vpn(virtual private network,虛擬私人網路)
籍由通道協定在不安全的網路中建立起安全可靠的連線
VPN依解決問題可以分成三大項目
1 遠端存取VPN:
連結Mobile User(移動用戶)及小型的分公司,透過電話撥接上網來存取企業網路資源
原本使用RAS遠端存取服務
讓多使用者各自從遠端連線的工業標準,有多少客戶端就拉幾條專線過去,如ISDN
不需軟體配合
管理與維護複雜
擴充不易,安全較差
使用VPN,或叫VPDN(virtual private dialup network,虛擬私密撥接網路)
伺服端需有專線到ISP,而客戶端會向ISP連線
需軟體配合,可使用l2f,l2tp在ip上實作,並運用ppp訊框
管理與維護容易,只需處理伺服端到ISP的連線,其他工作交由ISP去負責
擴充容易,成本較低
2 Intranet VPN:
是利用Internet來將固定地點的總公司及分公司加以連結,成為一個企業總體網路
原本使用WAN:穩定安全
使用傳統技術或用WAN技術來實做如x.25,frame relay,atm等租用專線來連接站台,
不需軟體配合,只要連線兩端使用相同通訊協定即可
管理與維護較不複雜,主要是典型網管基本技巧,但隨著規模擴大會逐漸困難
較穩定也較安全,除非有人偷接電纜
擴充較麻煩,需處理各端實體線路,花費也較昂貴
使用VPN:擴充易成本低
VPN也可使用isdn,frame relay等,但線路須連到isp
需與軟體相配合以確保安全的連線,如ssh,l2f,l2tp,pptp
管理與維護較複雜,須了解vpn運作原理,但若選對好的isp則可省事許多
穩定性逐漸提高,因架構在不斷改良的不可靠技術internet上
擴充容易,可直接向isp要求增加頻寬,或設備
也叫site-to-site vpn
3 Extranet VPN:
則是將Intranet VPN的連結再擴展到企業的經營夥伴,如供應商及客戶,以達到協力廠商彼此資訊共享的目的。
也叫LAN-to-LAN VPN,服務品質較不嚴格,適合透過網際網路
依服務供應商和用戶在那個osi層交換拓樸資訊分
overlay model(覆疊模式):服務供應商只提供vc(邏輯的專線),路徑資訊直接在邊境用戶路由器間交換
第二層vpn:x.25,frame relay,atm,pptp,MPLS VPN
第三層vpn:ipsec,gre,MPLS VPN
peer model(對等模式):會交換第三層的路徑資訊,且用戶路徑資訊是在用戶路由器與服務供應商路由器間交換
vpn也可被分為以下三種
trusted vpn:通道實質上是一條邏輯的電路
ex:ATM or frame relay circuits , MPLS
secure vpn:通道使用加密技術
ex:ipsec ssl tls with encryption,ipsec inside of l2tp
hybrid vpn:在trusted vpn上建立secure vpn
vpn的核心技術包括
Tunneling(穿隧技術):在公眾網路上建立一條秘密通道
將私有數據網路的資料在公眾數據網路上傳輸的一種資料Encapsulation(包裝方式)
穿隧技術協定主要有:IPsec、PPTP 及 L2TP 等三種
encryption/decryption(加解密技術) ex:des,3des,rsa
key management(金鑰管理) ex:ike
user authentication(認證) ex:radius,tacas
ps:其他有資料完整性,firewall,IDS,…等
第一個VPN以X.25和frame relay的技術為基礎,然後又發展出smds和atm
VPN建立後,任何該VPN用戶在兩個端點間只會看到一個跳躍
使用虛擬的連線,這是一種暫時性的連線
優點:相較於傳統的專線式網路連結成本較低,網路架構彈性較大
………………
不同廠商的vpn產品可能會有互通性不相容的問題
vpn與設備相容性:
+firewall:需將vpn用的port打開
+proxy:有些無法一起運作,最好讓vpn伺服器以多寄主multi-home的方式架構在internet與lan間,各走各的路
+nat:建議使用double-router(雙路由器)的建構方式,並讓vpn伺服器以multi-home架構,或設在vpn伺服器後
VPN產品
硬體式的VPN系統
最常見的硬體式的VPN設備便是VPN Router(VPN加密的路由器)。因為這些設備將加解密的鑰匙儲存於記憶體中,故較不易被損壞,同時加解密的速度亦較快;尤其是專線頻寬較高之企業,硬體式的設備應是較佳的選擇。此外,若再搭配VPN Client Software(個人用戶使用的VPN軟體),則其功能亦與軟體式的VPN產品相近。
ex:cisco router,cisco vpn client
軟體式的VPN
軟體式的VPN產品乃是架設於伺服器及作業平台之上,可以提供較為彈性的功能,例如依據目的地位址或通訊協定來建立VPN通道。相對的,硬體式的VPN系統則多數依據位址目的地來建立VPN通道,將傳輸的所有通訊協定均加密。
然而,軟體式的VPN產品通常較難以管理;需要對作業系統、VPN軟體及相關之網路安全機制均有相當程度的了解,才能真正管理好VPN系統。同時,有些 VPN軟體亦需要對Routing Table(路由路徑表)及Network Address Scheme(網路IP位址規劃)加以修改。
與防火牆相結合的VPN系統
與防火牆相結合的VPN系統自然承襲了防火牆安全功能的優點,使進出的交通均能受到較佳的限制及保護,以及強化的認證功能。一般而言,相當多的VPN廠商並沒有提供對於其作業系統的安全保護。若是採用硬體式且具有VPN功能的防火牆設備,則本身便已對其運作的Harden O.S(作業系統做了補強作用),事先將所有不必要及有危險的Service(服務)均加以去除,以確保此VPN設備不會被駭客所入侵,而導致整體VPN 系統功能無法運作。
同時擁有VPN及防火牆功能的設備,對於網路的安全建構有相當大的好處,只需一台機器便可擁有兩項不可或缺的功能,建置成本明顯降低,且管理的負擔亦較輕。
ex:整合pix firewall,vpn concentrator的cisco asa(adaptive security appliance)
………………..
vpn常見問題
連線問題
電訊線路固障如轉接器負荷過重,isp的問題如線路過忙,用戶本身問題如設定組態問題,設備和isp不相容
驗證問題
帳號密碼不符,雙方用不同的驗證方式,如一邊pap另一邊chap
傳輸問題
無法透過internet與某特定主機連線,或無法存取internet,可能因選徑問題,可能是自己組態未設好或isp的路由器沒設定好
vpn保全措施
限制那些人可以存取vpn,client端不能用multi-home方式連線,也就是split-tunnel(分叉通道)
限制vpn使用者所能做的事,需控制存取權,持續保持開放容易成為收攻擊的點
避免vpn伺服器與路由器的資訊公開到公眾dns
………………………………
GRE(Generic Routing Encapsulation,通用路由封裝)
Cisco開發的tunneling協定
一種基於IP的隧道技術,可被用來在基於IP的骨幹網上傳輸多種協議的數據流量,如IPX、AppleTalk等。
優點為支援IGP,支援多協定(大部份VPN不支援IGP與多協定)
並不屬於安全性的通道,但可以和其他加密技術合用,像是ipsec+gre
PPTP主要使用gre技術建立VPN
使用tcp1723,ip47
SSL VPN
運用瀏覽器與VPN閘道器建立SSL連線,使資料既可以保密,同時企業內部網路也可經由此通道存取。
最重要的是,由於它是透過使用每部電腦都有的瀏覽器,因此使用者可以在任何地方任何電腦存取企業內部資源。
缺點:
它不像IPSec VPN在網路層上加密運作,而是在應用層上運作,首先效能就無法跟上IPSec VPN(目前尚無SSL VPN的硬體式加速設備)。
由於SSL VPN根基於瀏覽器,因此一些非Web-based的應用程式便必須經過測試與設定才能存取。
使用者可以存取的應用程式必須是網路管理者事先定義好的(網管者無可避免的負擔!),無法像IPSec VPN一樣只要連接上網所有IP-based的應用程式都可使用、存取。
前市面上的SSL VPN產品多能存取Outlook、Notes、Exchange、Citrix、Microsoft Terminal Service