دانلود مقاله شبکه های خصوصی مجازی

در طی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است .

اغلب سازمانها و موسسات ارائه دهنده کالا و خدمات که در گذشته بسیار محدود و منطقه ای مسائل را دنبال و در صدد ارائه راهکارهای مربوطه بودند ، امروزه بیش از گذشته نیازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای تولیده شده را دارند.

به عبارت دیگر تفکرات منطقه ای و محلی حاکم بر فعالیت های تجاری جای خود را به تفکرات جهانی و سراسری داده اند.

امروزه با سازمانهای زیادی برخورد می نمائیم که در سطح یک کشور دارای دفاتر فعال و حتی در سطح دنیا دارای دفاتر متفاوتی می باشند .

تمام سازمانهای فوق قبل از هر چیز بدنبال یک اصل بسیار مهم می باشند : یک روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا

اکثر سازمانها و موسسات بمنظور ایجاد یک شبکه WAN از خطوط اختصاصی (Leased Line) استفاده می نمایند.خطوط فوق دارای انواع متفاوتی می باشند.

ISDN ( با سرعت 128 کیلوبیت در ثانیه )، ( OC3 Optical Carrier-3) ( با سرعت 155 مگابیت در ثانیه ) دامنه وسیع خطوط اختصاصی را نشان می دهد.

یک شبکه WAN دارای مزایای عمده ای نسبت به یک شبکه عمومی نظیر اینترنت از بعد امنیت وکارآئی است .

پشتیانی و نگهداری یک شبکه WAN در عمل و زمانیکه از خطوط اختصاصی استفاده می گردد ، مستلزم صرف هزینه بالائی است

همزمان با عمومیت یافتن اینترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند.

در ابتدا شبکه های اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملا اختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده ، قادر به ورود به شبکه و استفاده از منابع موجود می باشند.

اخیرا ، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جدید ( کارمندان از راه دور ، ادارات از راه دور )، اقدام به ایجاد شبکه های اختصاصی مجازی VPN)Virtual Private Network) نموده اند.

یک VPN ، شبکه ای اختصاصی بوده که از یک شبکه عمومی ( عموما اینترنت ) ، برای ارتباط با سایت های از راه دور و ارتباط کاربران بایکدیگر، استفاده می نماید.

این نوع شبکه ها در عوض استفاده از خطوط واقعی نظیر : خطوط Leased ، از یک ارتباط مجازی بکمک اینترنت برای شبکه اختصاصی بمنظور ارتباط به سایت ها استفاده می کند.

عناصر تشکیل دهنده یک VPN

دو نوع عمده شبکه های VPN وجود دارد :

o دستیابی از راه دور (Remote-Access) .

به این نوع از شبکه ها VPDN)Virtual private dial-up network)، نیز گفته می شود.در شبکه های فوق از مدل ارتباطی User-To-Lan ( ارتباط کاربر به یک شبکه محلی ) استفاده می گردد.

سازمانهائی که از مدل فوق استفاده می نمایند ، بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل ( عموما کاربران از راه دور و در هر مکانی می توانند حضور داشته باشند ) به شبکه سازمان می باشند.

سازمانهائی که تمایل به برپاسازی یک شبکه بزرگ دستیابی از راه دور می باشند ، می بایست از امکانات یک مرکز ارائه دهنده خدمات اینترنت جهانی ESP)Enterprise service provider) استفاده نمایند.

سرویس دهنده ESP ، بمنظور نصب و پیکربندی VPN ، یک NAS)Network access server) را پیکربندی و نرم افزاری را در اختیار کاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد.

کاربران در ادامه با برقراری ارتباط قادر به دستیابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به شبکه سازمان خود خواهند بود.

o سایت به سایت (Site-to-Site) .

در مدل فوق یک سازمان با توجه به سیاست های موجود ، قادر به اتصال چندین سایت ثابت از طریق یک شبکه عمومی نظیر اینترنت است .

شبکه های VPN که از روش فوق استفاده می نمایند ، دارای گونه های خاصی در این زمینه می باشند:

o مبتنی بر اینترانت .

در صورتیکه سازمانی دارای یک و یا بیش از یک محل ( راه دور) بوده و تمایل به الحاق آنها در یک شبکه اختصاصی باشد ، می توان یک اینترانت VPN را بمنظور برقرای ارتباط هر یک از شبکه های محلی با یکدیگر ایجاد نمود.

o مبتنی بر اکسترانت .

در مواردیکه سازمانی در تعامل اطلاعاتی بسیار نزدیک با سازمان دیگر باشد ، می توان یک اکسترانت VPN را بمنظور ارتباط شبکه های محلی هر یک از سازمانها ایجاد کرد.

در چنین حالتی سازمانهای متعدد قادر به فعالیت در یک محیط اشتراکی خواهند بود.

استفاده از VPN برای یک سازمان دارای مزایای متعددی نظیر : گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت ، کاهش هزینه های عملیاتی در مقایسه با روش های سنتی WAN ، کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبود بهره وری ، توپولوژی آسان ،...

است .

در یکه شبکه VPN به عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبکه و سیاست ها نیاز خواهد بود.

در طی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است .

تمام سازمانهای فوق قبل از هر چیز بدنبال یک اصل بسیار مهم می باشند : یک روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا اکثر سازمانها و موسسات بمنظور ایجاد یک شبکه WAN از خطوط اختصاصی (Leased Line) استفاده می نمایند.خطوط فوق دارای انواع متفاوتی می باشند.

پشتیانی و نگهداری یک شبکه WAN در عمل و زمانیکه از خطوط اختصاصی استفاده می گردد ، مستلزم صرف هزینه بالائی است همزمان با عمومیت یافتن اینترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند.

در ابتدا شبکه های اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملا" اختصاصی بوده و کارمندان یک سازمان با استفاده از رمز عبور تعریف شده ، قادر به ورود به شبکه و استفاده از منابع موجود می باشند.

اخیرا" ، تعداد زیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جدید ( کارمندان از راه دور ، ادارات از راه دور )، اقدام به ایجاد شبکه های اختصاصی مجازی VPN)Virtual Private Network) نموده اند.

یک VPN ، شبکه ای اختصاصی بوده که از یک شبکه عمومی ( عموما" اینترنت ) ، برای ارتباط با سایت های از راه دور و ارتباط کاربران بایکدیگر، استفاده می نماید.

عناصر تشکیل دهنده یک VPN دو نوع عمده شبکه های VPN وجود دارد : o دستیابی از راه دور (Remote-Access) .

سازمانهائی که از مدل فوق استفاده می نمایند ، بدنبال ایجاد تسهیلات لازم برای ارتباط پرسنل ( عموما" کاربران از راه دور و در هر مکانی می توانند حضور داشته باشند ) به شبکه سازمان می باشند.

سازمانهائی که تمایل به برپاسازی یک شبکه بزرگ " دستیابی از راه دور " می باشند ، می بایست از امکانات یک مرکز ارائه دهنده خدمات اینترنت جهانی ESP)Enterprise service provider) استفاده نمایند.

o سایت به سایت (Site-to-Site) .

شبکه های VPN که از روش فوق استفاده می نمایند ، دارای گونه های خاصی در این زمینه می باشند: o مبتنی بر اینترانت .

o مبتنی بر اکسترانت .

استفاده از VPN برای یک سازمان دارای مزایای متعددی نظیر : گسترش محدوه جغرافیائی ارتباطی ، بهبود وضعیت امنیت ، کاهش هزینه های عملیاتی در مقایسه با روش های سنتی WAN ، کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبود بهره وری ، توپولوژی آسان ،...

شبکه های LAN جزایر اطلاعاتی فرض نمائید در جزیره ای در اقیانوسی بزرگ ، زندگی می کنید.

هزاران جزیره در اطراف جزیره شما وجود دارد.

برخی از جزایر نزدیک و برخی دیگر دارای مسافت طولانی با جزیره شما می باشند.

متداولترین روش بمنظور مسافرت به جزیره دیگر ، استفاده از یک کشتی مسافربری است .

مسافرت با کشتی مسافربری ، بمنزله عدم وجود امنیت است .

در این راستا هر کاری را که شما انجام دهید ، توسط سایر مسافرین قابل مشاهده خواهد بود.

فرض کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی (LAN) و اقیانوس مانند اینترنت باشند.

مسافرت با یک کشتی مسافربری مشابه برقراری ارتباط با یک سرویس دهنده وب و یا سایر دستگاههای موجود در اینترنت است .

شما دارای هیچگونه کنترلی بر روی کابل ها و روترهای موجود در اینترنت نمی باشید.

( مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در کشتی ) .در صورتیکه تمایل به ارتباط بین دو شبکه اختصاصی از طریق منابع عمومی وجود داشته باشد ، اولین مسئله ای که با چالش های جدی برخورد خواهد کرد ، امنیت خواهد بود.

فرض کنید ، جزیره شما قصد ایجاد یک پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یک روش ایمن ، ساده و مستقیم برای مسافرت ساکنین جزیره شما به جزیره دیگر را فراهم می آورد.

همانطور که حدس زده اید ، ایجاد و نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.( حتی اگر جزایر در مجاورت یکدیگر باشند ) .

با توجه به ضرورت و حساسیت مربوط به داشتن یک مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است .

در صورتیکه جزیره شما قصد ایجاد یک پل ارتباطی با جزیره دیگر را داشته باشد که در مسافت بسیار طولانی نسبت به جزیره شما واقع است ، هزینه های مربوط بمراتب بیشتر خواهد بود.

وضعیت فوق ، نظیر استفاده از یک اختصاصی Leased است .

ماهیت پل های ارتباطی ( خطوط اختصاصی ) از اقیانوس ( اینترنت ) متفاوت بوده و کماکن قادر به ارتباط جزایر( شبکه های LAN) خواهند بود.

سازمانها و موسسات متعددی از رویکرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمایند.

مهمترین عامل در این زمینه وجود امنیت و اطمینان برای برقراری ارتباط هر یک سازمانهای مورد نظر با یکدیگر است .

در صورتیکه مسافت ادارات و یا شعب یک سازمان از یکدیگر بسیار دور باشد ، هزینه مربوط به برقرای ارتباط نیز افزایش خواهد یافت .

با توجه به موارد گفته شده ، چه ضرورتی بمنظور استفاده از VPN وجود داشته و VPN تامین کننده ، کدامیک از اهداف و خواسته های مورد نظر است ؟

با توجه به مقایسه انجام شده در مثال فرضی ، می توان گفت که با استفاده از VPN به هریک از ساکنین جزیره یک زیردریائی داده می شود.

زیردریائی فوق دارای خصایص متفاوت نظیر : · دارای سرعت بالا است .

· هدایت آن ساده است .

· قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و کشتی ها است .

· قابل اعتماد است .

· پس از تامین اولین زیردریائی ، افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود در مدل فوق ، با وجود ترافیک در اقیانوس ، هر یک از ساکنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می باشند.

مثال فوق دقیقا" بیانگر تحوه عملکرد VPN است .

هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یک محیط انتقال عمومی ( نظیر اینترنت ) با شبکه محلی (LAN) موجود در سازمان خود خواهند بود.

توسعه یک VPN ( افزایش تعداد کاربران از راه دور و یا افزایش مکان های مورد نظر ) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند.

قابلیت توسعه فراگیر از مهمتزین ویژگی های یک VPN نسبت به خطوط اختصاصی است .

امنیت VPN شبکه های VPN بمنظور تامین امنیت (داده ها و ارتباطات) از روش های متعددی استفاده می نمایند : o فایروال .

فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان و اینترنت ایجاد می نماید.

با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاست های امنیتی یک سازمان انجام داد.

ایجاد محدودیت در تعداد پورت ها فعال ، ایجاد محدودیت در رابطه به پروتکل های خاص ، ایجاد محدودیت در نوع بسته های اطلاعاتی و ...

نمونه هائی از عملیاتی است که می توان با استفاده از یک فایروال انجام داد.

o رمزنگاری .

فرآیندی است که با استفاده از آن کامپیوتر مبداء اطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید.

سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود.

بدین ترتیب پس از ارسال اطلاعات توسط فرستنده ، دریافت کنندگان، قبل از استفاده از اطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند.

سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم می گردد : · رمزنگاری کلید متقارن · رمزنگاری کلید عمومی در رمز نگاری " کلید متقارن " هر یک از کامپیوترها دارای یک کلید Secret ( کد ) بوده که با استفاده از آن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپیوتر دیگر می باشند.

در روش فوق می بایست در ابتدا نسبت به کامپیوترهائی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند ، آگاهی کامل وجود داشته باشد.

هر یک از کامپیوترهای شرکت کننده در مبادله اطلاعاتی می بایست دارای کلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند.

بمنظور رمزنگاری اطلاعات ارسالی نیز از کلید فوق استفاده خواهد شد.

فرض کنید قصد ارسال یک پیام رمز شده برای یکی از دوستان خود را داشته باشید.

بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرف A به حرف C ، حرف B به حرف D ) .پس از رمزنمودن پیام و ارسال آن ، می بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام لرسال شده ، هر حرف به دو حرق قبل از خود می باطست تبدیل گردد.

در چنین حالتی می باطست به دوست امین خود ، واقعیت فوق ( کلید رمز ) گفته شود.

در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از کلید ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود.

در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می شود.

کلید خصوصی صرفا" برای کامپیوتر شما ( ارسال کننده) قابل شناسائی و استفاده است .

کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود.

بمنظور رمزگشائی یک پیام رمز شده ، یک کامپیوتر می بایست با استفاده از کلید عمومی ( ارائه شده توسط کامپیوتر ارسال کننده ) ، کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید .

یکی از متداولترین ابزار "رمزنگاری کلید عمومی" ، روشی با نام PGP)Pretty Good Privacy) است .

با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.

o IPSec .

پروتکل IPsec)Internet protocol security protocol) ، یکی از امکانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات می باشد .

قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است .

پروتکل فوق دارای دو روش رمزنگاری است : Tunnel ، Transport .

در روش tunel ، هدر و Payload رمز شده درحالیکه در روش transport صرفا" payload رمز می گردد.

پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است : · روتر به روتر · فایروال به روتر · کامپیوتر به روتر · کامپیوتر به سرویس دهنده ?

سرویس دهنده AAA .

سرویس دهندگان( AAA : Authentication ,Authorization,Accounting) بمنظور ایجاد امنیت بالا در محیط های VPN از نوع " دستیابی از راه دور " استفاده می گردند.

زمانیکه کاربران با استفاده از خط تلفن به سیستم متصل می گردند ، سرویس دهنده AAA درخواست آنها را اخذ و عمایات زیر را انجام خواهد داد : · شما چه کسی هستید؟

( تایید ، Authentication ) · شما مجاز به انجام چه کاری هستید؟

( مجوز ، Authorization ) · چه کارهائی را انجام داده اید؟

( حسابداری ، Accounting ) تکنولوژی های VPN با توجه به نوع VPN ( " دستیابی از راه دور " و یا " سایت به سایت " ) ، بمنظور ایجاد شبکه از عناصر خاصی استفاده می گردد: · نرم افزارهای مربوط به کاربران از راه دور · سخت افزارهای اختصاصی نظیر یک " کانکتور VPN" و یا یک فایروال PIX · سرویس دهنده اختصاصی VPN بمنظور سرویُس های Dial-up · سرویس دهنده NAS که توسط مرکز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع "دستیابی از را دور" استفاده می شود.

· شبکه VPN و مرکز مدیریت سیاست ها با توجه به اینکه تاکنون یک استاندارد قابل قبول و عمومی بمنظور ایجاد شVPN ایجاد نشده است ، شرکت های متعدد هر یک اقدام به تولید محصولات اختصاصی خود نموده اند.

- کانکتور VPN .

سخت افزار فوق توسط شرکت سیسکو طراحی و عرضه شده است.

کانکتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه شده است .

در برخی از نمونه های دستگاه فوق امکان فعالیت همزمان 100 کاربر از راه دور و در برخی نمونه های دیگر تا 10.000 کاربر از راه دور قادر به اتصال به شبکه خواهند بود.

- روتر مختص VPN .

روتر فوق توسط شرکت سیسکو ارائه شده است .

این روتر دارای قابلیت های متعدد بمنظور استفاده در محیط های گوناگون است .

در طراحی روتر فوق شبکه های VPN نیز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه ای بهینه سازی شده اند.

- فایروال PIX .

فایروال PIX(Private Internet eXchange) قابلیت هائی نظیر NAT ، سرویس دهنده Proxy ، فیلتر نمودن بسته ای اطلاعاتی ، فایروال و VPN را در یک سخت افزار فراهم نموده است .

Tunneling( تونل سازی ) اکثر شبکه های VPN بمنظور ایجاد یک شبکه اختصاصی با قابلیت دستیابی از طریق اینترنت از امکان " Tunneling " استفاده می نمایند.

در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته و از طریق شبکه ارسال خواهد شد.

پروتکل مربوط به بسته اطلاعاتی خارجی ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی ) قابل فهم می باشد.

دو نقظه فوق را "اینترفیس های تونل " می گویند.

روش فوق مستلزم استفاده از سه پروتکل است : · پروتکل حمل کننده .

از پروتکل فوق شبکه حامل اطلاعات استفاده می نماید.

· پروتکل کپسوله سازی .

از پروتکل هائی نظیر: IPSec,L2F,PPTP,L2TP,GRE استفاده می گردد.

· پروتکل مسافر .

از پروتکل هائی نظیر IPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود.

با استفاده از روش Tunneling می توان عملیات جالبی را انجام داد.

مثلا" می توان از بسته ای اطلاعاتی که پروتکل اینترنت را حمایت نمی کند ( نظیر NetBeui) درون یک بسته اطلاعاتی IP استفاده و آن را از طریق اینترنت ارسال نمود و یا می توان یک بسته اطلاعاتی را که از یک آدرس IP غیر قابل روت ( اختصاصی ) استفاده می نماید ، درون یک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طریق اینترنت ارسال نمود.

در شبکه های VPN از نوع " سایت به سایت " ، GRE)generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده می گردد.

فرآیند فوق نحوه استقرار و بسته بندی " پروتکل مسافر" از طریق پروتکل " حمل کننده " برای انتقال را تبین می نماید.

( پروتکل حمل کننده ، عموما" IP است ) .

فرآیند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بین سرویس گیرنده و سرویس دهنده است .

در برخی موارد از پروتکل IPSec ( در حالت tunnel) برای کپسوله سازی استفاده می گردد.پروتکل IPSec ، قابل استفاده در دو نوع شبکه VPN ( سایت به یایت و دستیابی از راه دور ) است .

اینترفیش های Tunnel می بایست دارای امکانات حمایتی از IPSec باشند.

در شبکه های VPN از نوع " دستیابی از راه دور " ، Tunneling با استفاده از PPP انجام می گیرد.

PPP بعنوان حمل کننده سایر پروتکل های IP در زمان برقراری ارتباط بین یک سیستم میزبان و یک سیستم ازه دور ، مورد استفاده قرار می گیرد.

هر یک از پروتکل های زیر با استفاده از ساختار اولیه PPP ایجاد و توسط شبکه های VPN از نوع " دستیابی از راه دور " استفاده می گردند: - L2F)Layer 2 Forwarding) .

پروتکل فوق توسط سیسکو ایجاد شده است .

در پروتکل فوق از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ، استفاده شد ه است .

(PPTP)Point-to-Point Tunneling Protocol) .

پروتکل فوق توسط کنسرسیومی متشکل از شرکت های متفاوت ایجاد شده است .

این پروتکل امکان رمزنگاری 40 بیتی و 128 بیتی را دارا بوده و از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ، استفاده می نماید.

- L2TP)Layer 2 Tunneling Protocol) .

پروتکل فوق با همکاری چندین شرکت ایجاد شده است .پروتکل فوق از ویژگی های PPTP و L2F استفاده کرده است .

پروتکل L2TP بصورت کامل IPSec را حمایت می کند.

از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می گردد : · سرویس گیرنده و روتر · NAS و روتر · روتر و روتر عملکرد Tunneling مشابه حمل یک کامپیوتر توسط یک کامیون است .

فروشنده ، پس از بسته بندی کامپیوتر ( پروتکل مسافر ) درون یک جعبه ( پروتکل کپسوله سازی ) آن را توسط یک کامیون ( پروتکل حمل کننده ) از انبار خود ( ایترفیس ورودی تونل ) برای متقاضی ارسال می دارد.

کامیون ( پروتکل حمل کننده ) از طریق بزرگراه ( اینترنت ) مسیر خود را طی ، تا به منزل شما ( اینترفیش خروجی تونل ) برسد.

شما در منزل جعبه ( پروتکل کپسول سازی ) را باز و کامپیوتر ( پروتکل مسافر) را از آن خارج می نمائید.

Top of Form امتیاز: / 2 بدعالی Bottom of Form VPN چیست؟

شبکه خصوصی مجازی یا Virtual Private Network که به اختصار VPN نامیده می شود، امکانی است برای انتقال ترافیک خصوصی بر روی شبکه عمومی.

معمولا از VPN برای اتصال دو شبکه خصوصی از طریق یک شبکه عمومی مانند اینترنت استفاده می شود.منظور از یک شبکه خصوصی شبکه ای است که بطور آزاد در اختیار و دسترس عموم نیست.

VPN به این دلیل مجازی نامیده می شود که از نظر دو شبکه خصوصی ، ارتباط از طریق یک ارتباط و شبکه خصوصی بین آنها برقرار است اما در واقع شبکه عمومی این کار را انجام می دهد.

پیاده سازی VPN معمولا اتصال دو یا چند شبکه خصوصی از طریق یک تونل رمزشده انجام می شود.

در واقع به این وسیله اطلاعات در حال تبادل بر روی شبکه عمومی از دید سایر کاربران محفوظ می ماند.

VPN را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم کرد.

دسته بندی VPN براساس رمزنگاری VPN را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم کرد: 1- VPNرمزشده : VPN های رمز شده از انواع مکانیزمهای رمزنگاری برای انتقال امن اطلاعات بر روی شبکه عمومی استفاده می کنند.

یک نمونه خوب از این VPN ها ، شبکه های خصوصی مجازی اجرا شده به کمک IPSec هستند.

2- VPN رمزنشده : این نوع از VPN برای اتصال دو یا چند شبکه خصوصی با هدف استفاده از منابع شبکه یکدیگر ایجاد می شود.

اما امنیت اطلاعات در حال تبادل حائز اهمیت نیست یا این که این امنیت با روش دیگری غیر از رمزنگاری تامین می شود.

یکی از این روشها تفکیک مسیریابی است.

منظور از تفکیک مسیریابی آن است که تنها اطلاعات در حال تبادل بین دو شبکه خصوصی به هر یک از آنها مسیر دهی می شوند.

(MPLS VPN) در این مواقع می توان در لایه های بالاتر از رمزنگاری مانند SSL استفاده کرد.

هر دو روش ذکر شده می توانند با توجه به سیاست امنیتی مورد نظر ، امنیت مناسبی را برای مجموعه به ارمغان بیاورند، اما معمولا VPN های رمز شده برای ایجاد VPN امن به کار می روند.

سایر انواع VPN مانند MPLS VPN بستگی به امنیت و جامعیت عملیات مسیریابی دارند.

دسته بندی VPN براساس لایه پیاده سازی VPN بر اساس لایه مدل OSI که در آن پیاده سازی شده اند نیز قابل دسته بندی هستند.

این موضوع از اهمیت خاصی برخوردار است.

برای مثال در VPN های رمز شده ، لایه ای که در آن رمزنگاری انجام می شود در حجم ترافیک رمز شده تاثیر دارد.

همچنین سطح شفافیت VPN برای کاربران آن نیز با توجه به لایه پیاده سازی مطرح می شود.

1- VPN لایه پیوند داده : با استفاده از VPN های لایه پیوند داده می توان دو شبکه خصوصی را در لایه 2 مدل OSI با استفاده از پروتکلهایی مانند ATM یا Frame Relay به هم متصل کرد.با وجودی که این مکانیزم راه حل مناسبی به نظر می رسد اما معمولا روش ارزنی نیست چون نیاز به یک مسیر اختصاصی لایه 2 دارد.

پروتکلهای Frame Relay و ATM مکانیزمهای رمزنگاری را تامین نمی کنند.

آنها فقط به ترافیک اجازه می دهند تا بسته به آن که به کدام اتصال لایه 2 تعلق دارد ، تفکیک شود.

بنابراین اگر به امنیت بیشتری نیاز دارید باید مکانیزمهای رمزنگاری مناسبی را به کار بگیرید.

2- VPN لایه شبکه : این سری از VPN ها با استفاده از tunneling لایه 3 و/یا تکنیکهای رمزنگاری استفاده می کنند.

برای مثال می توان به IPSec Tunneling و پروتکل رمزنگاری برای ایجاد VPN اشاره کرد.مثالهای دیگر پروتکلهای GRE و L2TP هستند.

جالب است اشاره کنیم که L2TP در ترافیک لایه 2 تونل می زند اما از لایه 3 برای این کار استفاده می کند.

بنابراین در VPN های لایه شبکه قرار می گیرد.

این لایه برای انجام رمزنگاری نیز بسیار مناسب است.

در بخشهای بعدی این گزارش به این سری از VPN ها به طور مشروح خواهیم پرداخت.

3- VPN لایه کاربرد : این VPN ها برای کار با برنامه های کاربردی خاص ایجاد شده اند.

VPN های مبتنی بر SSL از مثالهای خوب برای این نوع از VPN هستند.

SSL رمزنگاری را بین مرورگر وب و سروری که SSL را اجرا می کند، تامین می کند.SSH مثال دیگری برای این نوع از VPN ها است.SSH به عنوان یک مکانیزم امن و رمز شده برای login به اجزای مختلف شبکه شناخته می شود.

مشکل VPNها در این لایه آن است که هرچه خدمات و برنامه های جدیدی اضافه می شوند ، پشتیبانی آنها در VPN نیز باید اضافه شود.

دسته بندی VPN براساس کارکرد تجاری VPN را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند.

این اهداف تجاری تقسیم بندی جدیدی را برای VPN بنا می کنند.

1- VPN اینترانتی : این سری از VPN ها دو یا چند شبکه خصوصی را در درون یک سازمان به هم متصل می کنند.

این نوع از VPN زمانی معنا می کند که می خواهیم شعب یا دفاتر یک سازمان در نقاط دوردست را به مرکز آن متصل کنیم و یک شبکه امن بین آنها برقرار کنیم.

2- VPN اکسترانتی : این سری از VPN ها برای اتصال دو یا چند شبکه خصوصی از دو یا چند سازمان به کار می روند.

از این نوع VPN معمولا برای سناریوهای B2B که در آن دو شرکت می خواهند به ارتباطات تجاری با یکدیگر بپردازند، استفاده می شود.

خوب اما VPN چیست؟

VPN مخفف عبارت Virtual Private Network است که به معنی شبکه مجازی محرمانه و شخصی می باشد .

در این نوع اتصال شما بواسطه ی یک سرور و شبکه (مانند ISP) به یک سرور دیگر متصل میشوید .

که معمولا” از این سرویس در شبکه جهانی اینترنت استفاده میشود .

مهمترین مزیت این سرویس امنیت بالای شبکه است .

طرز استفاده از این سیستم همانند اشتراک اینترنت معمولی دیال آپ میباشد با این تفاوت که به جای شماره تلفن ISP باید IP سرور را وارد نمایید .

IPSec چیست ؟

IPSec بسته های TCP/IP را در طول مسیر رمز میکند اگر با ویندوز 2000 بصورت جدی کار کرده باشید، حتما" متوجه شدید که یکی از مزایای خوب آن وجود پروتکلی بنام IPSec در آن است.

این پروتکل برای این منظور طراحی شده که بتواند بسته (Packet) های اطلاعاتی TCP/IP را توسط کلید عمومی ( همان روش PKC) رمز کند تا در طول مسیر، امکان استفاده غیر مجاز از آنها وجود نداشته باشد.

به بیان دیگر کامپیوتر مبدا" بسته اطلاعاتی TCP/IP عادی را بصورت یک بسته اطلاعاتی IPSec بسته بندی (Encapsulate) می کند و برای کامپیوتر مقصد ارسال میکند.

این بسته تا زمانی که به مقصد برسد رمز شده است و طبیعتا" کسی نمی تواند از محتوای آنها اطلاع بدست آورد.

باوجود آنکه بنظر سیستم ساده ای می آید اما باید راجع به آن مطالب بیشتری بدانید.

بدیهی ترین نکته آن است که استفاده از این پروتکل زمان نقل و انتقال اطلاعات را بیشتر می کند چرا که هم حجم اطلاعات بیشتر می شود و هم زمانی برای رمز کردن و رمزگشایی.

بنابراین بهتر آن است که جز در موارد خاص که علاقه ندارید کسی در شبکه فعالیت های شما را متوجه شود از این پروتکل استفاده کنید.

بخصوص که شما می توانید با تعریف سیاست هایی به Windows بگویید که در چه مواردی از آن استفاده کند و در چه مواردی نه.

IPSec Policy شما می توانید با دادن یک سری دستورالعمل ها به Windows، او را تعلیم دهید که تحت چه شرایطی از IPSec استفاده کند.

تحت این شرایط شما در واقع مشخص می کنید که ترافیک کدام گروه از IP ها باید توسط IPSec انجام شود و کدامیک نشود برای این منظور معمولا" از روش فیلتر کردن IP استفاده می شود.

فهرست خاصی از IP های فیلتر شده که شما تهیه می کنید می تواند مرجعی برای استفاده از پروتکل IPSec برای ویندوز باشد.

بدیهی است برای انجام اینکار علاوه بر آشنایی با ویندوز، شما باید تا اندازه ای با شبکه ای که به آن متصل هستید آشنا بوده و اطلاعات اولیه ای را داشته باشید.

برای این منظور باید از کنسول مدیریتی ویندزو (Microsoft Management Console) استفاده کرده و از snap-in های مربوط به IPSec برای تعریف سیاست های نامبرده شده استفاده کنید.

شبکه های vpn قسمت دوم 22 خرداد 1385 ساعت 23:42شبکه جهانی اینترنت بخش حیاتی و غیرقابل تفکیک جامعه جهانی است.

در واقع شبکه اینترنت ستون فقرات ارتباطات کامپیوتری جهانی در دهه 1990 است زیرا اساسا به تدریج بیشتر شبکه ها را به هم متصل کرده است.در حال حاضر رفته رفته تفکرات منطقه ای و محلی حاکم بر فعالیت های تجاری جای خود را به تفکرات جهانی و سراسری داده اند.

تمام سازمانهای فوق قبل از هر چیز بدنبال یک اصل بسیار مهم می باشند : یک روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا است.

بدین منظوربایستی یک شبکه‏‏‌ی گسترده‏ی خصوصی بین شعب این شرکت ایجاد گردد.

شبکه‏‌های اینترنت که فقط محدود به یک سازمان یا یک شرکت می‏باشند، به دلیل محدودیت‌های گسترشی نمی‏توانند چندین سازمان یا شرکت را تحت پوشش قرار دهند.

شبکه‏‌های گسترده نیز که با خطوط استیجاری راه‌‏اندازی می‏شوند، در واقع شبکه‏‌های گسترده‏ی امنی هستند که بین مراکز سازمان‌ها ایجاد می‏شوند.

پیاده‌‏سازی این شبکه‏‌ها نیاز به هزینه‌ زیادی دارد راه‌ حل غلبه بر این مشکلات، راه‌اندازی یک VPN است.

مقدمه VPN در یک تعریف کوتاه شبکه‌ای از مدارهای مجازی برای انتقال ترافیک شخصی است.

در واقع پیاده‌‏سازی شبکه‌ی خصوصی یک شرکت یا سازمان را روی یک شبکه عمومی، VPN گویند.

شبکه‏‌های رایانه‏ای به شکل گسترده‏ای در سازمان‏ها و شرکت‏های اداری و تجاری مورد استفاده قرار می‏گیرند.

اگر یک شرکت از نظر جغرافیایی در یک نقطه متمرکز باشد، ارتباطات بین بخش‏های مختلف آن‌را می‌توان با یک شبکه‏‏‌ی محلی برقرار کرد.

اما برای یک شرکت بزرگ که دارای شعب مختلف در نقاط مختلف یک کشور و یا در نقاط مختلف دنیا است و این شعب نیاز دارند که با هم ارتباطاتِ اطلاعاتیِ امن داشته‏ باشند، بایستی یک شبکه‏‏‌ی گسترده‏ی خصوصی بین شعب این شرکت ایجاد گردد.

شبکه‏‌های اینترانت که فقط محدود به یک سازمان یا یک شرکت می‏باشند، به دلیل محدودیت‌های گسترشی نمی‏توانند چندین سازمان یا شرکت را تحت پوشش قرار دهند.

پیاده‌‏سازی این شبکه‏‌ها علی‏رغم درصد پایین بهره‌وری، نیاز به هزینه‌ زیادی دارد.

زیرا، این‏ شبکه‏‌ها به دلیل عدم اشتراک منابع با دیگران، هزینه‏ مواقع عدم استفاده از منابع را نیز بایستی پرداخت کنند.

راه‌حل غلبه بر این مشکلات، راه‌اندازی یک VPN است.

فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلا” در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است .

انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است .استفاده از FTP هم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلا” قابل اطمینان نیست .

یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم ، پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود .

از این گذشته ، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است .

اما اگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد .

در این حالت ، کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند .

به این ترتیب بسیاری از راه های خرابکاری برای نفوذ کنندگان بسته می شود .

شبکه های شخصی مجازی یا( VPN ( Virtual private Networkها اینگونه مشکلات را حل میکند .

VPN به کمک رمز گذاری روی داده ها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود .

مدیران شبکه ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند .

اگر چه نفوذ کنندگان می توانند به کمک برنامه های Packet snifter جریان داده ها را دنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند.

یک مثال : فرض نمائید درجزیره ای در اقیانوسی بزرگ، زندگی می کنید.

برخی از جزایر نزدیک و برخی دیگر دارای مسافت طولانی با جزیره شما میباشند متداولترین روش بمنظور مسافرت به جزیره دیگر، استفاده از یک کشتی مسافربری است مسافرت با کشتی مسافربری ، بمنزله عدم وجود امنیت است .

در این راستا هر کاری را که شما انجام دهید،توسط سایر مسافرین قابل مشاهده خواهد بود.فرض کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی(LAN) و اقیانوس مانند اینترنت باشند.

مسافرت با یک کشتی مسافربری مشابه برقراری ارتباط با یک سرویس دهنده وب و یا سایر دستگاه‌های موجود در اینترنت است.شما دارای هیچگونه کنترلی بر روی کابل ها و روترهای موجود در اینترنت نمیباشید.(مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در کشتی ) .در صورتیکه تمایل به ارتباط بین دو شبکه اختصاصی از طریق منابع عمومی وجود داشته باشد، اولین مسئله ای که با چالش های جدی برخورد خواهد کرد، امنیت خواهد بود.

فرض کنید، جزیره شما قصد ایجاد یک پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یک روش ایمن ، ساده و مستقیم برای مسافرت ساکنین جزیره شما به جزیره دیگر را فراهم می آورد.

اما ایجاد و نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.(حتی اگر جزایر در مجاورت یکدیگر باشند).با توجه به ضرورت و حساسیت مربوط به داشتن یک مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است.

وضعیت فوق ، نظیر استفاده از یک اختصاصی Leased است.

ماهیت پل های ارتباطی(خطوط اختصاصی) از اقیانوس (اینترنت) متفاوت بوده و کماکان قادر به ارتباط جزایر شبکه های( LAN) خواهند بود.

در صورتیکه مسافت ادارات و یا شعب یک سازمان از یکدیگر بسیار دور باشد ، هزینه مربوط به برقرای ارتباط نیز افزایش خواهد یافت با توجه به موارد گفته شده ، چه ضرورتی بمنظور استفاده از VPN وجود داشته و VPN تامین کننده ، کدامیک از اهداف و خواسته های مورد نظر است ؟

زیردریائی فوق دارای خصایص متفاوت نظیر : - دارای سرعت بالا است .

- هدایت آن ساده است .

- قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و کشتی ها است .

- قابل اعتماد است .

- پس از تامین اولین زیردریائی ، افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود - در مدل فوق ، با وجود ترافیک در اقیانوس ، هر یک از ساکنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می‌باشند مثال فوق دقیقا" بیانگر تحوه عملکرد VPN است .

توسعه یک VPN افزایش تعداد کاربران از راه دور و یا افزایش مکان های مورد نظر ) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند.

قابلیت توسعه فراگیر از مهمترین ویژگی های یک VPN نسبت به خطوط اختصاصی است .

معایب ومزایا با توجه به اینکه در یک شبکه VPN به عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبکه و سیاست ها نیاز خواهد بود.

استفاده از VPN برای یک سازمان دارای مزایای متعددی مانند : ● گسترش محدوه جغرافیائی ارتباطی ● بهبود وضعیت امنیت ● کاهش هزینه های عملیاتی در مقایسه با روش های سنتی نظیر WAN ● کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ● بهبود بهره وری ● توپولوژی آسان ،...

برخی از جوانب منفی شبکه سازی اینترنتی به این شرح است : ● شک نسبت به اطلاعات دریافت شده ● استفاده از منابع غیرموثق ● تفسیر بد از اطلاعات رسیده ● سرقت ایده ها ● نبود مهارتهای حرفه ای در کار با اطلاعات ● فروش اطلاعات یا استفاده نابجای از اطلاعات ● عدم اطمینان از کارایی سرویس و تأخیر در ارتباطات VPN نسبت به شبکه‏‌های پیاده‌‏سازی شده با خطوط استیجاری، در پیاده‌‏سازی و استفاده، هزینه کمتری صرف می‏کند.

اضافه وکم کردن گره‌ها یا شبکه‌های محلی به VPN، به خاطر ساختار آن، با هزینه‌ کمتری امکان‏پذیر است.

در صورت نیاز به تغییر همبندی شبکه‌ی خصوصی، نیازی به راه‌‏اندازی مجدد فیزیکی شبکه نیست و به صورت نرم‏افزاری، همبندی شبکه قابل تغییر است.

تونل کشی مجازی بودن در VPN به این معناست که شبکه‏‌های محلی و میزبان‏های متعلق به عناصر اطلاعاتی یک شرکت که در نقاط مختلف از نظر جغرافیایی قرار دارند، همدیگر را ببینند و این فاصله‏‌ها را حس نکنند.

VPNها برای پیاده‌‏سازی این خصوصیت از مفهومی به نام تونل‌‏کشی(tunneling)استفاده می‏کنند.

در تونل‌‏کشی، بین تمامی عناصر مختلف یک VPN، تونل ‏زده می‏شود.

از طریق این تونل، عناصر به صورت شفاف همدیگر را می‏بینند در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته و از طریق شبکه ارسال خواهد شد.

پروتکل مربوط به بسته اطلاعاتی خارجی ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی )قابل فهم میباشد.

دو نقطه فوق را "اینترفیس های تونل " می گویند.

روش فوق مستلزم استفاده از سه پروتکل است : ● پروتکل حمل کننده : از پروتکل فوق شبکه حامل اطلاعات استفاده می نماید.

● پروتکل کپسوله سازی: از پروتکل هائی نظیر: IPSec,L2F,PPTP,L2TP,GRE استفاده میگردد.

پروتکل مسافر: از پروتکل هائی نظیر IPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود.

مفهوم تونل کشی در VPN برای تونل‌‏کشی بین عناصر یک VPN از مفهومی به نام Encapsulation لفافه‏بندی بسته‏‌های اطلاعاتی استفاده می‏شود.

تمام عناصر یک VPN دارای آدرس‏های اختصاصی هستند.

همه این عناصر از آدرس‏های اختصاصی یکدیگر مطلعند و هنگام ارسال داده بین یکدیگر از این آدرس‏ها استفاده می‏کنند.

این وظیفه‏ی یک VPN است که بسته‏‌های اطلاعاتی را در بسته‏‌های انتقالی روی شبکه عمومی لفافه‏بندی کند و پس از انتقال امن از محیط ارتباط عمومی، آن بسته‏‌ها را از حالت لفافه‏بندی خارج نموده و با توجه به آدرس قبل از لفافه‏بندی، بسته‏‌ها را به عنصر گیرنده برساند.

به این‌ ترتیب ایجاد VPN بر روی یک شبکه‏‏‌ی عمومی، با پیاده‌‏سازی دو جنبه‏ی خصوصی‏گری و مجازی‏گری امکان‏پذیر است.

عملکرد Tunneling مشابه حمل یک کامپیوتر توسط یک کامیون است .

مثلا" می توان از بسته ای اطلاعاتی که پروتکل اینترنت را حمایت نمی کندنظیر (NetBeui) درون یک بسته اطلاعاتی IP استفاده و آن را از طریق اینترنت ارسال نمود و یا می‌توان یک بسته اطلاعاتی را که از یک آدرس IP غیر قابل رویت ( اختصاصی ) استفاده می نماید ، درون یک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طریق اینترنت ارسال نمود.

امنیت در VPN خصوصی بودن یک VPN بدین معناست که بسته‏‌ها به صورت امن از یک شبکه‏‏‌ی عمومی مثل اینترنت عبور نمایند.

برای محقق شدن این امر در محیط واقعی از: هویت‏شناسی بسته‏‌ها، برای اطمینان از ارسال بسته‏‌ها به ‏وسیله یک فرستنده‌ی مجاز استفاده می‏شود.

فایروال .

رمزنگاری : فرآیندی است که با استفاده از آن کامپیوتر مبداء اطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید.

سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم می گردد : ● رمزنگاری کلید متقارن ● رمزنگاری کلید عمومی در رمز نگاری " کلید متقارن " هر یک از کامپیوترها دارای یک کلید Secret (کد) بوده که با استفاده از آن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپیوتر دیگر می باشند.

بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرف A به حرف C ، حرف B به حرف( D پس از رمزنمودن پیام و ارسال آن، میبایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام لرسال شده ، هر حرف به دو حرق قبل از خود می بایست تبدیل گردد.

در چنین حالتی می بایست به دوست امین خود ، واقعیت فوق ( کلید رمز ) گفته شود.

با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.در جدول ذیل می توان این مراحل را بررسی نمود: معماری‌های VPN شبکه‏‏‌ی محلی-به-شبکه‌ی محلی: تبادل اطلاعات به صورت امن، بین دو شعبه‏ی مختلف از یک سازمان می‏تواند از طریق شبکه عمومی و به صورت مجازی، به فرم شبکه‏‏‌ی محلی-به-شبکه‌ی محلی صورت گیرد.

هدف از این نوع معماری، این است که تمامی رایانه‏‌های متصل به شبکه‏‌های محلیِ مختلفِ موجود در یک سازمان، که ممکن است از نظر مسافت بسیار از هم دور باشند، به صورت مجازی، به صورت یک شبکه محلی دیده شوند و تمامی رایانه‏‌های موجود در این شبکه‏‏‌ی محلی مجازی بتوانند به تمامی اطلاعات و کارگزارها دسترسی داشته باشند و از امکانات یکدیگر استفاده نمایند.

در این معماری، هر رایانه تمامی رایانه‏‌های موجود در شبکه‏‏‌ی محلی مجازی را به صورت شفاف مشاهده می‏‏نماید و قادر است از آنها استفاده‏ی عملیاتی و اطلاعاتی نماید.

تمامی میزبان‏های این شبکه‏‏‌ی مجازی دارای آدرسی مشابه میزبان‏های یک شبکه‏‏‌ی محلی واقعی هستند.

شبکه‏‏‌ی محلی-به-شبکه‌ی محلی مبتنی بر اینترانت : در صورتیکه سازمانی دارای یک و یا بیش از یک محل ( راه دور) بوده و تمایل به الحاق آنها در یک شبکه اختصاصی باشد ، می توان یک اینترانت VPN را بمنظور برقرای ارتباط هر یک از شبکه های محلی با یکدیگر ایجاد نمود.

شبکه‏‏‌ی محلی-به-شبکه‌ی محلی مبتنی بر اکسترانت : در مواردیکه سازمانی در تعامل اطلاعاتی بسیار نزدیک با سازمان دیگر باشد ، می توان یک اکسترانت VPN را بمنظور ارتباط شبکه های محلی هر یک از سازمانها ایجاد کرد.

● میزبان-به-شبکه‏‏‌ی محلی: حالت خاص معماری شبکه‏‏‌ی محلی-به-شبکه‌ی محلی، ساختار میزبان-به-شبکه‏‏‌ی محلی است که در آن، یک کاربر مجاز (مانند مدیر شرکت که از راه دور کارهای اداری و مدیریتی را کنترل می کند و یا نماینده‏ی فروش شرکت که با شرکت ارتباط برقرار کرده و معاملات را انجام می‏دهد) می‏خواهد از راه دور با یک شبکه محلی که پردازشگر اطلاعات خصوصی یک شرکت است و با پایگاه داده‌ی شرکت در تماس مستقیم است، ارتباط امن برقرار نماید.

در این ارتباط در واقع میزبان راه دور به عنوان عضوی از شبکه‏‏‌ی محلی شرکت محسوب می‏شود که قادر است از اطلاعات و کارگزارهای موجود در آن شبکه محلی استفاده نماید.

از آن‌جا که این یک ارتباط دوطرفه نیست، پس میزبان‏های آن شبکه محلی، نیازی به برقراری ارتباط با میزبان راه دور ندارند.

در صورت نیاز به برقراری ارتباط شبکه‏‏‌ی محلی با میزبان راه دور، باید همان حالت معماری شبکه‏ی‏ محلی-به-‏شبکه‏ی‏ محلی پیاده‌‏سازی شود.

در این معماری برقراری ارتباط همواره از سوی میزبان راه دور انجام می‏شود.

سازمانهائی که تمایل به برپاسازی یک شبکه بزرگ " دستیابی از راه دور " می باشند ، می بایست از امکانات یک مرکز ارائه دهنده خدمات اینترنت جهانی ISP(Internet service provider) استفاده نمایند.

سرویس دهنده ISP ، بمنظور نصب و پیکربندیVPN ، یک NAS(Network access server) را پیکربندی و نرم افزاری را در اختیار کاربران از راه دور بمنظور ارتباط با سایت قرار خواهد داد.

میزبان-به-میزبان: معماری دیگری که وجود دارد، ساختار میزبان-به-میزبان می‏باشد.

در این معماری، دو میزبان با هم ارتباط امن دارند.

بدلیل تفاوت‏های این معماری با دو معماری فوق (مناسب بودن این همبندی برای ارتباطات شخصی و نه شرکتی، برقراری ارتباط یک میزبان با اینترنت بدون دیواره‌ی آتش و قرار نگرفتن یک شبکه‏‏‌ی محلی پشت یک دیواره‌ی آتش) این معماری استفاده‏ی عملیاتی و تجاری کمتری دارد.

تکنولوژی های VPN با توجه به نوع) VPN "دستیابی از راه دور " و یا " سایت به سایت " ) ، بمنظور ایجاد شبکه از عناصر خاصی استفاده می گردد: - نرم افزارهای مربوط به کاربران از راه دور - سخت افزارهای اختصاصی نظیر یک " کانکتور VPN" و یا یک فایروال PIX - سرویس دهنده اختصاصی VPN بمنظور سرویُس های Dial-up - سرویس دهنده NAS که توسط مرکز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع "دستیابی از را دور" استفاده می شود.

- در طراحی روتر فوق شبکه های VPN نیز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه ای بهینه سازی شده اند.

فایروال PIX(Private Internet exchange) قابلیت هائی نظیرNAT، سرویس دهنده Proxy ، فیلتر نمودن بسته ای اطلاعاتی، فایروال وVPN را در یک سخت افزار فراهم نموده است - با توجه به اینکه تاکنون یک استاندارد قابل قبول و عمومی بمنظور ایجاد شVPN ایجاد نشده است ، شرکت های متعدد هر یک اقدام به تولید محصولات اختصاصی خود نموده اند.

قراردادهای موجود در پیاده‌سازی VPN o رده‏ی بسته‏گرا Packet Oriented لفافه‏بندی روی بسته‏‌ها اِعمال می‏شود.

اکثر پیاده‏سازی‏های تجاری و غیرتجاری VPN، بسته‏گرا می‏باشند.

این قرارداد از قرارداد PPP برای بسته‏بندی اطلاعات استفاده می‏نماید.

این نوع قراردادها در مدل استاندارد لایه‏بندی شبکه‏‏‌ی OSI، در سطح لایه‏‌های دوم و سوم قرار دارند.

بنابراین، امکان تونل‌‏کشی برای دسترسی راه دور وجود دارد.

رده‏‌ی کاربردگرا Application Oriented در قراردادهای کاربردگرا، اعمال رمزنگاری اطلاعات و هویت‏شناسی کاربران انجام می‏شود.

این نوع قراردادها در مدل پشته‏ای شبکه‏‏‌ی OSI در لایه‏‌های چهارم به بالا قرار دارند و چون آدرس‏دهی شبکه‏‌ها و میزبان‏ها در لایه‏ی سومِ مدلِ پشته‏ای شبکه‏‏‌ی OSI امکان‏پذیر است، این نوع قراردادها امکان تونل‌‏کشی بین میزبان و شبکه‏‏‌ی محلی یا بین دو شبکه‏‏‌ی محلی را فراهم نمیکنند.

با توجه به عدم امکان تونل‌‏کشی در قراردادهای این رده، توانایی ایجاد شبکه‏‌های مجازی در قراردادهای این رده وجود ندارد و از این قراردادها برای ایجاد شبکه‏‌های خصوصی استفاده می‏شود.

البته می‏توان برای مخفی‏سازی آدرس‏های شبکه‏‏‌ی محلی، از امکان ترجمه‏ی آدرس شبکه(NAT) که در اکثر دیواره‌های آتش وجود دارد، استفاده نمود.

با این روش می‏توان بعضی از قابلیت‏های تونل‌‏کشی را برای قراردادهای VPN کاربردگرا ایجاد کرد.

قراردادهای کاربردگرای VPN قراردادهای:SSH کاربرد اصلی قرارداد SSH، امن نمودن خدمت ارتباط از راه دور است.

این قرارداد در لایه‌ی کاربرد و بالاتر از قرارداد TCP/IP کار می‏کند.

SSH قابلیت هویت‏شناسی کاربران ورمزنگاری اطلاعات را دارد.

قرارداد SSH دارای سه لایه‌ی اصلی انتقال، هویت‌شناسی کاربر و اتصال می‏باشد.

لایه‌ی انتقال، وظیفه‏ی فراهم آوردن امنیت و هویت‌شناسی کارگزار را به‌عهده دارد.

به علت قرار گرفتن این لایه بر روی لایه‏ی TCP و همچنین وجود حفره‌ی امنیتی در لایه‏‌های TCP و IP، امنیت در ارتباط بین دو کامپیوتر از بین خواهد رفت، که می‏توان با قرار دادن دیواره‌ی آتش بر روی آن، این مشکل را به نوعی حل نمود.

لایه‏ی هویت‌شناسی کاربر، وظیفه‏ی شناساندن کارفرما به کارگزار را به عهده دارد.

لایه‏ی اتصال وظیفه‏ی تسهیم و ایجاد کانال‌های امن لایه‎های انتقال و هویت‏شناسی را بر عهده دارد.

از قرارداد SSH می‏توان برای پیاده‌‏سازی شبکه‏‌های خصوصی که حالت خاصی از VPNها هستند، استفاده نمود.

قرار داد SOCKS قرارداد SOCKS در مدل لایه‏بندی شبکه OSI درلایه‌ی پنجم بصورت کارفرما و کارگزار پیاده‌‏سازی شده است این قرارداد دارای امکان رمزنگاری اطلاعات نیست ولی بدلیل داشتن امکان هویت‏شناسی چند سطحی و امکان مذاکره بین کارفرما وکارگزار SOCKS(Negotiate Capability)، می‏توان از آن برای پیاده‌‏سازی قراردادهای رمزنگاری موجود، از آن استفاده نمود.

SOCKS، به صورت Circuit-Level Proxy پیاده سازی شده است.

یعنی، کارفرما و کارگزار SOCKS در دروازه‏‌های دو شبکه محلی، اعمال هویت‏شناسی و مذاکره‏‌های لازم را انجام می‏دهند و سپس ارتباطات میزبان‏های دو شبکه‏ محلی با یکدیگر انجام می‏شود.

چون کارفرمای SOCKS مثل یک Proxy عمل می‏نماید، می‏توان برای امنیت بیشتر، به میزبان‏های شبکه‌ی محلی، آدرس‌های نامعتبر اختصاص داد و با ترجمه آدرس شبکه (NAT) که در کارگزار SOCKS انجام می‏شود، این آدرس‌های نامعتبر را به آدرس معتبر و بالعکس تبدیل نمود.

با این روش می‌توان شبکه محلی را از یک شبکه عمومی مخفی نمود.

قراردادهای رده‏ی بسته‏گرای VPN Simple Key Management for Internet Protocol SKIP : یک قرارداد مدیریت کلید است ولی با توجه به اینکه این قرارداد امکانات تونل‌‏کشی را نیز ارائه می‏دهد، می‏توان آن‌را به عنوان یک قرارداد پیاده‌‏سازی VPN در نظر گرفت.

این قرارداد در سطح لایه‏ی سوم OSI کار می‏کند.

Layer 2 Tunneling Protocol L2TP: یک مکانیزم تونل‌‏کشی است که از ترکیب مکانیزم‏های PPTP وL2F به منظور بهره‌وری از محاسن هر دو قرارداد به‏ وجود آمده است و از قرارداد PPP برای بسته‏بندی اطلاعات استفاده می‌کند.

از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می گردد : ● سرویس گیرنده و روتر ● NAS و روتر ● روتر و روتر Layer Two Filtering L2F : این قرارداد مانند PPTP یک قرارداد تونل‌‏کشی در لایه‏ی دوم است که توسط شرکت Cisco ارائه شده و بوسیله‏ی بعضی از شرکت‏ها نظیر Telecom حمایت می‌شود.

Point to Point Tunneling Protocol PPTP: یک مکانیزم تونل‌‏کشی نقطه‌ به نقطه است که برای دسترسی راه دور به کارگزار سخت‏افزاری Ascend و ویندوز NT طراحی شده است.در این قراداد، امکان رمزنگاری و هویت‏شناسی پیش‏بینی نشده و ازقرارداد PPPبرای بسته‏بندی اطلاعات استفاده می‏شود.قراردادPPP ارتباط تلفنی یک میزبان به شبکه‏‏‌ی محلی را فراهم می‏آورد و وظیفه‏ی لایه‏ی پیوند داده و لایه‌ی فیزیکی را هنگام ارتباط تلفنی میزبان به فراهم آورنده‏‏‏ی سرویس اینترنت(ISP)، انجام می‏دهد قراردادPPTP در کاربردهای کوچک و کاربردهایی که نیاز به امنیت خیلی بالایی ندارند، استفاده می‏شود.راه‌‏اندازیVPN با استفاده از قرارداد PPTP در این محیط‏ها کم‏هزینه و مقرون بصرفه است.

قرارداد PPTP دارای قابلیت پیاده‌‏سازیVPN شبکه‏‏‏ی ‏محلی-به‏شبکه‏‏‌ی محلی نیز میباشد این پروتکل امکان رمزنگاری 40 بیتی و 128 بیتی را دارا بوده و از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ، استفاده می نماید.

Ipsec IP Security protocol : Ipsec برخلافPPTP و L2TP روی لایه شبکه یعنی لایه سوم کار می کند .

این پروتکل داده هایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می فرستد .

کامپیوتری که در آن سو قرار دارد IP Header را جدا کرده ، داده ها را رمز گشایی کرده و آن را به کامپیوتر مقصد می فرستد .Ipsec را می توان با دو شیوه Tunneling پیکر بندی کرد .

در این شیوه انتخاب اختیاری تونل ، سرویس گیرنده نخست یک ارتباط معمولی با اینترنت برقرار می کند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده می کند .

برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل تونل نصب شده باشد .

معمولا” کاربر اینترنت است که به اینترنت وصل می شود .

اما کامپیوترهای درون LAN هم می توانند یک ارتباط VPN برقرا کنند .

از آنجا که ارتباط IP از پیش موجود است تنها برقرار کردن ارتباط VPN کافی است .

در شیوه تونل اجباری ، سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار به عهده فراهم ساز (Service provider ) است .

سرویس گیرنده تنها باید به ISP وصل شود .

تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد .

البته برای این کار باید همانگی های لازم با ISP انجام بگیرد .ٍ ویژگی های امنیتی در IPsec Ipsec از طریق (Authentication Header) AH مطمئن می شود که Packet های دریافتی از سوی فرستنده واقعی ( و نه از سوی یک نفوذ کننده که قصد رخنه دارد ) رسیده و محتویات شان تغییر نکرده .

AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی (Sequence Number ) در خود دارد تا از حملات Replay جلوگیری کند .

اما AH رمز گذاری نمی شود .

رمز گذاری از طریق Encapsulation) Security Header) ESH انجام می گیرد .

در این شیوه داده های اصلی رمز گذاری شده و VPN اطلاعاتی را از طریق ESH ارسال می کند .

ESH همچنین کارکرد هایی برای تعیین اعتبار و خطایابی دارد .

به این ترتیب دیگر به AH نیازی نیست .

برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IEEE برای حفظ سازگاری میان محصولات مختلف ، الگوریتم های اجباری برای پیاده سازی Ipsec تدارک دیده .

برای نمونه می توان به MD5 ، DES یا Secure Hash Algorithm اشاره کرد .

مهمترین استانداردها و روش هایی که در Ipsec به کار می روند عبارتند از : Daffier - Hellmann برای مبادله کلید ها میان ایستگاه های دو سر ارتباط .

رمز گذاری Public Key برای ثبت و اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاه های سهیم در ارتباط .

الگوریتم های رمز گذاری مانند DES برای اطمینان از درستی داده های انتقالی .

الگوریتم های درهم ریزی ( Hash ) برای تعیین اعتبار تک تک Packet ها .

امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی .

جریان یک ارتباط Ipsec بیش از آن که دو کامپیوتر بتوانند از طریق Ipsec داده ها را میان خود جابجا کنند باید یکسری کارها انجام شود: o نخست باید ایمنی برقرار شود .

برای این منظور ، کامپیوترها برای یکدیگر مشخص می کنند که آیا رمز گذاری ، تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه .

o سپس الگوریتم را مشخص می کنند ، مثلا” DEC برای رمزگذاری و MD5 برای خطایابی.

o در گام بعدی ، کلیدها را میان خود مبادله می کنند .

Ipsec برای حفظ ایمنی ارتباط از(Security Association) SA استفاده می کند.SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص می کند SA ها از سوی SPI ( Security parameter Index ) شناسایی می شوند .

SPI از یک عدد تصادفی و آدرس مقصد تشکیل می شود .

این به آن معنی است که همواره میان دو کامپیوتر دو SPI وجود دارد : یکی برای ارتباط A و B و یکی برای ارتباط B به A .

اگر یکی از کامپیوترها بخواهد در حالت محافظت شده داده ها را منتقل کند نخست شیوه رمز گذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی داده ها اعمال می کند .

سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد .

مدیریت کلیدهای رمز در Ipsec اگر چه Ipsec فرض را بر این می گذارد که توافقی برای ایمنی داده ها وجود دارد اما خودش برای ایجاد این توافق نمی تواند کاری انجام بدهد .

Ipsec در این کار به (IKE) Internet Key Exchange تکیه می کند برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند .

در حال حاضر برای این کار از راه های زیر استفاده می شود : oاPre shared keys: روی هر دو کامپیوتر یک کلید نصب می شود که IKE از روی آن یک عدد Hash ساخته و آن را به سوی کامپیوتر مقصد می فرستد .

اگر هر دو کامپیوتر بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام می گیرد .

o رمز گذاری Public Key : هر کامپیوتر یک عدد تصادفی ساخته و پس از رمز گذاری آن با کلید عمومی کامپیوتر مقابل ، آن را به کامپیوتر مقابل می فرستد .اگر کامپیوتر مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده و باز پس بفرستد برا ی ارتباط مجاز است .

در حال حاضر تنها از روش RSA برای این کار پیشنهاد می شود .

o امضاء دیجیتال: در این شیوه،هرکامپیوتر یک رشته داده را علامت گذاری(امضاء)کرده و به کامپیوتر مقصد می فرستد.

درحال حاضر برای این کار از روش های RSA و(DSS ( Digital Signature Standard استفاده می شود .

برای امنیت بخشیدن به تبادل داده ها باید هر دو سر ارتبا طنخست بر سر یک یک کلید به توافق می رسند که برای تبادل داده ها به کار می رود .

برا ی این منظور می توان همان کلید به دست آمده از طریق Daffier Hellmann را به کاربرد که سریع تر است یا یک کلید دیگر ساخت که مطمئن تر است نتیجه گیری : یک شبکه اختصاصی مجازی (VPN) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند.

VPN اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد می کند.

این تونل VPN می تواند در یک مسیریاب برپایه VPN، فایروال یا یک سرور در ناحیه DMZ پایان پذیرد.

برقراری ارتباطات VPN برای تمام بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی می شود.

تبادل داده ها روی اینرنت چندان ایمن نیست .

تقریبا” هر کسی که در جای مناسب قرار داشته باشد می تواند جریان داده ها را زیر نظر گرفته و از آنها سوء استفاده کند .

اگرچه VPN رمزنگاری مؤثری ارائه می کندو کار نفوذ را برا ی خرابکاران خیلی سخت می کند ، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.