شبکه خصوصی مجازی

از ویکی‌پدیا، دانشنامهٔ آزاد

شبکهٔ خصوصی مجازی (به انگلیسی: Virtual Private Network) (مخفف VPN)، شبکه‌ای است که اطلاعات در آن از طریق یک شبکه عمومی مانند اینترنت جابه‌جا می‌شود اما در عین حال با استفاده از الگوریتم‌های رمزنگاری و با تصدیق هویت (Authentication)، این ارتباط هم‌چنان اختصاصی باقی می‌ماند. ^[۱]

شبکهٔ خصوصی مجازی به طور عمده برای ایجاد ارتباط بین شعبه‌های مختلف شرکت‌ها و یا فعالیت از راه دور مورد استفاده قرار می‌گیرد.

شبکه اختصاصی مجازی

محمد امير نيکجو ، ساناز امانی ارجستان

چکيده

همزمان¬باعمومیت یافتن¬اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه ¬اختصاصی خود را به درستی احساس کردند.درابتداشبکه های اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملاً اختصاصی بوده وکارمندان یک سازمان بااستفاده از رمز عبور تعریف شده،قادر به ورود به شبکه¬واستفاده¬از منابع موجودمی باشند.ولی¬اخیراً،موسسات و سازمانها با توجه به مطرح شدن خواسته¬های جدید(کارمندان¬از¬راه¬دور،ادارات از راه دور)اقدام به¬ایجادشبکه¬های¬اختصاصی مجازیVirtual Private Networkنموده یک VPN شبکه¬ای¬اختصاصی بوده که¬ازاینترنت برای¬ارتباط با سایت های¬از راه¬دور وارتباط کاربران با می¬نماید.این نوع شبکه ها بجای¬استفاده¬از خطوط واقعی نظیر خطوط Leasedاز یک¬ارتباط مجازی به¬اینترنت برای¬ایجاد شبکه¬اختصاصی¬استفاده می¬کنند .

- 1 مقدمه امنیت VPN شبکه¬های VPN بمنظورامنیت داده¬هاوارتباطات¬از¬روش های متعددی استفاده¬می-نمایند: ● فايروال ● رمزنگاری ● IPSec ● سرويس دهنده AAA اصول VPN فرستادن حجم زیادی¬از داده¬از یک کامپیوتربه¬کامپیوتر¬دیگر مثلا¬ً¬در¬ به هنگام رسانی بانک¬اطلاعاتی یک مشکل شناخته شده¬و¬قدیمی¬است.انجام¬این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهندهMail نشدنی¬است. استفاده¬از FTP هم به سرویس دهنده مربوطه¬و¬همچنین ذخیره سازی موقت روی فضای اینترنت نیاز¬دارد¬که¬اصلاً قابل اطمینان نیست. یکی ازراه¬حل های¬اتصال¬مستقیم به کامپیوتر مقصد به کمک مودم¬است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بودازاین گذشته،هزینه¬ارتباط تلفنی راه دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به¬اینترنت متصل باشند می¬توان از طریق سرویس به¬اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.در این حالت،کاربران می¬توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به¬این ترتیب بسیاری از راه های خرابکاری برای نفوذ کنندگان بسته می¬شود. شبکه های شخصی مجاری یا VPNهااینگونه مشکلات¬ راحل می¬کند.VPN به کمک رمز گذاری روی داده¬ها،درون یک شبکه کوچک می سازدوتنها کسی که آدرس های لازم و رمز عبور رادراختیار داشته باشد می تواند به این شبکه¬وارد شود.مدیران شبکه ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند.اگر چه نفوذ کنندگان می توانند به کمک برنامه های Packet sniffer جریان داده¬هارادنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند. 2- شبکه VPN چيست؟ درطی ده سال گذشته دنيا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است. اغلب سازمانهاوموسسات ارائه دهنده کالا و خدمات که در گذشته بسيار محدود و منطقه¬ای مسائل¬رادنبال¬ودر صددارائه راهکارهای مربوطه بودند،امروزه بيش از گذشته نيازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای توليده شده را دارند.به عبارت ديگر تفکرات منطقه ای و محلی حاکم بر فعاليت های تجاری جای خود را به تفکرات جهانی و سراسری داده¬اند. امروزه با سازمانهای زيادی برخورد می¬نمائيم که در سطح يک کشور دارای دفاتر فعال و حتی درسطح دنيا دارای دفاتر متفاوتی می باشند.تمام سازمانهای فوق قبل از هر چيز بدنبال يک اصل بسيار مهم می¬باشند:يک روش سريع،ايمن و قابل¬اعتماد بمنظور برقراری ارتباط با دفاتر و نمايندگی در اقصی نقاط يک کشور و يادر سطح دنيا اکثرسازمانهاوموسسات بمنظورايجاد يک شبکه WANاز خطوط اختصاصی استفاده می نمايند.خطوط فوق دارای انواع متفاوتی می باشند. ISDN(با سرعت 128کيلوبيت در ثانيه)،( OC3 Optical Carrier-3)(با سرعت 155 مگابيت در ثانيه)دامنه وسيع خطوط اختصاصی را نشان می¬دهد.يک شبکه WAN دارای مزايای عمده¬ای نسبت به يک شبکه عمومی نظير اينترنت از بعد امنيت وکارآئی است.پشتيانی و نگهداری يک شبکهWANدر عمل و زمانيکه از خطوط اختصاصی استفاده می¬گردد،مستلزم صرف هزينه بالائی است. همزمان باعموميت يافتن اينترنت،اغلب سازمانهاوموسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی¬احساس کردند. در ابتدا شبکه های اينترانت مطرح گرديدند.اين نوع شبکه بصورت کاملااختصاصی بوده و کارمندان يک سازمان با استفاده¬از رمز عبور تعريف شده،قادر به ورود به شبکه و استفاده از منابع موجود می¬باشند.اخيراً، تعداد زيادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جديد(کارمندان از راه دور،ادارات از راه دور)،اقدام به ايجاد شبکه های اختصاصی مجازی VPN)) نموده¬اند. يک VPN،شبکه ای¬اختصاصی بوده که¬از يک شبکه عمومی(عمومااينترنت)،برای ارتباط با سايت های از راه دور و ارتباط کاربران بايکديگر، استفاده می نمايد. اين نوع شبکه ها در عوض استفاده از خطوط واقعی نظير:خطوط Leased،از يک ارتباط مجازی بکمک اينترنت برای شبکه اختصاصی بمنظورارتباط به سايت ها استفاده می کند. شبكه‏‌هاي رايانه‏اي به شكل گسترده‏اي در سازمان‏هاوشركت‏هاي¬اداري و تجاري مورد استفاده قرار مي‏گيرند.اگر يك شركت از نظر جغرافيايي و در فضاي كوچك متمركز باشد، ارتباطات بين بخش‏هاي مختلف آن‌را مي‌توان با يك شبكه‏‏‌ي محلي برقرار كرد. اما براي يك شركت بزرگ كه داراي فضاي گسترده جغرافيايي وشعب مختلف در نقاط مختلف يك كشور و يا در نقاط مختلف دنيا است واين بخشها يا شعب نياز دارند كه با هم ارتباطاتِ اطلاعاتيِ امن داشته‏ باشند، بايستي يك شبكه‏‏‌ي گسترده‏ي خصوصي بين نقاط آن ايجاد گردد.شبكه‏‌هاي اينترانت كه فقط محدود به يك سازمان يا يك شركت مي‏باشند،به¬دليل محدوديت‌هاي گسترشي نمي‏توانند چندين سازمان يا شركت را تحت پوشش قرار دهند.شبكه‏‌هاي گسترده نيز كه با خطوط استيجاري راه‌‏اندازي مي‏شوند، در واقع شبكه‏‌هاي گسترده‏ي امني هستند كه بين مراكز سازمان‌هاايجاد مي‏شوند. پياده‌‏سازي اين شبكه‏‌ها علي‏رغم درصد پايين بهره‌وري، نياز به¬هزينه‌ زيادي دارد.زيرا،اين‏ شبكه‏‌ها به دليل عدم اشتراك منابع با ديگران،هزينه‏ مواقع عدم استفاده از منابع را نيز بايستي پرداخت كنند. راه‌حل غلبه بر اين مشكلات،راه‌اندازي يك VPNاست.

فرستادن حجم زيادي ازداده¬از يك كامپيوتر به¬كامپيوتر ديگر مثلاً در به هنگام رساني بانك اطلاعاتي يك مشكل شناخته شده و قديمي است.انجام اين كاراز طريق Email به دليل محدوديت گنجايش سرويس دهنده Mail نشدني است.استفاده از FTP هم به سرويس دهنده مربوطه¬وهمچنين ذخيره سازي موقت روي فضاي اينترنت نياز دارد كه¬اصلا قابل اطمينان نيست.

يكي از راه حل هاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم علاوه بر مودم،پيكر بندي كامپيوتر به عنوان سرويس دهنده RAS لازم خواهد بود.از اين گذشته،هزينه ارتباط تلفني راه دور براي مودم هم قابل تامل است.امااگر دو كامپيوتر در دو جاي مختلف به اينترنت متصل باشند مي توان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايل ها را رد و بدل كرد.دراين حالت،كاربران مي توانند به سخت ديسك كامپيوترهاي ديگر همچون سخت ديسك كامپيوتر خود دسترسي داشته باشند.به¬اين ترتيب بسياري از راههاي خرابكاري براي نفوذ كنندگان بسته مي شود. شبكه هاي شخصي مجازي يا VPNهااينگونه مشكلات را حل ميكند.VPN به كمك رمز گذاري روي داده ها ، درون يك شبكه كوچك مي سازد و تنها كسي كه آدرس هاي لازم و رمز عبور را در اختيار داشته باشد مي تواند به اين شبكه وارد شود. مديران شبكه اي كه بيش از اندازه وسواس داشته و محتاط هستند مي توانند VPN را حتي روي شبكه محلي هم پياده كنند كه اين امردر موسسه رازي انجام پذيرفته است .اگر چه نفوذ كنندگان مي توانند به كمك برنامه هاي Packet snifter جريان داده هارادنبال كنند اما بدون داشتن كليد رمز نمي توانند آنها را بخوانند. 3-عناصر تشکيل دهنده يک VPN دو نوع عمده شبکه های VPNوجود دارد: ● دستيابی از راه دور

به اين نوع از شبکه ها VPDN)Virtual private dial-up network)،نيز گفته می شود.در شبکه های فوق از مدل ارتباطی User-To-Lan(ارتباط کاربر به يک شبکه محلی) استفاده می گردد.سازمانهائی که از مدل فوق استفاده می نمايند،بدنبال ايجاد تسهيلات لازم برای ارتباط پرسنل(عموماکاربران از راه دور و در هر مکانی می توانند حضور داشته باشند) به شبکه سازمان می باشند. سازمانهائی که تمايل به برپاسازی يک شبکه بزرگ"دستيابی از راه دور می باشند،می بايست از امکانات يک مرکز ارائه دهنده خدمات اينترنت جهان       ESP استفاده نمايند.سرويس دهنده ESP،بمنظور نصب و پيکربندی VPN،يک   NASرا پيکربندی و نرم افزاری را در اختيار کاربران از راه دور بمنظور ارتباط با سايت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط قادر به دستيابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستيابی به شبکه سازمان خود خواهند بود.

● سايت به سايت

درمدل فوق يک سازمان با توجه به سياست های موجود،قادر به اتصال چندين سايت ثابت ازطريق يک شبکه عمومی نظير اينترنت است.شبکه های VPN که از روش فوق استفاده می نمايند،دارای گونه های خاصی دراين زمينه می باشند:

▪ مبتنی براينترانت.در صورتيکه سازمانی دارای يک و يا بيش از يک محل(راه دور)بوده¬و تمايل به الحاق آنها در يک شبکه اختصاصی باشد،میتوان يک اينترانت VPNرابمنظوربرقرای ارتباط هر يک از شبکه های محلی بايکديگرايجاد نمود. ▪ مبتنی بر اکسترانت .در موارديکه سازمانی در تعامل اطلاعاتی بسيارنزديک با سازمان ديگر باشد،می توان يک اکسترانت VPN را بمنظورارتباط شبکه های محلی هر يک از سازمانها ايجاد کرد.در چنين حالتی سازمانهای متعدد قادر به فعاليت در يک محيط اشتراکی خواهند بود. استفاده از VPN برای يک سازمان دارای مزايای متعددی نظير:گسترش محدوه جغرافيائی ارتباطی ، بهبود وضعيت امنيت،کاهش هزينه های عملياتی در مقايسه با روش های سنتی WAN،کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبودبهره¬وری،توپولوژی آسان،...است.در يکه شبکه VPNبه عوامل متفاوتی نظير:امنيت،اعتمادپذيری ،مديريت شبکه و سياست ها نياز خواهد بود. 4- شبکه های LANجزايراطلاعاتی فرض نمائيد در جزيره ای دراقيانوسی بزرگ،زندگی می کنيد.هزاران جزيره در اطراف جزيره شما وجود دارد.برخی از جزاير نزديک و برخی ديگر دارای مسافت طولانی با جزيره شما می باشند.متداولترين روش بمنظور مسافرت به جزيره ديگر،استفاده¬از يک کشتی مسافربری است.مسافرت با کشتی مسافربری،بمنزله عدم وجود امنيت است .در اين راستاهر کاری راکه شما انجام دهيد،توسط ساير مسافرين قابل مشاهده خواهد بود.فرض کنيد هر يک از جزاير مورد نظر به مشابه يک شبکه محلی(LAN)واقيانوس مانند اينترنت باشند.مسافرت با يک کشتی مسافربری مشابه برقراری ارتباط با يک سرويس دهنده وب و يا ساير دستگاههای موجود دراينترنت است.شما دارای هيچگونه کنترلی بر روی کابل ها و روترهای موجوددراينترنت نمی باشيد.(مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی ساير مسافرين حاضر در کشتی).در صورتيکه تمايل به ارتباط بين دو شبکه اختصاصی از طريق منابع عمومی وجود داشته باشد،اولين مسئله ای که با چالش های جدی برخورد خواهد کرد،امنيت خواهد بود.فرض کنيد،جزيره شما قصد ايجاد يک پل ارتباطی با جزيره مورد نظر را داشته باشد .مسيرايجاد شده يک روش ايمن، ساده و مستقيم برای مسافرت ساکنين جزيره شما به جزيره ديگر را فراهم می آورد.همانطور که حدس زده ايد،ايجاد و نگهداری يک پل ارتباطی بين دو جزيره مستلزم صرف هزينه های بالائی خواهد بود.(حتی اگر جزاير در مجاورت يکديگر باشند).با توجه به ضرورت و حساسيت مربوط به داشتن يک مسير ايمن و مطمئن، تصميم به ايجاد پل ارتباطی بين دو جزيره گرفته شده است.در صورتيکه جزيره شما قصد ايجاد يک پل ارتباطی با جزيره ديگر را داشته باشد که در مسافت بسيار طولانی نسبت به جزيره شما واقع است ، هزينه های مربوط بمراتب بيشتر خواهد بود.وضعيت فوق،نظير استفاده از يک اختصاصی Leasedاست.ماهيت پل های ارتباطی (خطوط اختصاصی)ازاقيانوس(اينترنت)متفاوت بوده¬وکماکن قادر به ارتباط جزاير( شبکه های LAN)خواهند بود.سازمانها و موسسات متعددی از رويکرد فوق( استفاده¬از خطوط اختصاصی) استفاده می نمايند.مهمترين عامل در اين زمينه وجودامنيت واطمينان برای برقراری ارتباط هر يک سازمانهای مورد نظر با يکديگر است.در صورتيکه مسافت ادارات و ياشعب يک سازمان از يکديگر بسيار دور باشد،هزينه مربوط به برقرای ارتباط نيز افزايش خواهديافت. با توجه به مواردگفته شده،چه ضرورتی بمنظور استفاده از VPNوجود داشته و VPN تامين کننده،کداميک از اهداف و خواسته های مورد نظراست؟با توجه به مقايسه انجام شده¬در مثال فرضی،می توان گفت که بااستفاده از VPN به هريک از ساکنين جزيره يک زيردريائی داده می¬شود.زيردريائی فوق دارای خصايص متفاوت نظير: دارای سرعت بالااست. هدايت آن ساده است. قادر به¬استتار(مخفی نمودن) شماازساير زيردريا ئيهاوکشتی هااست. قابل¬اعتماداست. پس از تامين اولين زيردريائی،افزودن امکانات جانبی و حتی يک زيردريائی ديگرمقرون به صرفه خواهد بود در مدل فوق،باوجود ترافيک در اقيانوس،هر يک از ساکنين دوجزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمنی می باشند.مثال فوق دقيقاًبيانگر تحوه عملکرد VPNاست.هر يک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن بااستفاده¬از يک محيط انتقال عمومی( نظيراينترنت)باشبکه محلی(LAN)موجود در سازمان خود خواهندبود.توسعه يک VPN (افزايش تعداد کاربران از راه دوروياافزايش مکان های مورد نظر) بمراتب آسانتر از شبکه هائی است که¬از خطوط اختصاصی استفاده می¬نمايند.قابليت توسعه فراگيراز مهمترين ويژگی های يک VPN نسبت به خطوط اختصاصی است. مثال فوق دقيقاًبيانگر تحوه عملكرد VPN است.هر يك از كاربران¬از راه دور شبكه¬قادربه برقراري¬ارتباطي امن و مطمئن بااستفاده¬از يك محيط انتقال عمومي (نظيراينترنت)با شبكه محلي(LAN)موجوددرسازمان خود خواهند بود.توسعه يك VPN افزايش تعداد كاربران از راه دور و يا افزايش مكان هاي مورد نظر)بمراتب آسانتر از شبكه هائي است كه از خطوط اختصاصي استفاده مي نمايند. قابليت توسعه فراگير از مهمترين ويژگي هاي يك VPN نسبت به خطوط اختصاصي است. با توجه به¬اينكه دريك شبكه VPN به عوامل متفاوتي نظير:امنيت، اعتمادپذيري،مديريت شبكه و سياست ها نياز خواهد بود.استفاده¬از VPNبراي يك سازمان داراي مزاياي متعددي مانند: ● گسترش محدوه¬جغرافيائي¬ارتباطي ● بهبود وضعيت امنيت ● كاهش هزينه هاي عملياتي در مقايسه با روش هاي سنتي نظيرWAN ● كاهش زمان¬ارسال و حمل اطلاعات براي كاربران از راه دور ● بهبود بهره¬وري ● توپولوژي آسان ،...است. VPNنسبت به شبكه‏‌هاي پياده‌‏سازي شده با خطوط استيجاري،در پياده‌‏سازي و استفاده،هزينه كمتري صرف مي‏كند.اضافه¬وكم كردن گره‌هاياشبكه‌هاي محلي به VPN، به خاطرساختارآن،با هزينه‌ كمتري امكان‏پذير است.در صورت نياز به تغيير همبندي شبكه‌ي خصوصي،نيازي به راه‌‏اندازي مجدد فيزيكي شبكه نيست و به صورت نرم‏افزاري،همبندي شبكه قابل تغييراست. -5 امنيت VPN شبکه¬های VPNبمنظور تامين امنيت (داده هاوارتباطات)از روش های متعددی استفاده می¬نمايند: ● فايروال. فايروال يک ديواره مجازی بين شبکه اختصای يک سازمان واينترنت ايجاد می نمايد. با استفاده¬از فايروال می توان عمليات متفاوتی رادر جهت اعمال سياست های امنيتی يک سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال،ايجاد محدوديت در رابطه به پروتکل های خاص،ايجاد محدوديت در نوع بسته های اطلاعاتی و ...نمونه هائی از عملياتی¬است که می توان با استفاده از يک فايروال انجام داد. ● رمزنگاری . فرآيندی است که بااستفاده¬ازآن کامپيوتر مبداءاطلاعاتی رمزشده¬را برای کامپيوتر ديگر ارسال می نمايد.ساير کامپيوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدين ترتيب پس از ارسال اطلاعات توسط فرستنده، دريافت کنندگان،قبل ازاستفاده ازاطلاعات می بايست اقدام به رمزگشائی اطلاعات¬ارسال شده نمايند.سيستم های رمزنگاری در کامپيوتر به دو گروه عمده تقسيم می گردد: رمزنگاری کليد متقارن رمزنگاری کليد عمومی در رمز نگاری"کليد متقارن" هر يک از کامپيوترها دارای يک کليد Secret(کد) بوده که بااستفاده¬ازآن قادر به رمزنگاری يک بسته اطلاعاتی قبل ازارسال در شبکه برای کامپيوتر ديگر می باشند.در روش فوق می بايست درابتدا نسبت به کامپيوترهائی که قصد برقراری و ارسال اطلاعات برای يکديگر را دارند،آگاهی کامل وجود داشته باشد.هر يک از کامپيوترهای شرکت کننده در مبادله اطلاعاتی می بايست دارای کليد رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نيز از کليد فوق استفاده خواهد شد. فرض کنيد قصد ارسال يک پيام رمز شده برای يکی از دوستان خود را داشته باشيد. بدين منظور از يک الگوريتم خاص برای رمزنگاری استفاده می شود .در الگوريتم فوق هر حرف به دوحرف بعداز خود تبديل می گردد.(حرف A به حرف C،حرف Bبه حرف D).پس از رمزنمودن پيام و ارسال آن،می بايست دريافت کننده پيام به اين حقيقت واقف باشد که برای رمزگشائی پيام لرسال شده،هر حرف به دو حرق قبل از خود می باطست تبديل گردد. در چنين حالتی می باطست به دوست امين خود، واقعيت فوق(کليد رمز) گفته شود.در صورتيکه پيام فوق توسط افراد ديگری دريافت گردد ، بدليل عدم آگاهی از کليد،آنان قادر به رمزگشائی و استفاده از پيام ارسال شده نخواهند بود. در رمزنگاری عمومی از ترکيب يک کليد خصوصی و يک کليد عمومی استفاده می شود.کليد خصوصی صرفاًبرای کامپيوتر شما(ارسال کننده)قابل شناسائی و استفاده است.کليد عمومی توسط کامپيوتر شما در اختيار تمام کامپيوترهای ديگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود. بمنظور رمزگشائی يک پيام رمز شده،يک کامپيوتر می بايست با استفاده از کليد عمومی(ارائه شده توسط کامپيوتر ارسال کننده)،کليد خصوصی مربوط به خود اقدام به رمزگشائی پيام ارسالی نمايد.يکی از متداولترين ابزار"رمزنگاری کليد عمومی"روشی با نام PGP است.با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خودنمود. ● IPSec

پروتکلIPsec))،يکی از امکانات موجود برای ايجاد امنيت درارسال و دريافت اطلاعات می باشد.قابليت روش فوق در مقايسه با الگوريتم های رمزنگاری بمراتب بيشتر است.پروتکل فوق دارای دو روش رمزنگاری است: Tunnel ، Transport.در روش tunel،هدر و Payload رمز شده درحاليکه در روش transport صرفاً payload رمز می گردد.پروتکل فوق قادر به رمزنگاری اطلاعات بين دستگاههای متفاوت است:

روتر به روتر فايروال به روتر کامپيوتر به روتر کامپيوتر به سرويس دهنده ● سرويس دهنده AAA

سرويس دهندگانAAA بمنظور ايجادامنيت بالا در محيط های VPN از نوع "دستيابی از راه دور " استفاده می گردند. زمانيکه کاربران با استفاده از خط تلفن به سيستم متصل می گردند،سرويس دهنده AAAدرخواست آنها را اخذ و عمايات زير را انجام خواهد داد:

شما چه کسی هستيد؟(تاييد،Authentication) شما مجاز به انجام چه کاری هستيد؟( مجوز،Authorization) چه کارهائی را انجام داده ايد؟(حسابداری،Accounting) 6- تکنولوژی های VPN با توجه به نوع VPN("دستيابی از راه دور"و يا"سايت به سايت")،بمنظور ايجاد شبکه از عناصر خاصی استفاده می گردد: نرم افزارهای مربوط به کاربران از راه دور سخت افزارهای اختصاصی نظير يک "کانکتور VPN" و يا يک فايروال PIX سرويس دهنده¬اختصاصی VPN بمنظور سرويُس های Dial-up سرويس دهنده NAS که توسط مرکز ارائه خدمات اينترنت بمنظور دستيابی به VPN از نوع "دستيابی از را دور"استفاده می شود. 7- شبکه VPNومرکز مديريت سياست ها با توجه به اينکه تاکنون يک استاندارد قابل قبول و عمومی بمنظورايجادشVPN ايجاد نشده است،شرکت های متعدد هر يک اقدام به توليد محصولات اختصاصی خود نموده اند. - کانکتور VPN.سخت افزار فوق توسط شرکت سيسکو طراحی و عرضه شده است. کانکتور فوق در مدل های متفاوت و قابليت های گوناگون عرضه شده است.در برخی از نمونه های دستگاه فوق امکان فعاليت همزمان 100 کاربر از راه دور و در برخی نمونه های ديگر تا 10.000 کاربر از راه دور قادر به اتصال به شبکه خواهند بود. - روتر مختص VPN.روتر فوق توسط شرکت سيسکو ارائه شده است.اين روتر دارای قابليت های متعدد بمنظور استفاده در محيط های گوناگون است.در طراحی روتر فوق شبکه های VPN نيز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه ای بهينه سازی شده اند.

- فايروال PIX .فايروال قابليت هائی نظير NAT ،سرويس دهنده Proxy،فيلتر نمودن بسته ای اطلاعاتی،فايروال و VPN را در يک سخت افزار فراهم نموده است. 8-اصولVPN فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلاً در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کاراز طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است. استفاده از FTPهم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که¬اصلاً قابل اطمینان نیست. یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود.از این گذشته،هزینه¬ارتباط تلفنی راه¬دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.در این حالت ،کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به این ترتیب بسیاری از راه های خرابکاری برای نفوذ کنندگان بسته می شود. شبکه های شخصی مجاری یاVPN ها اینگونه مشکلات را حل می کند.VPN به کمک رمز گذاری روی داده ها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود.مدیران شبکه ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند.اگر چه نفوذ کنندگان می توانند به کمک برنامه های Packet sniffer جریان داده ها را دنبال کنند اما بدون داشتن کلید رمز نمی¬توانند آنها را بخوانند. VPN دو کامپیوتر یا دو شبکه را به کمک یک شبکه دیگر که به عنوان مسیر انتقال به کار می¬گیرد به هم متصل می کند.برای نمونه می توان دو کامپیوتر یکی در تهران و دیگری در مشهد که در فضای اینترنت به یک شبکه وصل شده¬اند اشاره کرد.VPN از نگاه کاربر کاملاً مانند یک شبکه محلی به نظر می¬رسد.برای پیاده سازی چنین چیزی ، VPN به هر کاربر یک ارتباط IPمجازی می دهد. داده هایی که روی این ارتباط آمدوشددارندرا سرویس گیرنده نخست به رمز در آورده و در قالب بسته ها بسته بندی کرده و به سوی سرویس دهندهVPN می¬فرستد.اگر بستر این انتقال اینترنت باشد بسته ها همان بسته های IP خواهند بود. سرویس گیرنده VPN بسته هارا پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام می دهد.روشی که شرح داده شد را اغلب Tunneling یا تونل زنی می نامند چون داده ها برای رسیدن به کامپیوتر مقصد از چیزی مانند تونل می گذرند . برای پیاده سازی VPNراه های گوناگونی وجود دارد که پر کاربرد ترین آنها عبارتنداز: Point to point Tunneling protocol یا PPTP که برای انتقال NetBEUI روی یک شبکه بر پایه IP مناسب است.

L2TP که برای انتقالIP ، IPX یا NetBEUI روی هر رسانه دلخواه که توان انتقال Datagram های نقطه به نقطه Point to point را داشته باشد مناسب است. برای نمونه می توان ب IP ، X.25 ، Frame Relay یا ATM اشاره کرد.

IP Security protocol یا Ipsec که برای انتقال داده های IP روی یک شبکه بر پایه IP مناسب است. 9-(تونل سازی ) اکثر شبکه های VPN بمنظورايجاد يک شبکه اختصاصی با قابليت دستيابی از طريق اينترنت¬ازامکان" Tunneling "استفاده می¬نمايند. در روش فوق تمام بسته اطلاعاتی در يک بسته ديگر قرار گرفته¬واز طريق شبکه¬ارسال خواهد شد.پروتکل مربوط به بسته اطلاعاتی خارجی(پوسته)توسط شبکه و دو نفطه(ورودو خروج بسته اطلاعاتی)قابل فهم می باشد.دو نقظه فوق¬را"اينترفيس های تونل"می گويند.

روش فوق مستلزماستفاده¬از سه پروتکل¬است:

پروتکل حمل کننده.ازپروتکل فوق شبکه حامل اطلاعات استفاده می نمايد. پروتکل کپسوله سازی.از پروتکل هائی نظير:IPSec,L2F,PPTP,L2TP,GRE استفاده می گردد. پروتکل مسافر.از پروتکل هائی نظير IPX,IP,NetBeuiبمنظورانتقال داده های اوليه استفاده می شود. با استفاده¬از روش Tunnelingمی توان عمليات جالبی را انجام داد. مثلاً می توان از بسته ای اطلاعاتی که پروتکل اينترنت را حمايت نمی کند(نظير NetBeui)درون يک بسته اطلاعاتی IP استفاده¬وآن را از طريق اينترنت ارسال نمود و يا می توان يک بسته¬اطلاعاتی را که از يک آدرس IP غير قابل روت(اختصاصی)استفاده می¬نمايد ،درون يک بسته اطلاعاتی که از آدرس های معتبر IPاستفاده می کند،مستقر وازطريق اينترنت ارسال نمود. در شبکه های VPNاز نوع "سايت به سايت "،GRE)generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده می گردد. فرآيند فوق نحوه¬استقرار و بسته بندی "پروتکل مسافر" از طريق پروتکل" حمل کننده" برای انتقال را تبين می نمايد.(پروتکل حمل کننده،عموما" IPاست).فرآيند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بين سرويس گيرنده¬و سرويس دهنده است.در برخی موارد از پروتکل IPSec(در حالت tunnel) برای کپسوله سازی استفاده می گردد.پروتکل IPSec، قابل استفاده در دو نوع شبکه VPN(سايت به يايت و دستيابی از راه دور) است.اينترفيش های Tunnel می¬بايست دارای امکانات حمايتی از IPSec باشند. در شبکه های VPN از نوع"دستيابی از راه دور"، Tunneling با استفاده از PPP انجام می¬گيرد.PPP به عنوان حمل کننده ساير پروتکل های IP در زمان برقراری ارتباط بين يک سيستم ميزبان و يک سيستم ازه دور،مورد استفاده قرار می¬گيرد. هر يک از پروتکل های زير با استفاده از ساختار اوليه PPPايجادوتوسط شبکه های VPNاز نوع"دستيابی از راه دور "استفاده می¬گردند: 10- پروتکل های درون تونل Tunnelingرا می توان روی دو لایه از لایه های OSI پیاده کرد. PPTP و L2TP از لایه 2 یعنی پیوند داده استفاده کرده و داده ها را در قالب Frame های پروتکل نقطه به نقطه( PPP )بسته بندی می کنند.دراین حالت می توان از ویژگی های PPP همچون تعیین اعتبار کاربر ، تخصیص آدرس پویا ( مانند DHCP ) ،فشرده سازی داده ها یا رمز گذاری داده ها بهره برد. با توجه به اهمیت¬ایمنی انتقال داده ها درVPN،دراین میان تعیین اعتبار کاربر نقش بسیار مهمی دارد.برای این کار معمولاً از CHAP استفاده می شود که مشخصات کاربر را در این حالت رمز گذاری شده جابه جا میکند.Call back هم دسترسی به سطح بعدی ایمنی را ممکن می سازد.در این روش پس از تعیین اعتبار موفقیت آمیز،ارتباط قطع می شود.سپس سرویس دهنده برای برقرار کردن ارتباط جهت انتقال داده ها شماره گیری می کند.هنگام انتقال داده ها،Packet های IP ، IP X یا NetBEUI در قالب Frame های PPP بسته بندی شده و فرستاده می شوند.PPTP هم Frame های PPP را پیش از ارسال روی شبکه بر پایه IP به سوی کامپیوتر مقصد،در قالب Packet های IP بسته بندی می کند. این پروتکل در سال 1996 از سوی شرکت هایی چون مایکرو سافت، Ascend ، 3 com و Robotics US پایه گذاری شد.محدودیت PPTP در کار تنها روی شبکه های IP باعث ظهور ایده ای در سال 1998 شد.L2TP روی X.25 ،Frame Relay یا ATM هم کار می کند . برتری L2TP در برابر PPTP این است که به طور مستقیم روی رسانه های گوناگون WAN قابل انتقال است . 2F)Layer 2 Forwarding) . پروتکل فوق توسط سيسکو ايجاد شده است . در پروتکل فوق از مدل های تعيين اعتبار کاربر که توسط PPP حمايت شده اند ،استفاده شد ه است . PPTP)Point-to-Point Tunneling Protocol).

پروتکل فوق توسط کنسرسيومی متشکل از شرکت های متفاوت ايجاد شده است .اين پروتکل امکان رمزنگاری 40 بيتی و 128 بيتی را دارا بوده و از مدل های تعيين اعتبار کاربر که توسط PPP حمايت شده اند،استفاده می نمايد

. 2TP)Layer 2 Tunneling Protocol) پروتکل فوق با همکاری چندين شرکت ايجاد شده است .پروتکل فوق از ويژگی های PPTP و L2F استفاده کرده است . پروتکل L2TP بصورت کامل IPSec را حمايت می کند. از پروتکل فوق بمنظور ايجاد تونل بين موارد زير استفاده می گردد: سرويس گيرنده و روتر NAS و روتر روتر و روتر عملکرد Tunnelingمشابه¬حمل يک کامپيوتر توسط يک کاميون است . فروشنده ، پس از بسته بندی کامپيوتر(پروتکل مسافر)درون يک جعبه(پروتکل کپسوله سازی) آن را توسط يک کاميون(پروتکل حمل کننده)ازانبار خود(ايترفيس ورودی تونل ) برای متقاضی ارسال می دارد.کاميون(پروتکل حمل کننده)از طريق بزرگراه(اينترنت) مسير خودرا طی،تا به منزل شما(اينترفيش خروجی تونل)برسد.شما در منزل جعبه( پروتکل کپسول سازی)را بازوکامپيوتر(پروتکل مسافر)راازآن خارج می نمائيد VPN-Ipsec فقط برای¬اينترنت Ipsec برخلافPPTP و L2TPروی لایه شبکه یعنی لایه سوم کار می کند.این پروتکل داده هایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می فرستد. کامپیوتری که در آن سو قرار دارد IP Headerرا جدا کرده،داده ها را رمز گشایی کرده و آن را به کامپیوتر مقصد می فرستد .Ipsec را می توان با دو شیوه Tunneling پیکر بندی کرد.در این شیوه انتخاب اختیاری تونل،سرویس گیرنده نخست یک ارتباط معمولی با اینترنت برقرار می کند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده می کند . برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل تونل نصب شده باشد.معمولاً کاربر اینترنت است که به اینترنت وصل می شود.اما کامپیوترهای درون LAN هم¬می توانند یک ارتباط VPN برقرا کنند.از آنجا که ارتباط IPاز پیش موجود است تنها برقرار کردن¬ارتباط VPN کافی است.در شیوه تونل اجباری ،سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار به عهده فراهم ساز است.سرویس گیرنده تنها باید به ISP وصل شود.تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد.البته برای این کار باید همانگی های لازم با ISPانجام بگیرد.ٍ 11- ويژگی های امنيتی¬در IPsec Ipsec از طریق AHمطمئن می شود که Packet های دریافتی از سوی فرستنده واقعیو نه از سوی یک نفوذ کننده که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده.AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay جلوگیری کند.اما AH رمز گذاری نمی شود.رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می گیرد.در این شیوه داده های اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال می کند. ESH همچنین کارکرد هایی برای تعیین اعتبار و خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست .برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IETF برای حفظ سازگاری میان محصولات مختلف، الگوریتم های اجباری برای پیاده سازی Ipsec تدارک دیده.برای نمونه می توان به MD5،DES یا Secure Hash Algorithm اشاره کرد.مهمترین استانداردها و روش هایی که در Ipsec به کار می روند عبارتنداز: • Diffie-Hellman برای مبادله کلید ها میان ایستگاه های دو سر ارتباط. • رمز گذاری Public Key برای ثبت و اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاه های سهیم در ارتباط. • الگوریتم های رمز گذاری مانند DES برای اطمینان از درستی داده های انتقالی. • الگوریتم های درهم ریزی ( Hash) برای تعیین اعتبار تک تک Packet ها. • امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی. 4.1.5 - Ipsec بدون تونل Ipsec در مقایسه با دیگر روش ها یک برتری دیگر هم دارد و آن اینست که می تواند همچون یک پروتکل انتقال معمولی به کار برود. در این حالت برخلاف حالت Tunneling همه IP packet رمز گذاری و دوباره بسته بندی نمی شود.بجای آن، تنها داده های اصلی رمزگذاری می شوند و Header همراه با آدرس های فرستنده و گیرنده باقی می ماند.این باعث می شود که داده های سرباز ( Overhead ) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود . اما روشن است که در این وضعیت ، خرابکاران می توانند به مبدا و مقصد داده ها پی ببرند . از آنجا که در مدل OSI داده ها از لایه 3 به بالا رمز گذاری می شوند خرابکاران متوجه نمی شوند که این داده ها به ارتباط با سرویس دهنده Mail مربوط می شود یا به چیز دیگر. 12- جریان یک ارتباط Ipsec بیش از آن که دو کامپیوتر بتواننداز طریق Ipsec داده ها را میان خود جابجا کنند باید یکسری کارها انجام شود. • نخست باید ایمنی برقرار شود.برای این منظور ، کامپیوترها برای یکدیگر مشخص می کنند که آیا رمز گذاری،تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه. • سپس الگوریتم را مشخص می کنند،مثلاً DEC برای رمزگذاری و MD5 برای خطایابی. • در گام بعدی ،کلیدها را میان خود مبادله می کنند. Ipsec برای حفظ ایمنی ارتباط از SA استفاده می کند. SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص می کند.SA ها از سوی SPI شناسایی می شوند.SPI از یک عدد تصادفی و آدرس مقصد تشکیل می شود.این به آن معنی است که همواره میان دو کامپیوتر دو SPI وجود دارد: یکی برای ارتباط A و B و یکی برای ارتباط B به A .اگر یکی از کامپیوترها بخواهد در حالت محافظت شده داده ها را منتقل کند نخست شیوه رمز گذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی داده ها اعمال می کند.سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد. 12- مديريت کليدهای رمز در Ipsec اگر چه Ipsec فرض را بر این می گذارد که توافقی برای ایمنی داده ها وجود دارد اما خودش برای ایجاد این توافق نمی تواند کاری انجام بدهد . Ipsec در این کار به IKE تکیه می کند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند.در حال حاضر برای این کار از راه های زیر استفاده می شود: • Pre shared keys : روی هر دو کامپیوتر یک کلید نصب می شود که IKE از روی آن یک عدد Hash ساخته و آن را به سوی کامپیوتر مقصد می فرستد . اگر هر دو کامپیوتر بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام می گیرد • رمز گذاری Public Key:هر کامپیوتر یک عدد تصادفی ساخته و پس از رمز گذاری آن با کلید عمومی کامپیوتر مقابل ،آن را به کامپیوتر مقابل می فرستد .اگر کامپیوتر مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده و باز پس بفرستد برا ی ارتباط مجاز است.در حال حاضر تنها از روش RSA برای این کار پیشنهاد می شود. • امضاء دیجیتال :در این شیوه،هر کامپیوتر یک رشته داده را علامت گذاری( امضاء ) کرده و به کامپیوتر مقصد می فرستد.در حال حاضر برای این کار از روش های RSA و DSS استفاده می شود . برای امنیت بخشیدن به تبادل داده ها باید هر دو سر ارتبا طنخست بر سر یک یک کلید به توافق می رسند که برای تبادل داده ها به کار می رود . برا ی این منظور می توان همان کلید به دست آمده از طریق Diffie Hellman را به کاربرد که سریع تر است یا یک کلید دیگر ساخت که مطمئن تر است . 13- پياه‌سازي VPN براي راه‌اندازي يك سرور VPN مي‌بايست دو كارت شبكه نصب شده بر روي سيستم داشته باشيد . از يك كارت شبكه براي ارتباط با اينترنت و از كارت ديگر جهت برقراري ارتباط با شبكه محلي استفاده مي‌شود. در اين‌جا بر روي هر كارت به‌طور ثابت IP قرار داده شده اما مي‌توان اين IPها را به صورت پويا بر روي كارت‌هاي شبكه قرار داد . در پنجره بعد نحوه آدرس‌دهي به سيستم راه دوري كه قصد اتصال به سرور ما را دارد پرسيده مي‌شود.هر ايستگاه كاري مي‌ تواند يك آدرس IP براي كار در شبكه محلي و يك IP براي اتصال VPN داشته باشد .در منوي بعد نحوه بازرسي كاربران پرسيده مي‌شود كه اين بازرسي مي‌ تواند از روي كاربران تعريف شده در روي خود ويندوز باشد و يا آنكه از طريق يك سرويس دهنده RADIUS صورت گيرد در صورت داشتن چندين سرور VPN استفاده از RADIUS را به شما پيشنهاد مي‌كنيم . با اين روش كاربران ، بين تمام سرورهاي VPN به اشتراك گذاشته شده و نيازي به تعريف كاربران در تمامي سرورها نمي‌باشد. پروتكل‌هاي استفاده شونده عملياتي كه در بالا انجام گرفت تنها پيكربندي‌هاي لازم جهت راه‌اندازي يك سرور VPN مي‌باشد. اما RRASداراي دو پروتكل جهت برقراري تونل ارتباطي VPN مي‌باشد. ساده‌ترين پروتكل آنPPTPl)است،اين پروتكل برگرفته از PPP است كه در سرويس‌هاي Dialup مورد استفاده واقع مي‌شود،‌در واقع PPTP همانند PPP عمل مي‌كند. پروتكل PPTP در بسياري از موارد كافي و مناسب است ،‌ به كمك اين پروتكل كاربران مي‌توانند به روش‌هاي PAP و Chap Protocol بازرسي شوند.جهت كد كردن اطلاعات مي‌توان از روش كد سازي RSAاستفاده نمود. PPTP براي كاربردهاي خانگي و دفاتروافرادي كه در امر شبكه حرفه‌اي نيستند مناسب است اما در جايگاه امنيتي داراي پايداري زيادي نيست.پروتكل ديگري به نام(2TP(Layer2 Forwardingبه وسيله شركت CISCO ارائه شده كه به لحاظ امنيتي بسيار قدرتمندتراست. اين پروتكل بااستفاده از پروتكل انتقال اطلاعات UDP به‌جاي استفاده از TCP به مزاياي زيادي دست يافته است.اين روش باعث بهينه و ملموس‌تر شدن براي ديواره‌هاي آتش شده است ،اما باز هم اين پروتكل در واقع چيزي جز يك كانال ارتباطي نيست.جهت حل اين مشكل و هر چه بالاتر رفتن ضريب¬امنيتي در VPN شركت مايكروسافت پروتكل ديگري را به نام (IPSec (IP Security مطرح نموده كه پيكربندي VPN با آن كمي دچار پيچيدگي مي‌گردد. اما در صورتي كه پروتكل PPTPراانتخاب كرده‌ايد و با اين پروتكل راحت ‌تر هستيد تنها كاري كه بايد در روي سرور انجام دهيد فعال كردن قابليت دسترسي Dial in مي‌باشد.اين كار را مي‌توانيد با كليك بر روي Remote Access Polices در RRAS انجام دهيد و با تغيير سياست كاري آن ، آن را راه‌اندازي كنيد (به‌ طور كلي پيش‌فرض سياست كاري ، رد كليه درخواست‌ها مي‌باشد). 14-دسترسي ايستگاه كاري از طريق VPN حالا كه سرورVPNآماده سرويس‌دهي شده،براي استفاده¬از آن بايد بر روي ايستگاه كاري نيز پيكربنديهايي راانجام دهيم.سيستم عاملي كه ما در اين‌جا استفاده مي‌كنيم ويندوز XP مي‌باشدوروش پياده‌سازي VPN را بر روي آن خواهيم گفت اما انجام اين كار بر روي ويندوز 2000 نيز به همين شكل صورت مي‌گيرد.بر روي ويندوزهاي 98 نيز مي‌توان ارتباط VPN را برقرار نمود،اما روش كار كمي متفاوت است و براي انجام آن بهتر است به آدرس زير مراجعه كنيد: www.support.microsot.com بر روي ويندوزهايXP،يك نرم‌افزار جهت اتصال به VPN براي هر دو پروتكل PPTP و L2TP وجود دارد.در صورت انتخاب هر كدام،‌نحوه پيكربندي با پروتكل ديگر تفاوتي ندارد.راه‌اندازي VPN كار بسيار ساده‌اي است،كافيست كه بر روي Network Connection كليك نموده وازآن اتصال به شبكه خصوصي از طريق اينترنت (Private Network Through Internet)راانتخاب كنيد. در انجام مرحله بالا از شما يك اسم پرسيده مي‌شود.در همين مرحله خواسته مي‌شود كه براي اتصال به اينترنت يك ارتباط تلفني(Dialup)تعريف نماييد،پس از انجام اين مرحله نام و يا آدرس سرور VPN پرسيده مي‌شود. مراحل بالا تنها مراحلي است كه نياز براي پيكربندي يك ارتباط VPN بر روي ايستگاه‌هاي كاري مي‌باشد . كليه عمليات لازمه براي VPN به صورت خودكار انجام مي‌گيرد و نيازي به انجام هيچ عملي نيست . براي برقراري ارتباط كافيست كه بر روي آيكوني كه بر روي ميز كاري ايجاد شده دو بار كليك كنيد پس از وارد كردن كد كاربري و كلمه عبور چندين پيام را مشاهده خواهيد كرد كه نشان‌دهنده روند انجام برقراري ارتباط VPN است. اگر همه چيز به خوبي پيش رفته باشد مي‌توانيد به منابع موجود بر روي سرور VPNدسترسي پيدا كنيد اين دسترسي مانند آن است كه بر روي خود سرور قرار گرفته باشيد.

15-ارتباط سايت به سايت (Site-to-Site VPN) در صورتي كه بخواهيد دو شبكه را از طريق يك سرور VPN دومي به يكديگر وصل كنيد علاوه بر مراحل بالا بايد چند كار اضافه‌تر ديگري را نيز انجام دهيد . جزئيات كار به پروتكلي كه مورد استفاده قرار مي‌گيرد.جهت اين كار بايد سرور را در پنجره RRAS انتخاب كرده و منوي خاص (Properties)آن را بياوريد . در قسمت General مطمئن شويد كه گزينه‌هاي LANو Demand Dial انتخاب شده باشند (به طور پيش گزيده انتخاب شده هستند). هم‌چنين اطمينان حاصل كنيد كه پروتكل را كه قصد روت(Route)كردن آن را داريد فعال است. پس از مراحل بالا نياز به ايجاد يك Demand Dial داريد ،اين كار را مي‌توانيد با يك كليك راست بر روي واسط روت (Routing Interface)انجام دهيد. در پنجره بعدي كه ظاهر مي‌شود بايد براي اين ارتباط VPN خود يك نام تعيين كنيداين نام بايد همان اسمي باشد كه در طرف ديگر كاربران با آن به اينترنت متصل مي‌شوند در صورتي كه اين مطلب را رعايت نكنيد ارتباط VPN شما برقرار نخواهد شد . پس از اين مرحله بايد آدرس IPويا نام دامنه آن را مشخص كنيدو پس از آن نوع پروتكل ارتباطي را تعيين نمود. اما مرحله نهايي تعريف يك مسير (Route) بر روي سرور ديگر مي‌باشد بدين منظور بر روي آن سروردر قسمت RRAS ، Demand Dial را انتخاب كنيد و آدرس IP و ساب‌نت را در آن وارد كنيد و مطمئن شويد كه قسمت Use This to Initate Demand انتخاب شده باشد.پس از انجام مرحله بالا كار راه‌اندازي اين نوع VPN به پايان مي‌رسد.

نتيجه گيري تبادل داده ها روی اینرنت چندان ایمن نیست.تقریباًهر کسی که در جای مناسب قرار داشته باشد می تواند جریان داده ها را زیر نظر گرفته و از آنها سوء استفاده کند.شبکه های شخصی مجازی یا VPN ها کار نفوذ را برا ی خرابکاران خیلی سخت می کند.

[ویرایش] VPN در ایران

اگرچه VPN کاربردهای بسیاری در ایران دارد، به تازگی و به صورت گسترده از VPN به عنوان فیلترشکن استفاده می‌شود به طوری که تعداد زیادی از شرکت‌های ایرانی اقدام به فروش آن کرده‌اند و افراد بسیاری از VPN به این منظور استفاده می‌کنند.