VPN ( 虛擬私人網路 )

虛擬私有網路 組織和組織、組織和外部辦公室之間，都曾

經利用過私人網路進行通訊。 只要透過電話公司和 ISP ，私人網路可以建

立專屬的通訊線路。通訊線路是以點對點、位元傳輸的方式，在兩個端點之間實際建立專用電路，因而不會受其他流量的影響。

私人網路具有下列效益： 資訊維持在『固定流量範圍』。 遠端可以立即交換資訊。 遠端使用者就像是本地網路的使用者。

雖然私人網路擁有許多優點，但是成本卻是最大的致命點 － 費用非常昂貴。

由於網際網路使用量快速成長，許多組織都已經轉變成使用虛擬私人網路（ Virtual Private Network ， VPN ）。

VPN 以低廉的價格，提供組織許多私人網路的優點。 VPN 卻替組織導入新的問題和風險。

若能適當地架構和建置， VPN 也可以為組織帶來許多好處。

架設和建置不夠妥善時，透過 VPN 傳輸的資訊也可能會傳送到網際網路上。

本章的內容如下：11-1 虛擬私人網路的定義11-2 配置用戶端 VPN11-3 配置 VPN 站台11-4 認識標準的 VPN 技術11-5 認識 VPN 系統的類型

11-1 虛擬私人網路的定義 所以，需要使用某種跨越 Interent 的建立數

據專線方法，來傳送組織的敏感資訊而且仍然能夠維護流量的機密性。

該如何區分每一位員工的流量？扼要的答案就是 － 使用加密機制。

安全層（ Secure Shell ， SHH ）和超文字安全傳輸協定（ Hypertext Transfer Protocol Secure ， HTTP ）就是使用加密的流量，因而沒有人可以看到封包的實際內容。

SSH 和 HTTPS 流量並不是 VPN 。

VPN 的特色如下： 加密：流量都已經加密過，所以也不怕被竊聽。 認證：已經確認過遠端的身份。 可以透過 VPN 傳送多種協定。 是一種點對點連線。

不論是 SSH 甚至是 HTTPS ，只要可以處理多協定就會非常近似 VPN 。

在 Interent 上面， VPN 封包會和其他資料流混合，但因為只有連線的端點才能讀取流量，因此就像是開啟一條虛擬的私人通道。

VPN 流量是屬於加密過且能防止竊聽的流量。

加密機制必須非常牢靠才能保證在一段時間之後，已經傳輸的機密資訊流量仍然有效。

第二種特色就是已經確認遠端的使用者身份。 此項特色或許需要中控伺服器已經事先確認

過使用者的身份，或需要 VPN 兩個端點相互確認身份。

身份確認機制也可以利用政策加以管理。

VPN 可以建立不同協定的處理方式，特別是處理應用層協定。

點對點是指 － VPN 會在兩個端點之間立專屬的通道。每一個端點可能同時開啟數個 VPN 連接其他端點，但是每一個 VPN連線都會各自使用截然不同的加密流量。

VPN 一般可以區分成『 VPN 用戶端』和『 VPN 站台』兩種類型。

圖 11-1 處理多種協定的 VPN

11-2 配置用戶端 VPN

VPN 用戶端是介於使用者和組織的站台或網路之間的虛擬私人網路， VPN 用戶端通常都是做為員工出差或在家中工作的用途。

VPN伺服器或許是組織的防火牆，或許是獨立的 VPN伺服器。

使用者透過本地的 ISP撥接、 DSL 線路、或纜線數據機連接 Interent ，並透過網際網路對組織的站台初始 VPN 連線。

組織的站台要求使用者確認身份，如果確認成功就會允許使用者使用組織的內部網路，而使用者就可以實際連結內部網路。

VPN 用戶端也允許組織限制遠端使用者可以存取的系統或檔案。

組織的政策和 VPN產品的功能，都會影響到設限的能力。

當使用者使用 VPN 連回到組織的內部網路之後，使用者仍然可以連結網際網路並瀏覽Web 網頁，或執行一般網際網路使用者的行為。

VPN 是使用者電腦上的一套獨立的應用程式。（詳見圖 11-2 ）。

本節的內容如下： 11-2-1 VPN 用戶端的效益 11-2-2 VPN 用戶端的問題 11-2-3 管理 VPN 用戶端

在某些情況下，使用者的電腦可以扮演網際網路和 VPN （組織的內部網路）之間的路由器角色。因此在配置 VPN 用戶端之前，也要詳加調查這種攻擊的類型。某些 VPN 用戶端也提供可以限制這種攻擊類型的政策元素。

圖 11-2 使用者 VPN 組態設定

11-2-1 VPN 用戶端的效益 VPN 用戶端的兩種主要效益如下：

員工可隨時隨地存取電子郵件、檔案和內部系統，而不需耗費長途通訊撥回組織的伺服器。

在家工作的員工不需要昂貴的數據專線，即可存取在組織內部才能存取的網路服務。

某些透過撥接系統的使用者，也可能因為 VPN 而增加網路存取速度。

56K撥接線路也不一定保證加快傳輸速度。例如使用者的 Interent 連線速度、組織的網際網路連線速度、網際網路的擁塞程度和 VPN伺服器的同時連線的數量等，這些都是影響速度的因素之一。

11-2-2 VPN 用戶端的問題 適當利用 VPN 用戶端確實可以降低組織

的支出成本，但是 VPN 並非萬靈丹，伴隨而來的卻是重大的安全風險和建置問題。

或許使用 VPN 最大的單一安全問題，就是員工同時連線到其他網際網路站台。

如果使用者電腦已經遭到特洛依木馬程式的侵害，就有可能衍生出更多的問題 －駭客利用員工的電腦連線到組織的內部網路（詳見圖 11-3 ），而且越來越有可能發生這種攻擊的類型。

VPN 用戶端也同樣需要注意內部系統的使用者管理問題。 在使用者利用 VPN 之前，必須事先確認使用者身份。 一旦VPN允許遠端使用者存取組織的內部網路，就會需要兩種身份

確認的因素。 因素一可能是使用者自己的電腦。如果不是使用者自己的電腦時，

就會需要確認確實是使用者本人。 因素二無論如何都只有使用者本人才會知道的某些事情。

如果不是使用中控化使用者管理系統時，組織的使用者管理程序必須在員工離職後移除使用者帳號。

圖 11-3 使用特洛依木馬程式存取組織的情形

組織也必須考量 VPN 的流量負載，這是由於 VPN 的主要負載會出現在組織端的VPN伺服器上面。

VPN伺服器允許同時連線的數量，就是流量負載的重要參數。

影響組織使用 VPN 的意願，和遠端連線所使用的網路位址轉譯（ Network Address Translation ， NAT ，詳見第16 章）有關。

11-2-3 管理 VPN 用戶端

管理 VPN 用戶端的最主要問題，就是管理使用者和使用者的電腦。

合適的使用者管理程序，應該可以處理新進員工和離職員工的管理問題。

在使用者的電腦上，應該要安裝恰當的VPN軟體版本並正確設定。

如果屬於組織所擁有的電腦， VPN軟體就是電腦必備的標準軟體。

如果組織允許員工從家裡使用 VPN 連線時，就需要全力協助員工設定不同的電腦和 ISP 連線需求。

在使用者的電腦上，也不要忘了安裝良好的防毒軟體，這也是影響 VPN 用戶端的重要因素。

防毒軟體通常都有自己定期更新（至少一個月一次）的數位簽章，才能防止病毒和特洛依木馬程式載入到使用者的電腦中。

組織可能也會希望調查並提供員工 SOHO族使用的防火牆。這類防火牆系統，大多數都可以進行遠端管理，因此公司就可以執行遠端監控和設定。

11-3 配置 VPN 站台 組織可以利用 VPN 站台和遠端辦公室連

線，而無須架設昂貴的數位專線。 VPN 站台也可以依據特定的商業目標，建

立兩個組織之間專用通訊線路。 一般來說，可以在防火牆或邊界路由器架

設 VPN ，並和其他的防火牆或邊界路由器連線（詳見圖 11-4 ）。

在初始連線方面，初始連線的站台會嘗試將流量傳送給其他站台，不過也會導致兩個 VPN 端點初始 VPN 連線。

兩個端點會依據站台的政策，協調連線的參數。

這兩個端點會利用某些預先設定或公眾鎖鑰認證等，這類共享秘密做為任何一個端點的身分確認。

某些組織會利用 VPN做為數據專線的備援通道。

本節的內容如下： 11-3-1 VPN 站台的效益 11-3-2 VPN 站台的問題 11-3-3 管理 VPN 站台

在使用這種類型時，必須非常謹慎設定 VPN 站台的組態設定，並確認已經適當設定路由（ routing ），而且 VPN 所使用的實體線路和數據專線所使用的線路也有所不同。或許，你會發現實體線路同時含有數據專線和 VPN 線路，但是這種線路可能無法提供您所期望的備援線路。

圖 11-4 跨越網際網路的站台對站台 VPN

11-3-1 VPN 站台的效益 和 VPN 用戶端一樣， VPN 站台的最主要效

益也是節省支出費用。 組織外圍的遠端辦公室，可以利用虛擬網路

連線到中控站台（或遠端辦公室相互連線），如此即可節省可觀的支出費用。

在遠端站台如何和中控站台連線或相互連線方面，可以依據組織的政策建立連線規則。

如果是做為兩個組織連線的 VPN 站台，也可以在個別組織的 VPN 站台上，設定存取內部網路和電腦系統的限制規則。

11-3-2 VPN 站台的問題 組織的 VPN 站台安全層面，會擴展到遠端站

台甚至是遠端組織。 如果遠端站台的安全性不足， VPN或許會允

許入侵者取得中控站台的存取權，甚至也可能取得組織內部其他網路的存取權。

在兩個組織利用 VPN 連結網路的範例中，每個連線端點的安全政策都是非常重要。

擁有這些連線端點的組織，都應該定義是否允許網路流量跨越 VPN ，而且也要適當地設定防火牆政策。

VPN 站台的身份確認，也是非常重要的安全問題。

隨機利用共享機密來建立連線或許較為適當，而且任兩個 VPN 連線也不能使用相同的共享秘密。

如果使用公眾鎖鑰時，就必須建立可以變更和廢除認證的程序。

和 VPN 用戶端一樣， VPN伺服器也需要處理 VPN 流量的加密和解密工作。

需要特別調查定址的問題。 如果 VPN 站台使用組織的網路位址，組織

就應該協調所有站台的位址計畫。 如果是在兩個不同的組織之間使用 VPN 站

台，需要非常謹慎並避免發生位址衝突。 圖 11-5顯示某處發生位址衝突的情形。 定址計畫若發生衝突，且無法正常地路由流

量時，每一端的 VPN 都應該執行 NAT ，並將其他組織的系統位址，重新定址成自己組織的定址計畫（詳見圖 11-6 ）。

圖 11-5 可能會導致定址混淆的 VPN 站台

圖 11-6 利用 NAT解決定址混淆的 VPN 站台

11-3-3 管理 VPN 站台

在建立連線之後，組織應該監控 VPN 站台並確保資料流量平順。

應該定期檢查 VPN 站台所使用的規則，確保這些規則都可以符合組織的政策規範。

經常管理 VPN 站台，才能讓路由問題維持在控制之下。

需要在內部網路的路由器上面，建立遠端站台的路徑轉送資訊。

在定址計畫的管理範圍中，也應該包含這些路徑資訊並詳加記載，以防路由器維護時不慎刪除這些轉送路徑。

11-4 認識標準的 VPN 技術 VPN 的四種重要元素如下：

VPN伺服器 加密演算法 身份確認系統 VPN 協定

這四種元素分別達成組織的安全、效率，以及不同 VPN 設備相互溝通的需求，適當的 VPN 架構和適當的身份確認需求息息相關。

需求的定義如下： 資訊需要保護的時間長度 使用者同時連線的數量 使用者可能的連線類型（在家工作的員工

v.s. 出差的員工） 遠端站台的連線數量 需要連線的 VPN 類型 遠端站台可能產生的流量控管安全組態設定的安全政策

本節的內容如下： 11-4-1 VPN伺服器 11-4-2 加密演算法 11-4-3 身份確認系統 11-4-4 VPN 協定

11-4-1 VPN伺服器 VPN伺服器是一種扮演 VPN 端點的電腦系統，它

必須要能夠處理可能發生的負載容量。 大多數的 VPN軟體供應商，應該都要提供處理器

速度的需求，以及依據 VPN同時連線的數量計算出來的記憶體需求，並且預留連線數量成長的空間。

某些供應商也同樣提供容錯和備援 VPN伺服器。

或許需要建立多台 VPN伺服器，來處理可能發生的負載。在這樣的情況下，應該盡可能依據系統的數量平均分配 VPN 連線的數量。

VPN伺服器也同樣必須架設在網路上。 VPN伺服器可能架設在防火牆或邊界路由器（詳見圖 11-7 ）上面，這樣會讓 VPN伺服器的置換工作容易些。

也可以在獨立系統架設 VPN伺服器。在這樣的情況下，應該將伺服器放在專屬的 DMZ 區域中（詳見圖 11-8 ）。

如果是在 VPN DMZ 架設 VPN伺服器，或許也會需要改善防火牆的流量負載。甚至防火牆也不能處理加密功能時，可能需要變更原始防火牆的容量，才能處理 VPN相關的流量。如果組織的 VPN 流量非常重要，可能也需要考慮使用容錯型防火牆。換句話說，或許也可以考慮使用獨立的 VPN 設備，而且也可以減輕防火牆的 VPN 處理。

圖 11-7 利用防火牆做為 VPN伺服器，也是非常適合的 VPN 網路架構

圖 11-8 獨立的 VPN伺服器，也是非常適合的 VPN 網路架構

表 11-1 的內容，是針對 VPN DMZ 的防火牆政策規則定義。內容不但含有網際網路 DMZ 的規則需求，也含有 VPN DMZ 的規則、需求。

規則編號 來源 IP 目地 IP 服務 動作1 任何位址 VPN伺服器 VPN服務 允許2 VPN伺服器 內部網路 任何類型的服務 允許3 任何位址 VPN伺服器 任何類型的服務 拒絕4 任何位址 WEB伺服器 HTTP 允許5 任何位址 郵件伺服器 SMTP 允許6 郵件伺服器 任何位址 SMTP 允許7 內部網路 任何位址 HTTP、 HTTPS、 FTP、 telnet、

SSH允許

8 內部 DNS 任何位址 DNS 允許9 任何位址 任何位址 任何類型的服務 拋棄

11-4-2 加密演算法

VPN應該使用著名的、非常牢靠的加密演算法（詳見第 12 章）。

一般而言，所有知名的、牢靠的演算法皆可用於 VPN 。

設計限制、許可問題、或程式設計參考等因素，會影響許多供應商的決定。

在購買 VPN套裝軟體時，最好詳加詢問VPN 使用的演算法類型。

系統建置影響整體安全的程度更高，建置不良的系統和任何演算法毫不相關。

使用 VPN 就會有風險。為了成功取得透過 VPN 傳送的資訊，攻擊者必須做到下列事項：擷取完整的交談內容，也就是說必須在所有

VPN 流量必經的兩端點之間架設 sniffer 。 必須使用大量的電腦資源和時間，才能暴力破解鎖鑰和加密流量。

11-4-3 身份確認系統

VPN 架構的第三部分就是身份確認系統。前面的內容曾經提過， VPN應該使用雙重身份確認系統。

利用個人知道、個人擁有、個人獨有的資訊，皆可做為使用者身份確認。以 VPN用戶端而言，使用者個人知道、個人擁有即為最佳選擇。

智慧卡和 PIN或密碼的結合，也是很好的組合。

VPN軟體製造商，通常都會提供幾種身份確認系統供組織選擇。

身份確認系統的清單之中，通常也會列出前幾大智慧卡供應商的名稱。

使用智慧卡會增加每一個 VPN 使用者的成本。雖然這種作法會降低配置 VPN 的實質效益，不過只要可以降低風險也就值得。

11-4-4 VPN 協定

周遭的因素影響系統安全的程度，遠遠超過加密演算法的影響。

VPN 協定只是影響整體系統安全的一部份，這都是因為 VPN 協定會交換兩端點之間的加密鎖鑰。

使用標準協定會比專有協定來得好。 目前 VPN 使用的標準協定是 IPSec 協定。這個協定附帶地會將 IP 封裝、加密 TCP 標頭和打散封包。

IPSec 也同樣會處理鎖鑰交換、遠端站台身份確認、含協商演算法（加密演算法和雜湊功能都有）。

IPSec 使用 UDP 連接埠 500初始協商，接著使用IP 協定連接埠 50 傳輸所有流量。系統必須允許使用這些協定，如此 VPN 才能發生作用。

為了要使用 VPN ，客戶可能必須購買商業套件，而不是使用一般流量的套件。

IPSec主要使用安全基座層（ Secure Socket Laayer ， SSL ）協定或是HTTP （利用連接埠 443 的 HTTPS ）。

如果使用 SSL ，由於 SSL 是屬於應用層的協定，也許無法提供 IPSec 所需的效率。

11-5 認識 VPN 系統的類型 組織也需要選擇採購的系統類型。 VPN三種主要的系統類型如下：硬體系統軟體系統 Web 系統

本節的內容如下： 11-5-1 硬體系統 11-5-2 軟體系統 11-5-3 Web 型系統

11-5-1 硬體系統

硬體 VPN 系統一般都會包含可以做為VPN伺服器的硬體設備。

硬體設備會執行製造商的軟體，而且可能會包含某些增進系統加密能力的特殊硬體。

在大多數的情況下，遠端使用者系統只需要可以建立 VPN 的軟體即可。

這些硬體設備也同樣可以用在站台對站台的 VPN ，不過卻要依據製造商而定。

硬體 VPN 系統具有下列兩項主要效益： 速度：支援 VPN 的硬體系統大多已經最佳化調整過，

且速度優勢也超過一般用途電腦系統。 安全：如果是專為 VPN 設計的硬體設備，應該都已經移除所有不相關的軟體和程序。因此，受到攻擊的漏洞數量會比一般用途電腦系統要少。

事實上， VPN 系統硬體設備的系統之中，可能也會含有導致遭受攻擊的漏洞。因此，系統的擁有人必須隨時修補系統的漏洞。

11-5-2 軟體系統

軟體 VPN 是安裝在一般用途電腦系統的套裝軟體。

軟體 VPN 可以安裝在專屬的 VPN 系統上，或是可以和防火牆這類軟體安裝在同一部系統上。

在安裝軟體的時候，必須謹慎並確認硬體平台已經含有 VPN 系統所需的處理能力。

一旦組織因為軟體 VPN 而購置硬體時，也不要忘了提供適合組織需求的容量。

軟體 VPN 系統也可以提供類似硬體系統的用途，而且也可以做為是 VPN 用戶端或 VPN 站台。

在安裝 VPN軟體時，必須要確認已經適當地設定系統並修補所有的漏洞。

11-5-3 Web 型系統

多數 VPN 用戶端的主要缺點 － 需要在用戶端系統安裝軟體。

在用戶端系統安裝 VPN軟體，會增加管理VPN 用戶端的工作量。

在用戶端系統上安裝 VPN 用戶端軟體時，可能會產生無法安裝或使用 VPN 用戶端的情況。

使用者僅需開啟瀏覽器，並透過 SSL 和 VPN站台連線。 SSL 會自動將流量加密，並建構可以用來確認有效使用者的身份確認機制。

已經提供某些用來確認使用者身份的服務，這些服務包含瀏覽器的 Plug-Ins 和 Java虛擬設備。

採用這樣的作法之後，整體的支援和維護成本立即下降，而且也無須 VPN解決方案即可提供完整的 VPN功能。

一旦支援的成本降到最低限度，組織應該調查這些系統的可行性，不過也需要依據系統的限制調查使用者的需求。