Module09-虚拟私有网路.pptx

Module9：虛擬私有網路(VPN)1

學習目的在傳統網際網路時代，跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路（Intranet），通常需要向網際網路服務提供者（ISP）申請，架設一條專有線路以供企業體專門使用，但是線路建置之費用隨距離成倍數上升，而且每個月所需負擔之網路費用亦高的嚇人，每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。VPN透過網際網路中利用協定建立專屬通道（tunnel），而達到傳統專有線路之功效。2

本課程模組將探討如何建置安全的VPN環境及正確的使用管理，在便利與安全的天秤上做好權衡，不僅是MIS人員所應注重之課題，亦是主管單位所應好好考量的重點。本模組共有二個小節包括(1)虛擬私有網路概念與類型(2)建置虛擬私有網路(3)專案實作，共須三個鐘點。3

Module9：虛擬私有網路(VPN)Module9-1：虛擬私有網路概念與類型(*)Module9-2：建置虛擬私有網路(*)Module9-3：專案實作(*)*初級(basic):基礎性教材內容**中級(moderate):教師依據學生的吸收情況，選擇性介紹本節的內容***高級(advanced):適用於深入研究的內容4

Module9-1：虛擬私有網路概念與類型(*)5

什麼是VPN?VPN是私人網路的延伸可透過Internet利用加密通道傳送資料模擬點對點連線特性封裝後資料標頭加入了路由資訊建立通道後傳送的資料已被加密，無法竊聽破解6

什麼是VPN?IntranetVPNRemoteAccessVPNSitetoSiteVPN7

IntranetVPN8

RemoteAccessVPN9

SitetoSiteVPN10

為什麼需要VPN?11

VPN解決方案使用者驗證(UserAuthentication)位置管理(AddressManagement)資料加密(DataEncryption)金鑰管理(KeyManagement)12

VPN通道技術通道(Tunnel)使用中間網路基礎架構的方法被傳送資料(payload)的檔頭(header)已重新封裝(encapsulate)重新封裝後的內容提供路由資訊13

VPN通道技術PPTP(Point-to-PointTunnelingProtocol)L2TP(LayerTwoTunnelingProtocolwithInternetProtocolSecurity)L2TP/IPSec(InternetProtocolSecurity)14

PPTPRFC2637在IP資料段中封裝PPP框架使用TCP連線作為通道管理利用GRE(GenericRoutingEncapsulation)來封裝PPP框架15

L2TPRFC2661L2TP由Cisco提出的L2TP是PPTP+L2F(Layer2forwarding)使用UDP連線作為通道管理L2TP封裝PPP框架，以便透過IP/X.25/Framerelay/ATM網路來傳送16

L2TP/IPSecRFC3193微軟的L2TP使用IPSecESP(EncapsulatingSecurityPayload)來加密L2TP的資料L2TP/IPSec擁有PPTP的功能，也提供IPSec安全性與控制性17

PPTP與L2TP/IPsec比較PPTP加密金鑰是以使用驗證程序的密碼所產生的雜湊(hash)資料加密是在PPP連線程序容易遭受字典攻擊(dictionaryattack)使用MPPE，以RSARC4加密演算法與40/56/128位元的加密金鑰為基礎連線時只需使用者層級的驗證18

PPTP與L2TP/IPsec比較L2TP/IPsec透過憑證在取得密碼前便設定加密通道資料加密是在PPP連線程序之前需要憑證或是預先共用金鑰(presharedsecretkey)使用56位元的DES，或是3DES做為加密基礎連線時需使用者層級與憑證的電腦層級驗證19

VPN安全性驗證安全性認證採用使用者名稱與密碼或是憑證的形式授權安全性連接限制群組原則20

VPN安全性加密安全性加密演算法連線加密過程封包過濾過濾不必要的封包21

驗證安全性-PAP透過純文字密碼(clear-text)的證驗方法可以截取使用者密碼易被破解22

驗證安全性-CHAPCHAP,(Challenge-HandshakeAuthenticationProtocol)加密驗證機制可避免連線時實際密碼的傳輸使用MD5加密回應傳輸23

驗證安全性-MS-CHAP類似CHAPUseMD4MS-CHAPv2相互驗證24

驗證安全性-