1、資訊安全資訊安全入門手冊入門手冊第第 11 章章 虛擬私人網路虛擬私人網路 第 11 章 虛擬私有網路n組織和組織、組織和外部辦公室之間,都曾經利用過私人網路進行通訊。n只要透過電話公司和ISP,私人網路可以建立專屬的通訊線路。通訊線路是以點對點、位元傳輸的方式,在兩個端點之間實際建立專用電路,因而不會受其他流量的影響。n私人網路具有下列效益:n資訊維持在固定流量範圍。n遠端可以立即交換資訊。n遠端使用者就像是本地網路的使用者。n雖然私人網路擁有許多優點,但是成本卻是最大的致命點 費用非常昂貴。n由於網際網路使用量快速成長,許多組織都已經轉變成使用虛擬私人網路(Virtual Private
2、Network,VPN)。nVPN以低廉的價格,提供組織許多私人網路的優點。VPN卻替組織導入新的問題和風險。n若能適當地架構和建置,VPN也可以為組織帶來許多好處。n架設和建置不夠妥善時,透過VPN傳輸的資訊也可能會傳送到網際網路上。n本章的內容如下:n11-1虛擬私人網路的定義n11-2配置用戶端VPNn11-3配置VPN站台n11-4認識標準的VPN技術n11-5認識VPN系統的類型 11-1虛擬私人網路的定義n所以,需要使用某種跨越Interent的建立數據專線方法,來傳送組織的敏感資訊而且仍然能夠維護流量的機密性。n該如何區分每一位員工的流量?扼要的答案就是 使用加密機制。n安全層(
3、Secure Shell,SHH)和超文字安全傳輸協定(Hypertext Transfer Protocol Secure,HTTP)就是使用加密的流量,因而沒有人可以看到封包的實際內容。nSSH和HTTPS流量並不是VPN。nVPN的特色如下:n流量都已經加密過,所以也不怕被竊聽。n已經確認過遠端的身份。n可以透過VPN傳送多種協定。n是一種點對點連線。n不論是SHH甚至是HTTPS,只要可以處理多協定就會非常近似VPN。n在Interent上面,VPN封包會和其他資料流混合,但因為只有連線的端點才能讀取流量,因此就像是開啟一條虛擬的私人通道。nVPN流量是屬於加密過且能防止竊聽的流量。n
4、加密機制必須非常牢靠才能保證在一段時間之後,已經傳輸的機密資訊流量仍然有效。n第二種特色就是已經確認遠端的使用者身份。n此項特色或許需要中控伺服器已經事先確認過使用者的身份,或需要VPN兩個端點相互確認身份。n身份確認機制也可以利用政策加以管理。nVPN可以建立不同協定的處理方式,特別是處理應用層協定。n點對點是指 VPN會在兩個端點之間立專屬的通道。每一個端點可能同時開啟數個VPN連接其他端點,但是每一個VPN連線都會各自使用截然不同的加密流量。nVPN一般可以區分成VPN用戶端和VPN站台兩種類型。圖11-1 處理多種協定的 VPN 11-2配置用戶端VPNnVPN用戶端是介於使用者和組織
5、的站台或網路之間的虛擬私人網路,VPN用戶端通常都是做為員工出差或在家中工作的用途。nVPN伺服器或許是組織的防火牆,或許是獨立的VPN伺服器。n使用者透過本地的ISP撥接、DSL線路、或纜線數據機連接Interent,並透過網際網路對組織的站台初始VPN連線。n組織的站台要求使用者確認身份,如果確認成功就會允許使用者使用組織的內部網路,而使用者就可以實際連結內部網路。nVPN用戶端也允許組織限制遠端使用者可以存取的系統或檔案。n組織的政策和VPN產品的功能,都會影響到設限的能力。n當使用者使用VPN連回到組織的內部網路之後,使用者仍然可以連結網際網路並瀏覽Web網頁,或執行一般網際網路使用者
6、的行為。nVPN是使用者電腦上的一套獨立的應用程式。(詳見圖11-2)。n本節的內容如下:n11-2-1 VPN用戶端的效益n11-2-2 VPN用戶端的問題n11-2-3 管理VPN用戶端在某些情況下,使用者的電腦可以扮演網際網路和VPN(組織的內部網路)之間的路由器角色。因此在配置VPN用戶端之前,也要詳加調查這種攻擊的類型。某些VPN用戶端也提供可以限制這種攻擊類型的政策元素。圖11-2 使用者VPN組態設定 11-2-1 VPN用戶端的效益nVPN用戶端的兩種主要效益如下:n員工可隨時隨地存取電子郵件、檔案和內部系統,而不需耗費長途通訊撥回組織的伺服器。n在家工作的員工不需要昂貴的數據
7、專線,即可存取在組織內部才能存取的網路服務。n某些透過撥接系統的使用者,也可能因為VPN而增加網路存取速度。56K撥接線路也不一定保證加快傳輸速度。例如使用者的Interent連線速度、組織的網際網路連線速度、網際網路的擁塞程度和VPN伺服器的同時連線的數量等,這些都是影響速度的因素之一。11-2-2 VPN用戶端的問題n適當利用VPN用戶端確實可以降低組織的支出成本,但是VPN並非萬靈丹,伴隨而來的卻是重大的安全風險和建置問題。n或許使用VPN最大的單一安全問題,就是員工同時連線到其他網際網路站台。n如果使用者電腦已經遭到特洛依木馬程式的侵害,就有可能衍生出更多的問題 駭客利用員工的電腦連線
8、到組織的內部網路(詳見圖11-3),而且越來越有可能發生這種攻擊的類型。nVPN用戶端也同樣需要注意內部系統的使用者管理問題。n在使用者利用VPN之前,必須事先確認使用者身份。n一旦VPN允許遠端使用者存取組織的內部網路,就會需要兩種身份確認的因素。n因素一可能是使用者自己的電腦。如果不是使用者自己的電腦時,就會需要確認確實是使用者本人。n因素二無論如何都只有使用者本人才會知道的某些事情。如果不是使用中控化使用者管理系統時,組織的使用者管理程序必須在員工離職後移除使用者帳號。圖11-3 使用特洛依木馬程式存取組織的情形 n組織也必須考量VPN的流量負載,這是由於VPN的主要負載會出現在組織端的
9、VPN伺服器上面。nVPN伺服器允許同時連線的數量,就是流量負載的重要參數。n影響組織使用VPN的意願,和遠端連線所使用的網路位址轉譯(Network Address Translation,NAT,詳見第16章)有關。11-2-3 管理VPN用戶端n管理VPN用戶端的最主要問題,就是管理使用者和使用者的電腦。n合適的使用者管理程序,應該可以處理新進員工和離職員工的管理問題。n在使用者的電腦上,應該要安裝恰當的VPN軟體版本並正確設定。n如果屬於組織所擁有的電腦,VPN軟體就是電腦必備的標準軟體。n如果組織允許員工從家裡使用VPN連線時,就需要全力協助員工設定不同的電腦和ISP連線需求。n在使
10、用者的電腦上,也不要忘了安裝良好的防毒軟體,這也是影響VPN用戶端的重要因素。n防毒軟體通常都有自己定期更新(至少一個月一次)的數位簽章,才能防止病毒和特洛依木馬程式載入到使用者的電腦中。組織可能也會希望調查並提供員工SOHO族使用的防火牆。這類防火牆系統,大多數都可以進行遠端管理,因此公司就可以執行遠端監控和設定。11-3配置VPN站台n組織可以利用VPN站台和遠端辦公室連線,而無須架設昂貴的數位專線。nVPN站台也可以依據特定的商業目標,建立兩個組織之間專用通訊線路。n一般來說,可以在防火牆或邊界路由器架設VPN,並和其他的防火牆或邊界路由器連線(詳見圖11-4)。n在初始連線方面,初始連
11、線的站台會嘗試將流量傳送給其他站台,不過也會導致兩個VPN端點初始VPN連線。n兩個端點會依據站台的政策,協調連線的參數。n這兩個端點會利用某些預先設定或公眾鎖鑰認證等,這類共享秘密做為任何一個端點的身分確認。n某些組織會利用VPN做為數據專線的備援通道。n本節的內容如下:n11-3-1 VPN站台的效益n11-3-2 VPN站台的問題n11-3-3 管理VPN站台在使用這種類型時,必須非常謹慎設定VPN站台的組態設定,並確認已經適當設定路由(routing),而且VPN所使用的實體線路和數據專線所使用的線路也有所不同。或許,你會發現實體線路同時含有數據專線和VPN線路,但是這種線路可能無法提
12、供您所期望的備援線路。圖11-4 跨越網際網路的站台對站台 VPN 11-3-1 VPN站台的效益n和VPN用戶端一樣,VPN站台的最主要效益也是節省支出費用。n組織外圍的遠端辦公室,可以利用虛擬網路連線到中控站台(或遠端辦公室相互連線),如此即可節省可觀的支出費用。n在遠端站台如何和中控站台連線或相互連線方面,可以依據組織的政策建立連線規則。n如果是做為兩個組織連線的VPN站台,也可以在個別組織的VPN站台上,設定存取內部網路和電腦系統的限制規則。11-3-2 VPN站台的問題n組織的VPN站台安全層面,會擴展到遠端站台甚至是遠端組織。n如果遠端站台的安全性不足,VPN或許會允許入侵者取得中
13、控站台的存取權,甚至也可能取得組織內部其他網路的存取權。n在兩個組織利用VPN連結網路的範例中,每個連線端點的安全政策都是非常重要。n擁有這些連線端點的組織,都應該定義是否允許網路流量跨越VPN,而且也要適當地設定防火牆政策。nVPN站台的身份確認,也是非常重要的安全問題。n隨機利用共享機密來建立連線或許較為適當,而且任兩個VPN連線也不能使用相同的共享秘密。n如果使用公眾鎖鑰時,就必須建立可以變更和廢除認證的程序。n和VPN用戶端一樣,VPN伺服器也需要處理VPN流量的加密和解密工作。n需要特別調查定址的問題。n如果VPN站台使用組織的網路位址,組織就應該協調所有站台的位址計畫。n如果是在兩
14、個不同的組織之間使用VPN站台,需要非常謹慎並避免發生位址衝突。n圖11-5顯示某處發生位址衝突的情形。n定址計畫若發生衝突,且無法正常地路由流量時,每一端的VPN都應該執行NAT,並將其他組織的系統位址,重新定址成自己組織的定址計畫(詳見圖11-6)。圖11-5 可能會導致定址混淆的VPN站台 圖11-6 利用NAT解決定址混淆的VPN站台11-3-3 管理VPN站台n在建立連線之後,組織應該監控VPN站台並確保資料流量平順。n應該定期檢查VPN站台所使用的規則,確保這些規則都可以符合組織的政策規範。n經常管理VPN站台,才能讓路由問題維持在控制之下。n需要在內部網路的路由器上面,建立遠端站
15、台的路徑轉送資訊。n在定址計畫的管理範圍中,也應該包含這些路徑資訊並詳加記載,以防路由器維護時不慎刪除這些轉送路徑。11-4認識標準的VPN技術nVPN的四種重要元素如下:nVPN伺服器n加密演算法n身份確認系統nVPN協定 n這四種元素分別達成組織的安全、效率,以及不同VPN設備相互溝通的需求,適當的VPN架構和適當的身份確認需求息息相關。n需求的定義如下:n資訊需要保護的時間長度n使用者同時連線的數量n使用者可能的連線類型(在家工作的員工 v.s.出差的員工)n遠端站台的連線數量n需要連線的VPN類型n遠端站台可能產生的流量n控管安全組態設定的安全政策n本節的內容如下:n11-4-1 VP
16、N伺服器n11-4-2 加密演算法n11-4-3 身份確認系統n11-4-4 VPN協定11-4-1 VPN伺服器nVPN伺服器是一種扮演VPN端點的電腦系統,它必須要能夠處理可能發生的負載容量。n大多數的VPN軟體供應商,應該都要提供處理器速度的需求,以及依據VPN同時連線的數量計算出來的記憶體需求,並且預留連線數量成長的空間。n某些供應商也同樣提供容錯和備援VPN伺服器。或許需要建立多台VPN伺服器,來處理可能發生的負載。在這樣的情況下,應該盡可能依據系統的數量平均分配VPN連線的數量。nVPN伺服器也同樣必須架設在網路上。nVPN伺服器可能架設在防火牆或邊界路由器(詳見圖11-7)上面,
17、這樣會讓VPN伺服器的置換工作容易些。n也可以在獨立系統架設VPN伺服器。在這樣的情況下,應該將伺服器放在專屬的DMZz區域中(詳見圖11-8)。如果是在VPN DMZ架設VPN伺服器,或許也會需要改善防火牆的流量負載。甚至防火牆也不能處理加密功能時,可能需要變更原始防火牆的容量,才能處理VPN相關的流量。如果組織的VPN流量非常重要,可能也需要考慮使用容錯型防火牆。換句話說,或許也可以考慮使用獨立的VPN設備,而且也可以減輕防火牆的VPN處理。圖11-7 利用防火牆做為VPN伺服器,也是非常適合的VPN網路架構圖11-8 獨立的VPN伺服器,也是非常適合的VPN網路架構n表11-1的內容,是
18、針對VPN DMZ的防火牆政策規則定義。內容不但含有網際網路 DMZ的規則需求,也含有VPN DMZ的規則、需求。規則編號來源IP目地IP服務動作1任何位址VPN伺服器VPN服務允許2VPN伺服器內部網路任何類型的服務允許3任何位址VPN伺服器任何類型的服務拒絕4任何位址WEB伺服器HTTP允許5任何位址郵件伺服器SMTP允許6郵件伺服器任何位址SMTP允許7內部網路任何位址HTTP、HTTPS、FTP、telnet、SSH允許8內部DNS任何位址DNS允許9任何位址任何位址任何類型的服務拋棄11-4-2 加密演算法nVPN應該使用著名的、非常牢靠的加密演算法(詳見第12章)。n一般而言,所有
19、知名的、牢靠的演算法皆可用於VPN。n設計限制、許可問題、或程式設計參考等因素,會影響許多供應商的決定。n在購買VPN套裝軟體時,最好詳加詢問VPN使用的演算法類型。n系統建置影響整體安全的程度更高,建置不良的系統和任何演算法毫不相關。n使用VPN就會有風險。為了成功取得透過VPN傳送的資訊,攻擊者必須做到下列事項:n擷取完整的交談內容,也就是說必須在所有VPN流量必經的兩端點之間架設sniffer。n必須使用大量的電腦資源和時間,才能暴力破解鎖鑰和加密流量。11-4-3 身份確認系統nVPN架構的第三部分就是身份確認系統。前面的內容曾經提過,VPN應該使用雙重身份確認系統。n利用個人知道、個
20、人擁有、個人獨有的資訊,皆可做為使用者身份確認。以VPN用戶端而言,使用者個人知道、個人擁有即為最佳選擇。n智慧卡和PIN或密碼的結合,也是很好的組合。nVPN軟體製造商,通常都會提供幾種身份確認系統供組織選擇。n身份確認系統的清單之中,通常也會列出前幾大智慧卡供應商的名稱。使用智慧卡會增加每一個VPN使用者的成本。雖然這種作法會降低配置VPN的實質效益,不過只要可以降低風險也就值得。11-4-4 VPN協定n周遭的因素影響系統安全的程度,遠遠超過加密演算法的影響。nVPN協定只是影響整體系統安全的一部份,這都是因為VPN協定會交換兩端點之間的加密鎖鑰。n使用標準協定會比專有協定來得好。n目前
21、VPN使用的標準協定是IPSec協定。這個協定附帶地會將IP封裝、加密TCP標頭和打散封包。nIPSec也同樣會處理鎖鑰交換、遠端站台身份確認、含協商演算法(加密演算法和雜湊功能都有)。nIPSec使用UDP連接埠500初始協商,接著使用IP協定連接埠50傳輸所有流量。系統必須允許使用這些協定,如此VPN才能發生作用。為了要使用VPN,客戶可能必須購買商業套件,而不是使用一般流量的套件。nIPSec主要使用安全基座層(Secure Socket Laayer,SSL)協定或是HTTP(利用連接埠443的HTTPS)。n如果使用SSL,由於SSL是屬於應用層的協定,也許無法提供IPSec所需的效
22、率。11-5認識VPN系統的類型n組織也需要選擇採購的系統類型。VPN三種主要的系統類型如下:n硬體系統n軟體系統nWeb系統 n本節的內容如下:n11-5-1 硬體系統n11-5-2 軟體系統n11-5-3 Web型系統11-5-1 硬體系統n硬體VPN系統一般都會包含可以做為VPN伺服器的硬體設備。n硬體設備會執行製造商的軟體,而且可能會包含某些增進系統加密能力的特殊硬體。n在大多數的情況下,遠端使用者系統只需要可以建立VPN的軟體即可。n這些硬體設備也同樣可以用在站台對站台的VPN,不過卻要依據製造商而定。n硬體VPN系統具有下列兩項主要效益:n速度:速度:支援VPN的硬體系統大多已經最
23、佳化調整過,且速度優勢也超過一般用途電腦系統。n安全:安全:如果是專為VPN設計的硬體設備,應該都已經移除所有不相關的軟體和程序。因此,受到攻擊的漏洞數量會比一般用途電腦系統要少。事實上,VPN系統硬體設備的系統之中,可能也會含有導致遭受攻擊的漏洞。因此,系統的擁有人必須隨時修補系統的漏洞。11-5-2 軟體系統n軟體VPN是安裝在一般用途電腦系統的套裝軟體。n軟體VPN可以安裝在專屬的VPN系統上,或是可以和防火牆這類軟體安裝在同一部系統上。n在安裝軟體的時候,必須謹慎並確認硬體平台已經含有VPN系統所需的處理能力。n一旦組織因為軟體VPN而購置硬體時,也不要忘了提供適合組織需求的容量。n軟
24、體VPN系統也可以提供類似硬體系統的用途,而且也可以做為是VPN用戶端或VPN站台。在安裝VPN軟體時,必須要確認已經適當地設定系統並修補所有的漏洞。11-5-3 Web型系統n多數VPN用戶端的主要缺點 需要在用戶端系統安裝軟體。n在用戶端系統安裝VPN軟體,會增加管理VPN用戶端的工作量。n在用戶端系統上安裝VPN用戶端軟體時,可能會產生無法安裝或使用VPN用戶端的情況。n使用者僅需開啟瀏覽器,並透過SSL和VPN站台連線。SSL會自動將流量加密,並建構可以用來確認有效使用者的身份確認機制。n已經提供某些用來確認使用者身份的服務,這些服務包含瀏覽器的Plug-Ins和Java虛擬設備。n採
25、用這樣的作法之後,整體的支援和維護成本立即下降,而且也無須VPN解決方案即可提供完整的VPN功能。n一旦支援的成本降到最低限度,組織應該調查這些系統的可行性,不過也需要依據系統的限制調查使用者的需求。專案實作11:調查VPN類型之間的差異性 n針對組織已經安裝的VPN和VPN用途,提供一份有關VPN的加密法則、通道協定,以及應用程式結合的安全問題、建置VPN產生語音和透過IP服務傳送影音、遠端資料儲存備份回存等,各種效益的評估報告。並評估加密需求是否符合每一種案例?專案實作11:步驟n針對每一種應用程式,深入調查下列項目:n1.應用程式使用站台對站台VPN或VPN用戶端會比較合適?n2.VPN的端點在哪裡?這些端點會結合哪些風險?n3.需要端點或使用者應用程式上,增加任何可以和VPN結合的身份確認機制?n4.確認應用程式需要使用的身份確認機制。調查傳輸中的資訊,看看會不會被攔截或監聽?如果會發生前述的情形時,需要利用加密機制充分保護資訊?專案摘要n為什麼一種應用程式可以運作得很好,但不同的應用程式就無法運作?n站台對站台VPN和VPN用戶端的需求會有極大的差異,甚至也需要考量身份確認和端點的安全問題。n如果使用軟體VPN時,這些都是使用者帳戶必須考量的因素。n使用加密機制和牢靠的密碼,會直接影響防止或延遲攻擊的類型。在設計使用者帳戶的過程中,也都必須考量這些風險。