Module09-虛擬私有網(wǎng)路

Module9：虛擬私有網(wǎng)路(VPN)1學(xué)習(xí)目的在傳統(tǒng)網(wǎng)際網(wǎng)路時(shí)代，跨區(qū)域之大型公司為使各地分公司能與總公司連結(jié)以建立公司之內(nèi)部網(wǎng)路（Intranet），通常需要向網(wǎng)際網(wǎng)路服務(wù)提供者（ISP）申請(qǐng)，架設(shè)一條專有線路以供企業(yè)體專門使用，但是線路建置之費(fèi)用隨距離成倍數(shù)上升，而且每個(gè)月所需負(fù)擔(dān)之網(wǎng)路費(fèi)用亦高的嚇人，每每令許多中小型企業(yè)不勝負(fù)荷。而VPN技術(shù)之發(fā)展即為解決該問題的方法。VPN透過網(wǎng)際網(wǎng)路中利用協(xié)定建立專屬通道（tunnel），而達(dá)到傳統(tǒng)專有線路之功效。2本課程模組將探討如何建置安全的VPN環(huán)境及正確的使用管理，在便利與安全的天秤上做好權(quán)衡，不僅是MIS人員所應(yīng)注重之課題，亦是主管單位所應(yīng)好好考量的重點(diǎn)。本模組共有二個(gè)小節(jié)包括(1)虛擬私有網(wǎng)路概念與類型(2)建置虛擬私有網(wǎng)路(3)專案實(shí)作，共須三個(gè)鐘點(diǎn)。3Module9：虛擬私有網(wǎng)路(VPN)Module9-1：虛擬私有網(wǎng)路概念與類型(*)Module9-2：建置虛擬私有網(wǎng)路(*)Module9-3：專案實(shí)作(*)*初級(jí)(basic):基礎(chǔ)性教材內(nèi)容**中級(jí)(moderate):教師依據(jù)學(xué)生的吸收情況，選擇性介紹本節(jié)的內(nèi)容***高級(jí)(advanced):適用於深入研究的內(nèi)容4Module9-1：虛擬私有網(wǎng)路概念與類型(*)5什麼是VPN?VPN是私人網(wǎng)路的延伸可透過Internet利用加密通道傳送資料模擬點(diǎn)對(duì)點(diǎn)連線特性封裝後資料標(biāo)頭加入了路由資訊建立通道後傳送的資料已被加密，無法竊聽破解6什麼是VPN?IntranetVPNRemoteAccessVPNSitetoSiteVPN7IntranetVPN8RemoteAccessVPN9SitetoSiteVPN10為什麼需要VPN?11VPN解決方案使用者驗(yàn)證(UserAuthentication)位置管理(AddressManagement)資料加密(DataEncryption)金鑰管理(KeyManagement)12VPN通道技術(shù)通道(Tunnel)使用中間網(wǎng)路基礎(chǔ)架構(gòu)的方法被傳送資料(payload)的檔頭(header)已重新封裝(encapsulate)重新封裝後的內(nèi)容提供路由資訊13VPN通道技術(shù)PPTP(Point-to-PointTunnelingProtocol)L2TP(LayerTwoTunnelingProtocolwithInternetProtocolSecurity)L2TP/IPSec(InternetProtocolSecurity)14PPTPRFC2637在IP資料段中封裝PPP框架使用TCP連線作為通道管理利用GRE(GenericRoutingEncapsulation)來封裝PPP框架15L2TPRFC2661L2TP由Cisco提出的L2TP是PPTP+L2F(Layer2forwarding)使用UDP連線作為通道管理L2TP封裝PPP框架，以便透過IP/X.25/Framerelay/ATM網(wǎng)路來傳送16L2TP/IPSecRFC3193微軟的L2TP使用IPSecESP(EncapsulatingSecurityPayload)來加密L2TP的資料L2TP/IPSec擁有PPTP的功能，也提供IPSec安全性與控制性17PPTP與L2TP/IPsec比較PPTP加密金鑰是以使用驗(yàn)證程序的密碼所產(chǎn)生的雜湊(hash)資料加密是在PPP連線程序容易遭受字典攻擊(dictionaryattack)使用MPPE，以RSARC4加密演算法與40/56/128位元的加密金鑰為基礎(chǔ)連線時(shí)只需使用者層級(jí)的驗(yàn)證18PPTP與L2TP/IPsec比較L2TP/IPsec透過憑證在取得密碼前便設(shè)定加密通道資料加密是在PPP連線程序之前需要憑證或是預(yù)先共用金鑰(presharedsecretkey)使用56位元的DES，或是3DES做為加密基礎(chǔ)連線時(shí)需使用者層級(jí)與憑證的電腦層級(jí)驗(yàn)證19VPN安全性驗(yàn)證安全性認(rèn)證採用使用者名稱與密碼或是憑證的形式授權(quán)安全性連接限制群組原則20VPN安全性加密安全性加密演算法連線加密過程封包過濾過濾不必要的封包21驗(yàn)證安全性-PAP透過純文字密碼(clear-text)的證驗(yàn)方法可以截取使用者密碼易被破解22驗(yàn)證安全性-CHAPCHAP,(Challenge-HandshakeAuthenticationProtocol)加密驗(yàn)證機(jī)制可避免連線時(shí)實(shí)際密碼的傳輸使用MD5加密回應(yīng)傳輸23驗(yàn)證安全性-MS-CHAP類似CHAPUseMD4MS-CHAPv2相互驗(yàn)證24驗(yàn)證安全性-EAPEAP(ExtensibleAuthenticationProtocol),RFC2284任意的驗(yàn)證方法SmartCardTokenCards指紋掃描25PPTP連接的安全驗(yàn)證PPTP連線加密是使用MPPE為基礎(chǔ)產(chǎn)生MPPE金鑰MS-CHAP/MS-CHAPv2/EAP-TLS最好使用SmartCard26L2TP/IPSec連接的安全驗(yàn)證IPSec電腦驗(yàn)證VPN用戶端與VPN伺服器相互電腦驗(yàn)證建立IPSecESPSA(SecurityAssociation)L2TP使用者層級(jí)驗(yàn)證IPSec通道已建立完成，於加密模式下運(yùn)作使用者嘗試以PPP為基礎(chǔ)的認(rèn)證協(xié)定(如EAP)建立L2TP連線27Module9-2：建置虛擬私有網(wǎng)路(*)28IntranetVPNforWindows200329IntranetVPNforWindows200330313233343536RemoteVPNforWindows200337RemoteVPNforWindows200338394041424344Windows2003使用者VPN權(quán)限若使用ActiveDirectory管理帳號(hào)可使用群組來管理使用VPN撥入權(quán)限在VPN中新增一般遠(yuǎn)端存取原則指定群組可以存取VPN連線454647484950515253545556WindowsVPNClient設(shè)定5758596061626364SitetoSiteVPN65SitetoSiteVPNSiteAVPNIP:210.71.4.7SiteBVPNIP:192.168.33.202SiteBVPN透過PPTP撥號(hào)至SiteAVPN進(jìn)立SitetoSiteVPN66SiteA設(shè)定676869707172SiteBVPN設(shè)定7374757677787980818283848586878889習(xí)題90習(xí)題一請(qǐng)比較PPTP、L2TP、IPSec的差異性。91習(xí)題二請(qǐng)說明RemoteVPN架構(gòu)可應(yīng)用於企業(yè)網(wǎng)路中的例子。92習(xí)題三請(qǐng)說明IntranetVPN架構(gòu)可應(yīng)用於企業(yè)網(wǎng)路中的例子。93習(xí)題四請(qǐng)說明SiteToSiteVPN架構(gòu)可應(yīng)用於企業(yè)網(wǎng)路中的例子。94習(xí)題五請(qǐng)說明EAP驗(yàn)證方法與其它驗(yàn)證方法的優(yōu)缺點(diǎn)。95習(xí)題六請(qǐng)說明通道技術(shù)。96Module9-3:專案實(shí)作(*)97建置VPN應(yīng)用環(huán)境。利用實(shí)際操作的方式讓同學(xué)了解VPN工作原理。專案目的98專案描述您是臺(tái)商公司的MIS人員，因公司與分公司分別在兩岸，需要建置一個(gè)VPN的網(wǎng)路架構(gòu)，確保公司間傳送資料透過VPN是被加密過的。需求公司與分公司需要以SitetoSiteVPN建立連線總公司的使用者可透過總公司的