شبکه VPN
شبكه جهاني اينترنت بخش حياتي و غيرقابل تفكيك جامعه جهاني است. در واقع شبكه اينترنت ستون فقرات ارتباطات كامپيوتري جهاني در دهه 1990 است زيرا اساسا به تدريج بيشتر شبكه ها را به هم متصل كرده است.در حال حاضر رفته رفته تفكرات منطقه اي و محلي حاكم بر فعاليت هاي تجاري جاي خود را به تفكرات جهاني و سراسري داده اند. امروزه با سازمانهاي زيادي برخورد مي نمائيم كه در سطح يك كشور داراي دفاتر فعال و حتي در سطح دنيا داراي دفاتر متفاوتي مي باشند . تمام سازمانهاي فوق قبل از هر چيز بدنبال يك اصل بسيار مهم مي باشند : يك روش سريع ، ايمن و قابل اعتماد بمنظور برقراري ارتباط با دفاتر و نمايندگي در اقصي نقاط يك كشور و يا در سطح دنيا بدين منظوربايستي يك شبكهي گستردهي خصوصي بين شعب اين شركت ايجاد گردد. شبكههاي اينترنت كه فقط محدود به يك سازمان يا يك شركت ميباشند، به دليل محدوديتهاي گسترشي نميتوانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكههاي گسترده نيز كه با خطوط استيجاري راهاندازي ميشوند، در واقع شبكههاي گستردهي امني هستند كه بين مراكز سازمانها ايجاد ميشوند. پيادهسازي اين شبكهها نياز به هزينه زيادي دارد راه حل غلبه بر اين مشكلات، راهاندازي يك VPN است.
VPN در يك تعريف كوتاه شبكهاي از مدارهاي مجازي براي انتقال ترافيك شخصي است. در واقع پيادهسازي شبكهي خصوصي يك شركت يا سازمان را روي يك شبكه عمومي، VPN گويند.
شبكههاي رايانهاي به شكل گستردهاي در سازمانها و شركتهاي اداري و تجاري مورد استفاده قرار ميگيرند. اگر يك شركت از نظر جغرافيايي در يك نقطه متمركز باشد، ارتباطات بين بخشهاي مختلف آنرا ميتوان با يك شبكهي محلي برقرار كرد. اما براي يك شركت بزرگ كه داراي شعب مختلف در نقاط مختلف يك كشور و يا در نقاط مختلف دنيا است و اين شعب نياز دارند كه با هم ارتباطاتِ اطلاعاتيِ امن داشته باشند، بايستي يك شبكهي گستردهي خصوصي بين شعب اين شركت ايجاد گردد. شبكههاي اينترانت كه فقط محدود به يك سازمان يا يك شركت ميباشند، به دليل محدوديتهاي گسترشي نميتوانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكههاي گسترده نيز كه با خطوط استيجاري راهاندازي ميشوند، در واقع شبكههاي گستردهي امني هستند كه بين مراكز سازمانها ايجاد ميشوند. پيادهسازي اين شبكهها عليرغم درصد پايين بهرهوري، نياز به هزينه زيادي دارد. زيرا، اين شبكهها به دليل عدم اشتراك منابع با ديگران، هزينه مواقع عدم استفاده از منابع را نيز بايستي پرداخت كنند. راهحل غلبه بر اين مشكلات، راهاندازي يك VPN است.
فرستادن حجم زيادي از داده از يك كامپيوتر به كامپيوتر ديگر مثلا” در به هنگام رساني بانك اطلاعاتي يك مشكل شناخته شده و قديمي است . انجام اين كار از طريق Email به دليل محدوديت گنجايش سرويس دهنده Mail نشدني است .استفاده از FTP هم به سرويس دهنده مربوطه و همچنين ذخيره سازي موقت روي فضاي اينترنت نياز دارد كه اصلا” قابل اطمينان نيست .
يكي از راه حل هاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم علاوه بر مودم ، پيكر بندي كامپيوتر به عنوان سرويس دهنده RAS لازم خواهد بود . از اين گذشته ، هزينه ارتباط تلفني راه دور براي مودم هم قابل تامل است . اما اگر دو كامپيوتر در دو جاي مختلف به اينترنت متصل باشند مي توان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايل ها را رد و بدل كرد . در اين حالت ، كاربران مي توانند به سخت ديسك كامپيوترهاي ديگر همچون سخت ديسك كامپيوتر خود دسترسي داشته باشند . به اين ترتيب بسياري از راه هاي خرابكاري براي نفوذ كنندگان بسته مي شود .
شبكه هاي شخصي مجازي يا( VPN ( Virtual private Networkها اينگونه مشكلات را حل ميكند . VPN به كمك رمز گذاري روي داده ها ، درون يك شبكه كوچك مي سازد و تنها كسي كه آدرس هاي لازم و رمز عبور را در اختيار داشته باشد مي تواند به اين شبكه وارد شود . مديران شبكه اي كه بيش از اندازه وسواس داشته و محتاط هستند مي توانند VPN را حتي روي شبكه محلي هم پياده كنند . اگر چه نفوذ كنندگان مي توانند به كمك برنامه هاي Packet snifter جريان داده ها را دنبال كنند اما بدون داشتن كليد رمز نمي توانند آنها را بخوانند.
يك مثال :
فرض نمائيد درجزيره اي در اقيانوسي بزرگ، زندگي مي كنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخي از جزاير نزديك و برخي ديگر داراي مسافت طولاني با جزيره شما ميباشند متداولترين روش بمنظور مسافرت به جزيره ديگر، استفاده از يك كشتي مسافربري است مسافرت با كشتي مسافربري ، بمنزله عدم وجود امنيت است . در اين راستا هر كاري را كه شما انجام دهيد،توسط ساير مسافرين قابل مشاهده خواهد بود.فرض كنيد هر يك از جزاير مورد نظر به مشابه يك شبكه محلي(LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يك كشتي مسافربري مشابه برقراري ارتباط با يك سرويس دهنده وب و يا ساير دستگاههاي موجود در اينترنت است.شما داراي هيچگونه كنترلي بر روي كابل ها و روترهاي موجود در اينترنت نميباشيد.(مشابه عدم كنترل شما بعنوان مسافر كشتي مسافربري بر روي ساير مسافرين حاضر در كشتي ) .در صورتيكه تمايل به ارتباط بين دو شبكه اختصاصي از طريق منابع عمومي وجود داشته باشد، اولين مسئله اي كه با چالش هاي جدي برخورد خواهد كرد، امنيت خواهد بود.
فرض كنيد، جزيره شما قصد ايجاد يك پل ارتباطي با جزيره مورد نظر را داشته باشد .مسير ايجاد شده يك روش ايمن ، ساده و مستقيم براي مسافرت ساكنين جزيره شما به جزيره ديگر را فراهم مي آورد. اما ايجاد و نگهداري يك پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.(حتي اگر جزاير در مجاورت يكديگر باشند).با توجه به ضرورت و حساسيت مربوط به داشتن يك مسير ايمن و مطمئن ، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است. در صورتيكه جزيره شما قصد ايجاد يك پل ارتباطي با جزيره ديگر را داشته باشد كه در مسافت بسيار طولاني نسبت به جزيره شما واقع است ، هزينه هاي مربوط بمراتب بيشتر خواهد بود.
وضعيت فوق ، نظير استفاده از يك اختصاصي Leased است. ماهيت پل هاي ارتباطي(خطوط اختصاصي) از اقيانوس (اينترنت) متفاوت بوده و كماكان قادر به ارتباط جزاير شبكه هاي( LAN) خواهند بود. سازمانها و موسسات متعددي از رويكرد فوق ( استفاده از خطوط اختصاصي) استفاده مي نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان براي برقراري ارتباط هر يك سازمانهاي مورد نظر با يكديگر است . در صورتيكه مسافت ادارات و يا شعب يك سازمان از يكديگر بسيار دور باشد ، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت
با توجه به موارد گفته شده ، چه ضرورتي بمنظور استفاده از VPN وجود داشته و VPN تامين كننده ، كداميك از اهداف و خواسته هاي مورد نظر است ؟
يك شبكه اختصاصي مجازي (vpn) از رمزنگاري سطح بالا براي ايجاد ارتباط امن بين ابزار دور از يكديگر، مانند لپ تاپ ها و شبكه مقصد استفاده مي كند. Vpn اساساً يك تونل رمزشده تقريباً با امنيت و محرمانگي يك شبكه اختصاصي اما از ميان اينترنت ايجاد مي كند. اين تونل Vpn مي تواند در يك مسيرياب برپايه Vpn، فايروال يا يك سرور در ناحيه Dmz پايان پذيرد. برقراري ارتباطات Vpn براي تمام بخش هاي دور و بي سيم شبكه يك عمل مهم است كه نسبتاً آسان و ارزان پياده سازي مي شود.
تبادل داده ها روي اينرنت چندان ايمن نيست . تقريبا” هر كسي كه در جاي مناسب قرار داشته باشد مي تواند جريان داده ها را زير نظر گرفته و از آنها سوء استفاده كند . اگرچه Vpn رمزنگاري مؤثري ارائه مي كندو كار نفوذ را برا ي خرابكاران خيلي سخت مي كند ، اما كار اجرايي بيشتري را برروي كارمندان It تحميل مي كنند، چرا كه كليدهاي رمزنگاري و گروه هاي كاربري بايد بصورت مداوم مديريت شوند.
قراردادهای ردهي بستهگرايvpn
VPNSimple Key Management for Internet Protocol SKIP:
يك قرارداد مديريت كليد است ولي با توجه به اينكه اين قرارداد امكانات تونلكشي را نيز ارائه ميدهد، ميتوان آنرا به عنوان يك قرارداد پيادهسازي VPN در نظر گرفت. اين قرارداد در سطح لايهي سوم OSI كار ميكند.
Layer 2 Tunneling Protocol L2TP:
يك مكانيزم تونلكشي است كه از تركيب مكانيزمهاي PPTP وL2F به منظور بهرهوري از محاسن هر دو قرارداد به وجود آمده است و از قرارداد PPP براي بستهبندي اطلاعات استفاده ميكند.
از پروتكل فوق بمنظور ايجاد تونل بين موارد زير استفاده مي گردد :
● سرويس گيرنده و روتر
●NAS و روتر
● روتر و روتر
Layer Two Filtering L2F:
اين قرارداد مانند PPTP يك قرارداد تونلكشي در لايهي دوم است كه توسط شركت Cisco ارائه شده و بوسيلهي بعضي از شركتها نظير Telecom حمايت ميشود.
Point to Point Tunneling Protocol PPTP:
يك مكانيزم تونلكشي نقطه به نقطه است كه براي دسترسي راه دور به كارگزار سختافزاري Ascend و ويندوز NT طراحي شده است.در اين قراداد، امكان رمزنگاري و هويتشناسي پيشبيني نشده و ازقرارداد PPPبراي بستهبندي اطلاعات استفاده ميشود.قراردادPPP ارتباط تلفني يك ميزبان به شبكهي محلي را فراهم ميآورد و وظيفهي لايهي پيوند داده و لايهي فيزيكي را هنگام ارتباط تلفني ميزبان به فراهم آورندهي سرويس اينترنت(ISP)، انجام ميدهد قراردادPPTP در كاربردهاي كوچك و كاربردهايي كه نياز به امنيت خيلي بالايي ندارند، استفاده ميشود.راهاندازيVPN با استفاده از قرارداد PPTP در اين محيطها كمهزينه و مقرون بصرفه است. قرارداد PPTP داراي قابليت پيادهسازيVPN شبكهي محلي-بهشبكهي محلي نيز ميباشد
اين پروتكل امكان رمزنگاري 40 بيتي و 128 بيتي را دارا بوده و از مدل هاي تعيين اعتبار كاربر كه توسط PPP حمايت شده اند ، استفاده مي نمايد.
شبكه جهاني اينترنت بخش حياتي و غيرقابل تفكيك جامعه جهاني است. در واقع شبكه اينترنت ستون فقرات ارتباطات كامپيوتري جهاني در دهه 1990 است زيرا اساسا به تدريج بيشتر شبكه ها را به هم متصل كرده است.در حال حاضر رفته رفته تفكرات منطقه اي و محلي حاكم بر فعاليت هاي تجاري جاي خود را به تفكرات جهاني و سراسري داده اند. امروزه با سازمانهاي زيادي برخورد مي نمائيم كه در سطح يك كشور داراي دفاتر فعال و حتي در سطح دنيا داراي دفاتر متفاوتي مي باشند . تمام سازمانهاي فوق قبل از هر چيز بدنبال يك اصل بسيار مهم مي باشند : يك روش سريع ، ايمن و قابل اعتماد بمنظور برقراري ارتباط با دفاتر و نمايندگي در اقصي نقاط يك كشور و يا در سطح دنيا بدين منظوربايستي يك شبكهي گستردهي خصوصي بين شعب اين شركت ايجاد گردد. شبكههاي اينترنت كه فقط محدود به يك سازمان يا يك شركت ميباشند، به دليل محدوديتهاي گسترشي نميتوانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكههاي گسترده نيز كه با خطوط استيجاري راهاندازي ميشوند، در واقع شبكههاي گستردهي امني هستند كه بين مراكز سازمانها ايجاد ميشوند. پيادهسازي اين شبكهها نياز به هزينه زيادي دارد راه حل غلبه بر اين مشكلات، راهاندازي يك VPN است.
VPN در يك تعريف كوتاه شبكهاي از مدارهاي مجازي براي انتقال ترافيك شخصي است. در واقع پيادهسازي شبكهي خصوصي يك شركت يا سازمان را روي يك شبكه عمومي، VPN گويند.
شبكههاي رايانهاي به شكل گستردهاي در سازمانها و شركتهاي اداري و تجاري مورد استفاده قرار ميگيرند. اگر يك شركت از نظر جغرافيايي در يك نقطه متمركز باشد، ارتباطات بين بخشهاي مختلف آنرا ميتوان با يك شبكهي محلي برقرار كرد. اما براي يك شركت بزرگ كه داراي شعب مختلف در نقاط مختلف يك كشور و يا در نقاط مختلف دنيا است و اين شعب نياز دارند كه با هم ارتباطاتِ اطلاعاتيِ امن داشته باشند، بايستي يك شبكهي گستردهي خصوصي بين شعب اين شركت ايجاد گردد. شبكههاي اينترانت كه فقط محدود به يك سازمان يا يك شركت ميباشند، به دليل محدوديتهاي گسترشي نميتوانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكههاي گسترده نيز كه با خطوط استيجاري راهاندازي ميشوند، در واقع شبكههاي گستردهي امني هستند كه بين مراكز سازمانها ايجاد ميشوند. پيادهسازي اين شبكهها عليرغم درصد پايين بهرهوري، نياز به هزينه زيادي دارد. زيرا، اين شبكهها به دليل عدم اشتراك منابع با ديگران، هزينه مواقع عدم استفاده از منابع را نيز بايستي پرداخت كنند. راهحل غلبه بر اين مشكلات، راهاندازي يك VPN است.
فرستادن حجم زيادي از داده از يك كامپيوتر به كامپيوتر ديگر مثلا” در به هنگام رساني بانك اطلاعاتي يك مشكل شناخته شده و قديمي است . انجام اين كار از طريق Email به دليل محدوديت گنجايش سرويس دهنده Mail نشدني است .استفاده از FTP هم به سرويس دهنده مربوطه و همچنين ذخيره سازي موقت روي فضاي اينترنت نياز دارد كه اصلا” قابل اطمينان نيست .
يكي از راه حل هاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم علاوه بر مودم ، پيكر بندي كامپيوتر به عنوان سرويس دهنده RAS لازم خواهد بود . از اين گذشته ، هزينه ارتباط تلفني راه دور براي مودم هم قابل تامل است . اما اگر دو كامپيوتر در دو جاي مختلف به اينترنت متصل باشند مي توان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايل ها را رد و بدل كرد . در اين حالت ، كاربران مي توانند به سخت ديسك كامپيوترهاي ديگر همچون سخت ديسك كامپيوتر خود دسترسي داشته باشند . به اين ترتيب بسياري از راه هاي خرابكاري براي نفوذ كنندگان بسته مي شود .
شبكه هاي شخصي مجازي يا( VPN ( Virtual private Networkها اينگونه مشكلات را حل ميكند . VPN به كمك رمز گذاري روي داده ها ، درون يك شبكه كوچك مي سازد و تنها كسي كه آدرس هاي لازم و رمز عبور را در اختيار داشته باشد مي تواند به اين شبكه وارد شود . مديران شبكه اي كه بيش از اندازه وسواس داشته و محتاط هستند مي توانند VPN را حتي روي شبكه محلي هم پياده كنند . اگر چه نفوذ كنندگان مي توانند به كمك برنامه هاي Packet snifter جريان داده ها را دنبال كنند اما بدون داشتن كليد رمز نمي توانند آنها را بخوانند.
يك مثال :
فرض نمائيد درجزيره اي در اقيانوسي بزرگ، زندگي مي كنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخي از جزاير نزديك و برخي ديگر داراي مسافت طولاني با جزيره شما ميباشند متداولترين روش بمنظور مسافرت به جزيره ديگر، استفاده از يك كشتي مسافربري است مسافرت با كشتي مسافربري ، بمنزله عدم وجود امنيت است . در اين راستا هر كاري را كه شما انجام دهيد،توسط ساير مسافرين قابل مشاهده خواهد بود.فرض كنيد هر يك از جزاير مورد نظر به مشابه يك شبكه محلي(LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يك كشتي مسافربري مشابه برقراري ارتباط با يك سرويس دهنده وب و يا ساير دستگاههاي موجود در اينترنت است.شما داراي هيچگونه كنترلي بر روي كابل ها و روترهاي موجود در اينترنت نميباشيد.(مشابه عدم كنترل شما بعنوان مسافر كشتي مسافربري بر روي ساير مسافرين حاضر در كشتي ) .در صورتيكه تمايل به ارتباط بين دو شبكه اختصاصي از طريق منابع عمومي وجود داشته باشد، اولين مسئله اي كه با چالش هاي جدي برخورد خواهد كرد، امنيت خواهد بود.
فرض كنيد، جزيره شما قصد ايجاد يك پل ارتباطي با جزيره مورد نظر را داشته باشد .مسير ايجاد شده يك روش ايمن ، ساده و مستقيم براي مسافرت ساكنين جزيره شما به جزيره ديگر را فراهم مي آورد. اما ايجاد و نگهداري يك پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.(حتي اگر جزاير در مجاورت يكديگر باشند).با توجه به ضرورت و حساسيت مربوط به داشتن يك مسير ايمن و مطمئن ، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است. در صورتيكه جزيره شما قصد ايجاد يك پل ارتباطي با جزيره ديگر را داشته باشد كه در مسافت بسيار طولاني نسبت به جزيره شما واقع است ، هزينه هاي مربوط بمراتب بيشتر خواهد بود.
وضعيت فوق ، نظير استفاده از يك اختصاصي Leased است. ماهيت پل هاي ارتباطي(خطوط اختصاصي) از اقيانوس (اينترنت) متفاوت بوده و كماكان قادر به ارتباط جزاير شبكه هاي( LAN) خواهند بود. سازمانها و موسسات متعددي از رويكرد فوق ( استفاده از خطوط اختصاصي) استفاده مي نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان براي برقراري ارتباط هر يك سازمانهاي مورد نظر با يكديگر است . در صورتيكه مسافت ادارات و يا شعب يك سازمان از يكديگر بسيار دور باشد ، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت
با توجه به موارد گفته شده ، چه ضرورتي بمنظور استفاده از VPN وجود داشته و VPN تامين كننده ، كداميك از اهداف و خواسته هاي مورد نظر است ؟
يك شبكه اختصاصي مجازي (vpn) از رمزنگاري سطح بالا براي ايجاد ارتباط امن بين ابزار دور از يكديگر، مانند لپ تاپ ها و شبكه مقصد استفاده مي كند. Vpn اساساً يك تونل رمزشده تقريباً با امنيت و محرمانگي يك شبكه اختصاصي اما از ميان اينترنت ايجاد مي كند. اين تونل Vpn مي تواند در يك مسيرياب برپايه Vpn، فايروال يا يك سرور در ناحيه Dmz پايان پذيرد. برقراري ارتباطات Vpn براي تمام بخش هاي دور و بي سيم شبكه يك عمل مهم است كه نسبتاً آسان و ارزان پياده سازي مي شود.
تبادل داده ها روي اينرنت چندان ايمن نيست . تقريبا” هر كسي كه در جاي مناسب قرار داشته باشد مي تواند جريان داده ها را زير نظر گرفته و از آنها سوء استفاده كند . اگرچه Vpn رمزنگاري مؤثري ارائه مي كندو كار نفوذ را برا ي خرابكاران خيلي سخت مي كند ، اما كار اجرايي بيشتري را برروي كارمندان It تحميل مي كنند، چرا كه كليدهاي رمزنگاري و گروه هاي كاربري بايد بصورت مداوم مديريت شوند.
قراردادهای ردهي بستهگرايvpn
VPNSimple Key Management for Internet Protocol SKIP:
يك قرارداد مديريت كليد است ولي با توجه به اينكه اين قرارداد امكانات تونلكشي را نيز ارائه ميدهد، ميتوان آنرا به عنوان يك قرارداد پيادهسازي VPN در نظر گرفت. اين قرارداد در سطح لايهي سوم OSI كار ميكند.
Layer 2 Tunneling Protocol L2TP:
يك مكانيزم تونلكشي است كه از تركيب مكانيزمهاي PPTP وL2F به منظور بهرهوري از محاسن هر دو قرارداد به وجود آمده است و از قرارداد PPP براي بستهبندي اطلاعات استفاده ميكند.
از پروتكل فوق بمنظور ايجاد تونل بين موارد زير استفاده مي گردد :
● سرويس گيرنده و روتر
●NAS و روتر
● روتر و روتر
Layer Two Filtering L2F:
اين قرارداد مانند PPTP يك قرارداد تونلكشي در لايهي دوم است كه توسط شركت Cisco ارائه شده و بوسيلهي بعضي از شركتها نظير Telecom حمايت ميشود.
Point to Point Tunneling Protocol PPTP:
يك مكانيزم تونلكشي نقطه به نقطه است كه براي دسترسي راه دور به كارگزار سختافزاري Ascend و ويندوز NT طراحي شده است.در اين قراداد، امكان رمزنگاري و هويتشناسي پيشبيني نشده و ازقرارداد PPPبراي بستهبندي اطلاعات استفاده ميشود.قراردادPPP ارتباط تلفني يك ميزبان به شبكهي محلي را فراهم ميآورد و وظيفهي لايهي پيوند داده و لايهي فيزيكي را هنگام ارتباط تلفني ميزبان به فراهم آورندهي سرويس اينترنت(ISP)، انجام ميدهد قراردادPPTP در كاربردهاي كوچك و كاربردهايي كه نياز به امنيت خيلي بالايي ندارند، استفاده ميشود.راهاندازيVPN با استفاده از قرارداد PPTP در اين محيطها كمهزينه و مقرون بصرفه است. قرارداد PPTP داراي قابليت پيادهسازيVPN شبكهي محلي-بهشبكهي محلي نيز ميباشد
اين پروتكل امكان رمزنگاري 40 بيتي و 128 بيتي را دارا بوده و از مدل هاي تعيين اعتبار كاربر كه توسط PPP حمايت شده اند ، استفاده مي نمايد.