VPN

1. VPN A0943305黃明陽 指導教授:梁明章教授

2. VPN • 虛擬私有網路(Virtual Private Network ; VPN) • 跨國性的網路連結普遍化 • 資料安全性要求越來越高 • 在成本與資料安全的雙重考量下 VPN的技術誕生

3. 假設A公司要建立兩地的網路連線，可以考慮的方案有:假設A公司要建立兩地的網路連線，可以考慮的方案有: • 1.利用電話撥接 優點:簡單 缺點:傳輸速率慢(<56Kbps) 國際電話費的成本高(時間長錢多) • 2.利用專線 優點:穩定的傳輸速率(不會時間長錢多) 缺點:租用費用昂貴 • 3.利用網際網路 優點:ISP費用低 缺點:保密性低 ，風險高 3/13

4. 通道(Tunneling)技術 • 成本考量後用第3方案，但保密性低 • 利用加密技術---> 通道(Tunneling)技術 • 在公眾網路上建立一條秘密通道來傳輸資料的一種資料包裝方式(Encapsulation)。將封包封裝在另一個封包內，並加上壓縮與加密等動作。 • 現在通道技術所使用的協定主要有：PPTP 、 L2TP及IPSec等三種。 4/13

5. 通道(Tunneling)技術 • 利用通道技術，甲地的區域網路與乙地的區域網路，透過網際網路建立一個安全的傳輸管道，兩者彷彿連成一個公司專用的網路，這個網路稱為虛擬私有網路。 5/13

6. VPN優點 • 天涯若比鄰 網路世界化，企業多點化，組織的成員可能在世界各地皆有連回組織內網的需求。 • 安全的傳輸通道 行動網路技術的發展，使連網方式多樣化，資安風險大增，須確保傳輸過程的機密性。 • 彈性又經濟的專有網路 組織成員無論在何處上網，皆可形成安全通道，傳輸經過Internet，無須額外的實體專線。 6/13

7. 通道技術的封裝協定 • 點對點通道協定 (Point-to-Point Tunneling Protocol;PPTP) • 第二層通道協定 (Layer 2 Tunneling Protocol;L2TP) • 網際網路安全協定 (Internet Protocol Security;IPSec) 7/13

8. 通道技術的封裝協定 • 三者最大的不同，運用IPSec的技術，使用者可以同時使用Internet與VPN的多點傳輸功能(包括Internet/Intranet/Extranet/Remote Access 等)，而PPTP及L2TP只能執行點對點VPN的功能，無法同時執行Internet的應用，使用時較不方便， • 在安全上，IPSec會對整個傳輸資料 做加密，PPTP及L2TP則是對封包的再封裝(Encapsulation)，並未對資料做加密處理，安全性較低。 8/13

9. IPSec • 由IETF(Internet Engineering Task Force)組織制定，作為保護IP封包安全性的通用標準。 • 是一種「連接式」(Connection-Oriented)協定。它的傳送端與接收端，在傳輸之前必須先建立一條「單向」連線，那這種點對點的單向連接式協定稱為SA(Security Association)。 • 舉例: A電腦與B電腦要互相傳送資料，則必須建立AB和BA兩條SA連線 與TCP連線特性相似。 • 建立SA連線時，必定會用到ISAKMP協定，至於AH協定和ESP協定可以擇一或同時使用。 9/13

10. IPSec • ISAKMP(Internet Security Association and Key Management Protocol)協定 主要用來決定加密與解密時所使用的對稱式祕鑰(Secret key) 。 • AH(Authent icat ion Header)協定 主要用來執行「身分驗證」與「完整性檢查」(Integrity Check)兩項工作。前者避免有心人士冒用他人身分，與自己建立連線、傳輸資料;後者檢查資料在傳輸過程中，是否遭到竄改。 • ESP(Encapsulating Security Payload)協定 主要用來執行「身分驗證」和「資料加密」兩項工作。 前者功能如同AH協定;後者是對於IP封包的Payload加密(亦即對於TCP封包加密)，以避免IP封包遭攔截時，會被攔截者看出資料內容。 10/13

11. VPN應用 • Point-to-Network(單機對網路) • 又稱Host-to-Network 11/13

12. VPN應用 • Network-to-Network(網路對網路) • 又稱Router-to-Router 12/13

13. THE END 13/13