Google
 

音樂分享 - 「君がいるから」by 江口一聲

2007年2月13日 星期二

VPN IPSec

IPsec VPN 的難題:Firewall 與 NAT 的配置 林宸堂 2001/9/12

一、前言

VPN(Virtual Private Network,虛擬私有網路)是近年來網路應用中最受矚目的營運模式,因為它利用公用網路取代專線連接企業的區域網路,不僅大幅降低建置成本,也提高了未來擴充的便利性。一般VPN可分為CPE (Customer Premises Equipment) -based VPN以及Network-based VPN。前者主要由企業用戶端自行利用L2TP或IPsec這類的技術,與遠端的CPE-based VPN Devices建置跨越公用網路的虛擬私有通道,是現今最為常見的VPN解決方案;後者則是由網路服務提供者(Service Providers,SP)直接提供VPN的建置服務,特別現在因為高速網路技術的快速發展(例如DWDM、10 Gigabit Ethernet等),傳輸成本大幅降低,無論是MAN或WAN都可提供更便宜、及更具擴充性的VPN網路建置,並由SP提供專業、且集中式的安全管理(Firewall、Anti-Virus、Intrusion Detection…)、還有更完善的頻寬管理。面對越來越嚴苛的網路安全問題、以及網路迅速擴充的需求,CPE-based VPN雖然為企業帶來極大的CPE設備、系統管理、及人員訓練等成本負擔,但是CPE-based VPN具有較高的技術成熟度、以及一切皆操控於企業主本身的可靠性,仍使得CPE-based VPN受到用戶的極度擁戴。從圖一的相關市場預測看來,未來幾年內,Network-based VPN雖然呈現快速成長的趨勢,但是CPE-based VPN設備仍會佔有大半的市場。

目前CPE-based VPN所使用的技術中約略可區分為Layer 2的PPTP [1] 或是L2TP [2] 的通道(Tunneling)技術,以及Layer 3的IPsec [3、4] 技術。這些VPN技術因為都是透過IP的封裝格式傳送,因此亦被統稱是IP-VPN的技術。Layer 2的Tunneling技術因為對於資料的保護能力較為缺乏,對於企業的網路通訊應用相對受限較多,因此目前企業的VPN多是採用Layer 3的IPsec解決方案。雖然IPsec VPN具有:採用IP封裝技術、適用於Internet的環境,保證資料傳輸過程的隱密與完整,支援完整的加密金鑰的管理協定....等優點,但是因為IPsec所採用的加密技術限制了許多封包處理程序,導致IPsec VPN系統與原有的網路安全保護機制,如Firewall及NAT產生整合困難、甚至是不相容的窘境。這篇文章的目的即是要探討IPsec VPN系統在配置Firewall或NAT機制時所需要的成本、安全性、及可行性的考量。

在接下來的文章中,我們會先簡介IPsec VPN的運作架構特性,以利讀者了解何以IPsec與Firewall或NAT並用時會發生問題(但關於IPsec更詳細的功能規格,請讀者參閱相關的標準文件 [3-6])。第三節我們會介紹IPsec VPN Devices與Firewall Devices如何組合並用?有何優缺點?第四節我們將介紹IPsec與NAT並用所引起的問題、及可能的解決方式。

二、IPsec VPN簡介

目前絕大部份的VPN應用多是透過Internet,這是一個IP-based的網路環境,如果可以在網際網路層(IP Layer)一次解決安全問題,則不僅VPN的安全問題得以解決,同時也可減少開發VPN應用系統時對安全機制的額外需求。因此IETF在設計下世代IPv6時,即提出相關的安全保密架構,後來該架構才獨立為「網際網路層安全協定」(IP Security Protocol),簡稱IPsec [3、4]。IPsec VPN的「安全」並不僅在於保證資訊的隱密(Confidentiality),避免第三者「竊聽」到通訊內容,同時還確保網路傳送內容不被篡改破壞,亦即所謂資料的一致性(Integrity);另外就是資料來源的驗證(Authentication),確定資料並非來自公用網路上第三者所偽造。

l IPsec的安全協定

IPsec提供兩種安全協定:AH(Authentication Header [5])與ESP(Encapsulating Security Payload [6])。AH主要透過Hash function(例如MD5及SHA-1)的技巧,提供封包來源的驗證、以及內容一致性的檢查,因此,一旦IP封包(包含IP Header及Data Payload)在網路上遭人篡改或假造都可檢查出來。ESP則可同時結合加密演算法(如DES、3DES、或AES)及Hash function,對封包內容加密後即可不用擔心封包遭竊取,同時亦可有類似AH的驗證能力。但是ESP協定對於防篡改或造假的能力並不如AH強大,因此雖然ESP亦有類似驗證功能,仍不可完全取代AH。

l IPsec的封裝機制

對於IPsec如何與既有的IP-based網路結合,IPsec提出兩種不同實作的封裝機制︰Transport Mode與Tunnel Mode [3]。前者即是所謂的Host-to-Host的封裝機制,亦即由連線兩端主機對其交換的IP封包以前段所述的AH或(及)ESP做安全保護,兩通訊主機皆須實作有IPsec。而後者,Tunnel Mode則是所謂Gateway-to-Gateway(或Host),其原理是通訊主機先將未保護的IP封包傳給具IPsec功能的Security Gateway(通常是區域網路對外的Router),Gateway再將封包以IPsec保護、傳給遠端的Gateway,對方在解除IPsec的保護機制後、再把還原後的IP封包轉送至真正的目的端主機。
餘文轉看原作者網頁。
Source: IPsec VPN 的難題:Firewall 與 NAT 的配置
Address : <http://www.iii.org.tw/ncl/document/IPSecVPN.htm>

沒有留言: