2023年7月20日 星期四

how to categorize the various VPN technologies?

虛擬私有網路(VPN,Virtual Private Network) 技術可在公有網路上傳送加密封包,讓外部主機猶如處於公司內部網路。VPN依管理者是誰分為企業VPN服務供應商VPN企業VPN依據使用情境分成站點對站點類遠端存取類VPN

站點對站點類VPN使用技術包含IPsec VPN,GRE over IPsec,思科DMVPN,IPsec VTI。遠端存取類VPN使用技術包含客戶端IPsec VPN連線,無客戶端SSL連線。其中,GRE為通用路由封裝(Generic Routing Encapsulation),DMVPN為動態多點虛擬私有網路(Dynamic Multipoint Virtual Private Network),VTI為虛擬隧道介面(Virtual Tunnel Interface)。

服務供應商VPN包含新式 第2層 或 第3層 MPLS VPN,及傳統 訊框中繼 或 ATM VPN。其中,MPLS 為多重協定標籤交換(MultiProtocol Label Switching),ATM 為非同步傳輸模式 (Asynchronous Transfer Mode)。

IPsec (Internet Protocol security) 屬於待評提案 (Recommendation For Comments, RFC) 之標準,定義了 VPN 如何認證和保護 IP 封包的安全。IPsec 可以保護從第 4 層到第 7 層的流量。IPsec 提供重要安全功能,包含使用加密技術保證外人看不懂,達到機密性;使用雜湊技術保證不遭篡改,達到完整性;使用 Diffie-Hellman 系列的網際網路金鑰交換 (Internet Key Exchange, IKE) 協定,以預先共用金鑰(密碼),數位憑證,或 RSA 憑證進行驗證,達到來源及去處之防偽

IPsec 透過封裝安全協定 (Encapsulation Security Protocol, ESP) 支援傳輸模式 (Transport Mode) VPN,供端點對端點 (end-to-end) 主機之間加密傳輸;以及隧道模式 (Tunnel Mode) VPN,供站點對站點 (site-to-site) 網段之間加密傳輸。

以上總結可將VPN技術分類如下:

  • A.企業自架VPN
    • 1.遠方存取VPN (即端點對端點VPN): 
      •  無客戶端 SSL/TLS VPN (第4層)
      •  客戶端 IPsec傳輸模式VPN (第3層)
    • 2.站點對站點VPN
      •  IPsec隧道模式VPN (第3層)
      • GRE over IPsec
      • 思科DMVPN
      • IPsec VTI
  • B.供應商維護VPN
    • 1.傳統:訊框中繼 或 ATM VPN
    • 2.新式:MPLS VPN

 參考: CCNA3: 08 VPN and IPsec Concepts

2023年7月18日 星期二

why so design the same origin policy and cors?

為了確保網頁不去攻擊別人,瀏覽器一般會實作同源政策(Same Origin Policy, SOP),限定網頁內嵌讀取,或腳本連線存取的對象,必須是相同網站的其他資源,例如圖片,影音,API服務等。

但是很多情況,網頁須要跨域存取資源,遂有伺服端提供跨源資源分享(Cross-Origin Resource Sharing, CORS)的設計。其原理是瀏覽器向伺服器提出請出時,送出來源(Origin)標頭,由伺服器依據組態,回應存取控制允許來源(Access-Control-Allow-Origin) 標頭,供瀏覽器決定是否存取資源。若請求無來源標頭,或來源不在組態設定的來源清單中,則不回應存取控制允許來源標頭

這種跨源分享的防弊設計建立在瀏覽器及伺服器雙方合作的基礎之上。瀏覽器須能自我克制,參考伺服器意見,才決定是否取用資源。因為如果使用wget或curl等客戶端命令列工具,其實也可忽視伺服器意見,直接取用資源。

又CORS機制的設計為何不是網頁宣告我可以取用誰,而是設計成網頁宣告誰可以取用我。其理由在若採取前者,網頁宣告我可以取用誰,則駭客只要攻入一個網站,就可以輕易偽造此宣告,達成跨域存取任意資源的後果。而現實採取後者,網頁宣告誰可以取用我,其理由在駭客須一一攻入資源提供方,顯然不符成本。

因此CORS機制,採用由伺服器回應瀏覽器,你是否在我的來源許可清單中的無老虎牙設計,顯然其防弊精神不在避免伺服器受攻擊,而是在瀏覽器主動SOP配合下,避免網頁成為攻擊工具,又能合理取用受控資源。

Reference: 1.Medium: 簡單弄懂同源政策 (Same Origin Policy) 與跨網域 (CORS)