Upload
gabi
View
96
Download
0
Embed Size (px)
DESCRIPTION
第十章 VPN 與通道技術 IPSec. 虛擬私有網路 VPN (Virtual Private Network) VPN 的資料安全 - PPTP 、 L2TP 、 IPSec. 課程大綱. VPN 基本原理 PPTP ( Point-to-Point Tunneling Protocol ) L2TP ( Layer 2 Tunneling Protocol ) IPSec ( IP Security ). 什麼是 VPN ?. Virtual ( 虛擬 ) – 邏輯連結 Private ( 私人 ) – 僅限某些人可以使用 - PowerPoint PPT Presentation
Citation preview
X
XX
I
I
E I
I
I
E I
x
X
x
X
第十章VPN 與通道技術 IPSec
虛擬私有網路VPN (Virtual Private Network)
VPN 的資料安全 - PPTP 、 L2TP 、 IPSec
2
課程大綱
VPNVPN 基本原理 PPTPPPTP ( Point-to-Point Tunneling Protocol ) L2TPL2TP ( Layer 2 Tunneling Protocol ) IPSecIPSec ( IP Security )
3
什麼是 VPN ?
VirtualVirtual ( 虛擬 ) – 邏輯連結 PrivatePrivate ( 私人 ) – 僅限某些人可以使用 Network ( 網路 ) – 藉由通訊纜線連結的電腦
「虛擬私人網路」「虛擬私人網路」 - “- “ 公器私用”的技術,透過隨公器私用”的技術,透過隨處可得的 處可得的 Internet(Internet( 公器公器 ) ) 來建立安全的通訊來建立安全的通訊管道管道 (tunnel) (tunnel) ,合法的使用者可以很方便的從,合法的使用者可以很方便的從任何地方登入公司的內部網路,並安全地使用任何地方登入公司的內部網路,並安全地使用公司私有的網路資源公司私有的網路資源 (( 私用私用 ))
4
What is VPN ?
VPNVPN (Virtual Private Network) 在公眾數據網路( Internet )上建構如同專線連線的企業網路內部網路,稱為“虛擬私有網路( Virtual Private Network ),可以讓遠端的區域網路 (LAN)或是個人用戶透過身份驗證與加密技術的保護,在公眾網路上建立一個個獨立的通道( tunnel )連接到企業網路上來傳遞語音或數據資料。
5
傳統遠地通訊連線架構
企業總部
遠地分公司
客戶及供應商
Remote User撥接長途連線
數據專線T1, Frame RelayISDN, ATM
Modem Bank
6
應用私有虛擬網路 VPN 架構Virtual Private Networking
Internet
通勤及全球出差漫遊員工
遠地分公司
客戶及供應商
企業總部
應用 Internet VPN 大幅降低遠程通訊連線成本
沒有 VPN 加密功能eMail 就如寄 “明信片”
7
為什麼 VPN 可降低通訊成本 ?
Public Internet
本地 ISP T1 高速專線
撥接本地 ISP 服務
企業總部
客戶及供應商
遠地分公司通勤及全球出差漫遊員工
本地 ISP ADSL, Cable, T1 服務
本地 ISP ADSL, Cable 服務
8
VPN 是如何運作的 ?
4. 安全認證 (Authenticate) 連線者身份 .
1. 連線到 Internet.
5. VPN 通道 (Tunnel) 建立完成
Intranet
Internet
3. 啟動安全連線機制並連線到公司網路的 VPN gateway.
Database
2. 從遠端連線到公司內部私有網路 .
6. 開始傳送連線資料
9
VPN 採用的相關技術
將開放的網路 (Internet) 模擬為私人的網路使用,主要藉由下列技術:
Authentication 身份辨識技術 :CHAP 、 RAP
Encryption 資料加密技術: DES 、 RAS
Tunneling 建立通道技術 : PPTP 、 L2TP 、 IPSec
10
VPN 示意圖
CorporateIntranet
Business Partner/SupplierIntranet
BranchOffice
Intranet
Internet
Remote Access
11
VPN 的種類
遠端存取 遠端存取 VPN (Remote Access ScenariVPN (Remote Access Scenario)o)
Intranet VPN (Intranet VPN ( 分公司連線分公司連線 )) Extranet VPN (Extranet VPN ( 企業合作伙伴企業合作伙伴 // 供應商網供應商網路連線路連線 ))
12
VPN 實際運作
遠地分公司 ; 工廠 LAN
Mobile Users
商業伙伴或供應商內部網路
總公司 LAN
總公司 LAN
總公司 LAN
VPN Gateway
VPN Gateway
VPN Gateway
小型 VPN Gateway
VPN Gateway
安裝 VPN Client Software
遠端撥接用戶56KBps 撥接用戶
ADSL, Cable 寬頻
T1-T3 高速專線
13
遠端存取 VPN
在遠端存取 VPN 中,使用者撥號進入 ISP 的連接點,透過 ISP 的網路或 Internet 建立一條通道連回總公司,並通過身份認證存取企業網路
Corporate IntranetInternet
VPN通道
VPN設備
安裝 VPN Client Software
Digital
14
Intranet VPN
透過 Internet 來連結企業散佈各處之據點可為企業節省 WAN 成本,屬於 Site 對 Site 的連線方式。
Á ¤̀ ½¥ q分公司
Internet
VPN通道 VPN
設備
15
Extranet VPN
基本上也是基本上也是 Extranet Extranet 的一種,但所建立的通道通常的一種,但所建立的通道通常是不屬於同一線路公司,與 是不屬於同一線路公司,與 Extranet Extranet 最主要差別為最主要差別為安全性。安全性。
Corporate Intranet
Internet
商業伙伴或供應商內部網路
16
VPN Tunneling 通道建立技術
PPTP ( Point to Point Tunneling Protocol )由 Microsoft 制定
L2TP ( Layer 2 Tunneling Protocol )由 Cisco 制定
IPSec ( Internet Protocol Security )由 IETF ( 網際網路工程任務小組 ) 制定
17
虛擬私人網路 (VPN)
VPN 基本原理 PPTP ( Point-to-Point Tunneling Protocol )PPTP ( Point-to-Point Tunneling Protocol )
PPTP 的運作原理 PPTP 的驗證及加密 PPTP 的運用 PPTP 的實作 ( Client to Site )
• CHAP 認證方式• MPPE 認證方式
L2TP ( Layer 2 Tunnel Protocol ) IPSec ( IP Security )
18
PPTP
PPoint-to-PPonit TTunneling PProtocol Layer 2 的協定 PPP ( Point to Point ) 的延伸 可封裝 LAN 的協定,如 IP, IPX, NetBeui ……
利用 IP network 傳輸資料 使用 MPPE ( Microsoft Point to Point Encryption
) 進行資料加密
19
PPTP 的運作原理
資料由第三層送至第二層的 PPTP Dri
ver 加密
由第二層的 PPTP
Driver 回送至第三層重新封裝
定址後依正常程序送至第一層傳輸
20
PPTP 的驗證及加密
PPTP 的使用者驗證方式採用 PPP 的驗證方式
PAP, SPAP, CHAP, MS-CHAP V1, V2, and EAP
PPTP 使用 MPPE 進行資料的加密
只有採用 MS-CHAP V1 or 2 or EAP-TLS 的驗證方
式才能用 MPPE 進行資料加密
21
PPTP 的運用
單一使用者對遠端網路的資料存取,適用於 Win98/XP/NT4/2000 Client
22
PPTP 的運用
網路對網路的資料存取
23
PPTP 的實作 (CHAP )
總公司 ( 台北 )192.168.0.0/24192.168.0.0/24
InternetInternet
PPTP Server203.77.21.10192.168.0.254192.168.0.254
DB Server192.168.0.3192.168.0.3Mobile User
( 高雄 )
撥號
24
PPTP 的實作 (CHAP )
測試環境: RedHat 7.3 安裝相關套件
ppp-2.4. *.rpm http://www.spenneberg.org/VPN/
pptpd-1.1.3-2.i386.rpm 利用 rpm –Uvh 安裝
25
PPTP 的實作 (CHAP )
/etc/ppp/options/etc/ppp/optionsdebugname servernameservernameauthrequire-chapchap
/etc/pptpd.conf/etc/pptpd.confspeed 115200localip 192.168.0.254remoteip 192.168.0.11-20
/etc/ppp/chap-secrets/etc/ppp/chap-secretsalex servernameservername password *
service pptpd startservice pptpd start
26
PPTP 的實作 (CHAP )
27
PPTP 的實作 (CHAP )
28
虛擬私人網路 (VPN)
VPN 基本原理 PPTP ( Point-to-Point Tunneling Protocol ) L2TP ( Layer 2 Tunneling Protocol )L2TP ( Layer 2 Tunneling Protocol )
L2TP 的運作方式 L2TP 的驗證及加密 L2TP 的運用
IPSec ( IP Security )
29
L2TP
LLayer 22 TTunneling PProtocol 第二層的協定 可封裝 LAN 的協定,如 IP, IPX, NetBeui ……
可利用 IP, X.25, ATM, Frame Relay 傳輸資料 使用 IPSec 進行資料加密
30
L2TP 的運作原理
資料由第三層送至第二層的L2TP Driver 封裝
由第二層的L2TP Driver 回送至第三層經由 IPSec 加密並定址
定址後依正常程序送至第一層傳輸
31
L2TP 驗證及加密
L2TP 的驗證方式分為二階段,電腦驗證及使用者驗證電腦的驗證是採 certificate base ,當 IPSec 進行 S
A 的建立同時完成使用者的驗證方式採用 PPP 的驗證
• EAP, MS-CHAP V1, V2, CHAP, SPAP, and PAP
L2TP 使用 IPSec 來進行資料的加密 DES with a 56-bit key
Triple DES (3DES)
32
L2TP 運用
單一使用者對遠端網路的資料存取,適用於 W2K Client
33
L2TP 運用
網路對網路的資料存取
34
Q&A
T h an k Y ou !