Module虛擬私有網(wǎng)路

Module9：虛擬私有網(wǎng)路(VPN)1學(xué)習(xí)目的在傳統(tǒng)網(wǎng)際網(wǎng)路時(shí)代，跨區(qū)域之大型公司為使各地分公司能與總公司連結(jié)以建立公司之內(nèi)部網(wǎng)路（Intranet），通常需要向網(wǎng)際網(wǎng)路服務(wù)提供者（ISP）申請，架設(shè)一條專有線路以供企業(yè)體專門使用，但是線路建置之費(fèi)用隨距離成倍數(shù)上升，而且每個(gè)月所需負(fù)擔(dān)之網(wǎng)路費(fèi)用亦高的嚇人，每每令許多中小型企業(yè)不勝負(fù)荷。而VPN技術(shù)之發(fā)展即為解決該問題的方法。VPN透過網(wǎng)際網(wǎng)路中利用協(xié)定建立專屬通道（tunnel），而達(dá)到傳統(tǒng)專有線路之功效。2本課程模組將探討如何建置安全的VPN環(huán)境及正確的使用管理，在便利與安全的天秤上做好權(quán)衡，不僅是MIS人員所應(yīng)注重之課題，亦是主管單位所應(yīng)好好考量的重點(diǎn)。本模組共有二個(gè)小節(jié)包括(1)虛擬私有網(wǎng)路概念與類型(2)建置虛擬私有網(wǎng)路(3)專案實(shí)作，共須三個(gè)鐘點(diǎn)。3Module9：虛擬私有網(wǎng)路(VPN)Module9-1：虛擬私有網(wǎng)路概念與類型(*)Module9-2：建置虛擬私有網(wǎng)路(*)Module9-3：專案實(shí)作(*)*初級(basic):基礎(chǔ)性教材內(nèi)容**中級(moderate):教師依據(jù)學(xué)生的吸收情況，選擇性介紹本節(jié)的內(nèi)容***高級(advanced):適用於深入研究的內(nèi)容4Module9-1：虛擬私有網(wǎng)路概念與類型(*)5什麼是VPN?VPN是私人網(wǎng)路的延伸可透過Internet利用加密通道傳送資料模擬點(diǎn)對點(diǎn)連線特性封裝後資料標(biāo)頭加入了路由資訊建立通道後傳送的資料已被加密，無法竊聽破解6什麼是VPN?IntranetVPNRemoteAccessVPNSitetoSiteVPN7IntranetVPN8RemoteAccessVPN9SitetoSiteVPN10為什麼麼需要要VPN?11VPN解決決方案案使用者者驗(yàn)證證(UserAuthentication)位置管管理(AddressManagement)資料加加密(DataEncryption)金鑰管管理(KeyManagement)12VPN通道道技術(shù)術(shù)通道(Tunnel)使用中中間網(wǎng)網(wǎng)路基基礎(chǔ)架架構(gòu)的的方法法被傳送送資料料(payload)的檔頭頭(header)已重新新封裝裝(encapsulate)重新封封裝後後的內(nèi)內(nèi)容提提供路路由資資訊13VPN通道道技術(shù)術(shù)PPTP(Point-to-PointTunnelingProtocol)L2TP(LayerTwoTunnelingProtocolwithInternetProtocolSecurity)L2TP/IPSec(InternetProtocolSecurity)14PPTPRFC2637在IP資料料段中中封裝裝PPP框框架使用TCP連線線作為為通道道管理理利用GRE(GenericRoutingEncapsulation)來封裝裝PPP框框架15L2TPRFC2661L2TP由由Cisco提提出的的L2TP是PPTP+L2F(Layer2forwarding)使用UDP連線線作為為通道道管理理L2TP封封裝PPP框架架，以以便透透過IP/X.25/Framerelay/ATM網(wǎng)路路來傳傳送16L2TP/IPSecRFC3193微軟的的L2TP使用用IPSecESP(EncapsulatingSecurityPayload)來加密密L2TP的資資料L2TP/IPSec擁擁有PPTP的的功能能，也也提供供IPSec安安全性性與控控制性性17PPTP與與L2TP/IPsec比較較PPTP加密金金鑰是是以使使用驗(yàn)驗(yàn)證程程序的的密碼碼所產(chǎn)產(chǎn)生的的雜湊湊(hash)資料加加密是是在PPP連線線程序序容易遭遭受字字典攻攻擊(dictionaryattack)使用MPPE，，以RSARC4加密密演算算法與與40/56/128位位元的的加密密金鑰鑰為基基礎(chǔ)連線時(shí)時(shí)只需需使用用者層層級的的驗(yàn)證證18PPTP與與L2TP/IPsec比較較L2TP/IPsec透過憑憑證在在取得得密碼碼前便便設(shè)定定加密密通道道資料加加密是是在PPP連線線程序序之前前需要憑憑證或或是預(yù)預(yù)先共共用金金鑰(presharedsecretkey)使用56位位元的的DES，，或是是3DES做為為加密密基礎(chǔ)礎(chǔ)連線時(shí)需使使用者層級級與憑證的的電腦層級級驗(yàn)證19VPN安全全性驗(yàn)證安全性性認(rèn)證採用使使用者名稱稱與密碼或是憑證的的形式授權(quán)安全性性連接限制群組原則20VPN安全全性加密安全性性加密演算法法連線加密過過程封包過濾過濾不必要要的封包21驗(yàn)證安全性性-PAP透過純文字字密碼(clear-text)的證證驗(yàn)方法可以截取使用者密碼碼易被破解解22驗(yàn)證安全性性-CHAPCHAP,(Challenge-HandshakeAuthenticationProtocol)加密驗(yàn)證機(jī)機(jī)制可避免連線線時(shí)實(shí)際密密碼的傳輸輸使用MD5加密回應(yīng)應(yīng)傳輸23驗(yàn)證安全性性-MS-CHAP類似CHAPUseMD4MS-CHAPv2相互驗(yàn)證24驗(yàn)證安全性性-EAPEAP(ExtensibleAuthenticationProtocol),RFC2284任意的驗(yàn)證證方法SmartCardTokenCards指紋掃描25PPTP連連接的安全全驗(yàn)證PPTP連連線加密是是使用MPPE為基基礎(chǔ)產(chǎn)生MPPE金鑰MS-CHAP/MS-CHAPv2/EAP-TLS最好使用SmartCard26L2TP/IPSec連接的的安全驗(yàn)證證IPSec電腦驗(yàn)證證VPN用戶戶端與VPN伺服器器相互電腦腦驗(yàn)證建立IPSecESPSA(SecurityAssociation)L2TP使使用者層級級驗(yàn)證IPSec通道已建建立完成，，於加密模模式下運(yùn)作作使用者嘗試試以PPP為基礎(chǔ)的的認(rèn)證協(xié)定定(如EAP)建立立L2TP連線27Module9-2：建置虛擬私私有網(wǎng)路(*)28IntranetVPNforWindows200329IntranetVPNforWindows200330313233343536RemoteVPNforWindows200337RemoteVPNforWindows200338394041424344Windows2003使使用者VPN權(quán)權(quán)限若使用ActiveDirectory管理帳帳號可使用群群組來管管理使用用VPN撥入權(quán)權(quán)限在VPN中新增增一般遠(yuǎn)遠(yuǎn)端存取取原則指定群組組可以存存取VPN連線線454647484950515253545556WindowsVPNClient設(shè)設(shè)定5758596061626364SitetoSiteVPN65SitetoSiteVPNSiteAVPNIP:210.71.4.7SiteBVPNIP:192.168.33.202SiteBVPN透過PPTP撥號至至SiteAVPN進(jìn)立立SitetoSiteVPN66SiteA設(shè)設(shè)定676869707172SiteBVPN設(shè)定7374757677787980818283848586878889習(xí)題90習(xí)題一請比較PPTP、L2TP、、IPSec的的差異性性。91習(xí)題二請說明RemoteVPN架構(gòu)可可應(yīng)用於於企業(yè)網(wǎng)網(wǎng)路中的的例子。。92習(xí)題三請說明IntranetVPN架架構(gòu)可應(yīng)應(yīng)用於企企業(yè)網(wǎng)路路中的例例子。93習(xí)題四請說明SiteToSiteVPN架構(gòu)可可應(yīng)用於於企業(yè)網(wǎng)網(wǎng)路中的的例子。。94習(xí)題五請說明EAP驗(yàn)驗(yàn)證方法法與其它它驗(yàn)證方方法的優(yōu)優(yōu)缺點(diǎn)。。95習(xí)題六請說明通通道技術(shù)術(shù)。96Module9-3:專案案實(shí)作(*)97建置VPN應(yīng)用用環(huán)境。。利用實(shí)際際操作的的方式讓讓同學(xué)了了解VPN工作作原理。。專案目的的98專案描述述您是臺(tái)商商公司的的MIS人員，，因公司司與分公公司分別別在兩岸岸，需要要建置一一個(gè)VPN的網(wǎng)網(wǎng)路架構(gòu)構(gòu)，確保保公司間間傳送資資料透過過VPN是被加加密過的的。需求公司與分分公司需需要以SitetoSiteVPN建立連連線總公司的的使用者者可透過過總公司司的VPN利用用RemoteAccessVPN連連線方式式存取總總公司與與