前言
網際網路技術不斷地進步,使得網路環境變得日益複雜,而本院開放的網路使用方式與一般企業或家庭只能在有限資源下的網路使用環境亦有所不同。目前,本院同仁的網路使用方式,主要是在院區辦公空間內以Public IP Address來進行連線,與傳統企業在無法取得大量的Public IP Address而必須使用Private IP Address的網路使用方式大相逕庭。在本院狀況下,Remote Access的概念也因上述不同的使用環境而有很大的差異。可以說,開放的院區網路環境提供了本院同仁比外界更為便利的網路使用方式與經驗。
本文以下將先就傳統的企業網路環境,簡介Remote Access裡常見的VPN技術;而後說明中心目前提供的SSL VPN服務現況與實際操作方式供同仁參考。
RAS概念應需求而產生
在一般企業的環境下,常見的企業網路服務項目包括:電子郵件服務、公文服務、內部檔案伺服器、工作群組協同服務等。這些資料都屬於企業內部資料,並不需要開放連接到網際網路上,以免徒增資安風險,因此相關服務都是放在企業的Intranet裡。
前段說明都是使用Private IP Address來提供連線服務。換句話說,如果企業員工在辦公室網路環境內,可以直接連上Intranet,只需再配合適當的使用者群組虛擬網路位址規劃與適當的防火牆管制,即可讓員工正常使用各項服務,同時亦達到初步的管制效果。然而當員工遠離辦公室網路環境時,要存取上述這些網路資源就變得有些困難了。舉例而言,一般員工如要在家裡接收企業的電子郵件,如果企業網路規劃正確的話,或可透過DMZ的概念開放電子郵件服務供網際網路直接存取;若是員工需要公司內部的檔案伺服器裡的檔案資料時,就幾乎是不可能的任務了,也因而衍生了所謂的遠端存取服務(Remote Access Service, RAS)的概念。
新一代的遠端網路接取服務順勢興起
最早的遠端存取服務當屬傳統的電話撥接服務,也就是企業在公司網路內部建置撥接伺服器,提供一定數量的PSTN電話線路,供員工在家中或非公司辦公環境使用數據機撥接連上企業網路,進一步取得企業內部Intranet的虛擬網路位址,來存取企業內部的相關服務;本院同樣也提供這樣的電話撥接服務,不同的是,所取得網路位址是一個Public IP Address。
隨著網路的發展與進步,不論是對頻寬的需求或電話線路連接的困難,都使得十年前以電話撥接為主的遠端接取服務慢慢式微,取而代之的是其他更方便、快速的遠端接取服務方式。大體而言,新一代的遠端網路接取服務,是架構在隧道連接方式(Tunneling)。簡單地說,所謂的Tunneling技術,即是設法在使用者網路環境與企業內部的Intranet建立一個虛擬的通道,此一通道可以穿越網際網路,讓使用者透過該通道來存取企業Intranet。這樣的通道技術有如在現有的網際網路上建立一個虛擬私有網路(Virtual Private Network, VPN),也因此我們將這類的使用方法稱為VPN。
Tunnel是使用使用者已經存在的網際網路環境線路,並不受限於電話撥接目前僅支援的最大56Kbps連線頻寬的限制,同時更可以避免鉅額的長距離PSTN電話撥接費用,讓存取Intranet網路服務更為實際。
PPTP與L2TP的優缺
早期常見的Tunneling技術莫過於PPTP與L2TP。PPTP是「點對點隧道協定」(Point-to-Point Tunneling Protocol)的簡稱,主要由Microsoft主推的業界標準,後經IETF的標準制訂程序載明在RFC 2637中。L2TP則是結合PPTP以及Cisco提出的L2F(Layer Two Forwarding),在IETF主導下所制訂出來的「第二層隧道協定」(Layer Two Tunneling Protocol),載明於RFC 2661。其中,PPTP技術傳輸底層為標準的IP封包,與實際的線路下層介面無關,只要其中經過的所有網路線路與設備可以正常將IP封包傳輸至兩個端點,便不會影響PPTP的正常運作。另外,PPTP的優點還包括:支援Multi-Protocol如IP、IPX、NetBEUI等,但PPTP也存在著先天的缺陷,舉例來說:PPTP技術中使用TCP封包作為控制訊號傳遞,數據封包(Payload)使用GRE技術傳遞,此種設計方式在途經防火牆的環境裡,經常會產生無法連通的狀況。然而最嚴重還是PPTP本身設計上的安全性問題,由於PPTP的封包會經過不安全的網際網路環境,讓有心人士可以擷取這些封包後,從中解出使用者資料,因此,目前PPTP已不是Tunneling中常用的技術。
由於L2TP是將Cisco的L2F及Microsoft的PPTP結合的技術,因此,亦保留了PPTP技術中的優點,且其中有關控制訊號傳遞及數據封包則全部整合在單一個UDP。這樣的設計使得防火牆在處理L2TP連線較為容易,只要防火牆可以正常傳輸L2TP UDP封包,則L2TP通道的建立就不會影響。然而,L2TP所採用的加解密的技術(在PPP協定中使用以RC4為基礎的MPPE加解密技術)跟PPTP一樣,亦被證明其安全性大有問題。因此,目前實際使用L2TP時,大部份都是搭配IPSec通訊協定,以提供完整的安全性保證。
更安全的IPSec VPN成為普遍的選擇
上述的PPTP/L2TP等技術其實都是依賴IPv4的技術在網路中傳送,因此,如果將現有的IPv4技術擴充一組安全保密架構,即可解決許許多多現今的網路傳輸安全問題。IETF在設計下世代IPv6時,已經將安全保密功能加進去,此一協定後來被抽離出來成為「網際網路層安全協定」(IP Security Protocol, 簡稱IPsec)。IPSec除了對資料的封裝機制上增加了加/解密,還加上了自動金鑰交換機制、身份驗證與加解密演算法選擇,使它的可用範圍又大為擴大。現今的VPN技術對IPSec依賴很深,因為IPSec本身除了可以搭配L2TP,來提高L2TP的安全性外,本身也可以獨立建立一個完整的VPN;尤其目前Site-to-Site間透過網際網路互相連通又同時兼顧安全性時,IPSec VPN是最普遍的選擇。本院目前在無法使用室內專線連接回本院院區網路的單位,均使用IPSec VPN方式提供同仁同院內的網路使用環境。其中,位於宜蘭的臨海研究站使用Netscreen 5GT的設備及20Mbps的室內專線連接到台灣學術網路的宜蘭區網中心,位於南科的南部生物技術中心則使用Netscreen 5GT與一條20Mbps連至台灣學術網路的成功大學區網中心,再經由原本院與台灣學術網路間的10Gbps線路,連接南港院區的Netscreen ISG2000,完成Site-to-Site IPSec VPN的建置。
然而IPSec也不是完美無缺,其中又以IPSec的設定最為人所詬病。IPSec協定由於功能強大又兼具彈性,可以設定的組合太多,不容易完全理解,加上微軟Windows系列的作業系統這部份的介面也做得不夠好,以致使用起來困難重重。
SSL VPN新技術迅速崛起
SSL VPN技術是最近幾年來發展極為迅速的新的VPN技術。也由於目前SSL VPN並沒有一定的標準或規範定義,各家廠商對於本身SSL VPN產品都強調其獨有的特色,同仁在瞭解相關資料時,要多加注意其中的異同。
雖然SSL VPN尚未有一致的標準可以遵循,但其根植的基本技術一樣是網頁技術中HTTPS連線方式。如以SSL VPN與IPSec VPN兩相比較,SSL VPN的最大優勢就是其安裝、設定及使用皆極其簡便。許多SSL VPN廠商甚至以「Client-less」來突顯自己的優點,乃是因為在使用者端無需預先安裝任何客戶端軟體,只要透過支援SSL加密協定的瀏覽器,即可在任何地點、以任何行動裝置(筆記型電腦、PDA、3G手機等)連回企業內部網路。
中心於96年底購入Juniper Networks Secure Access 4000 SSL VPN設備及其進階功能之軟體授權,將以往使用Proxy方式提供同仁在院外網路環境存取相關電子資源的方式改成以SSL VPN方式來提供。除了SSL VPN比以往Proxy方式多提供了加密的功能外,過往以Proxy方式將所有欲瀏覽的網頁全部導由Proxy來處理,因而有嚴重的效能及速度問題,尤以同仁在國外存取特定的網頁資源時影響最大。對此,中心雖然協同一些提供電子資源單位調整確認需經過Proxy的網頁,建立PAC(Proxy Auto-Config)檔案供瀏覽器辨識並調整代理網頁方式,但對於正面表列的方式,經長久調整均無法完全避免因漏失比對條件而引起的瀏覽障礙。使用SSL VPN的方式則徹底解決了這個問題,尤其SSL VPN基於瀏覽器的連接方式,在每次登入後,其有效的範圍僅止於該瀏覽器內,使用者對於特定的電子資源均在該瀏覽器內完成操作;而對於其他網頁資料則可以開啟另一個瀏覽器,在另一個瀏覽器內處理,兩者並不會互相干擾。
相較於IPSec/L2TP VPN等技術,使用SSL VPN同時也解決了細部的使用紀錄問題,因為傳統IPSec/L2TP VPN的連線方式,於伺服器上並無法辨識第三層以上的網路使用紀錄,而本院為能確切紀錄所有詳細的存取紀錄外,也同時做為稽核使用。舉例來說,類似的紀錄對於部份圖書單位外訂的電子資料庫,在認定是否有不當誤用或是大量下載時,可以提供極為詳細的存取紀錄供參考;此一紀錄同時也可使用於訂閱時的效益評估。
中心目前提供的SSL VPN服務方式
中心目前提供的SSL VPN服務方式,主要以NC(Netwrok Connect)及WEB兩種方式進行。NC-mode的運作方式大致等同於IPSec/L2TP VPN的模式,在使用者登入SSL VPN伺服器後,由伺服器端依據使用者的作業系統及瀏覽器種類,自動派送一個ActiveX/Java Applet元件交予使用者端自動執行。執行時會先以IPSec VPN原理嘗試與伺服器端建立一IPSec Tunnel;如建立失敗,則再依據作業系統不同建立一虛擬網路介面,並使用SSL技術完成通道建立。一旦執行成功以後,使用者端會取得院裡分配的本院所有的網路位址,其後所有網路行為都將使用該位址並透過SSL VPN伺服器來進行。NC-mode目前僅開放本院院士使用。
WEB-mode運作模式則與傳統的Proxy方式雷同,以瀏覽器為操作介面使用。使用者登入SSL VPN後,會被導引到一預先設定的首頁,該網頁裡內崁入一個JavaScript產生的小控制列。其使用方式如與同一般使用正常瀏覽器無異;如有特殊需要手動輸入網址時,則由小控制列提供一特別的網址輸入欄位輸入該網址。目前WEB-mode提供生命科學圖書館,人文聯合圖書館及部分所/處/中心使用。開放對象為院內各所/處 /中心,非一般使用者可直接申請。
以下分別說明兩種服務之基本使用方式:
NC-mode
1. 請打開您的瀏覽器,輸入網址http://ssl-vpn.sinica.edu.tw/,如【圖1】所示。目前支援的Browser包括:Safari(Mac系統)、FireFox 3(Windows系統/Mac系統)、Internet Explorer(Windows系統)。
圖1 NC-mode下的網址輸入畫面
2. 在登入頁面請使用您的gate.sinica.edu.tw電子郵件帳號登入,如【圖2】。
圖2 NC-mode的VPN登入畫面
3. 登入後,如您為初次使用本服務,系統將進行連線程式安裝,如【圖3】。
圖3 NC-mode初次登入之連線安裝畫面
4.安裝完成後,會出現一個視窗顯示目前的連線訊息。以此範例所取得之IP位址為140.109.238.2,如【圖4】。請用滑鼠點擊「隱藏」(Hide)將視窗最小化,即可開啟其他應用程式,並依平常方式使用電腦。
圖4 NC-mode安裝後之連線訊息
5.如要結束本項服務,請以滑鼠左鍵點擊螢幕右下方黃色小Icon(Network Connect)開啟,再按「登出」(Sign Out),即可結束SSL VPN連線,如【圖5】。
圖5 NC-mode下結束VPN服務之登出畫面
WEB-mode
1. 同樣地,請打開您的瀏覽器,輸入網址http://lsl-vpn.sinica.edu.tw/,如【圖6】所示。
圖6 WEB-mod下的網址輸入畫面
2. 同前,在登入頁面中請使用您的gate.sinica.edu.tw電子郵件帳號登入,如【圖7】。
圖7 WEB-mod下的登入畫面
3. 登入完成後,螢幕右上角會出現小控制列,點擊主控制台即可輸入特定網址,如【圖8】。
圖8 WEB-mod下之登入畫面
4. 如要輸入特定網址,需進到主控制台後在網址輸入列中鍵入該網址,不可以直接在瀏覽器網址輸入列上輸入,如【圖9】。
圖9 WEB-mod下之特定網址輸入畫面
結語
上述SSL-VPN服務,係由中心提供硬體設備及機房空間,並維護設備正常運作。生圖館與人文聯圖及使用的所/處/中心管理人員在該設備內分別建立獨立虛擬系統,可各自設定不同的存取政策,包括限定使用者單次登入後可使用時間、可以存取得網頁資料或電子期刊等。登入之帳號由其業務管理人員控管設定,且為避免使用者需記憶多組帳號的困擾,中心協助以院區最多人使用的電子郵件主機gate.sinica.edu.tw帳號為簽入帳號驗證使用,不需為該服務新建立其他帳號。日後,中心亦將考量現有設備之服務能量,逐步開放供院內以各所/處/中心為單位提出SSL-VPN服務申請。
詳:http://newsletter.ascc.sinica.edu.tw/index.php?lid=120#article_1469
留言列表
