X

XX

I

I

E I

I

I

E I

x

X

x

X

第十章VPN 與通道技術 IPSec

虛擬私有網路VPN (Virtual Private Network)

VPN 的資料安全 - PPTP 、 L2TP 、 IPSec

2

課程大綱

VPNVPN 基本原理 PPTPPPTP ( Point-to-Point Tunneling Protocol ) L2TPL2TP ( Layer 2 Tunneling Protocol ) IPSecIPSec ( IP Security )

3

什麼是 VPN ?

VirtualVirtual ( 虛擬 ) – 邏輯連結 PrivatePrivate ( 私人 ) – 僅限某些人可以使用 Network ( 網路 ) – 藉由通訊纜線連結的電腦

「虛擬私人網路」「虛擬私人網路」 - “- “ 公器私用”的技術，透過隨公器私用”的技術，透過隨處可得的 處可得的 Internet(Internet( 公器公器 ) ) 來建立安全的通訊來建立安全的通訊管道管道 (tunnel) (tunnel) ，合法的使用者可以很方便的從，合法的使用者可以很方便的從任何地方登入公司的內部網路，並安全地使用任何地方登入公司的內部網路，並安全地使用公司私有的網路資源公司私有的網路資源 (( 私用私用 ))

4

What is VPN ?

VPNVPN (Virtual Private Network) 在公眾數據網路（ Internet ）上建構如同專線連線的企業網路內部網路，稱為“虛擬私有網路（ Virtual Private Network ），可以讓遠端的區域網路 (LAN)或是個人用戶透過身份驗證與加密技術的保護，在公眾網路上建立一個個獨立的通道（ tunnel ）連接到企業網路上來傳遞語音或數據資料。

5

傳統遠地通訊連線架構

企業總部

遠地分公司

客戶及供應商

Remote User撥接長途連線

數據專線T1, Frame RelayISDN, ATM

Modem Bank

6

應用私有虛擬網路 VPN 架構Virtual Private Networking

Internet

通勤及全球出差漫遊員工

遠地分公司

客戶及供應商

企業總部

應用 Internet VPN 大幅降低遠程通訊連線成本

沒有 VPN 加密功能eMail 就如寄 “明信片”

7

為什麼 VPN 可降低通訊成本 ?

Public Internet

本地 ISP T1 高速專線

撥接本地 ISP 服務

企業總部

客戶及供應商

遠地分公司通勤及全球出差漫遊員工

本地 ISP ADSL, Cable, T1 服務

本地 ISP ADSL, Cable 服務

8

VPN 是如何運作的 ?

4. 安全認證 (Authenticate) 連線者身份 .

1. 連線到 Internet.

5. VPN 通道 (Tunnel) 建立完成

Intranet

Internet

3. 啟動安全連線機制並連線到公司網路的 VPN gateway.

Database

2. 從遠端連線到公司內部私有網路 .

6. 開始傳送連線資料

9

VPN 採用的相關技術

將開放的網路 (Internet) 模擬為私人的網路使用，主要藉由下列技術：

Authentication 身份辨識技術 :CHAP 、 RAP

Encryption 資料加密技術： DES 、 RAS

Tunneling 建立通道技術 : PPTP 、 L2TP 、 IPSec

10

VPN 示意圖

CorporateIntranet

Business Partner/SupplierIntranet

BranchOffice

Intranet

Internet

Remote Access

11

VPN 的種類

遠端存取 遠端存取 VPN (Remote Access ScenariVPN (Remote Access Scenario)o)

Intranet VPN (Intranet VPN ( 分公司連線分公司連線 )) Extranet VPN (Extranet VPN ( 企業合作伙伴企業合作伙伴 // 供應商網供應商網路連線路連線 ))

12

VPN 實際運作

遠地分公司 ; 工廠 LAN

Mobile Users

商業伙伴或供應商內部網路

總公司 LAN

總公司 LAN

總公司 LAN

VPN Gateway

VPN Gateway

VPN Gateway

小型 VPN Gateway

VPN Gateway

安裝 VPN Client Software

遠端撥接用戶56KBps 撥接用戶

ADSL, Cable 寬頻

T1-T3 高速專線

13

遠端存取 VPN

在遠端存取 VPN 中，使用者撥號進入 ISP 的連接點，透過 ISP 的網路或 Internet 建立一條通道連回總公司，並通過身份認證存取企業網路

Corporate IntranetInternet

VPN通道

VPN設備

安裝 VPN Client Software

Digital

14

Intranet VPN

透過 Internet 來連結企業散佈各處之據點可為企業節省 WAN 成本，屬於 Site 對 Site 的連線方式。

Á ¤̀ ½¥ q分公司

Internet

VPN通道 VPN

設備

15

Extranet VPN

基本上也是基本上也是 Extranet Extranet 的一種，但所建立的通道通常的一種，但所建立的通道通常是不屬於同一線路公司，與 是不屬於同一線路公司，與 Extranet Extranet 最主要差別為最主要差別為安全性。安全性。

Corporate Intranet

Internet

商業伙伴或供應商內部網路

16

VPN Tunneling 通道建立技術

PPTP ( Point to Point Tunneling Protocol )由 Microsoft 制定

L2TP ( Layer 2 Tunneling Protocol )由 Cisco 制定

IPSec ( Internet Protocol Security )由 IETF ( 網際網路工程任務小組 ) 制定

17

虛擬私人網路 (VPN)

VPN 基本原理 PPTP ( Point-to-Point Tunneling Protocol )PPTP ( Point-to-Point Tunneling Protocol )

PPTP 的運作原理 PPTP 的驗證及加密 PPTP 的運用 PPTP 的實作 ( Client to Site )

• CHAP 認證方式• MPPE 認證方式

L2TP ( Layer 2 Tunnel Protocol ) IPSec ( IP Security )

18

PPTP

PPoint-to-PPonit TTunneling PProtocol Layer 2 的協定 PPP ( Point to Point ) 的延伸 可封裝 LAN 的協定，如 IP, IPX, NetBeui ……

利用 IP network 傳輸資料 使用 MPPE ( Microsoft Point to Point Encryption

) 進行資料加密

19

PPTP 的運作原理

資料由第三層送至第二層的 PPTP Dri

ver 加密

由第二層的 PPTP

Driver 回送至第三層重新封裝

定址後依正常程序送至第一層傳輸

20

PPTP 的驗證及加密

PPTP 的使用者驗證方式採用 PPP 的驗證方式

PAP, SPAP, CHAP, MS-CHAP V1, V2, and EAP

PPTP 使用 MPPE 進行資料的加密

只有採用 MS-CHAP V1 or 2 or EAP-TLS 的驗證方

式才能用 MPPE 進行資料加密

21

PPTP 的運用

單一使用者對遠端網路的資料存取，適用於 Win98/XP/NT4/2000 Client

22

PPTP 的運用

網路對網路的資料存取

23

PPTP 的實作 (CHAP )

總公司 ( 台北 )192.168.0.0/24192.168.0.0/24

InternetInternet

PPTP Server203.77.21.10192.168.0.254192.168.0.254

DB Server192.168.0.3192.168.0.3Mobile User

( 高雄 )

撥號

24

PPTP 的實作 (CHAP )

測試環境： RedHat 7.3 安裝相關套件

ppp-2.4. *.rpm http://www.spenneberg.org/VPN/

pptpd-1.1.3-2.i386.rpm 利用 rpm –Uvh 安裝

25

PPTP 的實作 (CHAP )

/etc/ppp/options/etc/ppp/optionsdebugname servernameservernameauthrequire-chapchap

/etc/pptpd.conf/etc/pptpd.confspeed 115200localip 192.168.0.254remoteip 192.168.0.11-20

/etc/ppp/chap-secrets/etc/ppp/chap-secretsalex servernameservername password *

service pptpd startservice pptpd start

26

PPTP 的實作 (CHAP )

27

PPTP 的實作 (CHAP )

28

虛擬私人網路 (VPN)

VPN 基本原理 PPTP ( Point-to-Point Tunneling Protocol ) L2TP ( Layer 2 Tunneling Protocol )L2TP ( Layer 2 Tunneling Protocol )

L2TP 的運作方式 L2TP 的驗證及加密 L2TP 的運用

IPSec ( IP Security )

29

L2TP

LLayer 22 TTunneling PProtocol 第二層的協定 可封裝 LAN 的協定，如 IP, IPX, NetBeui ……

可利用 IP, X.25, ATM, Frame Relay 傳輸資料 使用 IPSec 進行資料加密

30

L2TP 的運作原理

資料由第三層送至第二層的L2TP Driver 封裝

由第二層的L2TP Driver 回送至第三層經由 IPSec 加密並定址

定址後依正常程序送至第一層傳輸

31

L2TP 驗證及加密

L2TP 的驗證方式分為二階段，電腦驗證及使用者驗證電腦的驗證是採 certificate base ，當 IPSec 進行 S

A 的建立同時完成使用者的驗證方式採用 PPP 的驗證

• EAP, MS-CHAP V1, V2, CHAP, SPAP, and PAP

L2TP 使用 IPSec 來進行資料的加密 DES with a 56-bit key

Triple DES (3DES)

32

L2TP 運用

單一使用者對遠端網路的資料存取，適用於 W2K Client

33

L2TP 運用

網路對網路的資料存取

34

Q&A

T h an k Y ou !