V P N 簡 介

  什麼是企業虛擬網路?

「企業虛擬網路 ( Virtual Private Network ) 」是利用最新的 Internet IP 加密的技術,可以在 Internet 上建立虛擬的私有通道 ( Tunneling ),使中小企業能夠在公眾網路上架構虛擬且安全的企業內部網路。


IP
網路具有架構簡單且擴充性良好的優點,所使用的加密技術是標準的 IP SEC ( IP Security ) 方式,IP Sec 結合了加密 ( Encryption )、認證 ( Authentication )、密鑰管理 ( Key Management )、數位檢定 ( Digital Certification ) 等安全標準,具有高度的保護能力。


透過 IP Sec 的標準協定,DES 3-DES 的加密功能,及非對稱的密鑰管理,提供私有鑰匙 ( Private Key ) 與公開鑰匙 ( Public Key ),因此企業可以利用虛擬網路服務,安全地傳遞企業資訊。

 

VPN (Virtual Privite Network,虛擬私有網路),在公眾網路Internet上,建立私有網路,需具有同時解決Intranet、Extranet、Remote Access之三大需求,且在公眾網路中須具有保密、認証及保持傳送封包之完整性。


根據IDC於1998市場調查中發現,美國一千大企業中已有73%公司已經或準備將現有Intranet於2000年前逐步改為運用VPN 的技術,來建置他們新一代的企業內部網路。而上述一千大企業中,有 61% 會利用VPN來提供他們的業務伙伴 ( Business Partner ) 進行企業外部網路 ( Extranet ) 連線。


美國一千大企業會對建置VPN這麼有興趣,這是因為使用VPN將會為企業帶來非常多好處,如現在最熱門的E-Commerce中產業鏈(supply chain)。要建立B To B電子商務的關鍵在於各企業間的網路建立,這是過去許多企業想做卻一直無法突破問題,且也找不到適合的Solution。

  適用對象

企業內部的資料傳輸

提供連鎖體系建置企業私有網路

提供出差的業務人員撥接至企業私有網路

企業服務會員的專屬撥接連接與專屬網頁

提供不同企業與上下游廠商間的資料通訊

線上資訊傳輸的需求

配備需求

VPN 網路連線架構簡單,只需在網路或是要保護的主機前端加裝一個VPN 加密設備即可,透過 VPN 管理主機,可以設定企業所需要的安全政策 ( Security Policy ),針對撥接或是單一的使用者,則是可以透過安裝軟體的方式達成,簡單又方便。

 

VPN環境應用

 

    1.門市及便利商店(VPN Remote Access應用)

傳統方式:通常在總部有一個大型的RAS(Remote Access Server),並提供多條電話線讓散怖在各地的門市經由撥接連線回總部,因此大量的長途通訊費用無可避免,加上龐大的設備及線路維護,大大降低IT管理者的效率。


VPN的解決方案:在VPN的建置中,總部只需一條連接至ISP,並加裝專屬式VPN,外點需加VPN Remote Client撥接至ISP,其餘通道、加密、認證就由VPN完成;可以使用的功能和原有網路的功能一樣,但可節省大量通訊費用及提昇人員效能,減少管理者的不便。

    2.總部對分公司:VPN Intranet應用

傳統方式:總部對分公司的連線通常以專線、Frame Relay、衛星的方式連線,由於是專屬網路,因此可達到IT管理者想要的需要,唯一的缺點是費用太高,跨國企業在這方面的花費更明顯。


VPN的解決方案:總部分公司透過ISP連線至Internet,其間以VPN作為連線時對公司資料加解密的設備,在不影響資料傳輸的前提下,適當的ISP選擇將可為公司節省大量通訊費。

    3.不同企業體:VPN Extranet應用

傳統方式:對於上下由廠商的資料連線,傳統是以RAS方式連接,常發生的問題,大都為與Remote Access之間的往來信件傳送太慢。


VPN的解決方案:以VPN建構,針對不同企業群組,開放不同權限,也就是能對使用者的特殊需要,作特殊功能的調配。

電子商務安全基礎 VPN勢在必行

我們都知道Internet在最近幾年發展快速,且已到了無所不在的地步,經過Internet的連結,不但可以完成Intranet,還可迅速建立Extranet,可惜的是在推展中,Internet上資料傳輸安全問題,這是大家裹足不前的最大原因。舉一個例子來說,當A公司經由Internet向B公司下一筆100萬美金的訂單,若被人篡改為1000萬美金,這其中所造成的問題,大家可想而知。


所幸現在已有方案可解決此項電子商務問題,那就是VPN虛擬私人網路的建構;VPN是利用Internet為基礎,在Internet上建立虛擬私有網路,一起解決網路三大問題:Intranet(企業內部網路)、Extranet(上下游廠商、關係企業連網)及不分國界Remote Access。


VPN(Virtual Private Network,虛擬私人網路)的出現,為網路傳輸提供了「安全認證」,它就像在公眾網路上架起一條有雙重閘門的私人網路,只有知道密碼的相關人員才可以從遠端連結到企業內部存取資料,讓網路傳輸不用再受駭客的威脅。

VPN效益

VPN為Internet、Intranet、Extranet、Remote Access的整體解方案,不但利用最便宜的網路通訊環境Internet,還能提供網路通訊各層面資料流動,並解決安全疑慮,對於企業來說,想立足二十一世紀,VPN 的建置是必備的。

電子商務企業鏈(business-chain) VPN讓您上下無阻

從整體趨勢、消費型態轉換、網路環境逐漸成熟來看,電子商務已是不可忽視的力量,不單只是針對網路上消費金額的急速增加(網路下單),真正的電子商務建置,還應重視企業間內部作業方式的改變,及過去傳統的供應鏈的電子化,如此才能達到電子商務最基礎的架構。


以電子商務的應用來說,就是希望將企業鏈、B to C的服務鏈達到真正電子化、虛擬化;換句話來說,就是結合Internet、Intranet、Extranet、Remote Access的基本要素,建構一個順暢又安全的連線,而這樣的要素結合,就是我們所說的VPN虛擬私人網路的建構,利用Internet為基礎,加強網路安全機制,在Internet上建立虛擬私有網路,一起解決網路三大問題:Intranet(企業內部網路)、Extranet(上下游廠商、關係企業連網)及不分國界Remote Access,更針對不同的使用者,開放不同的權限。


一旦企業完成VPN的基礎建制,電子商務即可開始運行;企業間可以加強控管相關企業、子公司和母公司之間的財務流通,如透過Internet立即分析現有可運用的資金,隨即調度資金來減少企業的損失。


另一方面對上下游廠商,也可透過網路的建置,成立一個快速且通暢的「Supply Chain 供應鏈」,只要總公司接到訂單,利用網路搜尋下游配合廠商目前貨品狀況,立即掌握可配合時間,瞬時間訂單的後續配合動作馬上能解決,省去以往一個採購案子須經過一兩個月的文件流程,也能達到最快速的貨物流通。

VPN為企業所帶來的效益 & 好處

  1. 多樣化的應用:可整合Intranet、Extranet、Remote Access。

  2. 低廉的通訊費用:遠端連線中,只需連線至當地ISP,不需支付相連總部與分公司。根據分析,在LAN-to-LAN的連結上,VPN將較專線式的架構成本節省20%∼40%左右;而就遠端存取而言,VPN能比直接撥接至企業內部網路節省60%∼80%的成本。

  3. 降低設備需求:經由VPN的網路技術,各企業僅需一台路由器與虛擬私有網路服務設備(VPN Service Unit;VSU),不必建置維護數據機、撥接伺服器、多工機及大型路由器。

  4. 降低技術支援需求:建構VPN的企業,各點均連上當地ISP,企業內部資訊管理人員,不必煩惱各點連線與設備管理問題,可藉由ISP專業人員與資源來解決。為此,企業可將寶貴人力與資源投注於公司的本務性工作。簡化企業擴充所需的龐大金錢及人員訓練時間。

  5. 增加頻寬提高網路擴充性

    1. 地域可擴充性:Internet為全球最大公眾網路,基礎建設最完善,不試分公司、辦公室、或移動式工作者在任何地方,均能找到最方便的連線方式,形成全球的企業網路。

    2. 頻寬可擴充性:ISP提供許多不同線路與存取方式,如電話撥接、ADSL、ISDN到45Mbps的T3線路,各企業可以針對分支機構不同需求,向當地ISP申請最經濟的連線頻寬,待使用量增加時,再逐步調昇所需頻寬。

  6. 相輔相成的應用:相容於現有的連線方式包括對分公司的連線、解決以往Remote Access的困擾、強化現有VLAN的功能

VPN技術小字典

                                         PPTP(software)

    V-Virtual-Tunnel    →  L2TP(hardware)

                                        IPSec(hardware)

 

目前大部份的VPN設備所採用的通道(Tunneling)技術都採用下面三種通道工程技術:PPTP(Point-to-Point Tunneling Protocol)L2TP(Layer TunnelingProtocol)IPSec(Internet Protocol Security)

PPTP的應用技術

  1. Microsoft3COMU.S. RoboticsAscendECI等企業所聯合發展。由於Microsoft的全力支援,在Windows的作業系統中都內建PPTP,加上Windows Play form的熱賣對於撥接方面的市場有相當大的市場影響力。

  2. PPTP支援Multi-Protocol因此可等說是它相當大的優點如IPIPXNetBEUIAppleTalk

  3. PPTP的傳輸介面為IP封包、與下層介面無關。實質傳輸介面(Physical Layer)的改變,只要不影響IP封包傳輸,並不會影響PPTP封包的運送。

  4. 透過PPTP所啟動的PPP,加上NCP協調的動作可依使用者的需要彈性設計私有網路的節點或特殊節點。

  5. 兩端點之間之同一通道(Tunneling),可提供多人使用,其間以不同Call ID分別。

  6. 透過Internet來傳遞PPP以取代傳統電話連線(PSTN)長途撥接的高額成本。

PPTP的運作模式

  1. PPTP Tunneling建立的方式有Client-initiated經由客戶端撥接至ISP,並和ISP,再由客戶端啟動PPTPSession和欲建立的另一端PPTP Server建立通道。

  2. ISP-initiated客戶端和ISPAccess Server建立PPP連線後,經由ISPAccess Server和目的端PPTP Server建立通道,客戶端不需安裝PPTP Client完全由ISP-PPTP-enable 

  3. LAN-to-LAN tunnelingPPTP Server兩端建立PPTP tunneling,如在NT Server上加裝MicrosoftRouting and Remote Access Service(R&RAS)

L2TPP的應用技術

  1. L2TP是經由CiscoL2F(Layer Two Forwarding)MicrosoftL2TP合作並在IETF的規範下發展而成。

  2. 利用PPP支援Multi-Protocol的特性,間接使L2TP支援多重通訊協定如IPIPXNetBUIT...等。

  3. L2TP的傳輸介面為UDP封包、與下層介面無關。實質傳輸介面(Physical Layer)的改變,只要不影響UDP封包傳輸,並不會影響L2TP封包的運送

  4. 透過L2TP所啟動的PPP,加上NCP協調的動作可依使用者的需要彈性設計私有網路的節點或特殊節點。

  5. 兩端點之間之同一撥接連線(Connection),可提供多人使用,其間以不同Call ID分別。

  6. 透過Internet來傳遞PPP以取代傳統電話連線(PSTN)長途撥接的高額成本。 

  7. 透過Internet來傳遞PPP以取代傳統電話連線(PSTN)長途撥接的高額成本。

L2TP的運作模式

  1. 遠端使用者先和ISP端建立普通的PPP連線。

  2. 遠端使用者透過ISP和遠端L2TP Server進行協調。 

  3. 遠端使用者透過ISP和遠端L2TP Server建立自願性通道。

IPec的應用技術

IPSec是由IETF所提出的IP層通訊安全保密架構,經過多次演變後設計出提供安全保密服務,包括存取控制、非連線模式完確保證、資料封包來源驗證、資料封包複製攻擊保護、資料內容保密性、部份的流量資料保密性等。

 IPSec大致主要分為幾部份           

  1. 封包轉換協定:Authentication Header(AH)Encapsulating Security Payload(ESP)這兩種轉換編碼方式,並不是只適用少數特定的加密或身份驗證之演算法,而是由保密安全參數識別碼(Security Parameter IndexSPI),來指明通訊兩端事先約定所採用的加密或身份驗證之演算法與參數。其組合的方式分通道模式(Tunnel Mode)與傳輸層模式(Transport Mode)兩種。
  2. 安全參數組合(Security Association)
    安全參數組合是一種兩端通訊實體的單向關係。不同的安全參數組合由保密安全參數識別碼、目的位址與轉換格式(AHESP)唯一決定。 
  3. 密鑰交換與管理
    密鑰為IPSec系統對資料作加解密時所必須參考的數值。運用IPSec的實體兩端必需知道一組相對的加密及解密的密鑰才能正常運作。相對密鑰的交換可用人工及系統兩種方式,針對系統自動交換,IETP定義出密鑰交換的通訊協定:Internet Ket Exchange。

 VPN之技術導引

 

  

Privacy

P---Private---Secure---Privacy

  

Integrity

 

  

Authenticity

  加密(Encryption)網路通訊最基本的安全問題不外乎以下三種;身份確認,檢驗並確定通訊雙方之真正身份。資料完整,確保在通訊的過程之中,資料沒有被破壞。資料的隱密性:確保在通訊的過程之中,別人無法偷窺到資料內容。
  VPN建立在公眾網路上,而欲得到一個安全又可靠的網路傳輸,必須解決網路安全的問題。目前的加密演算法都是公開的,唯一的加密參數:密鑰對稱式與非對稱式密鑰;對稱式密鑰演算法則中,解密和加密所用之密鑰是相同的,或可由加密的密鑰去推解密的密鑰;而非對稱式的演算法則中,解密和加密所用之密鑰是不相同的,也無法由重加密的密鑰中去推解密的密鑰。

 對稱式密鑰

運作的缺點:對稱式密鑰的運作原理比較簡單,完全靠一個嚴守的密鑰,也就是說密鑰的加密解密的最高機密,如果洩露出去,則別人可憑密鑰解密。

 非對稱式的密鑰

此技術是由電腦同時產生兩個一組密鑰,一個用來加密一個用來解密,由於兩個密鑰一點關係都沒有,只要其中一個保密,另一個密鑰公告給周知也不會產生危害。它的公開的叫Public Key,另一保密的密鑰叫Privatec Key

 非對稱式密鑰運作原理 

  1. 收信人事先產生一組兩個密鑰,一個私人密鑰自己保存,另一個公開密鑰經網路傳給發信人。
  2. 發信人用公開密鑰將欲傳送的信件加密,使信息成為毫無意義的密碼。
  3. 發信人經由網路將加密的信息送出,如果有人將此一加密後的信息攔截,因沒有解密之密鑰,因此無法解讀信息之內容。 
  4. 收信人收到信息後,用私人密鑰去解密,使信息從無法閱讀之密碼成為可讀之明碼。

 非對稱式密鑰運作的缺點

一般來說,對稱式比非對稱式快非常多。

 加密的方式 

  1. DES(Data Encryption Standard)DES是一種區塊加密的方法,它將欲加密的信息分割成64位元的區塊,並用56位元的密鑰來加密;在解密時,也是用相同的密鑰。它可以用來將磁碟上的資料加密,以免它人偷竊。在網路通訊方面,若使用DES作為其加密的方式,收發的雙方都要知道同一密鑰,如果是在多用戶的環境下,如何讓所有的用戶用同一密鑰又要嚴守祕密,是一大困難。 
  2. Trip-DES在更要由安全的要求時的替代方案就是Trip-DES。基本上,它是利用不相關的密鑰將資料加密三次,在過程中有下列不同的方式:
    A
    DES-EEE3:三次DES加密的過程中使用三個不同的密鑰。
    B
    DES-EDE3:三次DES加密的過程,第一次用一密鑰加密,第二次用另一密鑰去解密,解出一堆亂碼後,第三次用另一密鑰將亂碼加密。
    C
    DES-EEE2:和DES-EEE3過程相同,但第一次及第三次用相同的密鑰。
    D
    DES-EDE2:和DES-EDE3相同加密、解密、再加密、但只用兩個密鑰。

 身份辨認(Authentication) 

VPN採用的許多現有使用者認證技術。例如PPP的PAP(Password Authentication Protocol,密碼認證協定)技術、CHAP(Challenge Handshake Authentication Protocol,查問性握手驗證協定)。

  1. PAP較易使用,但安全性較低。在PAP協定中,使用者輸入未加密、文字格式的密碼至RASRAS將其加密後傳至RADIUS伺服器,RADIUS伺服器再將其解密,並將密碼與其資料庫,或是Netware BinderyNetware Directory Service或是Microsoft NT Domain/Workgroup等進行比對。
  2. CHAP等方式是RAS先請使用者證明自己的身份,方法是RAS先隨機產生一個隨機數字,並傳給使用者,使用者的PPP客戶端程式會用這一數字加密,產生一個摘要。這個摘要會先送給RAS,再轉送給RADIUS伺服器;接著RADIUS伺服器會用使用者正確的密碼,也換算出一個摘要。如果兩個摘要相同,表示宣稱自己是某使用者的人,已通過RADIUS伺服器的認證。 
  3. SecurID記號認證系統,經由記號式(Token)的動態密碼技術,為因應不同等級認證需求,數位認證(Digital certificate)及認證機關(Certificate AuthorityCA)CA是一值得信賴的協力組織,而該組織則負責確認使用者的身份,CA同時也保存了數位認證及公開基鑰(Public encryption key)等資料。

 VPN建構方式

  1. 以現有Router昇級為VPN Router

    大部份的Router廠商都已在其產品中加入VPN的功能,IT管理者只需增加軟體就使Router具備VPN功能。

     

  2. 在伺服器與Fire Wall中加裝VPN軟體

    以現有的設備安裝純軟體式VPN,網路組態不需更改,先前的管理技巧與工具也都適用於VPN,因此通常不需特殊訓練或管理軟體就可在VPN上連線運作,且VPN軟體通常可與現有的身份辨識相連。

     

  3. 硬體輔助型式虛擬私有網路產品

    採用的硬體平台,硬體介面卡為輔。

     

  4. 專屬VPN設備

    VPN專屬設備可以同時間為多條VPN處理加密及通道服務,這些工作全交由內部專屬硬體來完成。

     

  5. ISP提供的另類選擇∼委外管理

    越來越多的ISP開始提供各式各樣的VPN服務,如最簡單的ISP提供專線給總公司,且另外分發帳號給使用者即可;基本上ISP只提供資料傳輸,如果只是作 Web 瀏覽這樣的功能,這樣的VPN建置是足夠的。

 VPN環境應用

  1.  門市及便利商店(VPN Remote Access應用)

    傳統方式:通常在總部有一個大型的RAS(Remote Access Server),並提供多條電話線讓散怖在各地的門市經由撥接連線回總部,因此大量的長途通訊費用無可避免,加上龐大的設備及線路維護,大大降低IT管理者的效率。

    VPN的解決方案:在VPN的建置中,總部只需一條連接至ISP,並加裝專屬式VPN,外點需加VPN Remote Client撥接至ISP,其餘通道、加密、認證就由VPN完成;可以使用的功能和原有網路的功能一樣,但可節省大量通訊費用及提昇人員效能,減少管理者的不便。

     

  2. 總部對分公司:VPN Intranet應用

    傳統方式:總部對分公司的連線通常以專線、Frame Relay、衛星的方式連線,由於是專屬網路,因此可達到IT管理者想要的需要,唯一的缺點是費用太高,跨國企業在這方面的花費更明顯。

    l VPN的解決方案:總部分公司透過ISP連線至Internet,其間以VPN作為連線時對公司資料加解密的設備,在不影響資料傳輸的前提下,適當的ISP選擇將可為公司節省大量通訊費。

     

  3. 不同企業體:VPN Extranet應用

    傳統方式:對於上下由廠商的資料連線,傳統是以RAS方式連接,常發生的問題,大都為與Remote Access之間的往來信件傳送太慢。(下圖為舊式網路建構圖)

    VPN的解決方案:以VPN建構,針對不同企業群組,開放不同權限,也就是能對使用者的特殊需要,作特殊功能的調配。

Q&A

 

什麼是 VPN

VPN 就是 Virtual Private Network 的縮寫,它的定義就是在公眾的網路上建立一個虛擬的、安全的、方便的私有網路,透過這個虛擬的安全網路,可以用來傳輸公司或是企業內部的資料而不怕被竊取。

 

 

 

為何要使用 VPN 而不用專線連接?

1.網路架構簡單,不用太多的設備

2.可以利用公眾網路四通八達與無遠弗屆的優點,輕鬆架構企業網路

3.可以互相備援的優點,不用擔心網路斷線

4.利用公眾網路可以大幅節省長途私有專線的費用

 

 

 

使用 VPN 安全嗎?

VPN 網路採用「網際網路層安全架構協定 ( Security Architecture for the Internet Protocol,簡稱IP Sec ) 」,就是網路層的安全保密系統,由 Internet Engineering Task Force ( IETF ) 國際組織所定義,目的在於提供網際網路協定 ( Internet Protocol ) 足夠的安全保密機制,資料傳輸過程經過多重的加密與驗證,甚至會比長途專線還來得安全。

 

 

 

VPN 採用的加密方式安全嗎?

VPN 採用 DES 的加密方式,是金融機構普遍採用的方式,雖說現在的電腦運算速度快速,但仍不容易破解;而且 VPN 可以選擇採用 Triple DES 的加密方式,搭配密鑰的管理,更可大幅提高資料的安全性。

 

 

 

使用 VPN 會很麻煩嗎?

使用 VPN 時,所有的加密驗證的動作都由 VPN 設備完成,使用者不需要改變原本的電腦操資操作習慣,也不會有任何麻煩的使用步驟。此外 Seednet 也搭配多家知名的專業 VPN 廠商,提供多種不同的 VPN 解決方案,客戶可以依照自己的需要選擇適合的設備。