安全的传输通道.pptVIP

VPN A0943305 黃明陽 指導教授:梁明章教授 VPN 虛擬私有網路(Virtual Private Network ; VPN) 跨國性的網路連結普遍化 資料安全性要求越來越高 在成本與資料安全的雙重考量下 VPN的技術誕生 2/13 假設A公司要建立兩地的網路連線，可以考慮的方案有: 1.利用電話撥接 優點:簡單 缺點:傳輸速率慢(56Kbps) 國際電話費的成本高(時間長錢多) 2.利用專線 優點:穩定的傳輸速率(不會時間長錢多) 缺點:租用費用昂貴 3.利用網際網路 優點:ISP費用低 缺點:保密性低 ，風險高 3/13 通道(Tunneling)技術 成本考量後用第3方案，但保密性低 利用加密技術--- 通道(Tunneling)技術 在公眾網路上建立一條秘密通道來傳輸資料的一種資料包裝方式(Encapsulation)。將封包封裝在另一個封包內，並加上壓縮與加密等動作。 現在通道技術所使用的協定主要有：PPTP 、 L2TP及IPSec等三種。 4/13 通道(Tunneling)技術 利用通道技術，甲地的區域網路與乙地的區域網路，透過網際網路建立一個安全的傳輸管道，兩者彷彿連成一個公司專用的網路，這個網路稱為虛擬私有網路。 5/13 VPN優點 天涯若比鄰 網路世界化，企業多點化，組織的成員可能在世界各地皆有連回組織內網的需求。 安全的傳輸通道 行動網路技術的發展，使連網方式多樣化，資安風險大增，須確保傳輸過程的機密性。 彈性又經濟的專有網路 組織成員無論在何處上網，皆可形成安全通道，傳輸經過Internet，無須額外的實體專線。 6/13 通道技術的封裝協定 點對點通道協定 (Point-to-Point Tunneling Protocol;PPTP) 第二層通道協定 (Layer 2 Tunneling Protocol;L2TP) 網際網路安全協定 (Internet Protocol Security;IPSec) 7/13 通道技術的封裝協定 三者最大的不同，運用IPSec的技術，使用者可以同時使用Internet與VPN的多點傳輸功能(包括Internet/Intranet/Extranet/Remote Access 等)，而PPTP及L2TP只能執行點對點VPN的功能，無法同時執行Internet的應用，使用時較不方便， 在安全上，IPSec會對整個傳輸資料 做加密，PPTP及L2TP則是對封包的再封裝(Encapsulation)，並未對資料做加密處理，安全性較低。 8/13 IPSec 由IETF(Internet Engineering Task Force)組織制定，作為保護IP封包安全性的通用標準。 是一種「連接式」(Connection-Oriented)協定。它的傳送端與接收端，在傳輸之前必須先建立一條「單向」連線，那這種點對點的單向連接式協定稱為SA(Security Association)。 舉例: A電腦與B電腦要互相傳送資料，則必須建立A?B和B?A兩條SA連線 與TCP連線特性相似。 建立SA連線時，必定會用到ISAKMP協定，至於AH協定和ESP協定可以擇一或同時使用。 9/13 IPSec ISAKMP(Internet Security Association and Key Management Protocol)協定 主要用來決定加密與解密時所使用的對稱式祕鑰(Secret key) 。 AH(Authent icat ion Header)協定 主要用來執行「身分驗證」與「完整性檢查」(Integrity Check)兩項工作。前者避免有心人士冒用他人身分，與自己建立連線、傳輸資料;後者檢查資料在傳輸過程中，是否遭到竄改。 ESP(Encapsulating Security Payload)協定 主要用來執行「身分驗證」和「資料加密」兩項工作。 前者功能如同AH協定;後者是對於IP封包的Payload加密(亦即對於TCP封包加密)，以避免IP封包遭攔截時