摘 要:在无线网络通讯上,如何建立安全的通讯一直都是被探讨及研究的议题,而虚拟私有网络(VPN,Virtual Private Network)是可提供解决方案其中之一。本研究旨在探讨运用虚拟私有网络的特性来保护无线网络的信息安全,建立VPN的应用及提出以Windows 2000 Server建置系统环境的步骤,并展现实作的成果。
关键词:无线网络;虚拟私有网络;通信安全
1引言
无线技术的快速发展,使得无线网络在日常生活中越来越普遍,但也代表越来越多无线网络用户必须面临无线网络安全的议题,以入侵或窃听活动分析,只要在无线网络可涵盖的范围内,攻击者并不需要联机到实体网络内部,就可能撷取到无线网络传输的数据,所以在建置无线网络时,无线传输的安全性也需要同时考虑。以一般的FTP使用为例,在没有任何的加密机制时,经由无线网络的传输过程中,因使用明码传递账号与密码,即可能被黑客监听窃取账号与密码等资料。
在本研究架构规划中,本文以现有无线网络架构进行设置VPN服务,主要为不更动现有架构以达到补强无线网络加密之目的,建置提供PPTP及L2TP/IPSEC服务之VPN Server。
VPN的运作原理是利用信道技术在公众网络上建立一个逻辑上的点对点通道(Tunnel)链接,然后将欲传送的数据加以编码、计算后,透过此通道传送。如此即可确保数据在公众网络上传输时不至于被窃取;即使数据封包被窃取了,对方亦无法解读封包内的资料。在VPN运作上,包括相关的技术有通道建立(Tunneling)、加密(Encryption)、封包认证(Packet Authentication)、使用者认证(UserAuthentication)。
2系统架构设计
本系统架构以Windows 2000 Server建置相关服务,其主要在于对于一般管理者而言所需之设定程序较不繁琐,且可整合于同一管理接口进行管理,可减轻管理者负担。
在此架构设计上,本文利用Windows 2000Server建置VPN Server,提供PPTP/L2TP模式连线,由于IPSec IKE通道协议默认使用以凭证为基准的验证方式协调L2TP信道的安全性,其验证方式使用计算机凭证来验证来源及目的地计算机是否彼此信任,而非使用者凭证,因此设计建置一凭证授权单位(CA;Certification Authority),藉由证书颁发机构单位的保证来确保公钥的正确性,并发行执行IPSec验证所需的凭证。在Windows 2000 Server安装证书颁发机构服务包含凭证中心、注册中心等服务,以提供客户端进行凭证申请之审核与发放、废止等事项。建置凭证中心主要为提供配合L2TP/IPSEC核发机器授权凭证,除了VPN的账号认证外,经由凭证申请及审核程序,可进一步确认用户信息,以及使用设备需安装机器授权凭证。
本系统以独立根CA建置证书颁发机构单位,不需建立AD(Active Directory)整合服务,可符合一般企业或机关学校需求,且由于此方式之凭证核发不会自动进行,须经系统管理员确认后核发,可达审核目的。以现有无线网络架构进行设置VPN服务,主要为不更动现有架构以达到补强无线网络加密之目的,建置提供PPTP及L2TP/IPSEC服务之VPN Server。提出对于原有已存在之无线网络架构可将VPN机制整合,用户经由相关认证机制连接VPN系统,并依账号提供访问权限,可补强无线网路加密与认证,而且并不需要更换旧有的无线网络设备。以20组计算机测试以虚拟私有网络联机(PPTP模式)之网络使用分析,并进行同上之ftp传输测试,以评估其传输效能之差异,以下为分析所得之数据。
图1传输速率比较
3总结
由上述数据本文可以归纳以下几点:
1.对于虚拟私有网络应用于无线网络之网络效能,以IPSEC/L2TP的传输效率虽较低,但仍属可接受之范围。
2.当联机数量在五台以内时,增加每增一联机时,其传输速率比五台以上之传输速率变化差异大。
3.由于本研究测试数据量为ftp文件传输,且传输数据较大,其联机数量达20台时平均联机速率仍可达约345.58 Bytes/Sec,表示对于一般网络应用仍足以因应。因此对于无线网络的整体效能评估,采用虚拟私有网络作为建立加密信道之方式应为可规划之模式。
参考文献:
A.Marie,“Virtual Private Network Security",Network Vol.2000,No.7,Jul.2000,pp.11-14.