虛擬私人網路
虛擬私人網路(英語:Virtual Private Network,縮寫:VPN)將專用網絡延伸到公共網絡上,使用戶能夠在共享或公共網絡上發送和接收數據,就像他們的計算設備直接連接到專用網絡上一樣[1]。VPN的好處包括增加專用網絡的功能、安全性和管理,它提供了對公共網絡上無法訪問的資源訪問通常用於遠程辦公人員。加密很常見但不是VPN連接的固有部分。[2]
VPN是通過使用專用線路或在現有網絡上使用隧道協議建立一個虛擬的點對點連接而形成的。可從公共 Internet 獲得的 VPN可以提供廣域網(WAN)的一些好處。 從用戶的角度來看,可以遠程訪問專用網絡中可用的資源。[3]
類別
虛擬專用網絡主要分為以下三個類別類別:
遠程訪問
主機到網絡的配置類似於將一台計算機連接到一個局域網。此類型提供對企業網絡(例如 Intranet)的訪問。這可用於需要訪問私人資源的遠程辦公人員,或移動工作者能夠訪問重要的工具而不暴露在公共互聯網上。
站點-站點
站點對站點的配置連接兩個網絡。這種配置將一個網絡擴展到地理位置上不同的辦公室,或將一組辦公室擴展到一個數據中心。互連鏈路可能運行在不同的中間網絡上,例如通過 IPv4 網絡連接的兩個 IPv6 網絡。[4]。
基於外聯網的站點對站點
在站點對站點配置的背景下,術語intranet和extranet被用來描述兩種不同的使用情況。[5]intranet站點對站點VPN描述了一種配置,由VPN連接的站點屬於同一個組織,而extranet站點對站點VPN則連接了屬於多個組織的站點。
通常情況下,個人與遠程訪問VPN互動,而企業則傾向於利用站點與站點之間的連接來實現企業與企業、雲計算和分支機構的場景。儘管如此,這些技術並不相互排斥,在一個非常複雜的商業網絡中,可以結合起來,實現對位於任何特定站點的資源的遠程訪問,例如位於數據中心的訂購系統。
VPN系統也可按以下方式分類:
- 用於傳輸流量的隧道協議
- 隧道的終止點位置,例如在客戶邊緣或網絡供應商邊緣
- 連接的拓撲結構類型,如站點到站點或網絡到網絡
- 提供的安全級別
- 它們呈現給連接網絡的OSI層,如第2層電路或第3層網絡連接
- 同時連接的數量
安全性
VPN不能使在線連接完全匿名,但它們通常可以增加隱私和安全。為了防止私人信息的泄露,VPN通常只允許使用隧道協議和加密技術的認證遠程訪問。
VPN的安全模式提供:
- 保密性,即使網絡流量在數據包層面被嗅探到(網絡嗅探器和深度數據包檢查),攻擊者也只能看到加密的數據。
- 發件人認證,防止未經授權的用戶訪問VPN
- 信息完整性,以檢測任何竄改傳輸信息的情況。
安全VPN協議包括以下內容:
- 互聯網協議安全(IPsec)最初是由互聯網工程任務組(IETF)為IPv6開發的,在RFC 6434將其作為建議之前,所有符合標準的IPv6實施中都要求使用該協議。[6]這個基於標準的安全協議也被廣泛用於IPv4和第二層隧道協議。它的設計符合大多數安全目標:可用性、完整性和保密性。IPsec使用加密技術,將IP數據包封裝在IPsec數據包內。解封發生在隧道的末端,原始的IP數據包被解密並轉發到其預定的目的地。
- IKEv2是一個縮寫,代表互聯網密鑰交換第二卷。它是由微軟和思科創建的,與IPSec一起用於加密和認證。它的主要用途是在移動設備上,無論是3G還是4G LTE網絡,因為它能在連接丟失時有效地重新連接。
- 傳輸層安全(SSL/TLS)可以對整個網絡的流量進行隧道化處理(如OpenVPN項目和SoftEther VPN項目)或確保單個連接的安全。一些供應商通過SSL提供遠程訪問VPN功能。SSL VPN可以從IPsec遇到網絡地址轉換和防火牆規則問題的地方連接。
- 數據報傳輸層安全(DTLS)在Cisco AnyConnect VPN和中使用[7],以解決SSL/TLS在TCP上進行隧道傳輸的問題(在TCP上進行隧道傳輸會導致巨大的延遲和連接中止[8])。
- 微軟點對點加密(MPPE)與點對點隧道協議以及其他平台上的一些兼容實現一起工作。
- 微軟安全套接字隧道協議(SSTP)通過SSL/TLS通道對點對點協議(PPP)或第2層隧道協議的流量進行加密(SSTP在Windows Server 2008和Windows Vista Service Pack 1中引入)。
- 多路徑虛擬專用網絡(MPVPN)。Ragula系統開發公司擁有註冊商標 "MPVPN"[9]。
- Secure Shell(SSH)VPN - OpenSSH提供VPN隧道(有別於端口轉發),以確保遠程連接到網絡或網絡間鏈接。OpenSSH服務器提供有限數量的並發隧道。VPN功能本身不支持個人認證。[10][11]
- WireGuard是一種協議。2020年,Linux[12]和安卓[13]內核都增加了對WireGuard的支持,使其被VPN供應商採用。默認情況下,WireGuard利用Curve25519進行密鑰交換,利用ChaCha20進行加密,但也包括在客戶端和服務器之間預先共享對稱密鑰的能力。
認證
在建立安全的VPN隧道之前,必須對隧道端點進行認證。用戶創建的遠程訪問VPN可以使用密碼、生物識別技術、雙因素認證或其他加密方法。網絡到網絡的隧道通常使用密碼或數字證書。它們永久地存儲密鑰,使隧道自動建立,不需要管理員的干預。
受信任的網絡
可信的VPN不使用加密隧道,而是依靠單一供應商的網絡安全來保護流量。[14]。
- 多協議標籤交換(MPLS)經常覆蓋VPN,通常在可信傳輸網絡上進行服務質量控制。
- L2TP[15]是一種基於標準的替代方案,也是對兩種專有VPN協議的折衷方案,吸取了每種協議的優良特性。思科的第二層轉發(L2F)[16](2009年已經過時)和微軟的點對點隧道協議(PPTP)[17]。
從安全角度看,VPN要麼信任底層傳輸網絡,要麼必須用VPN本身的機制來執行安全。除非受信任的傳輸網絡只在物理上安全的站點之間運行,否則受信任的和安全的模式都需要一個認證機制,以使用戶獲得對VPN的訪問。
移動環境中的 VPN
移動虛擬專用網絡用於VPN的端點不固定在一個IP地址上,而是在各種網絡中漫遊,如手機運營商的數據網絡或在多個Wi-Fi接入點之間漫遊,而不會中斷安全的VPN會話或丟失應用會話。[18] 移動VPN廣泛用於公共安全領域,使執法人員能夠訪問計算機輔助調度和犯罪數據庫等應用,並用於有類似要求的其他組織,如現場服務管理和醫療保健[19]。
網絡限制
傳統VPN的局限性在於它們是點對點的連接,往往不支持廣播域;因此,基於第二層和廣播包的通信、軟件和網絡,如Windows網絡中使用的NetBIOS,可能無法像局域網那樣得到完全支持。VPN的變種,如虛擬專用局域網服務(VPLS)和第二層隧道協議是為了克服這一限制。[20]
使用
許多公司企業的員工等使用虛擬私人網路(VPN)來訪問其內部的網絡,以達到遠程辦公的作用。
也有部分使用者使用商業VPN服務來解決互聯網隱私安全、繞開內容提供網站的地區限制等問題。[21]
在中國大陸,由於防火長城導致中國大陸境內對海外網路的限制及封鎖,中國大陸興起以採用虛擬私人網路連接外國網絡的突破網絡審查方法,俗稱翻牆。許多外資公司、學術單位因欲連回海外網站,也多自行架設VPN或採用付費的VPN服務。
2020年5月,中華人民共和國十三屆全國人大三次會議表決通過《全國人民代表大會關於建立健全香港特別行政區維護國家安全的法律制度和執行機制的決定》,當局雖暫未對香港互聯網進行明顯網絡審查,但己有網站被香港政府以《國安法》名義下要求香港電訊商作出封鎖,引發香港民眾對互聯網隱私的關注,導致「VPN」相關的內容在香港的搜尋量大升。[需要第三方來源]
常見誤解
- 虛擬私人網絡不會讓互聯網變得「私有」。即使IP地址被隱藏,通過跟蹤cookie和設備指紋仍然可以找到用戶。[22]
- 虛擬私人網絡不會使用戶免於黑客襲擊。[22]
- 虛擬私人網絡本身並不是一種良好的互聯網隱私保護手段——信任負擔直接從ISP轉移到VPN服務提供商。[23]
參見
參考文獻
- ^ What Is a VPN? - Virtual Private Network. Cisco. [2021-11-04]. (原始內容存檔於2021-12-31) (英語).
- ^ Internet Archive, Andrew G. Cisco secure virtual private networks. Indianapolis, IN : Cisco Press. 2002. ISBN 978-1-58705-033-6.
- ^ Archiveddocs. Virtual Private Networking: An Overview. docs.microsoft.com. [2021-11-04]. (原始內容存檔於2022-06-17) (美國英語).
- ^ The Cable Guy: IPv6 Traffic over VPN Connections. web.archive.org. 2012-06-15 [2021-11-04]. (原始內容存檔於2012-06-15).
- ^ Nagarajan, Ananth. Generic Requirements for Provider Provisioned Virtual Private Networks (PPVPN) (RFC 3809). 2004-06 [2021-11-04]. (原始內容存檔於2022-07-02).
- ^ Request for Comments. Wikipedia. 2021-10-10 [2021-11-04]. (原始內容存檔於2022-06-29) (英語).
- ^ OpenConnect VPN client.. www.infradead.org. [2021-11-04]. (原始內容存檔於2022-06-29).
- ^ Why TCP Over TCP Is A Bad Idea. sites.inka.de. [2021-11-04]. (原始內容存檔於2015-03-06).
- ^ Trademark Status & Document Retrieval. tsdr.uspto.gov. [2021-11-04]. (原始內容存檔於2021-07-13).
- ^ ssh(1) - OpenBSD manual pages. man.openbsd.org. [2021-11-04]. (原始內容存檔於2022-07-05).
- ^ SSH_VPN - Community Help Wiki. help.ubuntu.com. [2021-11-04]. (原始內容存檔於2022-07-02).
- ^ Salter, Jim. WireGuard VPN makes it to 1.0.0—and into the next Linux kernel. Ars Technica. 2020-03-30 [2021-11-04]. (原始內容存檔於2020-03-31) (美國英語).
- ^ Diff - 99761f1eac33d14a4b1613ae4b7076f41cb2df94^! - kernel/common - Git at Google. android.googlesource.com. [2021-11-04]. (原始內容存檔於2022-06-29).
- ^ Inc, Cisco Systems. Internetworking Technologies Handbook. Cisco Press. 2004 [2021-11-04]. ISBN 978-1-58705-119-7. (原始內容存檔於2022-07-02) (英語).
- ^ Layer Two Tunneling Protocol "L2TP". [2021-11-04]. (原始內容存檔於2022-06-30).
- ^ Cisco Layer Two Forwarding (Protocol) "L2F". [2021-11-04]. (原始內容存檔於2022-07-09).
- ^ Point-to-Point Tunneling Protocol (PPTP). [2021-11-04]. (原始內容存檔於2022-07-02).
- ^ What is a VPN? Definition from SearchNetworking. SearchNetworking. [2021-11-04]. (原始內容存檔於2022-07-14) (英語).
- ^ Cheng, Roger. Lost Connections. Wall Street Journal. 2007-12-12 [2021-11-04]. ISSN 0099-9660. (原始內容存檔於2018-03-28) (美國英語).
- ^ Virtual Private Network (VPN) : What VPN Is And How It Works. [2021-11-04]. (原始內容存檔於2022-06-17) (美國英語).
- ^ 【黑五超殺價】 Ivacy VPN 幫你解鎖 Netflix 上千部外國影片. tw.news.yahoo.com. [2022-12-12]. (原始內容存檔於2022-12-12) (中文(臺灣)).
- ^ 22.0 22.1 O'Sullivan, Fergus. VPN Myths Debunked: What VPNs Can and Cannot Do. How-To Geek. [2022-09-08]. (原始內容存檔於2022-11-13) (美國英語).
- ^ Hautala, Laura. A VPN can protect your online privacy. But there's a catch. CNET. [2022-09-08]. (原始內容存檔於2022-12-07) (英語).