شبکه خصوصی مجازی: تفاوت میان نسخهها
Paiamshadi (بحث | مشارکتها) فارسی سازی ارقام |
|||
خط ۸: | خط ۸: | ||
همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه اختصاصی خود را به درستی احساس کردند.درابتداشبکههای اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملاً اختصاصی بوده وکارمندان یک سازمان بااستفاده از رمز عبور تعریف شده،قادر به ورود به شبکه واستفاده از منابع موجودمی باشند.ولی اخیراً،موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید(کارمندان از راه دور، ادارات از راه دور)اقدام به ایجادشبکههای اختصاصی مجازیVirtual Private Networkنموده یک VPN شبکهای اختصاصی بوده که ازاینترنت برای ارتباط با سایت های از راه دور وارتباط کاربران با می نماید.این نوع شبکهها بجای استفاده از خطوط واقعی نظیر خطوط Leasedاز یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند . |
همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه اختصاصی خود را به درستی احساس کردند.درابتداشبکههای اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملاً اختصاصی بوده وکارمندان یک سازمان بااستفاده از رمز عبور تعریف شده،قادر به ورود به شبکه واستفاده از منابع موجودمی باشند.ولی اخیراً،موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید(کارمندان از راه دور، ادارات از راه دور)اقدام به ایجادشبکههای اختصاصی مجازیVirtual Private Networkنموده یک VPN شبکهای اختصاصی بوده که ازاینترنت برای ارتباط با سایت های از راه دور وارتباط کاربران با می نماید.این نوع شبکهها بجای استفاده از خطوط واقعی نظیر خطوط Leasedاز یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند . |
||
== |
==مقدمه== |
||
امنیت VPN |
امنیت VPN |
||
شبکههای VPN بمنظورامنیت داده هاوارتباطات از روش های متعددی استفاده می نمایند: |
شبکههای VPN بمنظورامنیت داده هاوارتباطات از روش های متعددی استفاده می نمایند: |
||
* فایروال |
|||
* رمزنگاری |
|||
* IPSec |
|||
* سرویس دهنده AAA |
|||
اصول VPN |
===اصول VPN=== |
||
فرستادن حجم زیادی از داده از یک |
فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلا در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است. انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است. |
||
استفاده از FTP هم به |
استفاده از FTP هم به سرویسدهنده مربوطه و همچنین ذخیرهسازی موقت روی فضای اینترنت نیاز دارد که اصلاً قابل اطمینان نیست. |
||
⚫ | یکی ازراه |
||
⚫ | شبکههای شخصی |
||
⚫ | یکی ازراه حلهای اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم، پیکر بندی کامپیوتر به عنوان سرویسدهنده RAS لازم خواهد بود. از این گذشته، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است. اما اگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند میتوان از طریق سرویس به اشتراکگذاری فایل در ویندوز بسادگی فایلها را رد و بدل کرد. در این حالت، کاربران میتوانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند. به این ترتیب بسیاری از راههای خرابکاری برای نفوذکنندگان بسته میشود. |
||
⚫ | |||
⚫ | درطی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است. اغلب |
||
⚫ | شبکههای شخصی مجازی یا VPNها اینگونه مشکلات را حل میکند. VPN به کمک رمزگذاری روی دادهها،درون یک شبکه کوچک میسازد و تنها کسی که آدرسهای لازم و رمز عبور را در اختیار داشته باشد میتواند به این شبکه وارد شود. مدیران شبکهای که بیش از اندازه وسواس داشته و محتاط هستند میتوانند VPN را حتی روی شبکه محلی هم پیاده کنند. اگر چه نفوذ کنندگان میتوانند به کمک برنامههای Packet sniffer جریان دادهها را دنبال کنند اما بدون داشتن کلید رمز نمیتوانند آنها را بخوانند. |
||
⚫ | |||
⚫ | درطی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است. اغلب سازمانها و موسسات ارائه دهنده کالا و خدمات که در گذشته بسیار محدود و منطقهای مسائل رادنبال و در صدد ارائه راهکارهای مربوطه بودند، امروزه بیش از گذشته نیازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای تولیده شده را دارند. به عبارت دیگر تفکرات منطقهای و محلی حاکم بر فعالیتهای تجاری جای خود را به تفکرات جهانی و سراسری دادهاند. امروزه با سازمانهای زیادی برخورد مینمائیم که در سطح یک کشور دارای دفاتر فعال و حتی درسطح دنیا دارای دفاتر متفاوتی میباشند. تمام سازمانهای فوق قبل از هر چیز بهدنبال یک اصل بسیار مهم میباشند: یک روش سریع، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا اکثر سازمانها و موسسات بمنظور ایجاد یک شبکه WAN از خطوط اختصاصی استفاده مینمایند. خطوط فوق دارای انواع متفاوتی میباشند. ISDN (با سرعت ۱۲۸کیلوبیت در ثانیه)، ( OC3 Optical Carrier-۳) (با سرعت ۱۵۵ مگابیت در ثانیه) دامنه وسیع خطوط اختصاصی را نشان میدهد. یک شبکه WAN دارای مزایای عمدهای نسبت به یک شبکه عمومی نظیر اینترنت از بعد امنیت و کارآئی است. پشتیانی و نگهداری یک شبکه WAN در عمل و زمانیکه از خطوط اختصاصی استفاده میگردد، مستلزم صرف هزینه بالائی است. |
||
همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکههای اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملااختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده،قادر به ورود به شبکه و استفاده از منابع موجود می باشند.اخیراً، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید(کارمندان از راه دور،ادارات از راه دور)،اقدام به ایجاد شبکههای اختصاصی مجازی VPN)) نموده اند. |
همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکههای اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملااختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده،قادر به ورود به شبکه و استفاده از منابع موجود می باشند.اخیراً، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید(کارمندان از راه دور،ادارات از راه دور)،اقدام به ایجاد شبکههای اختصاصی مجازی VPN)) نموده اند. |
||
یک VPN،شبکهای اختصاصی بوده که از یک شبکه عمومی(عمومااینترنت)،برای ارتباط با سایت های از راه دور و ارتباط کاربران بایکدیگر، استفاده می نماید. این نوع شبکهها در عوض استفاده از خطوط واقعی نظیر:خطوط Leased،از یک ارتباط مجازی بکمک اینترنت برای شبکه اختصاصی بمنظورارتباط به سایت ها استفاده میکند. |
یک VPN،شبکهای اختصاصی بوده که از یک شبکه عمومی(عمومااینترنت)،برای ارتباط با سایت های از راه دور و ارتباط کاربران بایکدیگر، استفاده می نماید. این نوع شبکهها در عوض استفاده از خطوط واقعی نظیر:خطوط Leased،از یک ارتباط مجازی بکمک اینترنت برای شبکه اختصاصی بمنظورارتباط به سایت ها استفاده میکند. |
||
خط ۵۹: | خط ۶۴: | ||
● فایروال. |
● فایروال. |
||
فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان واینترنت ایجاد می نماید. با استفاده از فایروال میتوان عملیات متفاوتی رادر جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال،ایجاد محدودیت در رابطه به پروتکل های خاص،ایجاد محدودیت در نوع بستههای اطلاعاتی و ...نمونه هائی از عملیاتی است که میتوان با استفاده از یک فایروال انجام داد. |
فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان واینترنت ایجاد می نماید. با استفاده از فایروال میتوان عملیات متفاوتی رادر جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال،ایجاد محدودیت در رابطه به پروتکل های خاص،ایجاد محدودیت در نوع بستههای اطلاعاتی و ...نمونه هائی از عملیاتی است که میتوان با استفاده از یک فایروال انجام داد. |
||
==رمزنگاری== |
==رمزنگاری== |
||
فرآیندی است که بااستفاده ازآن کامپیوتر مبداءاطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید.سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده، دریافت کنندگان،قبل ازاستفاده ازاطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند.سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم میگردد: |
فرآیندی است که بااستفاده ازآن کامپیوتر مبداءاطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید.سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده، دریافت کنندگان،قبل ازاستفاده ازاطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند.سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم میگردد: |
نسخهٔ ۴ ژانویهٔ ۲۰۱۰، ساعت ۱۶:۵۹
این مقاله نیازمند ویکیسازی است. لطفاً با توجه به راهنمای ویرایش و شیوهنامه، محتوای آن را بهبود بخشید. |
این مقاله نیازمند تمیزکاری است. لطفاً تا جای امکان آنرا از نظر املا، انشا، چیدمان و درستی بهتر کنید، سپس این برچسب را بردارید. محتویات این مقاله ممکن است غیر قابل اعتماد و نادرست یا جانبدارانه باشد یا قوانین حقوق پدیدآورندگان را نقض کرده باشد. |
گمان میرود که این مقاله ناقض حق تکثیر باشد، اما بدون داشتن منبع امکان تشخیص قطعی این موضوع وجود ندارد. اگر میتوان نشان داد که این مقاله حق نشر را زیر پا گذاشته است، لطفاً مقاله را در ویکیپدیا:مشکلات حق تکثیر فهرست کنید. اگر مطمئنید که مقاله ناقض حق تکثیر نیست، شواهدی را در این زمینه در همین صفحهٔ بحث فراهم آورید. خواهشمندیم این برچسب را بدون گفتگو برندارید. |
شبکهٔ خصوصی مجازی (به انگلیسی: Virtual Private Network) (مخفف VPN)، شبکهای است که اطلاعات در آن از طریق یک شبکه عمومی مانند اینترنت جابهجا میشود اما در عین حال با استفاده از الگوریتمهای رمزنگاری و با تصدیق هویت (Authentication)، این ارتباط همچنان اختصاصی باقی میماند. [۱]
شبکهٔ خصوصی مجازی به طور عمده برای ایجاد ارتباط بین شعبههای مختلف شرکتها و یا فعالیت از راه دور مورد استفاده قرار میگیرد.
چکیده
همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه اختصاصی خود را به درستی احساس کردند.درابتداشبکههای اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملاً اختصاصی بوده وکارمندان یک سازمان بااستفاده از رمز عبور تعریف شده،قادر به ورود به شبکه واستفاده از منابع موجودمی باشند.ولی اخیراً،موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید(کارمندان از راه دور، ادارات از راه دور)اقدام به ایجادشبکههای اختصاصی مجازیVirtual Private Networkنموده یک VPN شبکهای اختصاصی بوده که ازاینترنت برای ارتباط با سایت های از راه دور وارتباط کاربران با می نماید.این نوع شبکهها بجای استفاده از خطوط واقعی نظیر خطوط Leasedاز یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند .
مقدمه
امنیت VPN شبکههای VPN بمنظورامنیت داده هاوارتباطات از روش های متعددی استفاده می نمایند:
- فایروال
- رمزنگاری
- IPSec
- سرویس دهنده AAA
اصول VPN
فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلا در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است. انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است.
استفاده از FTP هم به سرویسدهنده مربوطه و همچنین ذخیرهسازی موقت روی فضای اینترنت نیاز دارد که اصلاً قابل اطمینان نیست.
یکی ازراه حلهای اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم، پیکر بندی کامپیوتر به عنوان سرویسدهنده RAS لازم خواهد بود. از این گذشته، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است. اما اگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند میتوان از طریق سرویس به اشتراکگذاری فایل در ویندوز بسادگی فایلها را رد و بدل کرد. در این حالت، کاربران میتوانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند. به این ترتیب بسیاری از راههای خرابکاری برای نفوذکنندگان بسته میشود.
شبکههای شخصی مجازی یا VPNها اینگونه مشکلات را حل میکند. VPN به کمک رمزگذاری روی دادهها،درون یک شبکه کوچک میسازد و تنها کسی که آدرسهای لازم و رمز عبور را در اختیار داشته باشد میتواند به این شبکه وارد شود. مدیران شبکهای که بیش از اندازه وسواس داشته و محتاط هستند میتوانند VPN را حتی روی شبکه محلی هم پیاده کنند. اگر چه نفوذ کنندگان میتوانند به کمک برنامههای Packet sniffer جریان دادهها را دنبال کنند اما بدون داشتن کلید رمز نمیتوانند آنها را بخوانند.
شبکه VPN چیست؟
درطی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است. اغلب سازمانها و موسسات ارائه دهنده کالا و خدمات که در گذشته بسیار محدود و منطقهای مسائل رادنبال و در صدد ارائه راهکارهای مربوطه بودند، امروزه بیش از گذشته نیازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای تولیده شده را دارند. به عبارت دیگر تفکرات منطقهای و محلی حاکم بر فعالیتهای تجاری جای خود را به تفکرات جهانی و سراسری دادهاند. امروزه با سازمانهای زیادی برخورد مینمائیم که در سطح یک کشور دارای دفاتر فعال و حتی درسطح دنیا دارای دفاتر متفاوتی میباشند. تمام سازمانهای فوق قبل از هر چیز بهدنبال یک اصل بسیار مهم میباشند: یک روش سریع، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا اکثر سازمانها و موسسات بمنظور ایجاد یک شبکه WAN از خطوط اختصاصی استفاده مینمایند. خطوط فوق دارای انواع متفاوتی میباشند. ISDN (با سرعت ۱۲۸کیلوبیت در ثانیه)، ( OC3 Optical Carrier-۳) (با سرعت ۱۵۵ مگابیت در ثانیه) دامنه وسیع خطوط اختصاصی را نشان میدهد. یک شبکه WAN دارای مزایای عمدهای نسبت به یک شبکه عمومی نظیر اینترنت از بعد امنیت و کارآئی است. پشتیانی و نگهداری یک شبکه WAN در عمل و زمانیکه از خطوط اختصاصی استفاده میگردد، مستلزم صرف هزینه بالائی است. همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکههای اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملااختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده،قادر به ورود به شبکه و استفاده از منابع موجود می باشند.اخیراً، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید(کارمندان از راه دور،ادارات از راه دور)،اقدام به ایجاد شبکههای اختصاصی مجازی VPN)) نموده اند. یک VPN،شبکهای اختصاصی بوده که از یک شبکه عمومی(عمومااینترنت)،برای ارتباط با سایت های از راه دور و ارتباط کاربران بایکدیگر، استفاده می نماید. این نوع شبکهها در عوض استفاده از خطوط واقعی نظیر:خطوط Leased،از یک ارتباط مجازی بکمک اینترنت برای شبکه اختصاصی بمنظورارتباط به سایت ها استفاده میکند. شبکههای رایانهای به شکل گستردهای در سازمانهاوشرکتهای اداری و تجاری مورد استفاده قرار میگیرند.اگر یک شرکت از نظر جغرافیایی و در فضای کوچک متمرکز باشد، ارتباطات بین بخشهای مختلف آنرا میتوان با یک شبکهی محلی برقرار کرد. اما برای یک شرکت بزرگ که دارای فضای گسترده جغرافیایی وشعب مختلف در نقاط مختلف یک کشور و یا در نقاط مختلف دنیا است واین بخشها یا شعب نیاز دارند که با هم ارتباطاتِ اطلاعاتیِ امن داشته باشند، بایستی یک شبکهی گستردهی خصوصی بین نقاط آن ایجاد گردد.شبکههای اینترانت که فقط محدود به یک سازمان یا یک شرکت میباشند،به دلیل محدودیتهای گسترشی نمیتوانند چندین سازمان یا شرکت را تحت پوشش قرار دهند.شبکههای گسترده نیز که با خطوط استیجاری راهاندازی میشوند، در واقع شبکههای گستردهی امنی هستند که بین مراکز سازمانهاایجاد میشوند. پیادهسازی این شبکهها علیرغم درصد پایین بهرهوری، نیاز به هزینه زیادی دارد.زیرا،این شبکهها به دلیل عدم اشتراک منابع با دیگران،هزینه مواقع عدم استفاده از منابع را نیز بایستی پرداخت کنند. راهحل غلبه بر این مشکلات،راهاندازی یک VPNاست. فرستادن حجم زیادی ازداده از یک کامپیوتر به کامپیوتر دیگر مثلاً در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کاراز طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است.استفاده از FTP هم به سرویس دهنده مربوطه وهمچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلا قابل اطمینان نیست. یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود.از این گذشته،هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.دراین حالت،کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به این ترتیب بسیاری از راههای خرابکاری برای نفوذ کنندگان بسته می شود. شبکه های شخصی مجازی یا VPNهااینگونه مشکلات را حل میکند.VPN به کمک رمز گذاری روی دادهها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود. مدیران شبکه ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند که این امردر موسسه رازی انجام پذیرفته است .اگر چه نفوذ کنندگان می توانند به کمک برنامه های Packet snifter جریان داده هارادنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند. ۳-عناصر تشکیل دهنده یک VPN دو نوع عمده شبکههای VPNوجود دارد: ● دستیابی از راه دور به این نوع از شبکهها VPDN)Virtual private dial-up network)،نیز گفته میشود.در شبکههای فوق از مدل ارتباطی User to LAN (ارتباط کاربر به یک شبکه محلی) استفاده میگردد.سازمانهائی که از مدل فوق استفاده می نمایند،بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل (عموماکاربران از راه دور و در هر مکانی میتوانند حضور داشته باشند) به شبکه سازمان میباشند. سازمانهائی که تمایل به برپاسازی یک شبکه بزرگ"دستیابی از راه دور میباشند،می بایست از امکانات یک مرکز ارائه دهنده خدمات اینترنت جهان ESP استفاده نمایند. سرویس دهنده ESP، بمنظور نصب و پیکربندی VPN،یک NASرا پیکربندی و نرم افزاری را در اختیار کاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط قادر به دستیابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبکه سازمان خود خواهند بود. ● سایت به سایت درمدل فوق یک سازمان با توجه به سیاست های موجود،قادر به اتصال چندین سایت ثابت ازطریق یک شبکه عمومی نظیر اینترنت است.شبکههای VPN که از روش فوق استفاده می نمایند،دارای گونههای خاصی دراین زمینه میباشند: ▪ مبتنی براینترانت.در صورتیکه سازمانی دارای یک و یا بیش از یک محل(راه دور)بوده و تمایل به الحاق آنها در یک شبکه اختصاصی باشد،میتوان یک اینترانت VPNرابمنظوربرقرای ارتباط هر یک از شبکههای محلی بایکدیگرایجاد نمود. ▪ مبتنی بر اکسترانت .در مواردیکه سازمانی در تعامل اطلاعاتی بسیارنزدیک با سازمان دیگر باشد،می توان یک اکسترانت VPN را بمنظورارتباط شبکههای محلی هر یک از سازمانها ایجاد کرد.در چنین حالتی سازمانهای متعدد قادر به فعالیت در یک محیط اشتراکی خواهند بود. استفاده از VPN برای یک سازمان دارای مزایای متعددی نظیر:گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت،کاهش هزینههای عملیاتی در مقایسه با روش های سنتی WAN،کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبودبهره وری،توپولوژی آسان،...است.در یکه شبکه VPNبه عوامل متفاوتی نظیر:امنیت،اعتمادپذیری ،مدیریت شبکه و سیاست ها نیاز خواهد بود. ۴- شبکههای LANجزایراطلاعاتی فرض نمائید در جزیرهای دراقیانوسی بزرگ،زندگی می کنید.هزاران جزیره در اطراف جزیره شما وجود دارد.برخی از جزایر نزدیک و برخی دیگر دارای مسافت طولانی با جزیره شما میباشند.متداولترین روش بمنظور مسافرت به جزیره دیگر،استفاده از یک کشتی مسافربری است.مسافرت با کشتی مسافربری،بمنزله عدم وجود امنیت است .در این راستاهر کاری راکه شما انجام دهید،توسط سایر مسافرین قابل مشاهده خواهد بود.فرض کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی(LAN)واقیانوس مانند اینترنت باشند.مسافرت با یک کشتی مسافربری مشابه برقراری ارتباط با یک سرویس دهنده وب و یا سایر دستگاههای موجود دراینترنت است.شما دارای هیچگونه کنترلی بر روی کابل ها و روترهای موجوددراینترنت نمی باشید.(مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در کشتی).در صورتیکه تمایل به ارتباط بین دو شبکه اختصاصی از طریق منابع عمومی وجود داشته باشد،اولین مسئلهای که با چالش های جدی برخورد خواهد کرد،امنیت خواهد بود.فرض کنید،جزیره شما قصد ایجاد یک پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیرایجاد شده یک روش ایمن، ساده و مستقیم برای مسافرت ساکنین جزیره شما به جزیره دیگر را فراهم میآورد.همانطور که حدس زده اید،ایجاد و نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینههای بالائی خواهد بود.(حتی اگر جزایر در مجاورت یکدیگر باشند).با توجه به ضرورت و حساسیت مربوط به داشتن یک مسیر ایمن و مطمئن، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است.در صورتیکه جزیره شما قصد ایجاد یک پل ارتباطی با جزیره دیگر را داشته باشد که در مسافت بسیار طولانی نسبت به جزیره شما واقع است ، هزینههای مربوط بمراتب بیشتر خواهد بود.وضعیت فوق،نظیر استفاده از یک اختصاصی Leasedاست.ماهیت پل های ارتباطی (خطوط اختصاصی)ازاقیانوس(اینترنت)متفاوت بوده وکماکن قادر به ارتباط جزایر( شبکههای LAN)خواهند بود.سازمانها و موسسات متعددی از رویکرد فوق( استفاده از خطوط اختصاصی) استفاده می نمایند.مهمترین عامل در این زمینه وجودامنیت واطمینان برای برقراری ارتباط هر یک سازمانهای مورد نظر با یکدیگر است.در صورتیکه مسافت ادارات و یاشعب یک سازمان از یکدیگر بسیار دور باشد،هزینه مربوط به برقرای ارتباط نیز افزایش خواهدیافت. با توجه به مواردگفته شده،چه ضرورتی بمنظور استفاده از VPNوجود داشته و VPN تامین کننده،کدامیک از اهداف و خواستههای مورد نظراست؟با توجه به مقایسه انجام شده در مثال فرضی،می توان گفت که بااستفاده از VPN به هریک از ساکنین جزیره یک زیردریائی داده می شود.زیردریائی فوق دارای خصایص متفاوت نظیر: دارای سرعت بالااست. هدایت آن ساده است. قادر به استتار(مخفی نمودن) شماازسایر زیردریا ئیهاوکشتی هااست. قابل اعتماداست. پس از تامین اولین زیردریائی،افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود در مدل فوق،باوجود ترافیک در اقیانوس،هر یک از ساکنین دوجزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی میباشند.مثال فوق دقیقاًبیانگر تحوه عملکرد VPNاست.هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن بااستفاده از یک محیط انتقال عمومی( نظیراینترنت)باشبکه محلی(LAN)موجود در سازمان خود خواهندبود.توسعه یک VPN (افزایش تعداد کاربران از راه دورویاافزایش مکان های مورد نظر) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند.قابلیت توسعه فراگیراز مهمترین ویژگی های یک VPN نسبت به خطوط اختصاصی است. مثال فوق دقیقاًبیانگر تحوه عملکرد VPN است.هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن بااستفاده از یک محیط انتقال عمومی (نظیراینترنت)با شبکه محلی(LAN)موجوددرسازمان خود خواهند بود.توسعه یک VPN افزایش تعداد کاربران از راه دور و یا افزایش مکان های مورد نظر)بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند. قابلیت توسعه فراگیر از مهمترین ویژگی های یک VPN نسبت به خطوط اختصاصی است. با توجه به اینکه دریک شبکه VPN به عوامل متفاوتی نظیر:امنیت، اعتمادپذیری،مدیریت شبکه و سیاست ها نیاز خواهد بود.استفاده از VPNبرای یک سازمان دارای مزایای متعددی مانند: ● گسترش محدوه جغرافیائی ارتباطی ● بهبود وضعیت امنیت ● کاهش هزینه های عملیاتی در مقایسه با روش های سنتی نظیرWAN ● کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ● بهبود بهره وری ● توپولوژی آسان ،...است. VPNنسبت به شبکههای پیادهسازی شده با خطوط استیجاری،در پیادهسازی و استفاده،هزینه کمتری صرف میکند.اضافه وکم کردن گرههایاشبکههای محلی به VPN، به خاطرساختارآن،با هزینه کمتری امکانپذیر است.در صورت نیاز به تغییر همبندی شبکهی خصوصی،نیازی به راهاندازی مجدد فیزیکی شبکه نیست و به صورت نرمافزاری،همبندی شبکه قابل تغییراست. ۵- امنیت VPN شبکههای VPNبمنظور تامین امنیت (داده هاوارتباطات)از روش های متعددی استفاده می نمایند: ● فایروال. فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان واینترنت ایجاد می نماید. با استفاده از فایروال میتوان عملیات متفاوتی رادر جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال،ایجاد محدودیت در رابطه به پروتکل های خاص،ایجاد محدودیت در نوع بستههای اطلاعاتی و ...نمونه هائی از عملیاتی است که میتوان با استفاده از یک فایروال انجام داد.
رمزنگاری
فرآیندی است که بااستفاده ازآن کامپیوتر مبداءاطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید.سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده، دریافت کنندگان،قبل ازاستفاده ازاطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند.سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم میگردد: رمزنگاری کلید متقارن رمزنگاری کلید عمومی در رمز نگاری"کلید متقارن" هر یک از کامپیوترها دارای یک کلید Secret(کد) بوده که بااستفاده ازآن قادر به رمزنگاری یک بسته اطلاعاتی قبل ازارسال در شبکه برای کامپیوتر دیگر میباشند.در روش فوق می بایست درابتدا نسبت به کامپیوترهائی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند،آگاهی کامل وجود داشته باشد.هر یک از کامپیوترهای شرکت کننده در مبادله اطلاعاتی می بایست دارای کلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نیز از کلید فوق استفاده خواهد شد. فرض کنید قصد ارسال یک پیام رمز شده برای یکی از دوستان خود را داشته باشید. بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده میشود .در الگوریتم فوق هر حرف به دوحرف بعداز خود تبدیل میگردد.(حرف A به حرف C،حرف Bبه حرف D).پس از رمزنمودن پیام و ارسال آن،می بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام لرسال شده،هر حرف به دو حرق قبل از خود می باطست تبدیل گردد. در چنین حالتی می باطست به دوست امین خود، واقعیت فوق(کلید رمز) گفته شود.در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از کلید،آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود. در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده میشود.کلید خصوصی صرفاًبرای کامپیوتر شما(ارسال کننده)قابل شناسائی و استفاده است.کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگر که قصد ارتباط با آن را داشته باشند ، گذاشته میشود. بمنظور رمزگشائی یک پیام رمز شده،یک کامپیوتر می بایست با استفاده از کلید عمومی(ارائه شده توسط کامپیوتر ارسال کننده)،کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید.یکی از متداولترین ابزار"رمزنگاری کلید عمومی"روشی با نام PGP است.با استفاده از روش فوق میتوان اقدام به رمزنگاری اطلاعات دلخواه خودنمود. ● IPSec پروتکل IPsec، یکی از امکانات موجود برای ایجاد امنیت درارسال و دریافت اطلاعات میباشد.قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است.پروتکل فوق دارای دو روش رمزنگاری است: Tunnel ، Transport.در روش tunel، هدر و Payload رمز شده درحالیکه در روش transport صرفاً payload رمز میگردد.پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است: روتر به روتر فایروال به روتر کامپیوتر به روتر کامپیوتر به سرویس دهنده ● سرویس دهنده AAA سرویس دهندگانAAA بمنظور ایجادامنیت بالا در محیط های VPN از نوع "دستیابی از راه دور " استفاده میگردند. زمانیکه کاربران با استفاده از خط تلفن به سیستم متصل میگردند،سرویس دهنده AAAدرخواست آنها را اخذ و عمایات زیر را انجام خواهد داد: شما چه کسی هستید؟(تایید،Authentication) شما مجاز به انجام چه کاری هستید؟( مجوز،Authorization) چه کارهائی را انجام داده اید؟(حسابداری،Accounting) ۶- تکنولوژی های VPN با توجه به نوع VPN("دستیابی از راه دور"و یا"سایت به سایت")،بمنظور ایجاد شبکه از عناصر خاصی استفاده میگردد: نرم افزارهای مربوط به کاربران از راه دور سخت افزارهای اختصاصی نظیر یک "کانکتور VPN" و یا یک فایروال PIX سرویس دهنده اختصاصی VPN بمنظور سرویُس های Dial-up سرویس دهنده NAS که توسط مرکز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع "دستیابی از را دور"استفاده میشود. ۷- شبکه VPNومرکز مدیریت سیاست ها با توجه به اینکه تاکنون یک استاندارد قابل قبول و عمومی بمنظورایجادشVPN ایجاد نشده است،شرکت های متعدد هر یک اقدام به تولید محصولات اختصاصی خود نموده اند. - کانکتور VPN.سخت افزار فوق توسط شرکت سیسکو طراحی و عرضه شده است. کانکتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه شده است.در برخی از نمونههای دستگاه فوق امکان فعالیت همزمان ۱۰۰ کاربر از راه دور و در برخی نمونههای دیگر تا ۱۰٫۰۰۰ کاربر از راه دور قادر به اتصال به شبکه خواهند بود. - روتر مختص VPN.روتر فوق توسط شرکت سیسکو ارائه شده است.این روتر دارای قابلیت های متعدد بمنظور استفاده در محیط های گوناگون است.در طراحی روتر فوق شبکههای VPN نیز مورد توجه قرار گرفته و امکانات مربوط در آن بگونهای بهینه سازی شده اند.
- فایروال PIX .فایروال قابلیت هائی نظیر NAT ،سرویس دهنده Proxy،فیلتر نمودن بستهای اطلاعاتی،فایروال و VPN را در یک سخت افزار فراهم نموده است. ۸-اصولVPN فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلاً در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کاراز طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است. استفاده از FTPهم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلاً قابل اطمینان نیست. یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود.از این گذشته،هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند میتوان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.در این حالت ،کاربران میتوانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به این ترتیب بسیاری از راههای خرابکاری برای نفوذ کنندگان بسته میشود. شبکههای شخصی مجاری یاVPN ها اینگونه مشکلات را حل میکند.VPN به کمک رمز گذاری روی دادهها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد میتواند به این شبکه وارد شود.مدیران شبکهای که بیش از اندازه وسواس داشته و محتاط هستند میتوانند VPN را حتی روی شبکه محلی هم پیاده کنند.اگر چه نفوذ کنندگان میتوانند به کمک برنامههای Packet sniffer جریان دادهها را دنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند. VPN دو کامپیوتر یا دو شبکه را به کمک یک شبکه دیگر که به عنوان مسیر انتقال به کار می گیرد به هم متصل میکند.برای نمونه میتوان دو کامپیوتر یکی در تهران و دیگری در مشهد که در فضای اینترنت به یک شبکه وصل شده اند اشاره کرد.VPN از نگاه کاربر کاملاً مانند یک شبکه محلی به نظر می رسد.برای پیاده سازی چنین چیزی ، VPN به هر کاربر یک ارتباط IPمجازی میدهد. دادههایی که روی این ارتباط آمدوشددارندرا سرویس گیرنده نخست به رمز در آورده و در قالب بستهها بسته بندی کرده و به سوی سرویس دهندهVPN می فرستد.اگر بستر این انتقال اینترنت باشد بستهها همان بستههای IP خواهند بود. سرویس گیرنده VPN بسته هارا پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام میدهد.روشی که شرح داده شد را اغلب Tunneling یا تونل زنی می نامند چون دادهها برای رسیدن به کامپیوتر مقصد از چیزی مانند تونل می گذرند . برای پیاده سازی VPNراههای گوناگونی وجود دارد که پر کاربرد ترین آنها عبارتنداز: Point to point Tunneling protocol یا PPTP که برای انتقال NetBEUI روی یک شبکه بر پایه IP مناسب است. L2TP که برای انتقالIP ، IPX یا NetBEUI روی هر رسانه دلخواه که توان انتقال Datagram های نقطه به نقطه Point to point را داشته باشد مناسب است. برای نمونه میتوان ب IP ، X.۲۵ ، Frame Relay یا ATM اشاره کرد. IP Security protocol یا Ipsec که برای انتقال دادههای IP روی یک شبکه بر پایه IP مناسب است. ۹- (تونل سازی) اکثر شبکههای VPN بمنظورایجاد یک شبکه اختصاصی با قابلیت دستیابی از طریق اینترنت ازامکان" Tunneling "استفاده می نمایند. در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته واز طریق شبکه ارسال خواهد شد.پروتکل مربوط به بسته اطلاعاتی خارجی(پوسته)توسط شبکه و دو نفطه(ورودو خروج بسته اطلاعاتی)قابل فهم میباشد.دو نقظه فوق را"اینترفیس های تونل"می گویند. روش فوق مستلزماستفاده از سه پروتکل است: پروتکل حمل کننده.ازپروتکل فوق شبکه حامل اطلاعات استفاده می نماید. پروتکل کپسوله سازی.از پروتکل هائی نظیر:IPSec,L2F,PPTP,L2TP,GRE استفاده میگردد. پروتکل مسافر.از پروتکل هائی نظیر IPX,IP,NetBeuiبمنظورانتقال دادههای اولیه استفاده میشود. با استفاده از روش Tunnelingمی توان عملیات جالبی را انجام داد. مثلاً میتوان از بستهای اطلاعاتی که پروتکل اینترنت را حمایت نمیکند(نظیر NetBeui)درون یک بسته اطلاعاتی IP استفاده وآن را از طریق اینترنت ارسال نمود و یا میتوان یک بسته اطلاعاتی را که از یک آدرس IP غیر قابل روت(اختصاصی)استفاده می نماید ،درون یک بسته اطلاعاتی که از آدرس های معتبر IPاستفاده میکند،مستقر وازطریق اینترنت ارسال نمود. در شبکههای VPNاز نوع "سایت به سایت "،GRE)generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده میگردد. فرآیند فوق نحوه استقرار و بسته بندی "پروتکل مسافر" از طریق پروتکل" حمل کننده" برای انتقال را تبین می نماید.(پروتکل حمل کننده،عموما" IPاست).فرآیند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بین سرویس گیرنده و سرویس دهنده است.در برخی موارد از پروتکل IPSec(در حالت tunnel) برای کپسوله سازی استفاده میگردد.پروتکل IPSec، قابل استفاده در دو نوع شبکه VPN(سایت به یایت و دستیابی از راه دور) است.اینترفیش های Tunnel می بایست دارای امکانات حمایتی از IPSec باشند. در شبکههای VPN از نوع"دستیابی از راه دور"، Tunneling با استفاده از PPP انجام می گیرد.PPP به عنوان حمل کننده سایر پروتکل های IP در زمان برقراری ارتباط بین یک سیستم میزبان و یک سیستم ازه دور،مورد استفاده قرار می گیرد. هر یک از پروتکل های زیر با استفاده از ساختار اولیه PPPایجادوتوسط شبکههای VPNاز نوع"دستیابی از راه دور "استفاده می گردند: ۱۰- پروتکل های درون تونل Tunnelingرا میتوان روی دو لایه از لایههای OSI پیاده کرد. PPTP و L2TP از لایه ۲ یعنی پیوند داده استفاده کرده و دادهها را در قالب Frame های پروتکل نقطه به نقطه (PPP) بسته بندی میکنند. دراین حالت میتوان از ویژگی های PPP همچون تعیین اعتبار کاربر ، تخصیص آدرس پویا (مانند DHCP) ،فشرده سازی دادهها یا رمز گذاری دادهها بهره برد. با توجه به اهمیت ایمنی انتقال دادهها درVPN،دراین میان تعیین اعتبار کاربر نقش بسیار مهمی دارد.برای این کار معمولاً از CHAP استفاده میشود که مشخصات کاربر را در این حالت رمز گذاری شده جابه جا میکند.Call back هم دسترسی به سطح بعدی ایمنی را ممکن می سازد.در این روش پس از تعیین اعتبار موفقیت آمیز،ارتباط قطع میشود.سپس سرویس دهنده برای برقرار کردن ارتباط جهت انتقال دادهها شماره گیری میکند.هنگام انتقال داده ها،Packet های IP ، IP X یا NetBEUI در قالب Frame های PPP بسته بندی شده و فرستاده میشوند.PPTP هم Frame های PPP را پیش از ارسال روی شبکه بر پایه IP به سوی کامپیوتر مقصد،در قالب Packet های IP بسته بندی میکند. این پروتکل در سال ۱۹۹۶ از سوی شرکت هایی چون مایکرو سافت، Ascend ، ۳ com و Robotics US پایه گذاری شد.محدودیت PPTP در کار تنها روی شبکههای IP باعث ظهور ایدهای در سال ۱۹۹۸ شد.L2TP روی X.۲۵ ،Frame Relay یا ATM هم کار میکند . برتری L2TP در برابر PPTP این است که به طور مستقیم روی رسانههای گوناگون WAN قابل انتقال است . ۲F)Layer 2 Forwarding) پروتکل فوق توسط سیسکو ایجاد شده است . در پروتکل فوق از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ،استفاده شد ه است . PPTP)Point-to-Point Tunneling Protocol). پروتکل فوق توسط کنسرسیومی متشکل از شرکت های متفاوت ایجاد شده است .این پروتکل امکان رمزنگاری ۴۰ بیتی و ۱۲۸ بیتی را دارا بوده و از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند،استفاده می نماید . ۲TP)Layer 2 Tunneling Protocol) پروتکل فوق با همکاری چندین شرکت ایجاد شده است .پروتکل فوق از ویژگی های PPTP و L2F استفاده کرده است . پروتکل L2TP بصورت کامل IPSec را حمایت میکند. از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده میگردد: سرویس گیرنده و روتر NAS و روتر روتر و روتر عملکرد Tunnelingمشابه حمل یک کامپیوتر توسط یک کامیون است . فروشنده ، پس از بسته بندی کامپیوتر(پروتکل مسافر)درون یک جعبه(پروتکل کپسوله سازی) آن را توسط یک کامیون(پروتکل حمل کننده)ازانبار خود(ایترفیس ورودی تونل ) برای متقاضی ارسال میدارد.کامیون(پروتکل حمل کننده)از طریق بزرگراه(اینترنت) مسیر خودرا طی،تا به منزل شما(اینترفیش خروجی تونل)برسد.شما در منزل جعبه( پروتکل کپسول سازی)را بازوکامپیوتر(پروتکل مسافر)راازآن خارج می نمائید VPN-Ipsec فقط برای اینترنت Ipsec برخلافPPTP و L2TPروی لایه شبکه یعنی لایه سوم کار میکند.این پروتکل دادههایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می فرستد. کامپیوتری که در آن سو قرار دارد IP Headerرا جدا کرده،دادهها را رمز گشایی کرده و آن را به کامپیوتر مقصد می فرستد .Ipsec را میتوان با دو شیوه Tunneling پیکر بندی کرد.در این شیوه انتخاب اختیاری تونل،سرویس گیرنده نخست یک ارتباط معمولی با اینترنت برقرار میکند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده میکند . برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل تونل نصب شده باشد.معمولاً کاربر اینترنت است که به اینترنت وصل میشود.اما کامپیوترهای درون LAN هم می توانند یک ارتباط VPN برقرا کنند.از آنجا که ارتباط IPاز پیش موجود است تنها برقرار کردن ارتباط VPN کافی است.در شیوه تونل اجباری ،سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار به عهده فراهم ساز است.سرویس گیرنده تنها باید به ISP وصل شود.تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد.البته برای این کار باید همانگی های لازم با ISPانجام بگیرد.ٍ ۱۱- ویژگی های امنیتی در IPsec Ipsec از طریق AHمطمئن میشود که Packet های دریافتی از سوی فرستنده واقعیو نه از سوی یک نفوذ کننده که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده.AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay جلوگیری کند.اما AH رمز گذاری نمیشود.رمز گذاری از طریق Encapsulation Security Header یا ESH انجام میگیرد.در این شیوه دادههای اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال میکند. ESH همچنین کارکرد هایی برای تعیین اعتبار و خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست .برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IETF برای حفظ سازگاری میان محصولات مختلف، الگوریتم های اجباری برای پیاده سازی Ipsec تدارک دیده.برای نمونه میتوان به MD۵،DES یا Secure Hash Algorithm اشاره کرد.مهمترین استانداردها و روش هایی که در Ipsec به کار میروند عبارتنداز: • Diffie-Hellman برای مبادله کلید ها میان ایستگاههای دو سر ارتباط. • رمز گذاری Public Key برای ثبت و اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاههای سهیم در ارتباط. • الگوریتم های رمز گذاری مانند DES برای اطمینان از درستی دادههای انتقالی. • الگوریتم های درهم ریزی ( Hash) برای تعیین اعتبار تک تک Packet ها. • امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی. ۴٫۱.۵ - Ipsec بدون تونل Ipsec در مقایسه با دیگر روش ها یک برتری دیگر هم دارد و آن اینست که میتواند همچون یک پروتکل انتقال معمولی به کار برود. در این حالت برخلاف حالت Tunneling همه IP packet رمز گذاری و دوباره بسته بندی نمیشود.بجای آن، تنها دادههای اصلی رمزگذاری میشوند و Header همراه با آدرس های فرستنده و گیرنده باقی می ماند.این باعث میشود که دادههای سرباز ( Overhead ) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود . اما روشن است که در این وضعیت ، خرابکاران میتوانند به مبدا و مقصد دادهها پی ببرند . از آنجا که در مدل OSI دادهها از لایه ۳ به بالا رمز گذاری میشوند خرابکاران متوجه نمیشوند که این دادهها به ارتباط با سرویس دهنده Mail مربوط میشود یا به چیز دیگر. ۱۲- جریان یک ارتباط Ipsec بیش از آن که دو کامپیوتر بتواننداز طریق Ipsec دادهها را میان خود جابجا کنند باید یکسری کارها انجام شود. • نخست باید ایمنی برقرار شود.برای این منظور ، کامپیوترها برای یکدیگر مشخص میکنند که آیا رمز گذاری،تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه. • سپس الگوریتم را مشخص میکنند،مثلاً DEC برای رمزگذاری و MD۵ برای خطایابی. • در گام بعدی ،کلیدها را میان خود مبادله میکنند. Ipsec برای حفظ ایمنی ارتباط از SA استفاده میکند. SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص میکند.SA ها از سوی SPI شناسایی میشوند.SPI از یک عدد تصادفی و آدرس مقصد تشکیل میشود.این به آن معنی است که همواره میان دو کامپیوتر دو SPI وجود دارد: یکی برای ارتباط A و B و یکی برای ارتباط B به A .اگر یکی از کامپیوترها بخواهد در حالت محافظت شده دادهها را منتقل کند نخست شیوه رمز گذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی دادهها اعمال میکند.سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد. ۱۲- مدیریت کلیدهای رمز در Ipsec اگر چه Ipsec فرض را بر این می گذارد که توافقی برای ایمنی دادهها وجود دارد اما خودش برای ایجاد این توافق نمیتواند کاری انجام بدهد . Ipsec در این کار به IKE تکیه میکند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند.در حال حاضر برای این کار از راههای زیر استفاده میشود: • Pre shared keys : روی هر دو کامپیوتر یک کلید نصب میشود که IKE از روی آن یک عدد Hash ساخته و آن را به سوی کامپیوتر مقصد می فرستد . اگر هر دو کامپیوتر بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام میگیرد • رمز گذاری Public Key:هر کامپیوتر یک عدد تصادفی ساخته و پس از رمز گذاری آن با کلید عمومی کامپیوتر مقابل ،آن را به کامپیوتر مقابل می فرستد .اگر کامپیوتر مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده و باز پس بفرستد برا ی ارتباط مجاز است.در حال حاضر تنها از روش RSA برای این کار پیشنهاد میشود. • امضاء دیجیتال :در این شیوه،هر کامپیوتر یک رشته داده را علامت گذاری( امضاء ) کرده و به کامپیوتر مقصد می فرستد.در حال حاضر برای این کار از روش های RSA و DSS استفاده میشود . برای امنیت بخشیدن به تبادل دادهها باید هر دو سر ارتبا طنخست بر سر یک یک کلید به توافق میرسند که برای تبادل دادهها به کار میرود . برا ی این منظور میتوان همان کلید به دست آمده از طریق Diffie Hellman را به کاربرد که سریع تر است یا یک کلید دیگر ساخت که مطمئن تر است . ۱۳- پیاهسازی VPN برای راهاندازی یک سرور VPN میبایست دو کارت شبکه نصب شده بر روی سیستم داشته باشید . از یک کارت شبکه برای ارتباط با اینترنت و از کارت دیگر جهت برقراری ارتباط با شبکه محلی استفاده میشود. در اینجا بر روی هر کارت بهطور ثابت IP قرار داده شده اما میتوان این IPها را به صورت پویا بر روی کارتهای شبکه قرار داد . در پنجره بعد نحوه آدرسدهی به سیستم راه دوری که قصد اتصال به سرور ما را دارد پرسیده میشود.هر ایستگاه کاری می تواند یک آدرس IP برای کار در شبکه محلی و یک IP برای اتصال VPN داشته باشد .در منوی بعد نحوه بازرسی کاربران پرسیده میشود که این بازرسی می تواند از روی کاربران تعریف شده در روی خود ویندوز باشد و یا آنکه از طریق یک سرویس دهنده RADIUS صورت گیرد در صورت داشتن چندین سرور VPN استفاده از RADIUS را به شما پیشنهاد میکنیم . با این روش کاربران ، بین تمام سرورهای VPN به اشتراک گذاشته شده و نیازی به تعریف کاربران در تمامی سرورها نمیباشد. پروتکلهای استفاده شونده عملیاتی که در بالا انجام گرفت تنها پیکربندیهای لازم جهت راهاندازی یک سرور VPN میباشد. اما RRASدارای دو پروتکل جهت برقراری تونل ارتباطی VPN میباشد. سادهترین پروتکل آنPPTPl)است،این پروتکل برگرفته از PPP است که در سرویسهای Dialup مورد استفاده واقع میشود،در واقع PPTP همانند PPP عمل میکند. پروتکل PPTP در بسیاری از موارد کافی و مناسب است ، به کمک این پروتکل کاربران میتوانند به روشهای PAP و Chap Protocol بازرسی شوند.جهت کد کردن اطلاعات میتوان از روش کد سازی RSAاستفاده نمود. PPTP برای کاربردهای خانگی و دفاتروافرادی که در امر شبکه حرفهای نیستند مناسب است اما در جایگاه امنیتی دارای پایداری زیادی نیست.پروتکل دیگری به نام(۲TP(Layer2 Forwardingبه وسیله شرکت CISCO ارائه شده که به لحاظ امنیتی بسیار قدرتمندتراست. این پروتکل بااستفاده از پروتکل انتقال اطلاعات UDP بهجای استفاده از TCP به مزایای زیادی دست یافته است.این روش باعث بهینه و ملموستر شدن برای دیوارههای آتش شده است ،اما باز هم این پروتکل در واقع چیزی جز یک کانال ارتباطی نیست.جهت حل این مشکل و هر چه بالاتر رفتن ضریب امنیتی در VPN شرکت مایکروسافت پروتکل دیگری را به نام (IPSec (IP Security مطرح نموده که پیکربندی VPN با آن کمی دچار پیچیدگی میگردد. اما در صورتی که پروتکل PPTPراانتخاب کردهاید و با این پروتکل راحت تر هستید تنها کاری که باید در روی سرور انجام دهید فعال کردن قابلیت دسترسی Dial in میباشد.این کار را میتوانید با کلیک بر روی Remote Access Polices در RRAS انجام دهید و با تغییر سیاست کاری آن ، آن را راهاندازی کنید (به طور کلی پیشفرض سیاست کاری ، رد کلیه درخواستها میباشد). ۱۴-دسترسی ایستگاه کاری از طریق VPN حالا که سرورVPNآماده سرویسدهی شده،برای استفاده از آن باید بر روی ایستگاه کاری نیز پیکربندیهایی راانجام دهیم.سیستم عاملی که ما در اینجا استفاده میکنیم ویندوز XP میباشدوروش پیادهسازی VPN را بر روی آن خواهیم گفت اما انجام این کار بر روی ویندوز ۲۰۰۰ نیز به همین شکل صورت میگیرد.بر روی ویندوزهای ۹۸ نیز میتوان ارتباط VPN را برقرار نمود،اما روش کار کمی متفاوت است و برای انجام آن بهتر است به آدرس زیر مراجعه کنید: www.support.microsot.com بر روی ویندوزهایXP،یک نرمافزار جهت اتصال به VPN برای هر دو پروتکل PPTP و L2TP وجود دارد.در صورت انتخاب هر کدام،نحوه پیکربندی با پروتکل دیگر تفاوتی ندارد.راهاندازی VPN کار بسیار سادهای است،کافیست که بر روی Network Connection کلیک نموده وازآن اتصال به شبکه خصوصی از طریق اینترنت (Private Network Through Internet)راانتخاب کنید. در انجام مرحله بالا از شما یک اسم پرسیده میشود.در همین مرحله خواسته میشود که برای اتصال به اینترنت یک ارتباط تلفنی(Dialup)تعریف نمایید،پس از انجام این مرحله نام و یا آدرس سرور VPN پرسیده میشود. مراحل بالا تنها مراحلی است که نیاز برای پیکربندی یک ارتباط VPN بر روی ایستگاههای کاری میباشد . کلیه عملیات لازمه برای VPN به صورت خودکار انجام میگیرد و نیازی به انجام هیچ عملی نیست . برای برقراری ارتباط کافیست که بر روی آیکونی که بر روی میز کاری ایجاد شده دو بار کلیک کنید پس از وارد کردن کد کاربری و کلمه عبور چندین پیام را مشاهده خواهید کرد که نشاندهنده روند انجام برقراری ارتباط VPN است. اگر همه چیز به خوبی پیش رفته باشد میتوانید به منابع موجود بر روی سرور VPNدسترسی پیدا کنید این دسترسی مانند آن است که بر روی خود سرور قرار گرفته باشید.
۱۵-ارتباط سایت به سایت (Site-to-Site VPN) در صورتی که بخواهید دو شبکه را از طریق یک سرور VPN دومی به یکدیگر وصل کنید علاوه بر مراحل بالا باید چند کار اضافهتر دیگری را نیز انجام دهید . جزئیات کار به پروتکلی که مورد استفاده قرار میگیرد.جهت این کار باید سرور را در پنجره RRAS انتخاب کرده و منوی خاص (Properties)آن را بیاورید . در قسمت General مطمئن شوید که گزینههای LANو Demand Dial انتخاب شده باشند (به طور پیش گزیده انتخاب شده هستند). همچنین اطمینان حاصل کنید که پروتکل را که قصد روت(Route)کردن آن را دارید فعال است. پس از مراحل بالا نیاز به ایجاد یک Demand Dial دارید ،این کار را میتوانید با یک کلیک راست بر روی واسط روت (Routing Interface)انجام دهید. در پنجره بعدی که ظاهر میشود باید برای این ارتباط VPN خود یک نام تعیین کنیداین نام باید همان اسمی باشد که در طرف دیگر کاربران با آن به اینترنت متصل میشوند در صورتی که این مطلب را رعایت نکنید ارتباط VPN شما برقرار نخواهد شد . پس از این مرحله باید آدرس IPویا نام دامنه آن را مشخص کنیدو پس از آن نوع پروتکل ارتباطی را تعیین نمود. اما مرحله نهایی تعریف یک مسیر (Route) بر روی سرور دیگر میباشد بدین منظور بر روی آن سروردر قسمت RRAS ، Demand Dial را انتخاب کنید و آدرس IP و سابنت را در آن وارد کنید و مطمئن شوید که قسمت Use This to Initate Demand انتخاب شده باشد.پس از انجام مرحله بالا کار راهاندازی این نوع VPN به پایان میرسد.
نتیجه گیری
تبادل دادهها روی اینرنت چندان ایمن نیست.تقریباًهر کسی که در جای مناسب قرار داشته باشد میتواند جریان دادهها را زیر نظر گرفته و از آنها سوء استفاده کند.شبکههای شخصی مجازی یا VPN ها کار نفوذ را برا ی خرابکاران خیلی سخت میکند.
VPN در ایران
اگرچه VPN کاربردهای بسیاری در ایران دارد، به تازگی و به صورت گسترده از VPN به عنوان فیلترشکن استفاده میشود به طوری که تعداد زیادی از شرکتهای ایرانی اقدام به فروش آن کردهاند و افراد بسیاری از VPN به این منظور استفاده میکنند.
پانویس
- ↑ Electronic Commerce, Efraim Turabn, ۴۸۲
je lekkere zus:D je weet tog
دانشگاه آزاد اسلامی واحد گرمسار- مهندس نیکجو- ساناز امانی ارجستان دانشجوی مهندسی نرم افزار کامپیوتر
منابع
- Efraim Turban [et al] (۲۰۰۶)، Electronic Commerce ۲۰۰۶: A Managerial Perspective، Pearson Prentice Hall، شابک ISBN ۰-۱۳-۱۸۵۴۶۱-۵ مقدار
|شابک=
را بررسی کنید: invalid character (کمک)
WWW.Windowsecurity.com WWW.IEEE.com WWW.omg.com http://harkat.com/news/detail.asp?id=246 http://en.wikipedia.org/wiki/Virtual_Private_Network_%28VPN%29 http://vpn.shmoo.com/ http://www.vpnc.org/ http://tools.ietf.org/html/rfc2764 http://www.ircert.com/ARTICLES/IntroductionToVPN.htm http://www.ircert.com/ARTICLES/IntroductionToIPSec.htm http://www.ircert.com/ARTICLES/IntroductionToVPN.htm