Module虚拟私有网路

Module9：虛擬私有網路(VPN)1學習目的在傳統網際網路時代，跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路（Intranet），通常需要向網際網路服務提供者（ISP）申請，架設一條專有線路以供企業體專門使用，但是線路建置之費用隨距離成倍數上升，而且每個月所需負擔之網路費用亦高的嚇人，每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。VPN透過網際網路中利用協定建立專屬通道（tunnel），而達到傳統專有線路之功效。2本課程模組將探討如何建置安全的VPN環境及正確的使用管理，在便利與安全的天秤上做好權衡，不僅是MIS人員所應注重之課題，亦是主管單位所應好好考量的重點。本模組共有二個小節包括(1)虛擬私有網路概念與類型(2)建置虛擬私有網路(3)專案實作，共須三個鐘點。3Module9：虛擬私有網路(VPN)Module9-1：虛擬私有網路概念與類型(*)Module9-2：建置虛擬私有網路(*)Module9-3：專案實作(*)*初級(basic):基礎性教材內容**中級(moderate):教師依據學生的吸收情況，選擇性介紹本節的內容***高級(advanced):適用於深入研究的內容4Module9-1：虛擬私有網路概念與類型(*)5什麼是VPN?VPN是私人網路的延伸可透過Internet利用加密通道傳送資料模擬點對點連線特性封裝後資料標頭加入了路由資訊建立通道後傳送的資料已被加密，無法竊聽破解6什麼是VPN?IntranetVPNRemoteAccessVPNSitetoSiteVPN7IntranetVPN8RemoteAccessVPN9SitetoSiteVPN10為什麼麼需要要VPN?11VPN解決決方案案使用者者驗證證(UserAuthentication)位置管管理(AddressManagement)資料加加密(DataEncryption)金鑰管管理(KeyManagement)12VPN通道道技術術通道(Tunnel)使用中中間網網路基基礎架架構的的方法法被傳送送資料料(payload)的檔頭頭(header)已重新新封裝裝(encapsulate)重新封封裝後後的內內容提提供路路由資資訊13VPN通道道技術術PPTP(Point-to-PointTunnelingProtocol)L2TP(LayerTwoTunnelingProtocolwithInternetProtocolSecurity)L2TP/IPSec(InternetProtocolSecurity)14PPTPRFC2637在IP資料料段中中封裝裝PPP框框架使用TCP連線線作為為通道道管理理利用GRE(GenericRoutingEncapsulation)來封裝裝PPP框框架15L2TPRFC2661L2TP由由Cisco提提出的的L2TP是PPTP+L2F(Layer2forwarding)使用UDP連線線作為為通道道管理理L2TP封封裝PPP框架架，以以便透透過IP/X.25/Framerelay/ATM網路路來傳傳送16L2TP/IPSecRFC3193微軟的的L2TP使用用IPSecESP(EncapsulatingSecurityPayload)來加密密L2TP的資資料L2TP/IPSec擁擁有PPTP的的功能能，也也提供供IPSec安安全性性與控控制性性17PPTP與與L2TP/IPsec比較較PPTP加密金金鑰是是以使使用驗驗證程程序的的密碼碼所產產生的的雜湊湊(hash)資料加加密是是在PPP連線線程序序容易遭遭受字字典攻攻擊(dictionaryattack)使用MPPE，，以RSARC4加密密演算算法與與40/56/128位位元的的加密密金鑰鑰為基基礎連線時時只需需使用用者層層級的的驗證證18PPTP與與L2TP/IPsec比較較L2TP/IPsec透過憑憑證在在取得得密碼碼前便便設定定加密密通道道資料加加密是是在PPP連線線程序序之前前需要憑憑證或或是預預先共共用金金鑰(presharedsecretkey)使用56位位元的的DES，，或是是3DES做為為加密密基礎礎連線時需使使用者層級級與憑證的的電腦層級級驗證19VPN安全全性驗證安全性性認證採用使使用者名稱稱與密碼或是憑證的的形式授權安全性性連接限制群組原則20VPN安全全性加密安全性性加密演算法法連線加密過過程封包過濾過濾不必要要的封包21驗證安全性性-PAP透過純文字字密碼(clear-text)的證證驗方法可以截取使用者密碼碼易被破解解22驗證安全性性-CHAPCHAP,(Challenge-HandshakeAuthenticationProtocol)加密驗證機機制可避免連線線時實際密密碼的傳輸輸使用MD5加密回應應傳輸23驗證安全性性-MS-CHAP類似CHAPUseMD4MS-CHAPv2相互驗證24驗證安全性性-EAPEAP(ExtensibleAuthenticationProtocol),RFC2284任意的驗證證方法SmartCardTokenCards指紋掃描25PPTP連連接的安全全驗證PPTP連連線加密是是使用MPPE為基基礎產生MPPE金鑰MS-CHAP/MS-CHAPv2/EAP-TLS最好使用SmartCard26L2TP/IPSec連接的的安全驗證證IPSec電腦驗證證VPN用戶戶端與VPN伺服器器相互電腦腦驗證建立IPSecESPSA(SecurityAssociation)L2TP使使用者層級級驗證IPSec通道已建建立完成，，於加密模模式下運作作使用者嘗試試以PPP為基礎的的認證協定定(如EAP)建立立L2TP連線27Module9-2：建置虛擬私私有網路(*)28IntranetVPNforWindows200329IntranetVPNforWindows200330313233343536RemoteVPNforWindows200337RemoteVPNforWindows200338394041424344Windows2003使使用者VPN權權限若使用ActiveDirectory管理帳帳號可使用群群組來管管理使用用VPN撥入權權限在VPN中新增增一般遠遠端存取取原則指定群組組可以存存取VPN連線線454647484950515253545556WindowsVPNClient設設定5758596061626364SitetoSiteVPN65SitetoSiteVPNSiteAVPNIP:210.71.4.7SiteBVPNIP:192.168.33.202SiteBVPN透過PPTP撥號至至SiteAVPN進立立SitetoSiteVPN66SiteA設設定676869707172SiteBVPN設定7374757677787980818283848586878889習題90習題一請比較PPTP、L2TP、、IPSec的的差異性性。91習題二請說明RemoteVPN架構可可應用於於企業網網路中的的例子。。92習題三請說明IntranetVPN架架構可應應用於企企業網路路中的例例子。93習題四請說明SiteToSiteVPN架構可可應用於於企業網網路中的的例子。。94習題五請說明EAP驗驗證方法法與其它它驗證方方法的優優缺點。。95習題六請說明通通道技術術。96Module9-3:專案案實作(*)97建置VPN應用用環境。。利用實際際操作的的方式讓讓同學了了解VPN工作作原理。。專案目的的98專案描述述您是台商商公司的的MIS人員，，因公司司與分公公司分別別在兩岸岸，需要要建置一一個VPN的網網路架構構，確保保公司間間傳送資資料透過過VPN是被加加密過的的。需求公司與分分公司需需要以SitetoSiteVPN建立連連線總公司的的使用者者可透過過總公司司的VPN利用用RemoteAccessVPN連連線方式式存取總總公司與與