Insights and Answers for IT Professionals

Insights and Answers for IT Professionals

http://www.microsoft.com/taiwan/technet/

活用活用 Windows 2000Windows 2000 通訊服務通訊服務建構安全的建構安全的 VPNVPN 網路環境網路環境

唐任威台灣微軟顧問

( 恆逸資訊教育訓練處 )

本課程假設您…本課程假設您…

已具備以下基本技術知識已具備以下基本技術知識 ::

網路基本相關概念，如網路基本相關概念，如 OSI 7 LayerOSI 7 Layer 、、 TCP/IPTCP/IP

Windows 2000 Windows 2000 操作及設定操作及設定

Windows 2000 Active DirectoryWindows 2000 Active Directory

電腦及網路管理及除錯電腦及網路管理及除錯

這是這是 TechNet Level 200 TechNet Level 200 的課程的課程

企業網路應用環境的規劃企業網路應用環境的規劃撥接式撥接式 ((Dial-up)Dial-up) 環境環境專線式專線式 ((Leased line)Leased line) 環境環境網際網路與分封交換式網際網路與分封交換式 ((Packet switching)Packet switching) 環境環境

虛擬私人網路虛擬私人網路 ((VPN) VPN) 的原理剖析及實務運用的原理剖析及實務運用 PPTP (Point-to-Point Tunnel Protocol)PPTP (Point-to-Point Tunnel Protocol)

L2TP (Layer 2 Tunnel Protocol)L2TP (Layer 2 Tunnel Protocol)

IPSec (IP Security)IPSec (IP Security)

講座大綱講座大綱

企業網路應用環境的規劃企業網路應用環境的規劃

撥接式撥接式 ((Dial-up)Dial-up) 環境環境

專線式專線式 ((Leased line)Leased line) 環境環境

網際網路與分封交換式網際網路與分封交換式 ((Packet switching)Packet switching) 環境環境

撥接式環境撥接式環境

CorporateOffice

AccessServer

RemoteUser

MailServer

FileServer

DatabaseServer

撥接式環境的現況撥接式環境的現況

以以 Dial-up Network Access Box Dial-up Network Access Box 存取企業網路存取企業網路搭配搭配 ISPISP 以解決企業需在各地建立撥接點以解決企業需在各地建立撥接點優點優點

用戶端設定簡單、使用容易用戶端設定簡單、使用容易缺點缺點

長途撥接，費用偏高長途撥接，費用偏高使用者驗證用帳號無法集中使用者驗證用帳號無法集中，造成管理的負擔過重，造成管理的負擔過重

IAS/RASIAS/RAS集中管理撥接使用者帳號集中管理撥接使用者帳號

RRAS(Routing & Remote RRAS(Routing & Remote Access Service)Access Service)

IAS(Internet Authentication IAS(Internet Authentication Service)Service)

CorporateOffice

RemoteUser

MailServer

FileServer

DatabaseServer Active

DirectoryIAS

Server

RASServer

專線式環境專線式環境Mail

ServerDatabase

ServerFile

Server

MailServer

DatabaseServer

MailServer

DatabaseServer

FileServer

Lease Line

BranchOffice

CorporateOffice

BusinessPartner

Lease Line

專線式環境的現況專線式環境的現況

企業中不同的地點以私有專線連接企業中不同的地點以私有專線連接 ((Intranet)Intranet)

不同的企業之間以私有專線連接不同的企業之間以私有專線連接 ((Extranet)Extranet)

優點優點私有網路，隱密性較高私有網路，隱密性較高

缺點缺點成本偏高成本偏高 (( 價格與距離、頻寬成正比價格與距離、頻寬成正比 )) 企業中較敏感的資料被竊取的機會仍舊偏高企業中較敏感的資料被竊取的機會仍舊偏高 (( 如人事、如人事、

財務等資料……財務等資料…… ))

IPSecIPSec確保專線式環境資料傳輸安全確保專線式環境資料傳輸安全

MailServer

DatabaseServer

FileServer

MailServer

DatabaseServer

MailServer

DatabaseServer

FileServer

Lease Line

BranchOffice

CorporateOffice

BusinessPartner

Lease Line

網際網路與分封交換式網際網路與分封交換式 ((Packet switching)Packet switching) 環環境境

MailServer

FileServer

DatabaseServer

MailServer

DatabaseServer

FileServer

MailServer

DatabaseServer

FileServer

MailServer

DatabaseServer

FileServer

Internet or

Frame Relay

FileServer

MailServer

DatabaseServer

香港香港

北京北京

台北台北

東京東京

紐約紐約

網際網路與分封交換式環境的現況網際網路與分封交換式環境的現況

企業與企業與 ISPISP 連結存取連結存取 InternetInternet 網路資源網路資源企業以公眾網路企業以公眾網路 (( 如如 Frame Relay, X.25Frame Relay, X.25 等……等…… ))

做為做為 IntranetIntranet 連接方式連接方式優點優點

成本低廉成本低廉

缺點缺點無法保障資料的完整性及隱密性，較無安全可言無法保障資料的完整性及隱密性，較無安全可言

VPN Service (RRAS)VPN Service (RRAS)確保網際網路與分封交換式網路環境資料傳輸安全確保網際網路與分封交換式網路環境資料傳輸安全

MailServer

FileServer

DatabaseServer

MailServer

DatabaseServer

FileServer

MailServer

DatabaseServer

FileServer

MailServer

DatabaseServer

FileServer

Internet Internet oror

Frame RelayFrame Relay

香港香港

北京北京

台北台北

東京東京紐約紐約

VPNServer

VPNServer

VPNServer

VPNServer

MailServer

FileServer

DatabaseServer

VPNServer

虛擬私人網路虛擬私人網路 ((VPN) VPN) 的剖析的剖析

VPN (Virtual Private Network)VPN (Virtual Private Network)

VPNVPN 的特性的特性 VPNVPN 的元件的元件 VPNVPN 的協定的協定

PPTP (Point-to-Point Tunnel Protocol)PPTP (Point-to-Point Tunnel Protocol)



VPNVPN 的特性的特性將開放的網路模擬為私人的網路使用將開放的網路模擬為私人的網路使用 Encapsulation Encapsulation

讓資料透過媒介網路傳輸讓資料透過媒介網路傳輸 Authentication Authentication

確認使用者的身分、確認使用者的身分、保障資料的完整保障資料的完整

Data encryptionData encryption

確保資料的安全確保資料的安全

VPNVPN 的元件的元件

Transit internetworkTransit internetwork

VPN server VPN server

VPN client VPN client

Tunnel Tunnel

Tunneling protocols Tunneling protocols

VPN connection VPN connection

Tunneled data Tunneled data

VPNVPN 的協定的協定



IPSec(IP Security)IPSec(IP Security)

VPN(Virtual Private Network)VPN(Virtual Private Network)

PPTP (Point-to-Point Tunnel Protocol)PPTP (Point-to-Point Tunnel Protocol) PPTPPPTP 的運作原理的運作原理 PPTPPPTP 的驗證及加密的驗證及加密 PPTPPPTP 的運用的運用 PPTPPPTP 的設定的設定




第二層的協定第二層的協定 PPP(Point to Point)PPP(Point to Point) 的延伸的延伸可封裝可封裝 LAN LAN 的協定，如的協定，如 IP, IPX, NetBeui ……IP, IPX, NetBeui ……

利用利用 IP network IP network 傳輸資料傳輸資料使用使用 MPPE(Microsoft Point to Point MPPE(Microsoft Point to Point

Encryption)Encryption) 進行資料加密進行資料加密

Point-to-Point Tunnel ProtocolPoint-to-Point Tunnel Protocol

PPTPPPTP 的運作原理的運作原理資料由第三層送至資料由第三層送至

第二層的第二層的 PPTP PPTP

DriverDriver 加密加密

由第二層的由第二層的 PPTP PPTP

DriverDriver 回送至第三回送至第三

層重新封裝層重新封裝

定址後依正常程序定址後依正常程序

送至第一層傳輸送至第一層傳輸

PPTPPPTP 的驗證及加密的驗證及加密

PPTPPPTP 的使用者驗證方式採用的使用者驗證方式採用 PPPPPP 的驗證方式的驗證方式

PAP, SPAP, CHAP, MS-CHAP V1, V2, and EAPPAP, SPAP, CHAP, MS-CHAP V1, V2, and EAP

PPTPPPTP 使用使用 MPPEMPPE 進行資料的加密進行資料的加密

只有採用只有採用 MS-CHAP V1 or 2 or EAP-TLSMS-CHAP V1 or 2 or EAP-TLS 的驗證方式才的驗證方式才

能用能用 MPPEMPPE 進行資料加密進行資料加密

PPTPPPTP 的運用時機的運用時機單一使用者對遠端網路的單一使用者對遠端網路的

資料存取，適用於資料存取，適用於 Win98/NT4 ClientWin98/NT4 Client

網路對網路的網路對網路的資料資料存取存取

PPTP PPTP 的設定的設定Client to GatewayClient to Gateway VPN Client(W98User)VPN Client(W98User) 的設定的設定

安裝虛擬私人網路配接卡安裝虛擬私人網路配接卡 VPN Server(HQ_VPN)VPN Server(HQ_VPN) 的設定的設定

啟動啟動 RRASRRAS 服務服務設定設定 addressing (static address pool or DHCP)addressing (static address pool or DHCP) 設定設定 RAS Policy (Dial in Permission)RAS Policy (Dial in Permission)

驗證驗證 ClientClient 端建立撥號網路設定並撥號端建立撥號網路設定並撥號存取資源存取資源 Client & RRAS ServerClient & RRAS Server 檢視連線狀態檢視連線狀態

PPTP PPTP 的設定的設定Gateway to Gateway(1)Gateway to Gateway(1)

HQ_VPN ServerHQ_VPN Server 的設定的設定啟動啟動 RRASRRAS 服務服務設定設定 addressing(static address pool or DHCP)addressing(static address pool or DHCP)

設定設定 RAS Policy (Dial in Permission)RAS Policy (Dial in Permission)

新增新增 VPN demand-dialVPN demand-dial 撥號介面撥號介面新增靜態路由新增靜態路由 ((static route)static route)

PPTP PPTP 的設定的設定Gateway to Gateway(2)Gateway to Gateway(2) BR_VPN ServerBR_VPN Server 的設定的設定

啟動啟動 RRASRRAS 服務服務設定設定 addressing(static address pool or DHCP)addressing(static address pool or DHCP) 設定設定 RAS Policy (Dial in Permission)RAS Policy (Dial in Permission) 新增新增 VPN demand-dialVPN demand-dial 撥號介面撥號介面新增靜態路由新增靜態路由 ((static route)static route)

驗證驗證 ClientClient 端設定端設定 Default GatewayDefault Gateway ClientClient 端存取資源端存取資源 (( 觸發撥號觸發撥號 )) ServerServer 端檢視連線狀態端檢視連線狀態

• PPTP PPTP 的設定的設定

HQ_Mail172.16.1.100

Branch192.168.100.0/24

HQ172.16.1.0/24

BR_VPN210.30.100.18/30

192.168.100.254/24

HQ_VPN202.100.25.18/30

172.16.1.254Mobile User

210.60.45.15/24

InternetInternet

HQ User172.16.1.10

BR User172.16.1.10

VPN(Virtual Private Network)VPN(Virtual Private Network) PPTP (Point-to-Point Tunnel Protocol)PPTP (Point-to-Point Tunnel Protocol) L2TP (Layer 2 Tunnel Protocol)L2TP (Layer 2 Tunnel Protocol)

L2TPL2TP 的運作方式的運作方式 L2TPL2TP 的驗證及加密的驗證及加密 L2TPL2TP 的運用的運用 L2TPL2TP 的設定的設定



第二層的協定第二層的協定可封裝可封裝 LAN LAN 的協定，如的協定，如 IP, IPX, NetBeui ……IP, IPX, NetBeui ……

可利用可利用 IP, X.25, ATM, Frame RelayIP, X.25, ATM, Frame Relay 傳輸資料傳輸資料使用使用 IPSecIPSec 進行資料加密進行資料加密

Layer 2 Tunnel ProtocolLayer 2 Tunnel Protocol

L2TPL2TP 的運作原理的運作原理資料由第三層送至資料由第三層送至

第二層的第二層的L2TP DriverL2TP Driver 封裝封裝

由第二層的由第二層的L2TP DriverL2TP Driver 回送回送至第三層經由至第三層經由IPSecIPSec 加密並定址加密並定址

定址後依正常程序定址後依正常程序送至第一層傳輸送至第一層傳輸

L2TPL2TP 的驗證及加密的驗證及加密 L2TPL2TP 的驗證方式分為二階段，電腦驗證的驗證方式分為二階段，電腦驗證

及使用者驗證及使用者驗證電腦的驗證是採電腦的驗證是採 certificate basecertificate base ，，當當 IPSecIPSec 進行進行

SASA 的建立同時完成的建立同時完成使用者的驗證方式採用使用者的驗證方式採用 PPPPPP 的驗證的驗證

EAP, MS-CHAP V1, V2, CHAP, SPAP, and PAPEAP, MS-CHAP V1, V2, CHAP, SPAP, and PAP

L2TPL2TP 使用使用 IPSecIPSec 來進行資料的加密來進行資料的加密 DES with a 56-bit keyDES with a 56-bit key

Triple DES (3DES)Triple DES (3DES)

L2TPL2TP 的運用時機的運用時機單一使用者對遠端網路單一使用者對遠端網路

的資料存取，的資料存取，適用於適用於 W2K ClientW2K Client

網路對網路的網路對網路的資料資料存取存取

L2TP L2TP 的設定的設定Client to Gateway(1)Client to Gateway(1) VPN Client(W2KUser)VPN Client(W2KUser) 的設定的設定

申請並安裝數位憑證申請並安裝數位憑證((Client Authentication Certificate)Client Authentication Certificate)

http://sectestca2.rte.microsoft.com/certsrv/http://sectestca2.rte.microsoft.com/certsrv/

VPN Server(HQ_VPN)VPN Server(HQ_VPN) 的設定的設定申請並安裝數位憑證申請並安裝數位憑證

((Client Authentication Certificate)Client Authentication Certificate) 啟動啟動 RRASRRAS 服務服務設定設定 addressing (static address pool or DHCP)addressing (static address pool or DHCP) 設定設定 RAS Policy (Dial in Permission)RAS Policy (Dial in Permission)

L2TP L2TP 的設定的設定Client to Gateway(2)Client to Gateway(2)

驗證驗證 ClientClient 端建立撥號網路設定並撥號端建立撥號網路設定並撥號存取資源存取資源 Client & RRAS ServerClient & RRAS Server 檢視連線狀態檢視連線狀態 IPSec Monitor (ipsecmon.exe)IPSec Monitor (ipsecmon.exe)

L2TP L2TP 的設定的設定Gateway to Gateway(1)Gateway to Gateway(1)

HQ_VPN ServerHQ_VPN Server 的設定的設定申請並安裝數位憑證申請並安裝數位憑證

((Client Authentication Certificate)Client Authentication Certificate) 啟動啟動 RRASRRAS 服務服務設定設定 addressing(static address pool or DHCP)addressing(static address pool or DHCP)




BR_VPN ServerBR_VPN Server 的設定的設定申請並安裝數位憑證申請並安裝數位憑證

((Client Authentication Certificate)Client Authentication Certificate) 啟動啟動 RRASRRAS 服務服務設定設定 addressing(static address pool or DHCP)addressing(static address pool or DHCP)




驗證驗證 ClientClient 端設定端設定 Default GatewayDefault Gateway

ClientClient 端存取資源端存取資源 (( 觸發撥號觸發撥號 ))

ServerServer 端檢視連線狀態端檢視連線狀態 IPSec Monitor (ipsecmon.exe)IPSec Monitor (ipsecmon.exe)

• L2TP L2TP 的設定的設定

HQ_Mail172.16.1.100

Branch192.168.100.0/24

HQ172.16.1.0/24

BR_VPN210.30.100.18/30

192.168.100.254/24

HQ_VPN202.100.25.18/30

172.16.1.254Mobile User210.60.45.15/24

InternetInternet

HQ User172.16.1.10

BR User172.16.1.10

VPN(Virtual Private Network)VPN(Virtual Private Network)



IPSec (IP Security)IPSec (IP Security) IPSecIPSec 的運作方式的運作方式 IPSecIPSec 的主要元件的主要元件 IPSecIPSec 的運用的運用 IPSecIPSec 的設定的設定


IP Base NetworkIP Base Network 的資料加密的資料加密保障資料的安全與完整保障資料的安全與完整 Windows 2000Windows 2000 的的 IPSecIPSec 技術由技術由 MicrisoftMicrisoft 與與

CiscoCisco共同發展共同發展

IP SecurityIP Security

IPSecIPSec 的運作方式的運作方式

資料傳送前資料傳送前 IPSec DriverIPSec Driver 會檢查會檢查 IPSec PolicyIPSec Policy 決決定資料是否需加密處理定資料是否需加密處理

IPSec DriverIPSec Driver 通知通知 IKEIKE 進行協商，而後產生進行協商，而後產生 SASA IPSec DriverIPSec Driver 依照依照 SASA 的內容進行資料的傳輸的內容進行資料的傳輸

IPSecIPSec 的主要元件的主要元件IPSec security protocolsIPSec security protocols

IPSec IPSec 共分為二種協定共分為二種協定 AHAH 、、 ESPESP ，，可單獨使用可單獨使用或相互結合使用或相互結合使用

Authentication Header(AH)Authentication Header(AH)確保資料的完整性確保資料的完整性 authentication, integrity, anti-replayauthentication, integrity, anti-replay

Encapsulating Security Payload(ESP)Encapsulating Security Payload(ESP)進行資料加密及確認資料的完整性進行資料加密及確認資料的完整性 confidentiality, authentication, integrity, anti-replayconfidentiality, authentication, integrity, anti-replay

Security associationsSecurity associationsIPSecIPSec 的主要元件的主要元件

二電腦間資料傳輸前的安全協議二電腦間資料傳輸前的安全協議包含通訊協定的使用包含通訊協定的使用 ((AH or ESP)AH or ESP) 、、驗證的方式驗證的方式

((Certificate, Pre-share key, Kerberos)Certificate, Pre-share key, Kerberos) 等……等…… 其建立方向為單向，表示若為雙向資料傳輸則需建其建立方向為單向，表示若為雙向資料傳輸則需建

立另外的立另外的 SASA

SASA 的建立及對稱加密金鑰的產生由的建立及對稱加密金鑰的產生由 IKE(Internet IKE(Internet

Key Exchange)Key Exchange) 負責負責

Security policy(1)Security policy(1)IPSecIPSec 的主要元件的主要元件

用來制定用來制定 IPSecIPSec 的動作方式的動作方式(( 如通訊對象、資料類型、驗證及加密的方式如通訊對象、資料類型、驗證及加密的方式 ))

可存放於本機的可存放於本機的 RegistryRegistry

或或 Active Directory Group policyActive Directory Group policy 中中存放於存放於 ADAD 可利用其特性進行集中式的管理可利用其特性進行集中式的管理 Security PolicySecurity Policy 是由是由 RulesRules所構成所構成

Security policy(2)Security policy(2)IPSecIPSec 的主要元件的主要元件 Security Policy RuleSecurity Policy Rule 的結構可分為的結構可分為

IP Filter List:IP Filter List:通訊對象及資料類型通訊對象及資料類型

Filter Action:Filter Action:是否加密及加密方式是否加密及加密方式

AuthenticationAuthentication Methods: Methods: 驗證的方式驗證的方式

Tunnel:Tunnel:是否建立是否建立 TunnelTunnel 及對象及對象

Connection Type:Connection Type: 區域網路或遠端存取區域網路或遠端存取

Rule 2Rule 2

Filter 1Filter 1 Filter 2Filter 2

Filter ActionFilter

ActionFilter

ActionFilter

Action

IPSec PolicyIPSec Policy

Rule 1Rule 1

Filter 1Filter 1 Filter 2Filter 2

Filter ActionFilter

ActionFilter

ActionFilter

Action

IPSec driverIPSec driverIPSecIPSec 的主要元件的主要元件

檢查檢查 IPIP 封包的進出符合封包的進出符合 IPSec policy filterIPSec policy filter 的定義的定義

執行執行 IPSec policyIPSec policy 所定義的驗證方式所定義的驗證方式 (( 如如

Kerberos or certificates)Kerberos or certificates)

當建立新的連線時，要求建立當建立新的連線時，要求建立 SASA

SASA 的維護的維護 ((Updating and deleting)Updating and deleting)

IPSecIPSec 的運用時機的運用時機單一使用單一使用

者對單一者對單一使用者的使用者的資料存取資料存取

網路對網網路對網路的路的資料資料

存取存取

IPSec IPSec 的設定的設定End to EndEnd to End ServerServer 端端 (( 被存取端被存取端 )IPSec Policy)IPSec Policy 的設定的設定

新增新增 PolicyPolicy 新增新增 rulerule 並定義並定義 filter(filter( 對象及資料對象及資料 )) 及及 actionaction 指派指派 ((assign)assign)

ClientClient 端端 (( 存取端存取端 )IPSec Policy)IPSec Policy 的設定的設定使用預設使用預設 PolicyPolicy修改修改 ((respond only)respond only) 將驗證方式修改為將驗證方式修改為 pre-share keypre-share key 指派指派 ((assign)assign)

驗證驗證進行資料存取進行資料存取 IPSec Monitor(ipsecmon.exe)IPSec Monitor(ipsecmon.exe)

HQ_Mail172.16.1.100

Branch192.168.100.0/24

HQ172.16.1.0/24

BR_VPN210.30.100.18/30

192.168.100.254/24

HQ_VPN202.100.25.18/30

172.16.1.254

InternetInternet

HQ User172.16.1.10

BR User172.16.1.10

• IPSec IPSec 的設定的設定

更多的資源更多的資源

http://www.microsoft.com/technet/network/

Technology Center on Windows 2000Technology Center on Windows 2000

www.microsoft.com/technet/www.microsoft.com/technet/

www.microsoft.com/taiwan/technetwww.microsoft.com/taiwan/technet

整體服務整體服務Insights & Answers for IT Professionals

TechNet TechNet 光碟、光碟、 TechNet PlusTechNet Plus 光碟光碟 MicrosoftMicrosoft®® TechNetTechNet 實務技術講座實務技術講座網站網站

www.microsoft.com/taiwan/technetwww.microsoft.com/taiwan/technet

TechNet FlashTechNet Flash 資訊技術人電子快資訊技術人電子快訊訊

http://www.microsoft.com/technet/default.htm?MSCOMTB=/technet/images/tn250x60.gif

TechNet CD TechNet CD 的內容的內容一年十二期一年十二期

Microsoft Knowledge BaseMicrosoft Knowledge Base 精通所有產品的精通所有產品的 Resource KitsResource Kits 讓系統保持最佳狀態的讓系統保持最佳狀態的 Service Packs, patches, Service Packs, patches,

drivers, tools drivers, tools 等等等等實務技術文章實務技術文章評估與部署指南評估與部署指南 TechNet TechNet 技術訓練課程技術訓練課程 ((Seminar Online)Seminar Online) 個案研討、建置策略白皮書個案研討、建置策略白皮書 … …

TechNet Plus CDTechNet Plus CD 內容內容

TechNet Plus

=

TechNet 標準版光碟的內容

+

Microsoft 各種最新產品的 Beta 評估版以及正式評估版光碟

2001年 4 月 TechNet Plus Microsoft Mobile Information 2001 Server 企業版 Beta 2

MicrosoftMicrosoft®® Visio 10 Beta 2 Visio 10 Beta 2

MicrosoftMicrosoft®® Office Professional with FrontPage Corporate Office Professional with FrontPage Corporate

Preview BetaPreview Beta

Microsoft SharePoint Portal Server RC-1

Microsoft Internet Security and Acceleration (ISA) Server 2000

企業版正式評估版 Exchange 2000 Conferencing Server 正式評估版 Exchange 2000 Server 企業版正式評估版 MicrosoftMicrosoft®® Commerce Server 2000 Commerce Server 2000 正式評估版正式評估版 Microsoft Host Integration Server 2000 正式評估版 Microsoft SQL Server 2000 中文版正式評估版

Documents

Insights and Answers for IT Professionals