1 / 54

VPN ( 虛擬私人網路 )

VPN ( 虛擬私人網路 ). 虛擬私有網路. 組織和組織、組織和外部辦公室之間,都曾經利用過私人網路進行通訊。 只要透過電話公司和 ISP ,私人網路可以建立專屬的通訊線路。通訊線路是以點對點、位元傳輸的方式,在兩個端點之間實際建立專用電路,因而不會受其他流量的影響。 私人網路具有下列效益: 資訊維持在 『 固定流量範圍 』 。 遠端可以立即交換資訊。 遠端使用者就像是本地網路的使用者 。. 雖然私人網路擁有許多優點,但是成本卻是最大的致命點 - 費用非常昂貴 。

annice
Download Presentation

VPN ( 虛擬私人網路 )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VPN (虛擬私人網路 )

  2. 虛擬私有網路 • 組織和組織、組織和外部辦公室之間,都曾經利用過私人網路進行通訊。 • 只要透過電話公司和ISP,私人網路可以建立專屬的通訊線路。通訊線路是以點對點、位元傳輸的方式,在兩個端點之間實際建立專用電路,因而不會受其他流量的影響。 • 私人網路具有下列效益: • 資訊維持在『固定流量範圍』。 • 遠端可以立即交換資訊。 • 遠端使用者就像是本地網路的使用者。

  3. 雖然私人網路擁有許多優點,但是成本卻是最大的致命點 - 費用非常昂貴。 • 由於網際網路使用量快速成長,許多組織都已經轉變成使用虛擬私人網路(Virtual Private Network,VPN)。 • VPN以低廉的價格,提供組織許多私人網路的優點。VPN卻替組織導入新的問題和風險。 • 若能適當地架構和建置,VPN也可以為組織帶來許多好處。

  4. 架設和建置不夠妥善時,透過VPN傳輸的資訊也可能會傳送到網際網路上。 • 本章的內容如下: • 11-1虛擬私人網路的定義 • 11-2配置用戶端VPN • 11-3配置VPN站台 • 11-4認識標準的VPN技術 • 11-5認識VPN系統的類型

  5. 11-1虛擬私人網路的定義 • 所以,需要使用某種跨越Interent的建立數據專線方法,來傳送組織的敏感資訊而且仍然能夠維護流量的機密性。 • 該如何區分每一位員工的流量?扼要的答案就是 - 使用加密機制。 • 安全層(Secure Shell,SHH)和超文字安全傳輸協定(Hypertext Transfer Protocol Secure,HTTP)就是使用加密的流量,因而沒有人可以看到封包的實際內容。 • SSH和HTTPS流量並不是VPN。

  6. VPN的特色如下: • 加密:流量都已經加密過,所以也不怕被竊聽。 • 認證:已經確認過遠端的身份。 • 可以透過VPN傳送多種協定。 • 是一種點對點連線。 • 不論是SSH甚至是HTTPS,只要可以處理多協定就會非常近似VPN。 • 在Interent上面,VPN封包會和其他資料流混合,但因為只有連線的端點才能讀取流量,因此就像是開啟一條虛擬的私人通道。

  7. VPN流量是屬於加密過且能防止竊聽的流量。 • 加密機制必須非常牢靠才能保證在一段時間之後,已經傳輸的機密資訊流量仍然有效。 • 第二種特色就是已經確認遠端的使用者身份。 • 此項特色或許需要中控伺服器已經事先確認過使用者的身份,或需要VPN兩個端點相互確認身份。 • 身份確認機制也可以利用政策加以管理。

  8. VPN可以建立不同協定的處理方式,特別是處理應用層協定。 • 點對點是指 - VPN會在兩個端點之間立專屬的通道。每一個端點可能同時開啟數個VPN連接其他端點,但是每一個VPN連線都會各自使用截然不同的加密流量。 • VPN一般可以區分成『VPN用戶端』和『VPN站台』兩種類型。

  9. 圖11-1 處理多種協定的 VPN

  10. 11-2配置用戶端VPN • VPN用戶端是介於使用者和組織的站台或網路之間的虛擬私人網路,VPN用戶端通常都是做為員工出差或在家中工作的用途。 • VPN伺服器或許是組織的防火牆,或許是獨立的VPN伺服器。 • 使用者透過本地的ISP撥接、DSL線路、或纜線數據機連接Interent,並透過網際網路對組織的站台初始VPN連線。

  11. 組織的站台要求使用者確認身份,如果確認成功就會允許使用者使用組織的內部網路,而使用者就可以實際連結內部網路。組織的站台要求使用者確認身份,如果確認成功就會允許使用者使用組織的內部網路,而使用者就可以實際連結內部網路。 • VPN用戶端也允許組織限制遠端使用者可以存取的系統或檔案。 • 組織的政策和VPN產品的功能,都會影響到設限的能力。 • 當使用者使用VPN連回到組織的內部網路之後,使用者仍然可以連結網際網路並瀏覽Web網頁,或執行一般網際網路使用者的行為。

  12. VPN是使用者電腦上的一套獨立的應用程式。(詳見圖11-2)。VPN是使用者電腦上的一套獨立的應用程式。(詳見圖11-2)。 • 本節的內容如下: • 11-2-1 VPN用戶端的效益 • 11-2-2 VPN用戶端的問題 • 11-2-3 管理VPN用戶端 在某些情況下,使用者的電腦可以扮演網際網路和VPN(組織的內部網路)之間的路由器角色。因此在配置VPN用戶端之前,也要詳加調查這種攻擊的類型。某些VPN用戶端也提供可以限制這種攻擊類型的政策元素。

  13. 圖11-2 使用者VPN組態設定

  14. 11-2-1 VPN用戶端的效益 • VPN用戶端的兩種主要效益如下: • 員工可隨時隨地存取電子郵件、檔案和內部系統,而不需耗費長途通訊撥回組織的伺服器。 • 在家工作的員工不需要昂貴的數據專線,即可存取在組織內部才能存取的網路服務。 • 某些透過撥接系統的使用者,也可能因為VPN而增加網路存取速度。 56K撥接線路也不一定保證加快傳輸速度。例如使用者的Interent連線速度、組織的網際網路連線速度、網際網路的擁塞程度和VPN伺服器的同時連線的數量等,這些都是影響速度的因素之一。

  15. 11-2-2 VPN用戶端的問題 • 適當利用VPN用戶端確實可以降低組織的支出成本,但是VPN並非萬靈丹,伴隨而來的卻是重大的安全風險和建置問題。 • 或許使用VPN最大的單一安全問題,就是員工同時連線到其他網際網路站台。 • 如果使用者電腦已經遭到特洛依木馬程式的侵害,就有可能衍生出更多的問題 -駭客利用員工的電腦連線到組織的內部網路(詳見圖11-3),而且越來越有可能發生這種攻擊的類型。

  16. VPN用戶端也同樣需要注意內部系統的使用者管理問題。VPN用戶端也同樣需要注意內部系統的使用者管理問題。 • 在使用者利用VPN之前,必須事先確認使用者身份。 • 一旦VPN允許遠端使用者存取組織的內部網路,就會需要兩種身份確認的因素。 • 因素一可能是使用者自己的電腦。如果不是使用者自己的電腦時,就會需要確認確實是使用者本人。 • 因素二無論如何都只有使用者本人才會知道的某些事情。 如果不是使用中控化使用者管理系統時,組織的使用者管理程序必須在員工離職後移除使用者帳號。

  17. 圖11-3 使用特洛依木馬程式存取組織的情形

  18. 組織也必須考量VPN的流量負載,這是由於VPN的主要負載會出現在組織端的VPN伺服器上面。組織也必須考量VPN的流量負載,這是由於VPN的主要負載會出現在組織端的VPN伺服器上面。 • VPN伺服器允許同時連線的數量,就是流量負載的重要參數。 • 影響組織使用VPN的意願,和遠端連線所使用的網路位址轉譯(Network Address Translation,NAT,詳見第16章)有關。

  19. 11-2-3 管理VPN用戶端 • 管理VPN用戶端的最主要問題,就是管理使用者和使用者的電腦。 • 合適的使用者管理程序,應該可以處理新進員工和離職員工的管理問題。 • 在使用者的電腦上,應該要安裝恰當的VPN軟體版本並正確設定。 • 如果屬於組織所擁有的電腦,VPN軟體就是電腦必備的標準軟體。

  20. 如果組織允許員工從家裡使用VPN連線時,就需要全力協助員工設定不同的電腦和ISP連線需求。 • 在使用者的電腦上,也不要忘了安裝良好的防毒軟體,這也是影響VPN用戶端的重要因素。 • 防毒軟體通常都有自己定期更新(至少一個月一次)的數位簽章,才能防止病毒和特洛依木馬程式載入到使用者的電腦中。 組織可能也會希望調查並提供員工SOHO族使用的防火牆。這類防火牆系統,大多數都可以進行遠端管理,因此公司就可以執行遠端監控和設定。

  21. 11-3配置VPN站台 • 組織可以利用VPN站台和遠端辦公室連線,而無須架設昂貴的數位專線。 • VPN站台也可以依據特定的商業目標,建立兩個組織之間專用通訊線路。 • 一般來說,可以在防火牆或邊界路由器架設VPN,並和其他的防火牆或邊界路由器連線(詳見圖11-4)。

  22. 在初始連線方面,初始連線的站台會嘗試將流量傳送給其他站台,不過也會導致兩個VPN端點初始VPN連線。在初始連線方面,初始連線的站台會嘗試將流量傳送給其他站台,不過也會導致兩個VPN端點初始VPN連線。 • 兩個端點會依據站台的政策,協調連線的參數。 • 這兩個端點會利用某些預先設定或公眾鎖鑰認證等,這類共享秘密做為任何一個端點的身分確認。 • 某些組織會利用VPN做為數據專線的備援通道。

  23. 本節的內容如下: • 11-3-1 VPN站台的效益 • 11-3-2 VPN站台的問題 • 11-3-3 管理VPN站台 在使用這種類型時,必須非常謹慎設定VPN站台的組態設定,並確認已經適當設定路由(routing),而且VPN所使用的實體線路和數據專線所使用的線路也有所不同。或許,你會發現實體線路同時含有數據專線和VPN線路,但是這種線路可能無法提供您所期望的備援線路。

  24. 圖11-4 跨越網際網路的站台對站台 VPN

  25. 11-3-1 VPN站台的效益 • 和VPN用戶端一樣,VPN站台的最主要效益也是節省支出費用。 • 組織外圍的遠端辦公室,可以利用虛擬網路連線到中控站台(或遠端辦公室相互連線),如此即可節省可觀的支出費用。 • 在遠端站台如何和中控站台連線或相互連線方面,可以依據組織的政策建立連線規則。 • 如果是做為兩個組織連線的VPN站台,也可以在個別組織的VPN站台上,設定存取內部網路和電腦系統的限制規則。

  26. 11-3-2 VPN站台的問題 • 組織的VPN站台安全層面,會擴展到遠端站台甚至是遠端組織。 • 如果遠端站台的安全性不足,VPN或許會允許入侵者取得中控站台的存取權,甚至也可能取得組織內部其他網路的存取權。 • 在兩個組織利用VPN連結網路的範例中,每個連線端點的安全政策都是非常重要。 • 擁有這些連線端點的組織,都應該定義是否允許網路流量跨越VPN,而且也要適當地設定防火牆政策。

  27. VPN站台的身份確認,也是非常重要的安全問題。VPN站台的身份確認,也是非常重要的安全問題。 • 隨機利用共享機密來建立連線或許較為適當,而且任兩個VPN連線也不能使用相同的共享秘密。 • 如果使用公眾鎖鑰時,就必須建立可以變更和廢除認證的程序。 • 和VPN用戶端一樣,VPN伺服器也需要處理VPN流量的加密和解密工作。

  28. 需要特別調查定址的問題。 • 如果VPN站台使用組織的網路位址,組織就應該協調所有站台的位址計畫。 • 如果是在兩個不同的組織之間使用VPN站台,需要非常謹慎並避免發生位址衝突。 • 圖11-5顯示某處發生位址衝突的情形。 • 定址計畫若發生衝突,且無法正常地路由流量時,每一端的VPN都應該執行NAT,並將其他組織的系統位址,重新定址成自己組織的定址計畫(詳見圖11-6)。

  29. 圖11-5 可能會導致定址混淆的VPN站台

  30. 圖11-6 利用NAT解決定址混淆的VPN站台

  31. 11-3-3 管理VPN站台 • 在建立連線之後,組織應該監控VPN站台並確保資料流量平順。 • 應該定期檢查VPN站台所使用的規則,確保這些規則都可以符合組織的政策規範。 • 經常管理VPN站台,才能讓路由問題維持在控制之下。 • 需要在內部網路的路由器上面,建立遠端站台的路徑轉送資訊。

  32. 在定址計畫的管理範圍中,也應該包含這些路徑資訊並詳加記載,以防路由器維護時不慎刪除這些轉送路徑。

  33. 11-4認識標準的VPN技術 • VPN的四種重要元素如下: • VPN伺服器 • 加密演算法 • 身份確認系統 • VPN協定 • 這四種元素分別達成組織的安全、效率,以及不同VPN設備相互溝通的需求,適當的VPN架構和適當的身份確認需求息息相關。

  34. 需求的定義如下: • 資訊需要保護的時間長度 • 使用者同時連線的數量 • 使用者可能的連線類型(在家工作的員工 v.s. 出差的員工) • 遠端站台的連線數量 • 需要連線的VPN類型 • 遠端站台可能產生的流量 • 控管安全組態設定的安全政策

  35. 本節的內容如下: • 11-4-1 VPN伺服器 • 11-4-2 加密演算法 • 11-4-3 身份確認系統 • 11-4-4 VPN協定

  36. 11-4-1 VPN伺服器 • VPN伺服器是一種扮演VPN端點的電腦系統,它必須要能夠處理可能發生的負載容量。 • 大多數的VPN軟體供應商,應該都要提供處理器速度的需求,以及依據VPN同時連線的數量計算出來的記憶體需求,並且預留連線數量成長的空間。 • 某些供應商也同樣提供容錯和備援VPN伺服器。 或許需要建立多台VPN伺服器,來處理可能發生的負載。在這樣的情況下,應該盡可能依據系統的數量平均分配VPN連線的數量。

  37. VPN伺服器也同樣必須架設在網路上。 • VPN伺服器可能架設在防火牆或邊界路由器(詳見圖11-7)上面,這樣會讓VPN伺服器的置換工作容易些。 • 也可以在獨立系統架設VPN伺服器。在這樣的情況下,應該將伺服器放在專屬的DMZ區域中(詳見圖11-8)。 如果是在VPN DMZ架設VPN伺服器,或許也會需要改善防火牆的流量負載。甚至防火牆也不能處理加密功能時,可能需要變更原始防火牆的容量,才能處理VPN相關的流量。如果組織的VPN流量非常重要,可能也需要考慮使用容錯型防火牆。換句話說,或許也可以考慮使用獨立的VPN設備,而且也可以減輕防火牆的VPN處理。

  38. 圖11-7 利用防火牆做為VPN伺服器,也是非常適合的VPN網路架構

  39. 圖11-8 獨立的VPN伺服器,也是非常適合的VPN網路架構

  40. 表11-1的內容,是針對VPN DMZ的防火牆政策規則定義。內容不但含有網際網路 DMZ的規則需求,也含有VPN DMZ的規則、需求。

  41. 11-4-2 加密演算法 • VPN應該使用著名的、非常牢靠的加密演算法(詳見第12章)。 • 一般而言,所有知名的、牢靠的演算法皆可用於VPN。 • 設計限制、許可問題、或程式設計參考等因素,會影響許多供應商的決定。 • 在購買VPN套裝軟體時,最好詳加詢問VPN使用的演算法類型。

  42. 系統建置影響整體安全的程度更高,建置不良的系統和任何演算法毫不相關。系統建置影響整體安全的程度更高,建置不良的系統和任何演算法毫不相關。 • 使用VPN就會有風險。為了成功取得透過VPN傳送的資訊,攻擊者必須做到下列事項: • 擷取完整的交談內容,也就是說必須在所有VPN流量必經的兩端點之間架設sniffer。 • 必須使用大量的電腦資源和時間,才能暴力破解鎖鑰和加密流量。

  43. 11-4-3 身份確認系統 • VPN架構的第三部分就是身份確認系統。前面的內容曾經提過,VPN應該使用雙重身份確認系統。 • 利用個人知道、個人擁有、個人獨有的資訊,皆可做為使用者身份確認。以VPN用戶端而言,使用者個人知道、個人擁有即為最佳選擇。 • 智慧卡和PIN或密碼的結合,也是很好的組合。

  44. VPN軟體製造商,通常都會提供幾種身份確認系統供組織選擇。VPN軟體製造商,通常都會提供幾種身份確認系統供組織選擇。 • 身份確認系統的清單之中,通常也會列出前幾大智慧卡供應商的名稱。 使用智慧卡會增加每一個VPN使用者的成本。雖然這種作法會降低配置VPN的實質效益,不過只要可以降低風險也就值得。

  45. 11-4-4 VPN協定 • 周遭的因素影響系統安全的程度,遠遠超過加密演算法的影響。 • VPN協定只是影響整體系統安全的一部份,這都是因為VPN協定會交換兩端點之間的加密鎖鑰。 • 使用標準協定會比專有協定來得好。 • 目前VPN使用的標準協定是IPSec協定。這個協定附帶地會將IP封裝、加密TCP標頭和打散封包。

  46. IPSec也同樣會處理鎖鑰交換、遠端站台身份確認、含協商演算法(加密演算法和雜湊功能都有)。IPSec也同樣會處理鎖鑰交換、遠端站台身份確認、含協商演算法(加密演算法和雜湊功能都有)。 • IPSec使用UDP連接埠500初始協商,接著使用IP協定連接埠50傳輸所有流量。系統必須允許使用這些協定,如此VPN才能發生作用。 為了要使用VPN,客戶可能必須購買商業套件,而不是使用一般流量的套件。

  47. IPSec主要使用安全基座層(Secure Socket Laayer,SSL)協定或是HTTP(利用連接埠443的HTTPS)。 • 如果使用SSL,由於SSL是屬於應用層的協定,也許無法提供IPSec所需的效率。

  48. 11-5認識VPN系統的類型 • 組織也需要選擇採購的系統類型。VPN三種主要的系統類型如下: • 硬體系統 • 軟體系統 • Web系統 • 本節的內容如下: • 11-5-1 硬體系統 • 11-5-2 軟體系統 • 11-5-3 Web型系統

  49. 11-5-1 硬體系統 • 硬體VPN系統一般都會包含可以做為VPN伺服器的硬體設備。 • 硬體設備會執行製造商的軟體,而且可能會包含某些增進系統加密能力的特殊硬體。 • 在大多數的情況下,遠端使用者系統只需要可以建立VPN的軟體即可。 • 這些硬體設備也同樣可以用在站台對站台的VPN,不過卻要依據製造商而定。

  50. 硬體VPN系統具有下列兩項主要效益: • 速度:支援VPN的硬體系統大多已經最佳化調整過,且速度優勢也超過一般用途電腦系統。 • 安全:如果是專為VPN設計的硬體設備,應該都已經移除所有不相關的軟體和程序。因此,受到攻擊的漏洞數量會比一般用途電腦系統要少。 事實上,VPN系統硬體設備的系統之中,可能也會含有導致遭受攻擊的漏洞。因此,系統的擁有人必須隨時修補系統的漏洞。

More Related