資訊與網路安全技術 第 十二章 虛擬私有網路 - IPSec    下一頁

 

第十二章 虛擬私有網路 - IPSec

『重兵部署各地關口,進可攻、退可守』『縱橫面、垂直線聯合作戰』;此為國際商場的大戰略,之間聯絡網即是『虛擬私有網路』

12-1 虛擬私有網路簡介

內容:

  • 12-1 虛擬私有網路簡介

  • 12-2 VPN 網路型態

『虛擬私有網路』Virtual Private Network, VPN)是網路安全另一個重要的措施,概括而言,它是希望在不安全的『公眾網路』(Public Network)上建立一個具安全性較高的『私有網路』。然為何稱之為『虛擬』?是因安全網路是利用軟體或硬體附加在原本不安全網路上,可隨時依其需要建立一個安全通道,使用完畢之後,該安全連線立即消失,並未改變原來的網路架構,故而稱之

目前所指『公眾網路』大多以 Internet 網路為代表,其組成是經由一些不相干的網路連結而成,網路之間並無特別的管理機制,任何人不經授權都可以自由存取網路上所提供的資源。所以公眾網路的管理既鬆散又不安全,所傳輸的資料除了不具保密性之外,也不保證可以安全到達目的地。一般所指『私有網路』皆是屬於機關行號自行建構的網路,此網路大多僅提供組織內的需求,如工廠自動化、電子化辦公室等等。私有網路內所傳輸的資料較具機密性,多半不願意給外人知曉,因此,私有網路必須經過特殊保護其安全性,且不輕易與外界網路相連。

當公司規模還不是很大時,私有網路大多只侷限於某一區域內,因此只要利用防火牆管制公眾網路與私有網路之間的通訊即可。一旦公司組織擴充至全球各地時,如何結合各地分屬機構網路成為一個安全性較高的私有網路,則非仰賴『虛擬私有網路』技術不可。早期私有網路上大多僅提供檔案伺服功能,應用系統多侷限於 NetBEUI上開發,譬如,Novel Netware Microsoft Network 等『區域網路作業系統』(NOS),此時建構的防火牆只要將 NetBEUI 過濾掉,避免跨越防火牆到公眾網路,即可達到內部網路的防護功能,倘若需要建構 VPN 時,也只需將 NetBEUI 訊框經過包裝後,再經由公眾網路傳遞到另一個私有網路即可,比較典型的 VPN 技術為『點對點通道協定』(Point-To-Point Tunneling Protocol, PPTP)與『第二層通道協定』(Layer 2 Tunneling Protocol, L2TP)【注意:上述兩協定也可以封裝轉送 IPIPXX.25Frame RelayATM 協定】。

近幾年來,許多私有網路已將應用系統轉移到 TCP/IP 協定上,也就是將 Internet 的連結技術應用到一般的電子化辦公室裡,客戶端只需使用瀏覽器(Web-based)便可處理一般事務,這就是所謂的『網域內網路』(Intranet)。如此說來,公眾網路與私有網路已使用同樣的通訊協定(TCP/IP),之間的連結效率會比原來包裝(如 PPTP)後再傳送還高。另外,目前很多公司的分屬機構散落全球各地,出差人員必須隨時繞著地球跑,且必須和總公司或各分公司隨時保持連絡,擷取所需的資料(通常具機密性),如果網路上還是利用安全性較低的 TCP/IP 協定,那幾乎是不可行的。因此,需仰賴安全性較高的 IP 協定,這就是所謂的『IP 安全協定』(IP Security Protocol, IPSec)。

12-2 VPN 網路型態

簡而言之,整合各地的區域網路成為一個安全性較高的網路系統,即為『虛擬私有網路』的基本概念。隨著時代的變遷,虛擬私有網路主要有兩種基本型態WAN-VPN 架構 Internet-VPN 架構

12-2-1 WAN-VPN 架構

欲連結各地區域網路成為一個安全性較高的私有網路,最簡單的方法就是向電信公司(如中華電信公司)承租『專線』連接(或稱專屬鏈路),此種網路型態稱之為『廣域網路的虛擬私有網路』(WAN-VPN,如圖 12-1 所示。基本上,電信公司只提供固定連線,沒有路徑選擇功能,並依照傳輸速率與連線距離計費,傳輸速率可介於 64 Kbits 至數百 Gbits 之間。計費方式與傳輸量無關,完全依照傳輸速率與距離計算月租費,如果傳輸距離較近(如圖 12-1,網路之間的地理位置),費率尚可接受,一旦距離過遠(如台北與高雄之間),則月租費已貴得嚇人,更何況跨越國際之間,那幾乎是不可行。再說,WAN-VPN 僅侷限於事先固定的地理位置之間傳輸訊息,無法隨時移動位置。換句話說,出差人員所到達的地方,除非是架設 VPN 的地區,否則無法與原公司的私有網路通訊。早期為了克服這個問題,大多利用電話撥接來達成,但電話網路傳輸速率慢,而且電話費也很貴,並不完美。由此可見,WAN-VPN 已無法滿足目前國際化的商業環境使用。

但話說回來,WAN-VPN 專屬網路的安全性最高,因為與外界網路完全隔離,閒雜人等不易入侵。因此,WAN-VPN 無需特殊的防護設施,其應用範圍也多侷限於安全防護要求較高的組織單位,如國防部軍事管理的網路系統。

12-1 WAN-VPN 網路型態

其實 WAN-VPN 網路在市場上已使用了不算短的時日,早期 Internet 網路尚未流行時,各公司行號只能向電信公司承租專線連接,但礙於費用高,租用的傳輸速率都不會太高。目前專屬連線大多使用於距離較近的區域網路,或是私有網路與 ISP 機房之間的連線(大都會網路連接)。

12-2-2 Internet-VPN 架構

如前所述,承租沒有路由功能的專線不但價格昂貴,而且也受限於架設位置。俗擱大碗乃是一般人們所欲追求的目標,目前盛行於全球的 Internet 可說是不二人選。利用 Internet 建構 VPN 網路,不但價格便宜,還可藉 Internet 網路的路由功能,將訊息傳送到世界上任何角落,如此一來,所連結的私有網路就不再受地理位置所限。圖 12-2 是利用 Internet 網路所架設的 VPN,可稱之為『Internet-VPN 架構』。在 Internet-VPN 網路之下,區域網路之間是利用公眾網路來連接,之間傳輸訊息須經過多個路由器所建立的『虛擬鏈路』轉送,如果沒有特殊處理,其安全性值得堪虞。我們簡單說明一下它的傳送方式,假設區域網路 A 某一工作站欲連結到區域網路 B 內的工作站,當它將封包(IP 封包)送到 Internet 網路上時,該封包便依照目的位址尋找可到達的路徑,一個網路跨越到另一網路,必須經由許多路由器的轉送才到達區域網路 B,因此,資料在 Internet 網路上傳送時,任何一個網路端點都可竊取或竄改其內容,所以可靠度非常的低,這正是我們發展IP 安全協定』(IP Security, IPSec的主要原因。

12-2 Internet-VPN 網路型態

有一個簡單的做法,只要將圖 12-2 中私有網路對外連接的設備,改換成具有 IPSec 功能的連結設備,就可以達到虛擬私有網路的功能,此連結設備即稱為『安全閘門』(Secuirty Gateway, SG。如圖 12-2 VPN 網路成員(雙方的 SG 閘門),必須協議雙方可能採用的安全套件(包含『鑰匙』)。其中某一網路有訊息欲傳送到另ㄧ網路時,當 SG 閘門收到封包後,則將該封包加入安全措施並重新包裝,譬如訊息加密或認證的處理,之後再將新的封包發送到 Internet 網路上;另ㄧ方的 SG 閘門收到封包後,則依照雙方之前所協議的安全套件,將封包回復原來格式,再發送給內部的私有網路。私有網路內工作站發送訊息給另ㄧ個工作站時,則不需考慮該工作站是否在本區域網路或其他網路上。攻擊者不了解安全套件內容,或沒有雙方協議的『鑰匙』,也無法盜取或偽造訊息內容。

如此一來,我們只要承租較便宜的傳輸線路將私有網路連結到公眾網路上,就可以達成安全性較高的私有網路連結。一般規模較小的公司行號只要承租 ADSL 傳輸線路即可,即使承租的傳輸速率在 3 Mbits 以上也不會太貴;至於較大的組織單位可以租用最近距離之 ISP 公司的專線,雖然費率較貴一點,但總比遠距離的專線便宜許多。

12-2-3 防火牆與 VPN 架構

但話說回來,VPN 是藉由 Internet 網路所構成,意指內部網路可能會暴露於 Internet 網路上;攻擊者可能會透過公眾網路來入侵私有網路,因此一般 VPN 網路都必須配合防火牆裝置,圖 12-3 是一個典型的網路架構。VPN 設備大多安裝在外部路由器上,所以外部路由器除了具備原來封包過濾的功能外,還具備 VPN 的處理能力。譬如,區域網路 A 的使用者想要和區域網路 B 的工作站通訊,它的 IP 封包經由外部路由器(具有 VPN 功能)處理後,再傳送到 Internet 網路上;當區域網路 B 的外部路由器(具有 VPN 功能)收到該封包後,經過適當處理後再轉送給內部網路。另一方面,區域網路如想要和 Internet 上的其他網路通訊,雖不經由 VPN 處理,但也需要依照其安全政策由外部路由器過濾,或經由防禦主機來代理轉送,如此需結合防火牆和 VPN 的功能。也就是說,內部使用者可以選擇是否透過 VPN 處理和外部通訊,VPN 設備也需分辨出所進入的封包是否有經過 VPN 處理,如果有,則表示來自其他所屬機構網路的封包;否則可能是一般外部使用者的訊息。

12-3 防火牆型之 VPN 網路

Internet-VPN 的另一個重要功能是,許多出差人員或 SOHO 工作人員在外,可能需要連結到公司的私有網路來存取資源,但此類人員所使用的電腦大多屬於客戶端功能,我們只要在其電腦上安裝 VPN 軟體,就可以透過 Internet,並以VPN 方式連結到公司內部網路。由圖 12-3 可以發現,不管是區域網路 A B,還是移動式工作站的位置,並不限制其地理位置,只要 Internet 可以到達的地方,都可以建立 VPN 網路,完全合乎企業全球化的需求,至於圖 12-3 VPN 設備,目前大多是指具有 IPSec 功能的路由器或主機設備。

主講人:粘添壽博士

 

資訊與網路安全技術