Insights and Answers for IT Professionals

Insights and Answers for IT Professionals http://www.microsoft.com/taiwan/technet/

活用 Windows 2000 通訊服務建構安全的 VPN 網路環境唐任威台灣微軟顧問 ( 恆逸資訊教育訓練處 )

本課程假設您 …  已具備以下基本技術知識 :  網路基本相關概念，如 OSI 7 Layer 、 TCP/IP  Windows 2000 操作及設定  Windows 2000 Active Directory  電腦及網路管理及除錯  這是 TechNet Level 200 的課程

 企業網路應用環境的規劃  撥接式 (Dial-up) 環境  專線式 (Leased line) 環境  網際網路與分封交換式 (Packet switching) 環境  虛擬私人網路 (VPN) 的原理剖析及實務運用  PPTP (Point-to-Point Tunnel Protocol)  L2TP (Layer 2 Tunnel Protocol)  IPSec (IP Security) 講座大綱

企業網路應用環境的規劃  撥接式 (Dial-up) 環境  專線式 (Leased line) 環境  網際網路與分封交換式 (Packet switching) 環境

撥接式環境 Corporate Office Access Server Remote User Mail Server File Server Database Server

撥接式環境的現況  以 Dial-up Network Access Box 存取企業網路  搭配 ISP 以解決企業需在各地建立撥接點  優點  用戶端設定簡單、使用容易  缺點  長途撥接，費用偏高  使用者驗證用帳號無法集中，造成管理的負擔過重

IAS/RAS 集中管理撥接使用者帳號  RRAS(Routing & Remote Access Service)  IAS(Internet Authentication Service) Corporate Office Remote User Mail Server File Server Database Server Active Directory IAS Server RAS Server

專線式環境 Mail Server Database Server File Server Mail Server Database Server Mail Server Database Server File Server Lease Line Branch Office Corporate Office Business Partner Lease Line

專線式環境的現況  企業中不同的地點以私有專線連接 (Intranet)  不同的企業之間以私有專線連接 (Extranet)  優點  私有網路，隱密性較高  缺點  成本偏高 ( 價格與距離、頻寬成正比 )  企業中較敏感的資料被竊取的機會仍舊偏高 ( 如人事、財務等資料 …… )

IPSec 確保專線式環境資料傳輸安全 Mail Server Database Server File Server Mail Server Database Server Mail Server Database Server File Server Lease Line Branch Office Corporate Office Business Partner Lease Line

網際網路與分封交換式 (Packet switching) 環境 Mail Server File Server Database Server Mail Server Database Server File Server Mail Server Database Server File Server Mail Server Database Server File Server Internet or Frame Relay File Server Mail Server Database Server 香港北京台北東京紐約

網際網路與分封交換式環境的現況  企業與 ISP 連結存取 Internet 網路資源  企業以公眾網路 ( 如 Frame Relay, X.25 等 ……) 做為 Intranet 連接方式  優點  成本低廉  缺點  無法保障資料的完整性及隱密性，較無安全可言

VPN Service (RRAS) 確保網際網路與分封交換式網路環境資料傳輸安全 Mail Server File Server Database Server Mail Server Database Server File Server Mail Server Database Server File Server Mail Server Database Server File Server Internet or Frame Relay 香港北京台北東京紐約 VPN Server VPN Server VPN Server VPN Server Mail Server File Server Database Server VPN Server

虛擬私人網路 (VPN) 的剖析  VPN (Virtual Private Network)  VPN 的特性  VPN 的元件  VPN 的協定  PPTP (Point-to-Point Tunnel Protocol)  L2TP (Layer 2 Tunnel Protocol)  IPSec (IP Security)

VPN 的特性  將開放的網路模擬為私人的網路使用  Encapsulation 讓資料透過媒介網路傳輸  Authentication 確認使用者的身分、保障資料的完整  Data encryption 確保資料的安全

VPN 的元件  Transit internetwork  VPN server  VPN client  Tunnel  Tunneling protocols  VPN connection  Tunneled data

VPN 的協定  PPTP (Point-to-Point Tunnel Protocol)  L2TP (Layer 2 Tunnel Protocol)  IPSec(IP Security)

 VPN(Virtual Private Network)  PPTP (Point-to-Point Tunnel Protocol)  PPTP 的運作原理  PPTP 的驗證及加密  PPTP 的運用  PPTP 的設定  L2TP (Layer 2 Tunnel Protocol)  IPSec (IP Security) 虛擬私人網路 (VPN) 的剖析

 第二層的協定  PPP(Point to Point) 的延伸  可封裝 LAN 的協定，如 IP, IPX, NetBeui ……  利用 IP network 傳輸資料  使用 MPPE(Microsoft Point to Point Encryption) 進行資料加密 Point-to-Point Tunnel Protocol

PPTP 的運作原理  資料由第三層送至第二層的 PPTP Driver 加密  由第二層的 PPTP Driver 回送至第三層重新封裝  定址後依正常程序送至第一層傳輸

PPTP 的驗證及加密  PPTP 的使用者驗證方式採用 PPP 的驗證方式  PAP, SPAP, CHAP, MS-CHAP V1, V2, and EAP  PPTP 使用 MPPE 進行資料的加密  只有採用 MS-CHAP V1 or 2 or EAP-TLS 的驗證方式才能用 MPPE 進行資料加密

PPTP 的運用時機  單一使用者對遠端網路的資料存取，適用於 Win98/NT4 Client  網路對網路的資料存取

PPTP 的設定 Client to Gateway  VPN Client(W98User) 的設定  安裝虛擬私人網路配接卡  VPN Server(HQ_VPN) 的設定  啟動 RRAS 服務  設定 addressing (static address pool or DHCP)  設定 RAS Policy (Dial in Permission)  驗證  Client 端建立撥號網路設定並撥號  存取資源  Client & RRAS Server 檢視連線狀態

PPTP 的設定 Gateway to Gateway(1)  HQ_VPN Server 的設定  啟動 RRAS 服務  設定 addressing(static address pool or DHCP)  設定 RAS Policy (Dial in Permission)  新增 VPN demand-dial 撥號介面  新增靜態路由 (static route)

PPTP 的設定 Gateway to Gateway(2)  BR_VPN Server 的設定  啟動 RRAS 服務  設定 addressing(static address pool or DHCP)  設定 RAS Policy (Dial in Permission)  新增 VPN demand-dial 撥號介面  新增靜態路由 (static route)  驗證  Client 端設定 Default Gateway  Client 端存取資源 ( 觸發撥號 )  Server 端檢視連線狀態

PPTP 的設定 PPTP 的設定 HQ_Mail 172.16.1.100 Branch 192.168.100.0/24 HQ 172.16.1.0/24 BR_VPN 210.30.100.18/30 192.168.100.254/24 HQ_VPN 202.100.25.18/30 172.16.1.254 Mobile User 210.60.45.15/24 Internet HQ User 172.16.1.10 BR User 172.16.1.10

 VPN(Virtual Private Network)  PPTP (Point-to-Point Tunnel Protocol)  L2TP (Layer 2 Tunnel Protocol)  L2TP 的運作方式  L2TP 的驗證及加密  L2TP 的運用  L2TP 的設定  IPSec (IP Security) 虛擬私人網路 (VPN) 的剖析

 第二層的協定  可封裝 LAN 的協定，如 IP, IPX, NetBeui ……  可利用 IP, X.25, ATM, Frame Relay 傳輸資料  使用 IPSec 進行資料加密 Layer 2 Tunnel Protocol

L2TP 的運作原理  資料由第三層送至第二層的 L2TP Driver 封裝  由第二層的 L2TP Driver 回送至第三層經由 IPSec 加密並定址  定址後依正常程序送至第一層傳輸

L2TP 的驗證及加密  L2TP 的驗證方式分為二階段，電腦驗證及使用者驗證  電腦的驗證是採 certificate base ，當 IPSec 進行 SA 的建立同時完成  使用者的驗證方式採用 PPP 的驗證  EAP, MS-CHAP V1, V2, CHAP, SPAP, and PAP  L2TP 使用 IPSec 來進行資料的加密  DES with a 56-bit key  Triple DES (3DES)

L2TP 的運用時機  單一使用者對遠端網路的資料存取，適用於 W2K Client  網路對網路的資料存取

L2TP 的設定 Client to Gateway(1)  VPN Client(W2KUser) 的設定  申請並安裝數位憑證 (Client Authentication Certificate)  http://sectestca2.rte.microsoft.com/certsrv/  VPN Server(HQ_VPN) 的設定  申請並安裝數位憑證 (Client Authentication Certificate)  啟動 RRAS 服務  設定 addressing (static address pool or DHCP)  設定 RAS Policy (Dial in Permission)

L2TP 的設定 Client to Gateway(2)  驗證  Client 端建立撥號網路設定並撥號  存取資源  Client & RRAS Server 檢視連線狀態  IPSec Monitor (ipsecmon.exe)

L2TP 的設定 Gateway to Gateway(1)  HQ_VPN Server 的設定  申請並安裝數位憑證 (Client Authentication Certificate) 啟動 RRAS 服務  設定 addressing(static address pool or DHCP)  設定 RAS Policy (Dial in Permission)  新增 VPN demand-dial 撥號介面  新增靜態路由 (static route)

L2TP 的設定 Gateway to Gateway(2)  BR_VPN Server 的設定  申請並安裝數位憑證 (Client Authentication Certificate) 啟動 RRAS 服務  設定 addressing(static address pool or DHCP)  設定 RAS Policy (Dial in Permission)  新增 VPN demand-dial 撥號介面  新增靜態路由 (static route)

L2TP 的設定 Gateway to Gateway(3)  驗證  Client 端設定 Default Gateway  Client 端存取資源 ( 觸發撥號 )  Server 端檢視連線狀態  IPSec Monitor (ipsecmon.exe)

L2TP 的設定 L2TP 的設定 HQ_Mail 172.16.1.100 Branch 192.168.100.0/24 HQ 172.16.1.0/24 BR_VPN 210.30.100.18/30 192.168.100.254/24 HQ_VPN 202.100.25.18/30 172.16.1.254 Mobile User 210.60.45.15/24 Internet HQ User 172.16.1.10 BR User 172.16.1.10

 VPN(Virtual Private Network)  PPTP (Point-to-Point Tunnel Protocol)  L2TP (Layer 2 Tunnel Protocol)  IPSec (IP Security)  IPSec 的運作方式  IPSec 的主要元件  IPSec 的運用  IPSec 的設定虛擬私人網路 (VPN) 的剖析

 IP Base Network 的資料加密  保障資料的安全與完整  Windows 2000 的 IPSec 技術由 Micrisoft 與 Cisco 共同發展 IP Security

IPSec 的運作方式  資料傳送前 IPSec Driver 會檢查 IPSec Policy 決定資料是否需加密處理  IPSec Driver 通知 IKE 進行協商，而後產生 SA  IPSec Driver 依照 SA 的內容進行資料的傳輸

IPSec 的主要元件 IPSec security protocols  IPSec 共分為二種協定 AH 、 ESP ，可單獨使用或相互結合使用  Authentication Header(AH) 確保資料的完整性  authentication, integrity, anti-replay  Encapsulating Security Payload(ESP) 進行資料加密及確認資料的完整性  confidentiality, authentication, integrity, anti-replay

Security associations IPSec 的主要元件  二電腦間資料傳輸前的安全協議  包含通訊協定的使用 (AH or ESP) 、驗證的方式 (Certificate, Pre-share key, Kerberos) 等 ……  其建立方向為單向，表示若為雙向資料傳輸則需建立另外的 SA  SA 的建立及對稱加密金鑰的產生由 IKE(Internet Key Exchange) 負責

Security policy(1) IPSec 的主要元件  用來制定 IPSec 的動作方式 ( 如通訊對象、資料類型、驗證及加密的方式 )  可存放於本機的 Registry 或 Active Directory Group policy 中  存放於 AD 可利用其特性進行集中式的管理  Security Policy 是由 Rules 所構成

Security policy(2) IPSec 的主要元件  Security Policy Rule 的結構可分為  IP Filter List: 通訊對象及資料類型  Filter Action: 是否加密及加密方式  Authentication Methods: 驗證的方式  Tunnel: 是否建立 Tunnel 及對象  Connection Type: 區域網路或遠端存取 Rule 2 Filter 1 Filter 2 Filter Action IPSec Policy Rule 1 Filter 1 Filter 2 Filter Action

IPSec driver IPSec 的主要元件  檢查 IP 封包的進出符合 IPSec policy filter 的定義  執行 IPSec policy 所定義的驗證方式 ( 如 Kerberos or certificates)  當建立新的連線時，要求建立 SA  SA 的維護 (Updating and deleting)

IPSec 的運用時機  單一使用者對單一使用者的資料存取  網路對網路的資料存取

IPSec 的設定 End to End  Server 端 ( 被存取端 )IPSec Policy 的設定  新增 Policy  新增 rule 並定義 filter( 對象及資料 ) 及 action  指派 (assign)  Client 端 ( 存取端 )IPSec Policy 的設定  使用預設 Policy 修改 (respond only)  將驗證方式修改為 pre-share key  指派 (assign)  驗證  進行資料存取  IPSec Monitor(ipsecmon.exe)

HQ_Mail 172.16.1.100 Branch 192.168.100.0/24 HQ 172.16.1.0/24 BR_VPN 210.30.100.18/30 192.168.100.254/24 HQ_VPN 202.100.25.18/30 172.16.1.254 Internet HQ User 172.16.1.10 BR User 172.16.1.10 IPSec 的設定 IPSec 的設定

更多的資源   http://www.microsoft.com/technet/network/  Technology Center on Windows 2000  www.microsoft.com/technet/  www.microsoft.com/taiwan/technet

整體服務整體服務 Insights & Answers for IT Professionals  TechNet 光碟、 TechNet Plus 光碟  Microsoft ® TechNet 實務技術講座  網站  www.microsoft.com/taiwan/technet  TechNet Flash 資訊技術人電子快訊

TechNet CD 的內容一年十二期  Microsoft Knowledge Base  精通所有產品的 Resource Kits  讓系統保持最佳狀態的 Service Packs, patches, drivers, tools 等等  實務技術文章  評估與部署指南  TechNet 技術訓練課程 (Seminar Online)  個案研討、建置策略白皮書  …

TechNet Plus CD 內容 TechNet Plus = TechNet 標準版光碟的內容 + Microsoft 各種最新產品的 Beta 評估版以及正式評估版光碟

2001 年 4 月 TechNet Plus   Microsoft Mobile Information 2001 Server 企業版 Beta 2  Microsoft ® Visio 10 Beta 2  Microsoft ® Office Professional with FrontPage Corporate Preview Beta   Microsoft SharePoint Portal Server RC-1   Microsoft Internet Security and Acceleration (ISA) Server 2000 企業版正式評估版   Exchange 2000 Conferencing Server 正式評估版   Exchange 2000 Server 企業版正式評估版  Microsoft ® Commerce Server 2000 正式評估版   Microsoft Host Integration Server 2000 正式評估版   Microsoft SQL Server 2000 中文版正式評估版

Insights and Answers for IT Professionals

Similar presentations

Presentation on theme: "Insights and Answers for IT Professionals"— Presentation transcript:

Similar presentations

About project

Feedback

Log in

Auth with social network:

Insights and Answers for IT Professionals

Similar presentations

Presentation on theme: "Insights and Answers for IT Professionals"— Presentation transcript:

Similar presentations

About project

Feedback