前言
虛擬私有網路(Virtual Private Network, VPN),其意義是在公眾網路中,開闢一條用戶私人專屬的保密通道,就如同在馬路上開闢一條公車專用道般,這條通道會提供接入用戶在認證及加密上的安全防護,避免用戶資料外洩或遭受攻擊。VPN技術不僅可應用於網路業,亦可應用於個人電腦及軟體上,因為完善的電子商務機制勢必要讓每一部電腦在上網時都能得到安全保護,用戶只需在電腦上加裝VPN軟體或VPN網路卡,就能確保在瀏覽網站或購物時的交易資料及私人訊息得到安全保障。
前陣子國內才破獲一樁首見的假冒網路銀行詐財事件,由此可知,隨著網路交易的日漸頻繁,消費者透過網路進行交易,應如何兼顧隱私權保障,避免自身利益的損失,已是網路安全的重要議題。而VPN安全機制除了解決以上疑慮外,其亦可解決跨國管理的一些問題。例如:傳統的跨國企業在構築企業之間的連線,為了安全因素多半會架設專線,但專線費用十分昂貴,利用VPN便能解決此一問題。又例如:分散在世界各地的員工,透過電腦或其他連線裝置,每天一開機,便可自Internet和企業總部建立一條安全通道,將一天的工作計劃及目前進度回報給總公司。相同的情形一樣可以應用在企業的財務、配銷、庫存管理、出貨時間,甚至生產管理等,VPN的方式使得以往被認為不太可能的全球管理模式變為可能,請參照(圖一)所示。
IPSec與其他VPN協定的差異
近年來網際網路技術小組IETF(註一)制定了四項較為知名的VPN通訊協定,其中有三項是應用在OSI模型中的第二層(Data-Link layer, 資料連結層),分別是L2F(Layer 2 Forwarding) Protocol、PPTP(Point-to-Point Tunneling Protocol)和L2TP( Layer 2 Tunneling Protocol),唯一在第三層的VPN通訊協定就是Internet Protocol Security,簡稱IPSec。
不論是使用那一種VPN協定,都可以建立一個虛擬私有通道,例如PPTP使用GRE(Generic Routing Encapsulation)協定來打包加密其資料封包,同樣的,IPSec和L2F及L2TP各自也有自己的資料加密方式。
在各項協定中,其所扮演保護的角色,不論是身份認證或資料加解密,事實上也是有差異的,就以PPTP和L2F來說,這兩項協定提供有限的端點連結和較弱身份認證及加解密方法,相互比較之下,IPSec提供的功能,不但多樣而且更為強大。舉例而言:IPSec不侷限於連線的方式(如前述之VPN通訊協定為撥接方式),亦即不論撥接上網、ISDN上網,以致於時下最熱門的寬頻上網,只要可連線上網幾乎都可採用VPN。其次,VPN在私密功能上更展現其多樣特性,例如:用以確認身份的「電子簽章認證」(Digital Certificates )和功能顯著的加密技術Triple DES,都是前者所無法比擬的。至於L2TP,該協定根源自PPTP和L2F,雖然支援較多的連結功能,但所有的認證及加解密系統,在IPSec中全部涵括。請參照(圖二)。
IPSec的原理與處理方式
比較過PPTP、L2F、L2TP之後,讓我們進一步探討IPSec。
由於網際網路缺乏網路層的安全機制標準,使用者被迫使用專屬的通訊協定,但不同的廠商所提供的產品規格又都不同。為了解決這個問題,如前所述,IETF特別推動一套稱為IPSec的標準,其目的就是要建立在網路層之下安全基制的標準化和共通性。
在IPSec的架構中,有兩個主要的部份,分別是AH(Authenti- cation Header) RFC1825~1829與ESP(Encapsulating Security Payload) RFC1851~1852。先就認證標頭(AH)來談,AH提供傳送者資料鑑別(Authentication)與資料完整(Integrity)的工作,接收端可以重複計算並推論是否使用了正確的金鑰,以及確認資料是否完整等,請參照圖二。
而資料安全封裝(ESP)的型式,基本上有兩種不同的模式:
1.傳輸模式(Transport-mode)
只有資料數據上所承載的TCP或UDP封包會被加密及封裝,當通訊中的主機,由安全閘道(Security Gateway)來分隔時,此種模式的意義就產生了。
2.隧道模式(Tunnel-mode)
傳送的資料數據(Datagram)被加密及重新整理,並封裝成一個新的資料數據。請參照(圖三)。
就傳輸模式來說,一般都是利用在端點對端點(如PC對PC)或是端點對群組(如PC對安全閘道)。而隧道模式的構成,則是群組對群組,也就是在相對連結的兩個安全閘道上(通常可比喻成VPN安全路由器),每個安全閘道各承載一群在安全屏障之後的整組電腦。簡而言之,傳輸模式就如同用戶端的安全VPN軟體,而隧道模式則是提供伺服端的整體VPN安全架構。
簡單描述AH與ESP之後,還有一項非常重要的部份,就是金鑰的管理(Key Management)。通常選擇使用共同金鑰(Shared Key)時,得先產生一個認證發行中心(Issuing Authority),並於進行安全通訊時,資料發送者由發行中心取得私鑰(Private key),進行資料加密的動作。而接收資料的另一方,則向發行中心取得公鑰(Pub- lic Key)進行資料的解密動作,如此即完成一般加解密之步驟。
企業真的需要VPN嗎
資訊管理人員常被問到許多問題,好比寬頻技術越來越成熟且迅速普及當中,企業主也許就會問:「換個方式會不會增加上網的速度?」或是:「為什麼公司的網路老是這麼慢?」甚至MIS人員自己也會有一堆的問號在腦海裡浮現。
我們不得不承認,要追上Internet的發展實在很吃力,電信通訊技術花了七十年的時間才有今天的成就,而Internet的不到五年的時間就達到如今的地步。很多的專有名詞才剛出現,多數人都還不是很清楚這到底是甚麼樣的技術時,可能又出現其他取而代之的技術了。Internet大部份的技術都是由一群專業人員及工程師,根據實際發展需求,制訂出相關的規定,其目的就是希望全世界對於Internet產業的發展能有一個共通標準。VPN相關協定也是在這個前題下產生,這項標準的制定不只是建構安全的網路傳輸,更重要的是可以將此技術,以最經濟的大眾網路來進行傳遞。相對的,當經營者或資訊主管在考慮是否要採用VPN做為企業整體架構時,必須清楚的規劃到底要實踐這項機制的目的和實際需要為何。如同一個需要行銷人員隨時從不同時間和地點傳回電子資料的企業,若照傳統的方式,必須利用傳統的公眾電信網路─也就是電話系統─撥號進公司的RAS伺服器(Remote Access Server),這種情況如果發生在相鄰區域倒還不會有費用上的考量,一旦工作人員必須從外縣市或海外來進行登入伺服主機時,長途連線的電話費用可就相當可觀了。
反觀如果能利用VPN的方式,不論人員在那個國家或區域,只要登錄連結上當地的ISP就可以和企業總部建立安全連結,如此兼顧安全與經濟方式不正是企業經營者所關切的降低成本方式嗎?事實上,網路效能更是集合所有軟硬體系統和MIS規劃所呈現出的總體表現值,絕不是向想像中換個更高速度的硬體或單純的頻寬提升就可解決問題。
相同的觀念在應用VPN作為企業網路架構時,也必須體認,這只是整體網路的一個環節,網路應用的快速發展,讓使用者對更高速頻寬的需求亦相對提昇,面對這樣的供需體系(企業網路系統及網路服務提供者V.S.企業內高度使用網路的每一個人員),如何兼顧經濟與效率,正考驗著您的智慧。
(作者任職於互聯科技)
備註
註一:IETF(Internet Engineering Task Force)網際網路技術小組成立於1986年1月。主要的工作是針對網際網路的需求,提出實際解決的因應之道。業界將不同的需求建議傳至IETF小組,而該小組再衡量是否需要制定相關標準,如果決定要制定協定標準,則相關資料將匯整至各個小組,所有小組則開始建立標準原形,並提出建議和操作樣本成為草案,經廠商及客戶實際驗證測試後,再匯整修正,最後便成了網際網路的一項標準。