE，以RSA RC4加密演算法與40/56/128位元的加密金鑰為基礎 連線時只需使用者層級的驗證

PPTP與L2TP/IPsec比較 L2TP/IPsec 透過憑證在取得密碼前便設定加密通道 資料加密是在PPP連線程序之前 需要憑證或是預先共用金鑰 (preshared secret key) 使用56位元的DES，或是3DES做為加密基礎 連線時需使用者層級與憑證的電腦層級驗證

VPN安全性 驗證安全性 認證採用使用者名稱與密碼 或是憑證的形式 授權安全性 連接限制 群組原則 驗證安全性:安全的驗證是採用使用者名稱加上密碼或是憑證的形式。如果使用適當的驗證安全通訊，便能確保憑證的機密部分不會被傳送。 權權安全性:權的安全性可確保VPN用啟端允許建立VPN連線，並能提供一組連接限制(最大連線時間、逾時閒置、驗證方法….)

VPN安全性 加密安全性 加密演算法 連線加密過程 封包過濾 過濾不必要的封包 加密安全性:VPN用戶端和VPN伺服器之間的資料透過VPN連線傳送之前，它是使用只有VPN用戶端和VPN伺服器知道的加密演算法和秘密金鑰來加密，即使封包被擷取，也無法讀取(除了IP header以外) 封包過濾:VPN伺服器連線到Internet時容易遭受攻擊，可能使用flooding或是嘗試使用各種帳號登入VPN進入內部網路。所以需要針對VPN進來的流量做過濾，以確保安全。

驗證安全性-PAP 透過純文字密碼(clear-text)的證驗方法 可以截取 使用者密碼易被破解

驗證安全性-CHAP CHAP (Challenge-Handshake Authentication Protocol) 加密驗證機制 可避免連線時實際密碼的傳輸 使用MD5加密回應傳輸

驗證安全性-MS-CHAP 類似CHAP Use MD4 MS-CHAP v2 相互驗證

驗證安全性-EAP EAP (Extensible Authentication Protocol), RFC 2284 任意的驗證方法 Smart Card Token Cards 指紋掃描

PPTP連接的安全驗證 PPTP連線加密是使用MPPE為基礎 產生MPPE金鑰 MS-CHAP/MS-CHAPv2/EAP-TLS 最好使用Smart Card

L2TP/IPSec連接的安全驗證 IPSec電腦層級驗證 VPN用戶端與VPN伺服器相互電腦驗證(憑證或預設共享金鑰) 建立IPSec ESP SA (Security Association) L2TP使用者層級驗證 IPSec通道已建立完成，於加密模式下運作 使用者嘗試以PPP為基礎的認證協定(如EAP)建立L2TP連線