شبکه خصوصی مجازی: تفاوت میان نسخه‌ها

محتوای حذف‌شده محتوای افزوده‌شده

درخط

نسخهٔ ‏۴ ژانویهٔ ۲۰۱۰، ساعت ۱۶:۵۹

شبکهٔ خصوصی مجازی (به انگلیسی: Virtual Private Network) (مخفف VPN)، شبکه‌ای است که اطلاعات در آن از طریق یک شبکه عمومی مانند اینترنت جابه‌جا می‌شود اما در عین حال با استفاده از الگوریتم‌های رمزنگاری و با تصدیق هویت (Authentication)، این ارتباط هم‌چنان اختصاصی باقی می‌ماند. ^[۱]

شبکهٔ خصوصی مجازی به طور عمده برای ایجاد ارتباط بین شعبه‌های مختلف شرکت‌ها و یا فعالیت از راه دور مورد استفاده قرار می‌گیرد.

چکیده

همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه اختصاصی خود را به درستی احساس کردند.درابتداشبکه‌های اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملاً اختصاصی بوده وکارمندان یک سازمان بااستفاده از رمز عبور تعریف شده،قادر به ورود به شبکه واستفاده از منابع موجودمی باشند.ولی اخیراً،موسسات و سازمانها با توجه به مطرح شدن خواسته‌های جدید(کارمندان از راه دور، ادارات از راه دور)اقدام به ایجادشبکه‌های اختصاصی مجازیVirtual Private Networkنموده یک VPN شبکه‌ای اختصاصی بوده که ازاینترنت برای ارتباط با سایت های از راه دور وارتباط کاربران با می نماید.این نوع شبکه‌ها بجای استفاده از خطوط واقعی نظیر خطوط Leasedاز یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند .

مقدمه

امنیت VPN شبکه‌های VPN بمنظورامنیت داده هاوارتباطات از روش های متعددی استفاده می نمایند:

فایروال
رمزنگاری
IPSec
سرویس دهنده AAA

اصول VPN

فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلا در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است. انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است.

استفاده از FTP هم به سرویس‌دهنده مربوطه و همچنین ذخیره‌سازی موقت روی فضای اینترنت نیاز دارد که اصلاً قابل اطمینان نیست.

یکی ازراه حل‌های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم، پیکر بندی کامپیوتر به عنوان سرویس‌دهنده RAS لازم خواهد بود. از این گذشته، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است. اما اگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می‌توان از طریق سرویس به اشتراک‌گذاری فایل در ویندوز بسادگی فایل‌ها را رد و بدل کرد. در این حالت، کاربران می‌توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند. به این ترتیب بسیاری از راه‌های خرابکاری برای نفوذکنندگان بسته می‌شود.

شبکه‌های شخصی مجازی یا VPNها اینگونه مشکلات را حل می‌کند. VPN به کمک رمزگذاری روی داده‌ها،درون یک شبکه کوچک می‌سازد و تنها کسی که آدرس‌های لازم و رمز عبور را در اختیار داشته باشد می‌تواند به این شبکه وارد شود. مدیران شبکه‌ای که بیش از اندازه وسواس داشته و محتاط هستند می‌توانند VPN را حتی روی شبکه محلی هم پیاده کنند. اگر چه نفوذ کنندگان می‌توانند به کمک برنامه‌های Packet sniffer جریان داده‌ها را دنبال کنند اما بدون داشتن کلید رمز نمی‌توانند آنها را بخوانند.

شبکه VPN چیست؟

درطی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است. اغلب سازمانها و موسسات ارائه دهنده کالا و خدمات که در گذشته بسیار محدود و منطقه‌ای مسائل رادنبال و در صدد ارائه راهکارهای مربوطه بودند، امروزه بیش از گذشته نیازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای تولیده شده را دارند. به عبارت دیگر تفکرات منطقه‌ای و محلی حاکم بر فعالیت‌های تجاری جای خود را به تفکرات جهانی و سراسری داده‌اند. امروزه با سازمان‌های زیادی برخورد می‌نمائیم که در سطح یک کشور دارای دفاتر فعال و حتی درسطح دنیا دارای دفاتر متفاوتی می‌باشند. تمام سازمان‌های فوق قبل از هر چیز به‌دنبال یک اصل بسیار مهم می‌باشند: یک روش سریع، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا اکثر سازمانها و موسسات بمنظور ایجاد یک شبکه WAN از خطوط اختصاصی استفاده می‌نمایند. خطوط فوق دارای انواع متفاوتی می‌باشند. ISDN (با سرعت ۱۲۸کیلوبیت در ثانیه)، ( OC3 Optical Carrier-۳) (با سرعت ۱۵۵ مگابیت در ثانیه) دامنه وسیع خطوط اختصاصی را نشان می‌دهد. یک شبکه WAN دارای مزایای عمده‌ای نسبت به یک شبکه عمومی نظیر اینترنت از بعد امنیت و کارآئی است. پشتیانی و نگهداری یک شبکه WAN در عمل و زمانی‌که از خطوط اختصاصی استفاده می‌گردد، مستلزم صرف هزینه بالائی است. همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکه‌های اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملااختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده،قادر به ورود به شبکه و استفاده از منابع موجود می باشند.اخیراً، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته‌های جدید(کارمندان از راه دور،ادارات از راه دور)،اقدام به ایجاد شبکه‌های اختصاصی مجازی VPN)) نموده اند. یک VPN،شبکه‌ای اختصاصی بوده که از یک شبکه عمومی(عمومااینترنت)،برای ارتباط با سایت های از راه دور و ارتباط کاربران بایکدیگر، استفاده می نماید. این نوع شبکه‌ها در عوض استفاده از خطوط واقعی نظیر:خطوط Leased،از یک ارتباط مجازی بکمک اینترنت برای شبکه اختصاصی بمنظورارتباط به سایت ها استفاده می‌کند. شبکه‏‌های رایانه‏ای به شکل گسترده‏ای در سازمان‏هاوشرکت‏های اداری و تجاری مورد استفاده قرار می‏گیرند.اگر یک شرکت از نظر جغرافیایی و در فضای کوچک متمرکز باشد، ارتباطات بین بخش‏های مختلف آن‌را می‌توان با یک شبکه‏‏‌ی محلی برقرار کرد. اما برای یک شرکت بزرگ که دارای فضای گسترده جغرافیایی وشعب مختلف در نقاط مختلف یک کشور و یا در نقاط مختلف دنیا است واین بخشها یا شعب نیاز دارند که با هم ارتباطاتِ اطلاعاتیِ امن داشته‏ باشند، بایستی یک شبکه‏‏‌ی گسترده‏ی خصوصی بین نقاط آن ایجاد گردد.شبکه‏‌های اینترانت که فقط محدود به یک سازمان یا یک شرکت می‏باشند،به دلیل محدودیت‌های گسترشی نمی‏توانند چندین سازمان یا شرکت را تحت پوشش قرار دهند.شبکه‏‌های گسترده نیز که با خطوط استیجاری راه‌‏اندازی می‏شوند، در واقع شبکه‏‌های گسترده‏ی امنی هستند که بین مراکز سازمان‌هاایجاد می‏شوند. پیاده‌‏سازی این شبکه‏‌ها علی‏رغم درصد پایین بهره‌وری، نیاز به هزینه‌ زیادی دارد.زیرا،این‏ شبکه‏‌ها به دلیل عدم اشتراک منابع با دیگران،هزینه‏ مواقع عدم استفاده از منابع را نیز بایستی پرداخت کنند. راه‌حل غلبه بر این مشکلات،راه‌اندازی یک VPNاست. فرستادن حجم زیادی ازداده از یک کامپیوتر به کامپیوتر دیگر مثلاً در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کاراز طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است.استفاده از FTP هم به سرویس دهنده مربوطه وهمچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلا قابل اطمینان نیست. یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود.از این گذشته،هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.دراین حالت،کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به این ترتیب بسیاری از راههای خرابکاری برای نفوذ کنندگان بسته می شود. شبکه های شخصی مجازی یا VPNهااینگونه مشکلات را حل میکند.VPN به کمک رمز گذاری روی داده‌ها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود. مدیران شبکه ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند که این امردر موسسه رازی انجام پذیرفته است .اگر چه نفوذ کنندگان می توانند به کمک برنامه های Packet snifter جریان داده هارادنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند. ۳-عناصر تشکیل دهنده یک VPN دو نوع عمده شبکه‌های VPNوجود دارد: ● دستیابی از راه دور به این نوع از شبکه‌ها VPDN)Virtual private dial-up network)،نیز گفته می‌شود.در شبکه‌های فوق از مدل ارتباطی User to LAN (ارتباط کاربر به یک شبکه محلی) استفاده می‌گردد.سازمانهائی که از مدل فوق استفاده می نمایند،بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل (عموماکاربران از راه دور و در هر مکانی می‌توانند حضور داشته باشند) به شبکه سازمان می‌باشند. سازمانهائی که تمایل به برپاسازی یک شبکه بزرگ"دستیابی از راه دور می‌باشند،می بایست از امکانات یک مرکز ارائه دهنده خدمات اینترنت جهان ESP استفاده نمایند. سرویس دهنده ESP، بمنظور نصب و پیکربندی VPN،یک NASرا پیکربندی و نرم افزاری را در اختیار کاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط قادر به دستیابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبکه سازمان خود خواهند بود. ● سایت به سایت درمدل فوق یک سازمان با توجه به سیاست های موجود،قادر به اتصال چندین سایت ثابت ازطریق یک شبکه عمومی نظیر اینترنت است.شبکه‌های VPN که از روش فوق استفاده می نمایند،دارای گونه‌های خاصی دراین زمینه می‌باشند: ▪ مبتنی براینترانت.در صورتیکه سازمانی دارای یک و یا بیش از یک محل(راه دور)بوده و تمایل به الحاق آنها در یک شبکه اختصاصی باشد،میتوان یک اینترانت VPNرابمنظوربرقرای ارتباط هر یک از شبکه‌های محلی بایکدیگرایجاد نمود. ▪ مبتنی بر اکسترانت .در مواردیکه سازمانی در تعامل اطلاعاتی بسیارنزدیک با سازمان دیگر باشد،می توان یک اکسترانت VPN را بمنظورارتباط شبکه‌های محلی هر یک از سازمانها ایجاد کرد.در چنین حالتی سازمانهای متعدد قادر به فعالیت در یک محیط اشتراکی خواهند بود. استفاده از VPN برای یک سازمان دارای مزایای متعددی نظیر:گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت،کاهش هزینه‌های عملیاتی در مقایسه با روش های سنتی WAN،کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبودبهره وری،توپولوژی آسان،...است.در یکه شبکه VPNبه عوامل متفاوتی نظیر:امنیت،اعتمادپذیری ،مدیریت شبکه و سیاست ها نیاز خواهد بود. ۴- شبکه‌های LANجزایراطلاعاتی فرض نمائید در جزیره‌ای دراقیانوسی بزرگ،زندگی می کنید.هزاران جزیره در اطراف جزیره شما وجود دارد.برخی از جزایر نزدیک و برخی دیگر دارای مسافت طولانی با جزیره شما می‌باشند.متداولترین روش بمنظور مسافرت به جزیره دیگر،استفاده از یک کشتی مسافربری است.مسافرت با کشتی مسافربری،بمنزله عدم وجود امنیت است .در این راستاهر کاری راکه شما انجام دهید،توسط سایر مسافرین قابل مشاهده خواهد بود.فرض کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی(LAN)واقیانوس مانند اینترنت باشند.مسافرت با یک کشتی مسافربری مشابه برقراری ارتباط با یک سرویس دهنده وب و یا سایر دستگاههای موجود دراینترنت است.شما دارای هیچگونه کنترلی بر روی کابل ها و روترهای موجوددراینترنت نمی باشید.(مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در کشتی).در صورتیکه تمایل به ارتباط بین دو شبکه اختصاصی از طریق منابع عمومی وجود داشته باشد،اولین مسئله‌ای که با چالش های جدی برخورد خواهد کرد،امنیت خواهد بود.فرض کنید،جزیره شما قصد ایجاد یک پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیرایجاد شده یک روش ایمن، ساده و مستقیم برای مسافرت ساکنین جزیره شما به جزیره دیگر را فراهم می‌آورد.همانطور که حدس زده اید،ایجاد و نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینه‌های بالائی خواهد بود.(حتی اگر جزایر در مجاورت یکدیگر باشند).با توجه به ضرورت و حساسیت مربوط به داشتن یک مسیر ایمن و مطمئن، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است.در صورتیکه جزیره شما قصد ایجاد یک پل ارتباطی با جزیره دیگر را داشته باشد که در مسافت بسیار طولانی نسبت به جزیره شما واقع است ، هزینه‌های مربوط بمراتب بیشتر خواهد بود.وضعیت فوق،نظیر استفاده از یک اختصاصی Leasedاست.ماهیت پل های ارتباطی (خطوط اختصاصی)ازاقیانوس(اینترنت)متفاوت بوده وکماکن قادر به ارتباط جزایر( شبکه‌های LAN)خواهند بود.سازمانها و موسسات متعددی از رویکرد فوق( استفاده از خطوط اختصاصی) استفاده می نمایند.مهمترین عامل در این زمینه وجودامنیت واطمینان برای برقراری ارتباط هر یک سازمانهای مورد نظر با یکدیگر است.در صورتیکه مسافت ادارات و یاشعب یک سازمان از یکدیگر بسیار دور باشد،هزینه مربوط به برقرای ارتباط نیز افزایش خواهدیافت. با توجه به مواردگفته شده،چه ضرورتی بمنظور استفاده از VPNوجود داشته و VPN تامین کننده،کدامیک از اهداف و خواسته‌های مورد نظراست؟با توجه به مقایسه انجام شده در مثال فرضی،می توان گفت که بااستفاده از VPN به هریک از ساکنین جزیره یک زیردریائی داده می شود.زیردریائی فوق دارای خصایص متفاوت نظیر: دارای سرعت بالااست. هدایت آن ساده است. قادر به استتار(مخفی نمودن) شماازسایر زیردریا ئیهاوکشتی هااست. قابل اعتماداست. پس از تامین اولین زیردریائی،افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود در مدل فوق،باوجود ترافیک در اقیانوس،هر یک از ساکنین دوجزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می‌باشند.مثال فوق دقیقاًبیانگر تحوه عملکرد VPNاست.هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن بااستفاده از یک محیط انتقال عمومی( نظیراینترنت)باشبکه محلی(LAN)موجود در سازمان خود خواهندبود.توسعه یک VPN (افزایش تعداد کاربران از راه دورویاافزایش مکان های مورد نظر) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند.قابلیت توسعه فراگیراز مهمترین ویژگی های یک VPN نسبت به خطوط اختصاصی است. مثال فوق دقیقاًبیانگر تحوه عملکرد VPN است.هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن بااستفاده از یک محیط انتقال عمومی (نظیراینترنت)با شبکه محلی(LAN)موجوددرسازمان خود خواهند بود.توسعه یک VPN افزایش تعداد کاربران از راه دور و یا افزایش مکان های مورد نظر)بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند. قابلیت توسعه فراگیر از مهمترین ویژگی های یک VPN نسبت به خطوط اختصاصی است. با توجه به اینکه دریک شبکه VPN به عوامل متفاوتی نظیر:امنیت، اعتمادپذیری،مدیریت شبکه و سیاست ها نیاز خواهد بود.استفاده از VPNبرای یک سازمان دارای مزایای متعددی مانند: ● گسترش محدوه جغرافیائی ارتباطی ● بهبود وضعیت امنیت ● کاهش هزینه های عملیاتی در مقایسه با روش های سنتی نظیرWAN ● کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ● بهبود بهره وری ● توپولوژی آسان ،...است. VPNنسبت به شبکه‏‌های پیاده‌‏سازی شده با خطوط استیجاری،در پیاده‌‏سازی و استفاده،هزینه کمتری صرف می‏کند.اضافه وکم کردن گره‌هایاشبکه‌های محلی به VPN، به خاطرساختارآن،با هزینه‌ کمتری امکان‏پذیر است.در صورت نیاز به تغییر همبندی شبکه‌ی خصوصی،نیازی به راه‌‏اندازی مجدد فیزیکی شبکه نیست و به صورت نرم‏افزاری،همبندی شبکه قابل تغییراست. ۵- امنیت VPN شبکه‌های VPNبمنظور تامین امنیت (داده هاوارتباطات)از روش های متعددی استفاده می نمایند: ● فایروال. فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان واینترنت ایجاد می نماید. با استفاده از فایروال می‌توان عملیات متفاوتی رادر جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال،ایجاد محدودیت در رابطه به پروتکل های خاص،ایجاد محدودیت در نوع بسته‌های اطلاعاتی و ...نمونه هائی از عملیاتی است که می‌توان با استفاده از یک فایروال انجام داد.

رمزنگاری

فرآیندی است که بااستفاده ازآن کامپیوتر مبداءاطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید.سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده، دریافت کنندگان،قبل ازاستفاده ازاطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند.سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم می‌گردد: رمزنگاری کلید متقارن رمزنگاری کلید عمومی در رمز نگاری"کلید متقارن" هر یک از کامپیوترها دارای یک کلید Secret(کد) بوده که بااستفاده ازآن قادر به رمزنگاری یک بسته اطلاعاتی قبل ازارسال در شبکه برای کامپیوتر دیگر می‌باشند.در روش فوق می بایست درابتدا نسبت به کامپیوترهائی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند،آگاهی کامل وجود داشته باشد.هر یک از کامپیوترهای شرکت کننده در مبادله اطلاعاتی می بایست دارای کلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نیز از کلید فوق استفاده خواهد شد. فرض کنید قصد ارسال یک پیام رمز شده برای یکی از دوستان خود را داشته باشید. بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده می‌شود .در الگوریتم فوق هر حرف به دوحرف بعداز خود تبدیل می‌گردد.(حرف A به حرف C،حرف Bبه حرف D).پس از رمزنمودن پیام و ارسال آن،می بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام لرسال شده،هر حرف به دو حرق قبل از خود می باطست تبدیل گردد. در چنین حالتی می باطست به دوست امین خود، واقعیت فوق(کلید رمز) گفته شود.در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از کلید،آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود. در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می‌شود.کلید خصوصی صرفاًبرای کامپیوتر شما(ارسال کننده)قابل شناسائی و استفاده است.کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگر که قصد ارتباط با آن را داشته باشند ، گذاشته می‌شود. بمنظور رمزگشائی یک پیام رمز شده،یک کامپیوتر می بایست با استفاده از کلید عمومی(ارائه شده توسط کامپیوتر ارسال کننده)،کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید.یکی از متداولترین ابزار"رمزنگاری کلید عمومی"روشی با نام PGP است.با استفاده از روش فوق می‌توان اقدام به رمزنگاری اطلاعات دلخواه خودنمود. ● IPSec پروتکل IPsec، یکی از امکانات موجود برای ایجاد امنیت درارسال و دریافت اطلاعات می‌باشد.قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است.پروتکل فوق دارای دو روش رمزنگاری است: Tunnel ، Transport.در روش tunel، هدر و Payload رمز شده درحالیکه در روش transport صرفاً payload رمز می‌گردد.پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است: روتر به روتر فایروال به روتر کامپیوتر به روتر کامپیوتر به سرویس دهنده ● سرویس دهنده AAA سرویس دهندگانAAA بمنظور ایجادامنیت بالا در محیط های VPN از نوع "دستیابی از راه دور " استفاده می‌گردند. زمانیکه کاربران با استفاده از خط تلفن به سیستم متصل می‌گردند،سرویس دهنده AAAدرخواست آنها را اخذ و عمایات زیر را انجام خواهد داد: شما چه کسی هستید؟(تایید،Authentication) شما مجاز به انجام چه کاری هستید؟( مجوز،Authorization) چه کارهائی را انجام داده اید؟(حسابداری،Accounting) ۶- تکنولوژی های VPN با توجه به نوع VPN("دستیابی از راه دور"و یا"سایت به سایت")،بمنظور ایجاد شبکه از عناصر خاصی استفاده می‌گردد: نرم افزارهای مربوط به کاربران از راه دور سخت افزارهای اختصاصی نظیر یک "کانکتور VPN" و یا یک فایروال PIX سرویس دهنده اختصاصی VPN بمنظور سرویُس های Dial-up سرویس دهنده NAS که توسط مرکز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع "دستیابی از را دور"استفاده می‌شود. ۷- شبکه VPNومرکز مدیریت سیاست ها با توجه به اینکه تاکنون یک استاندارد قابل قبول و عمومی بمنظورایجادشVPN ایجاد نشده است،شرکت های متعدد هر یک اقدام به تولید محصولات اختصاصی خود نموده اند. - کانکتور VPN.سخت افزار فوق توسط شرکت سیسکو طراحی و عرضه شده است. کانکتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه شده است.در برخی از نمونه‌های دستگاه فوق امکان فعالیت همزمان ۱۰۰ کاربر از راه دور و در برخی نمونه‌های دیگر تا ۱۰٫۰۰۰ کاربر از راه دور قادر به اتصال به شبکه خواهند بود. - روتر مختص VPN.روتر فوق توسط شرکت سیسکو ارائه شده است.این روتر دارای قابلیت های متعدد بمنظور استفاده در محیط های گوناگون است.در طراحی روتر فوق شبکه‌های VPN نیز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه‌ای بهینه سازی شده اند.

- فایروال PIX .فایروال قابلیت هائی نظیر NAT ،سرویس دهنده Proxy،فیلتر نمودن بسته‌ای اطلاعاتی،فایروال و VPN را در یک سخت افزار فراهم نموده است. ۸-اصولVPN فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلاً در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کاراز طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است. استفاده از FTPهم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلاً قابل اطمینان نیست. یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود.از این گذشته،هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می‌توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.در این حالت ،کاربران می‌توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به این ترتیب بسیاری از راه‌های خرابکاری برای نفوذ کنندگان بسته می‌شود. شبکه‌های شخصی مجاری یاVPN ها اینگونه مشکلات را حل می‌کند.VPN به کمک رمز گذاری روی داده‌ها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می‌تواند به این شبکه وارد شود.مدیران شبکه‌ای که بیش از اندازه وسواس داشته و محتاط هستند می‌توانند VPN را حتی روی شبکه محلی هم پیاده کنند.اگر چه نفوذ کنندگان می‌توانند به کمک برنامه‌های Packet sniffer جریان داده‌ها را دنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند. VPN دو کامپیوتر یا دو شبکه را به کمک یک شبکه دیگر که به عنوان مسیر انتقال به کار می گیرد به هم متصل می‌کند.برای نمونه می‌توان دو کامپیوتر یکی در تهران و دیگری در مشهد که در فضای اینترنت به یک شبکه وصل شده اند اشاره کرد.VPN از نگاه کاربر کاملاً مانند یک شبکه محلی به نظر می رسد.برای پیاده سازی چنین چیزی ، VPN به هر کاربر یک ارتباط IPمجازی می‌دهد. داده‌هایی که روی این ارتباط آمدوشددارندرا سرویس گیرنده نخست به رمز در آورده و در قالب بسته‌ها بسته بندی کرده و به سوی سرویس دهندهVPN می فرستد.اگر بستر این انتقال اینترنت باشد بسته‌ها همان بسته‌های IP خواهند بود. سرویس گیرنده VPN بسته هارا پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام می‌دهد.روشی که شرح داده شد را اغلب Tunneling یا تونل زنی می نامند چون داده‌ها برای رسیدن به کامپیوتر مقصد از چیزی مانند تونل می گذرند . برای پیاده سازی VPNراه‌های گوناگونی وجود دارد که پر کاربرد ترین آنها عبارتنداز: Point to point Tunneling protocol یا PPTP که برای انتقال NetBEUI روی یک شبکه بر پایه IP مناسب است. L2TP که برای انتقالIP ، IPX یا NetBEUI روی هر رسانه دلخواه که توان انتقال Datagram های نقطه به نقطه Point to point را داشته باشد مناسب است. برای نمونه می‌توان ب IP ، X.۲۵ ، Frame Relay یا ATM اشاره کرد. IP Security protocol یا Ipsec که برای انتقال داده‌های IP روی یک شبکه بر پایه IP مناسب است. ۹- (تونل سازی) اکثر شبکه‌های VPN بمنظورایجاد یک شبکه اختصاصی با قابلیت دستیابی از طریق اینترنت ازامکان" Tunneling "استفاده می نمایند. در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته واز طریق شبکه ارسال خواهد شد.پروتکل مربوط به بسته اطلاعاتی خارجی(پوسته)توسط شبکه و دو نفطه(ورودو خروج بسته اطلاعاتی)قابل فهم می‌باشد.دو نقظه فوق را"اینترفیس های تونل"می گویند. روش فوق مستلزماستفاده از سه پروتکل است: پروتکل حمل کننده.ازپروتکل فوق شبکه حامل اطلاعات استفاده می نماید. پروتکل کپسوله سازی.از پروتکل هائی نظیر:IPSec,L2F,PPTP,L2TP,GRE استفاده می‌گردد. پروتکل مسافر.از پروتکل هائی نظیر IPX,IP,NetBeuiبمنظورانتقال داده‌های اولیه استفاده می‌شود. با استفاده از روش Tunnelingمی توان عملیات جالبی را انجام داد. مثلاً می‌توان از بسته‌ای اطلاعاتی که پروتکل اینترنت را حمایت نمی‌کند(نظیر NetBeui)درون یک بسته اطلاعاتی IP استفاده وآن را از طریق اینترنت ارسال نمود و یا می‌توان یک بسته اطلاعاتی را که از یک آدرس IP غیر قابل روت(اختصاصی)استفاده می نماید ،درون یک بسته اطلاعاتی که از آدرس های معتبر IPاستفاده می‌کند،مستقر وازطریق اینترنت ارسال نمود. در شبکه‌های VPNاز نوع "سایت به سایت "،GRE)generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده می‌گردد. فرآیند فوق نحوه استقرار و بسته بندی "پروتکل مسافر" از طریق پروتکل" حمل کننده" برای انتقال را تبین می نماید.(پروتکل حمل کننده،عموما" IPاست).فرآیند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بین سرویس گیرنده و سرویس دهنده است.در برخی موارد از پروتکل IPSec(در حالت tunnel) برای کپسوله سازی استفاده می‌گردد.پروتکل IPSec، قابل استفاده در دو نوع شبکه VPN(سایت به یایت و دستیابی از راه دور) است.اینترفیش های Tunnel می بایست دارای امکانات حمایتی از IPSec باشند. در شبکه‌های VPN از نوع"دستیابی از راه دور"، Tunneling با استفاده از PPP انجام می گیرد.PPP به عنوان حمل کننده سایر پروتکل های IP در زمان برقراری ارتباط بین یک سیستم میزبان و یک سیستم ازه دور،مورد استفاده قرار می گیرد. هر یک از پروتکل های زیر با استفاده از ساختار اولیه PPPایجادوتوسط شبکه‌های VPNاز نوع"دستیابی از راه دور "استفاده می گردند: ۱۰- پروتکل های درون تونل Tunnelingرا می‌توان روی دو لایه از لایه‌های OSI پیاده کرد. PPTP و L2TP از لایه ۲ یعنی پیوند داده استفاده کرده و داده‌ها را در قالب Frame های پروتکل نقطه به نقطه (PPP) بسته بندی می‌کنند. دراین حالت می‌توان از ویژگی های PPP همچون تعیین اعتبار کاربر ، تخصیص آدرس پویا (مانند DHCP) ،فشرده سازی داده‌ها یا رمز گذاری داده‌ها بهره برد. با توجه به اهمیت ایمنی انتقال داده‌ها درVPN،دراین میان تعیین اعتبار کاربر نقش بسیار مهمی دارد.برای این کار معمولاً از CHAP استفاده می‌شود که مشخصات کاربر را در این حالت رمز گذاری شده جابه جا می‌کند.Call back هم دسترسی به سطح بعدی ایمنی را ممکن می سازد.در این روش پس از تعیین اعتبار موفقیت آمیز،ارتباط قطع می‌شود.سپس سرویس دهنده برای برقرار کردن ارتباط جهت انتقال داده‌ها شماره گیری می‌کند.هنگام انتقال داده ها،Packet های IP ، IP X یا NetBEUI در قالب Frame های PPP بسته بندی شده و فرستاده می‌شوند.PPTP هم Frame های PPP را پیش از ارسال روی شبکه بر پایه IP به سوی کامپیوتر مقصد،در قالب Packet های IP بسته بندی می‌کند. این پروتکل در سال ۱۹۹۶ از سوی شرکت هایی چون مایکرو سافت، Ascend ، ۳ com و Robotics US پایه گذاری شد.محدودیت PPTP در کار تنها روی شبکه‌های IP باعث ظهور ایده‌ای در سال ۱۹۹۸ شد.L2TP روی X.۲۵ ،Frame Relay یا ATM هم کار می‌کند . برتری L2TP در برابر PPTP این است که به طور مستقیم روی رسانه‌های گوناگون WAN قابل انتقال است . ۲F)Layer 2 Forwarding) پروتکل فوق توسط سیسکو ایجاد شده است . در پروتکل فوق از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ،استفاده شد ه است . PPTP)Point-to-Point Tunneling Protocol). پروتکل فوق توسط کنسرسیومی متشکل از شرکت های متفاوت ایجاد شده است .این پروتکل امکان رمزنگاری ۴۰ بیتی و ۱۲۸ بیتی را دارا بوده و از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند،استفاده می نماید . ۲TP)Layer 2 Tunneling Protocol) پروتکل فوق با همکاری چندین شرکت ایجاد شده است .پروتکل فوق از ویژگی های PPTP و L2F استفاده کرده است . پروتکل L2TP بصورت کامل IPSec را حمایت می‌کند. از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می‌گردد: سرویس گیرنده و روتر NAS و روتر روتر و روتر عملکرد Tunnelingمشابه حمل یک کامپیوتر توسط یک کامیون است . فروشنده ، پس از بسته بندی کامپیوتر(پروتکل مسافر)درون یک جعبه(پروتکل کپسوله سازی) آن را توسط یک کامیون(پروتکل حمل کننده)ازانبار خود(ایترفیس ورودی تونل ) برای متقاضی ارسال می‌دارد.کامیون(پروتکل حمل کننده)از طریق بزرگراه(اینترنت) مسیر خودرا طی،تا به منزل شما(اینترفیش خروجی تونل)برسد.شما در منزل جعبه( پروتکل کپسول سازی)را بازوکامپیوتر(پروتکل مسافر)راازآن خارج می نمائید VPN-Ipsec فقط برای اینترنت Ipsec برخلافPPTP و L2TPروی لایه شبکه یعنی لایه سوم کار می‌کند.این پروتکل داده‌هایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می فرستد. کامپیوتری که در آن سو قرار دارد IP Headerرا جدا کرده،داده‌ها را رمز گشایی کرده و آن را به کامپیوتر مقصد می فرستد .Ipsec را می‌توان با دو شیوه Tunneling پیکر بندی کرد.در این شیوه انتخاب اختیاری تونل،سرویس گیرنده نخست یک ارتباط معمولی با اینترنت برقرار می‌کند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده می‌کند . برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل تونل نصب شده باشد.معمولاً کاربر اینترنت است که به اینترنت وصل می‌شود.اما کامپیوترهای درون LAN هم می توانند یک ارتباط VPN برقرا کنند.از آنجا که ارتباط IPاز پیش موجود است تنها برقرار کردن ارتباط VPN کافی است.در شیوه تونل اجباری ،سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار به عهده فراهم ساز است.سرویس گیرنده تنها باید به ISP وصل شود.تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد.البته برای این کار باید همانگی های لازم با ISPانجام بگیرد.ٍ ۱۱- ویژگی های امنیتی در IPsec Ipsec از طریق AHمطمئن می‌شود که Packet های دریافتی از سوی فرستنده واقعیو نه از سوی یک نفوذ کننده که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده.AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay جلوگیری کند.اما AH رمز گذاری نمی‌شود.رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می‌گیرد.در این شیوه داده‌های اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال می‌کند. ESH همچنین کارکرد هایی برای تعیین اعتبار و خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست .برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IETF برای حفظ سازگاری میان محصولات مختلف، الگوریتم های اجباری برای پیاده سازی Ipsec تدارک دیده.برای نمونه می‌توان به MD۵،DES یا Secure Hash Algorithm اشاره کرد.مهمترین استانداردها و روش هایی که در Ipsec به کار می‌روند عبارتنداز: • Diffie-Hellman برای مبادله کلید ها میان ایستگاه‌های دو سر ارتباط. • رمز گذاری Public Key برای ثبت و اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاه‌های سهیم در ارتباط. • الگوریتم های رمز گذاری مانند DES برای اطمینان از درستی داده‌های انتقالی. • الگوریتم های درهم ریزی ( Hash) برای تعیین اعتبار تک تک Packet ها. • امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی. ۴٫۱.۵ - Ipsec بدون تونل Ipsec در مقایسه با دیگر روش ها یک برتری دیگر هم دارد و آن اینست که می‌تواند همچون یک پروتکل انتقال معمولی به کار برود. در این حالت برخلاف حالت Tunneling همه IP packet رمز گذاری و دوباره بسته بندی نمی‌شود.بجای آن، تنها داده‌های اصلی رمزگذاری می‌شوند و Header همراه با آدرس های فرستنده و گیرنده باقی می ماند.این باعث می‌شود که داده‌های سرباز ( Overhead ) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود . اما روشن است که در این وضعیت ، خرابکاران می‌توانند به مبدا و مقصد داده‌ها پی ببرند . از آنجا که در مدل OSI داده‌ها از لایه ۳ به بالا رمز گذاری می‌شوند خرابکاران متوجه نمی‌شوند که این داده‌ها به ارتباط با سرویس دهنده Mail مربوط می‌شود یا به چیز دیگر. ۱۲- جریان یک ارتباط Ipsec بیش از آن که دو کامپیوتر بتواننداز طریق Ipsec داده‌ها را میان خود جابجا کنند باید یکسری کارها انجام شود. • نخست باید ایمنی برقرار شود.برای این منظور ، کامپیوترها برای یکدیگر مشخص می‌کنند که آیا رمز گذاری،تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه. • سپس الگوریتم را مشخص می‌کنند،مثلاً DEC برای رمزگذاری و MD۵ برای خطایابی. • در گام بعدی ،کلیدها را میان خود مبادله می‌کنند. Ipsec برای حفظ ایمنی ارتباط از SA استفاده می‌کند. SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص می‌کند.SA ها از سوی SPI شناسایی می‌شوند.SPI از یک عدد تصادفی و آدرس مقصد تشکیل می‌شود.این به آن معنی است که همواره میان دو کامپیوتر دو SPI وجود دارد: یکی برای ارتباط A و B و یکی برای ارتباط B به A .اگر یکی از کامپیوترها بخواهد در حالت محافظت شده داده‌ها را منتقل کند نخست شیوه رمز گذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی داده‌ها اعمال می‌کند.سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد. ۱۲- مدیریت کلیدهای رمز در Ipsec اگر چه Ipsec فرض را بر این می گذارد که توافقی برای ایمنی داده‌ها وجود دارد اما خودش برای ایجاد این توافق نمی‌تواند کاری انجام بدهد . Ipsec در این کار به IKE تکیه می‌کند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند.در حال حاضر برای این کار از راه‌های زیر استفاده می‌شود: • Pre shared keys : روی هر دو کامپیوتر یک کلید نصب می‌شود که IKE از روی آن یک عدد Hash ساخته و آن را به سوی کامپیوتر مقصد می فرستد . اگر هر دو کامپیوتر بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام می‌گیرد • رمز گذاری Public Key:هر کامپیوتر یک عدد تصادفی ساخته و پس از رمز گذاری آن با کلید عمومی کامپیوتر مقابل ،آن را به کامپیوتر مقابل می فرستد .اگر کامپیوتر مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده و باز پس بفرستد برا ی ارتباط مجاز است.در حال حاضر تنها از روش RSA برای این کار پیشنهاد می‌شود. • امضاء دیجیتال :در این شیوه،هر کامپیوتر یک رشته داده را علامت گذاری( امضاء ) کرده و به کامپیوتر مقصد می فرستد.در حال حاضر برای این کار از روش های RSA و DSS استفاده می‌شود . برای امنیت بخشیدن به تبادل داده‌ها باید هر دو سر ارتبا طنخست بر سر یک یک کلید به توافق می‌رسند که برای تبادل داده‌ها به کار می‌رود . برا ی این منظور می‌توان همان کلید به دست آمده از طریق Diffie Hellman را به کاربرد که سریع تر است یا یک کلید دیگر ساخت که مطمئن تر است . ۱۳- پیاه‌سازی VPN برای راه‌اندازی یک سرور VPN می‌بایست دو کارت شبکه نصب شده بر روی سیستم داشته باشید . از یک کارت شبکه برای ارتباط با اینترنت و از کارت دیگر جهت برقراری ارتباط با شبکه محلی استفاده می‌شود. در این‌جا بر روی هر کارت به‌طور ثابت IP قرار داده شده اما می‌توان این IPها را به صورت پویا بر روی کارت‌های شبکه قرار داد . در پنجره بعد نحوه آدرس‌دهی به سیستم راه دوری که قصد اتصال به سرور ما را دارد پرسیده می‌شود.هر ایستگاه کاری می‌ تواند یک آدرس IP برای کار در شبکه محلی و یک IP برای اتصال VPN داشته باشد .در منوی بعد نحوه بازرسی کاربران پرسیده می‌شود که این بازرسی می‌ تواند از روی کاربران تعریف شده در روی خود ویندوز باشد و یا آنکه از طریق یک سرویس دهنده RADIUS صورت گیرد در صورت داشتن چندین سرور VPN استفاده از RADIUS را به شما پیشنهاد می‌کنیم . با این روش کاربران ، بین تمام سرورهای VPN به اشتراک گذاشته شده و نیازی به تعریف کاربران در تمامی سرورها نمی‌باشد. پروتکل‌های استفاده شونده عملیاتی که در بالا انجام گرفت تنها پیکربندی‌های لازم جهت راه‌اندازی یک سرور VPN می‌باشد. اما RRASدارای دو پروتکل جهت برقراری تونل ارتباطی VPN می‌باشد. ساده‌ترین پروتکل آنPPTPl)است،این پروتکل برگرفته از PPP است که در سرویس‌های Dialup مورد استفاده واقع می‌شود،‌در واقع PPTP همانند PPP عمل می‌کند. پروتکل PPTP در بسیاری از موارد کافی و مناسب است ،‌ به کمک این پروتکل کاربران می‌توانند به روش‌های PAP و Chap Protocol بازرسی شوند.جهت کد کردن اطلاعات می‌توان از روش کد سازی RSAاستفاده نمود. PPTP برای کاربردهای خانگی و دفاتروافرادی که در امر شبکه حرفه‌ای نیستند مناسب است اما در جایگاه امنیتی دارای پایداری زیادی نیست.پروتکل دیگری به نام(۲TP(Layer2 Forwardingبه وسیله شرکت CISCO ارائه شده که به لحاظ امنیتی بسیار قدرتمندتراست. این پروتکل بااستفاده از پروتکل انتقال اطلاعات UDP به‌جای استفاده از TCP به مزایای زیادی دست یافته است.این روش باعث بهینه و ملموس‌تر شدن برای دیواره‌های آتش شده است ،اما باز هم این پروتکل در واقع چیزی جز یک کانال ارتباطی نیست.جهت حل این مشکل و هر چه بالاتر رفتن ضریب امنیتی در VPN شرکت مایکروسافت پروتکل دیگری را به نام (IPSec (IP Security مطرح نموده که پیکربندی VPN با آن کمی دچار پیچیدگی می‌گردد. اما در صورتی که پروتکل PPTPراانتخاب کرده‌اید و با این پروتکل راحت ‌تر هستید تنها کاری که باید در روی سرور انجام دهید فعال کردن قابلیت دسترسی Dial in می‌باشد.این کار را می‌توانید با کلیک بر روی Remote Access Polices در RRAS انجام دهید و با تغییر سیاست کاری آن ، آن را راه‌اندازی کنید (به‌ طور کلی پیش‌فرض سیاست کاری ، رد کلیه درخواست‌ها می‌باشد). ۱۴-دسترسی ایستگاه کاری از طریق VPN حالا که سرورVPNآماده سرویس‌دهی شده،برای استفاده از آن باید بر روی ایستگاه کاری نیز پیکربندیهایی راانجام دهیم.سیستم عاملی که ما در این‌جا استفاده می‌کنیم ویندوز XP می‌باشدوروش پیاده‌سازی VPN را بر روی آن خواهیم گفت اما انجام این کار بر روی ویندوز ۲۰۰۰ نیز به همین شکل صورت می‌گیرد.بر روی ویندوزهای ۹۸ نیز می‌توان ارتباط VPN را برقرار نمود،اما روش کار کمی متفاوت است و برای انجام آن بهتر است به آدرس زیر مراجعه کنید: www.support.microsot.com بر روی ویندوزهایXP،یک نرم‌افزار جهت اتصال به VPN برای هر دو پروتکل PPTP و L2TP وجود دارد.در صورت انتخاب هر کدام،‌نحوه پیکربندی با پروتکل دیگر تفاوتی ندارد.راه‌اندازی VPN کار بسیار ساده‌ای است،کافیست که بر روی Network Connection کلیک نموده وازآن اتصال به شبکه خصوصی از طریق اینترنت (Private Network Through Internet)راانتخاب کنید. در انجام مرحله بالا از شما یک اسم پرسیده می‌شود.در همین مرحله خواسته می‌شود که برای اتصال به اینترنت یک ارتباط تلفنی(Dialup)تعریف نمایید،پس از انجام این مرحله نام و یا آدرس سرور VPN پرسیده می‌شود. مراحل بالا تنها مراحلی است که نیاز برای پیکربندی یک ارتباط VPN بر روی ایستگاه‌های کاری می‌باشد . کلیه عملیات لازمه برای VPN به صورت خودکار انجام می‌گیرد و نیازی به انجام هیچ عملی نیست . برای برقراری ارتباط کافیست که بر روی آیکونی که بر روی میز کاری ایجاد شده دو بار کلیک کنید پس از وارد کردن کد کاربری و کلمه عبور چندین پیام را مشاهده خواهید کرد که نشان‌دهنده روند انجام برقراری ارتباط VPN است. اگر همه چیز به خوبی پیش رفته باشد می‌توانید به منابع موجود بر روی سرور VPNدسترسی پیدا کنید این دسترسی مانند آن است که بر روی خود سرور قرار گرفته باشید.

۱۵-ارتباط سایت به سایت (Site-to-Site VPN) در صورتی که بخواهید دو شبکه را از طریق یک سرور VPN دومی به یکدیگر وصل کنید علاوه بر مراحل بالا باید چند کار اضافه‌تر دیگری را نیز انجام دهید . جزئیات کار به پروتکلی که مورد استفاده قرار می‌گیرد.جهت این کار باید سرور را در پنجره RRAS انتخاب کرده و منوی خاص (Properties)آن را بیاورید . در قسمت General مطمئن شوید که گزینه‌های LANو Demand Dial انتخاب شده باشند (به طور پیش گزیده انتخاب شده هستند). هم‌چنین اطمینان حاصل کنید که پروتکل را که قصد روت(Route)کردن آن را دارید فعال است. پس از مراحل بالا نیاز به ایجاد یک Demand Dial دارید ،این کار را می‌توانید با یک کلیک راست بر روی واسط روت (Routing Interface)انجام دهید. در پنجره بعدی که ظاهر می‌شود باید برای این ارتباط VPN خود یک نام تعیین کنیداین نام باید همان اسمی باشد که در طرف دیگر کاربران با آن به اینترنت متصل می‌شوند در صورتی که این مطلب را رعایت نکنید ارتباط VPN شما برقرار نخواهد شد . پس از این مرحله باید آدرس IPویا نام دامنه آن را مشخص کنیدو پس از آن نوع پروتکل ارتباطی را تعیین نمود. اما مرحله نهایی تعریف یک مسیر (Route) بر روی سرور دیگر می‌باشد بدین منظور بر روی آن سروردر قسمت RRAS ، Demand Dial را انتخاب کنید و آدرس IP و ساب‌نت را در آن وارد کنید و مطمئن شوید که قسمت Use This to Initate Demand انتخاب شده باشد.پس از انجام مرحله بالا کار راه‌اندازی این نوع VPN به پایان می‌رسد.

نتیجه گیری

تبادل داده‌ها روی اینرنت چندان ایمن نیست.تقریباًهر کسی که در جای مناسب قرار داشته باشد می‌تواند جریان داده‌ها را زیر نظر گرفته و از آنها سوء استفاده کند.شبکه‌های شخصی مجازی یا VPN ها کار نفوذ را برا ی خرابکاران خیلی سخت می‌کند.

VPN در ایران

اگرچه VPN کاربردهای بسیاری در ایران دارد، به تازگی و به صورت گسترده از VPN به عنوان فیلترشکن استفاده می‌شود به طوری که تعداد زیادی از شرکت‌های ایرانی اقدام به فروش آن کرده‌اند و افراد بسیاری از VPN به این منظور استفاده می‌کنند.

پانویس

↑ Electronic Commerce, Efraim Turabn, ۴۸۲

je lekkere zus:D je weet tog

دانشگاه آزاد اسلامی واحد گرمسار- مهندس نیکجو- ساناز امانی ارجستان دانشجوی مهندسی نرم افزار کامپیوتر

منابع

Efraim Turban [et al] (۲۰۰۶)، Electronic Commerce ۲۰۰۶: A Managerial Perspective، Pearson Prentice Hall، شابک ISBN ۰-۱۳-۱۸۵۴۶۱-۵ مقدار |شابک= را بررسی کنید: invalid character (کمک)

وب‌گاه آر اف سی

WWW.Windowsecurity.com WWW.IEEE.com WWW.omg.com http://harkat.com/news/detail.asp?id=246 http://en.wikipedia.org/wiki/Virtual_Private_Network_%28VPN%29 http://vpn.shmoo.com/ http://www.vpnc.org/ http://tools.ietf.org/html/rfc2764 http://www.ircert.com/ARTICLES/IntroductionToVPN.htm http://www.ircert.com/ARTICLES/IntroductionToIPSec.htm http://www.ircert.com/ARTICLES/IntroductionToVPN.htm

[1] Electronic Commerce, Efraim Turabn, ۴۸۲

[۱]