منبع: www.tebyan.net

شبكه هاي خصوصي مجازي

 در طي ده سال گذشته دنيا دستخوش تحولات فراواني در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده كالا و خدمات كه در گذشته بسيار محدود و منطقه اي مسائل را دنبال و در صدد ارائه راهكارهاي مربوطه بودند ، امروزه بيش از گذشته نيازمند تفكر در محدوده جهاني براي ارائه خدمات و كالاي توليده شده را دارند. به عبارت ديگر تفكرات منطقه اي و محلي حاكم  بر فعاليت هاي تجاري جاي خود را به تفكرات جهاني و سراسري داده اند. امروزه  با سازمانهاي زيادي برخورد مي نمائيم كه در سطح يك كشور داراي دفاتر فعال و حتي در سطح دنيا داراي دفاتر متفاوتي مي باشند . تمام سازمانهاي فوق قبل از هر چيز بدنبال  يك اصل بسيار مهم مي باشند : يك روش سريع ، ايمن و قابل اعتماد بمنظور برقراري ارتباط با دفاتر و نمايندگي در اقصي نقاط يك كشور و يا در سطح دنيا

اكثر سازمانها و موسسات بمنظور ايجاد يك شبكهWAN از خطوط اختصاصي(Leased Line) استفاده مي نمايند.خطوط فوق داراي انواع متفاوتي مي باشند.ISDN ( با سرعت 128 كيلوبيت در ثانيه )،(OC3Optical Carrier-3) ( با سرعت 155 مگابيت در ثانيه ) دامنه وسيع خطوط اختصاصي را نشان مي دهد. يك شبكهWAN داراي مزاياي عمده اي نسبت به يك شبكه عمومي نظير اينترنت از بعد امنيت وكارآئي است . پشتياني و نگهداري يك شبكهWAN در عمل و زمانيكه از خطوط اختصاصي استفاده مي گردد ، مستلزم صرف هزينه بالائي است

همزمان با عموميت يافتن اينترنت ، اغلب سازمانها و موسسات  ضرورت توسعه شبكه اختصاصي خود را بدرستي احساس كردند. در ابتدا شبكه هاي اينترانت مطرح گرديدند.اين نوع شبكه بصورت كاملا" اختصاصي بوده و كارمندان يك سازمان با استفاده از رمز عبور تعريف شده ، قادر به ورود به شبكه و استفاده از منابع موجود مي باشند. اخيرا" ، تعداد زيادي از موسسات و سازمانها با توجه به مطرح شدن خواسته هاي جديد ( كارمندان از راه دور ، ادارات از راه دور )، اقدام  به ايجاد شبكه هاي اختصاصي مجازيVPN)Virtual Private Network) نموده اند.

يكVPN ، شبكه اي اختصاصي بوده كه از يك شبكه عمومي ( عموما" اينترنت ) ، براي ارتباط با سايت هاي از راه دور و ارتباط كاربران بايكديگر، استفاده مي نمايد. اين نوع شبكه ها در عوض استفاده از خطوط واقعي نظير : خطوطLeased ، از يك ارتباط مجازي بكمك اينترنت براي شبكه اختصاصي بمنظور ارتباط به سايت ها  استفاده مي كند.

عناصر تشكيل دهنده يكVPN

دو نوع عمده  شبكه هايVPN وجود دارد :

* دستيابي از راه دور(Remote-Access) . به اين نوع از شبكه هاVPDN)Virtual private dial-up network)، نيز گفته مي شود.در شبكه هاي فوق از مدل ارتباطيUser-To-Lan ( ارتباط كاربر به يك شبكه محلي ) استفاده مي گردد. سازمانهائي كه از مدل فوق استفاده مي نمايند ، بدنبال ايجاد تسهيلات لازم براي ارتباط پرسنل ( عموما" كاربران از راه دور و در هر مكاني مي توانند حضور داشته باشند )   به شبكه سازمان  مي باشند. سازمانهائي كه تمايل به برپاسازي يك شبكه بزرگ " دستيابي از راه دور " مي باشند ، مي بايست از امكانات يك مركز ارائه دهنده خدمات اينترنت جهانيESP)Enterprise service provider) استفاده نمايند. سرويس دهندهESP ، بمنظور نصب و پيكربنديVPN ، يكNAS)Network access server) را پيكربندي و نرم افزاري را در اختيار كاربران از راه دور بمنظور ارتباط با سايت قرار خواهد داد. كاربران در ادامه با برقراري ارتباط  قادر به دستيابي بهNAS و استفاده از نرم افزار مربوطه بمنظور دستيابي به شبكه سازمان خود خواهند بود.

* سايت به سايت(Site-to-Site) . در مدل فوق يك سازمان با توجه به سياست هاي موجود ، قادر به اتصال چندين سايت ثابت از طريق يك شبكه عمومي نظير اينترنت است . شبكه هايVPN كه از روش فوق استفاده مي نمايند ، داراي گونه هاي خاصي در اين زمينه مي باشند:

- مبتني بر اينترانت . در صورتيكه سازماني داراي يك و يا بيش از يك محل ( راه دور) بوده و تمايل به الحاق آنها در يك شبكه اختصاصي باشد ، مي توان يك اينترانتVPN را بمنظور برقراي  ارتباط هر  يك از شبكه هاي محلي با يكديگر ايجاد نمود.

- مبتني بر اكسترانت . در موارديكه سازماني در تعامل اطلاعاتي بسيار نزديك با سازمان ديگر باشد ، مي توان يك اكسترانتVPN را بمنظور ارتباط شبكه هاي محلي هر يك از سازمانها ايجاد كرد. در چنين حالتي سازمانهاي متعدد قادر به فعاليت در يك محيط اشتراكي خواهند بود.

استفاده ازVPN براي يك سازمان داراي مزاياي متعددي نظير : گسترش محدوه جغرافيائي ارتباطي ، بهبود وضعيت امنيت ، كاهش هزينه هاي عملياتي در مقايسه با روش هاي سنتيWAN  ، كاهش زمان ارسال و حمل اطلاعات براي كاربران از راه دور  ، بهبود بهره وري  ، توپولوژي آسان  ،... است . در يكه شبكهVPN به عوامل متفاوتي نظير : امنيت  ، اعتمادپذيري  ، مديريت شبكه و سياست ها نياز خواهد بود.

شبكه هايLAN جزاير اطلاعاتي

فرض نمائيد در جزيره اي در اقيانوسي بزرگ  ، زندگي مي كنيد. هزاران جزيره  در اطراف جزيره شما وجود دارد. برخي از جزاير نزديك و برخي ديگر داراي مسافت طولاني با جزيره شما مي باشند. متداولترين روش بمنظور مسافرت به جزيره ديگر  ، استفاده از يك كشتي مسافربري است . مسافرت با كشتي مسافربري ، بمنزله عدم وجود امنيت است . در اين راستا هر كاري را كه شما انجام دهيد  ، توسط ساير مسافرين قابل مشاهده خواهد بود. فرض كنيد هر يك از جزاير مورد نظر به مشابه يك شبكه محلي(LAN) و اقيانوس مانند اينترنت  باشند. مسافرت با يك كشتي مسافربري مشابه برقراري ارتباط  با يك سرويس دهنده وب و يا ساير دستگاههاي موجود در اينترنت است . شما داراي هيچگونه كنترلي بر روي كابل ها و روترهاي موجود در اينترنت نمي باشيد. ( مشابه عدم كنترل شما بعنوان مسافر كشتي مسافربري بر روي ساير مسافرين حاضر در كشتي ) .در صورتيكه تمايل به ارتباط بين دو شبكه اختصاصي از طريق منابع عمومي وجود داشته باشد  ، اولين مسئله اي كه با چالش هاي جدي برخورد خواهد كرد  ، امنيت خواهد بود. فرض كنيد  ،  جزيره شما قصد ايجاد يك پل ارتباطي با جزيره مورد نظر را داشته باشد .مسير ايجاد شده يك روش ايمن  ، ساده و مستقيم براي مسافرت ساكنين جزيره شما به جزيره  ديگر را فراهم مي آورد.   همانطور كه حدس زده ايد  ، ايجاد و نگهداري يك پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.( حتي اگر جزاير در مجاورت يكديگر باشند ) . با توجه به ضرورت و حساسيت مربوط به داشتن يك مسير ايمن و مطمئن  ، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است . در صورتيكه جزيره شما قصد ايجاد يك پل ارتباطي با جزيره ديگر را داشته باشد كه در مسافت بسيار طولاني نسبت به جزيره شما واقع است   ، هزينه هاي مربوط بمراتب بيشتر خواهد بود. وضعيت فوق  ، نظير استفاده از يك اختصاصيLeased است . ماهيت  پل هاي ارتباطي ( خطوط اختصاصي )  از اقيانوس ( اينترنت ) متفاوت بوده و كماكن قادر به ارتباط جزاير( شبكه هايLAN) خواهند بود. سازمانها و موسسات متعددي از رويكرد فوق ( استفاده از خطوط اختصاصي) استفاده مي نمايند.  مهمترين عامل در اين زمينه وجود  امنيت و اطمينان براي برقراري ارتباط هر يك سازمانهاي مورد نظر با يكديگر است . در صورتيكه مسافت ادارات و يا شعب يك سازمان از يكديگر بسيار دور باشد  ، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت .

با توجه به موارد گفته شده  ، چه ضرورتي بمنظور استفاده ازVPN وجود داشته وVPN تامين كننده  ، كداميك از اهداف و خواسته هاي مورد نظر است ؟ با توجه به مقايسه انجام شده در مثال فرضي  ، مي توان گفت كه با استفاده ازVPN به هريك از ساكنين جزيره يك زيردريائي داده مي شود. زيردريائي فوق داراي خصايص متفاوت نظير :

 داراي سرعت  بالا است .

هدايت آن ساده است .

قادر به استتار( مخفي نمودن)  شما از ساير زيردريا ئيها و كشتي ها است .

قابل اعتماد است .

پس از تامين اولين زيردريائي ،  افزودن امكانات جانبي و حتي يك زيردريائي ديگرمقرون به صرفه خواهد بود

در مدل فوق  ، با وجود ترافيك در اقيانوس  ، هر يك از ساكنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمني مي باشند. مثال فوق دقيقا" بيانگر تحوه عملكردVPN است . هر يك از كاربران از راه دور شبكه قادربه برقراري ارتباطي امن و مطمئن با استفاده از يك محيط انتقال عمومي ( نظير اينترنت ) با شبكه محلي(LAN) موجود در سازمان خود خواهند بود. توسعه يكVPN ( افزايش تعداد كاربران از راه دور و يا افزايش مكان هاي مورد نظر ) بمراتب آسانتر از شبكه هائي است كه از خطوط اختصاصي استفاده مي نمايند.  قابليت توسعه فراگير از مهمتزين ويژگي هاي يكVPN نسبت به خطوط اختصاصي است .

امنيتVPN

شبكه هايVPN بمنظور تامين امنيت (داده ها و ارتباطات)  از روش هاي متعددي استفاده مي نمايند :

*فايروال . فايروال يك ديواره مجازي بين شبكه اختصاي يك سازمان و اينترنت ايجاد مي نمايد. با استفاده از فايروال مي توان عمليات متفاوتي را در جهت اعمال سياست هاي امنيتي يك سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال  ، ايجاد محدوديت در رابطه به پروتكل هاي خاص  ، ايجاد محدوديت در نوع بسته هاي اطلاعاتي و ... نمونه هائي از عملياتي است كه مي توان با استفاده از يك فايروال انجام داد.

*رمزنگاري. فرآيندي است كه با استفاده از آن كامپيوتر مبداء اطلاعاتي رمزشده  را براي كامپيوتر ديگر ارسال مي نمايد. ساير كامپيوترها ي مجاز قادر به رمزگشائي اطلاعات ارسالي خواهند بود. بدين ترتيب پس از ارسال اطلاعات توسط فرستنده  ، دريافت كنندگان، قبل از استفاده از اطلاعات مي بايست اقدام به رمزگشائي اطلاعات ارسال شده نمايند. سيستم هاي رمزنگاري در كامپيوتر به دو گروه عمده تقسيم مي گردد :

رمزنگاري  كليد متقارن

رمزنگاري كليد عمومي

در رمز نگاري " كليد متقارن " هر يك از كامپيوترها داراي يك كليدSecret ( كد ) بوده كه با استفاده از آن قادر به رمزنگاري يك بسته اطلاعاتي قبل از ارسال در شبكه براي  كامپيوتر ديگر مي باشند. در روش فوق مي بايست در ابتدا نسبت به كامپيوترهائي كه قصد برقراري و ارسال اطلاعات براي يكديگر را دارند  ، آگاهي كامل وجود داشته باشد. هر يك از كامپيوترهاي شركت كننده در مبادله اطلاعاتي مي بايست داراي كليد رمز مشابه بمنظور رمزگشائي اطلاعات باشند. بمنظور رمزنگاري اطلاعات ارسالي نيز از كليد فوق استفاده خواهد شد. فرض كنيد قصد ارسال يك پيام رمز شده براي يكي از دوستان خود را داشته باشيد. بدين منظور از يك الگوريتم خاص براي رمزنگاري استفاده مي شود .در الگوريتم فوق هر حرف به دوحرف بعد از خود تبديل مي گردد.(حرفA به حرفC  ، حرفB به حرفD ) .پس از رمزنمودن پيام و ارسال آن  ، مي بايست دريافت كننده پيام به اين حقيقت واقف باشد كه براي رمزگشائي پيام لرسال شده  ، هر حرف به دو حرق قبل از خود مي باطست تبديل گردد. در چنين حالتي مي باطست به دوست امين خود  ، واقعيت فوق ( كليد رمز ) گفته شود. در صورتيكه پيام فوق توسط افراد ديگري دريافت گردد  ، بدليل عدم آگاهي از كليد  ، آنان قادر به رمزگشائي و استفاده از پيام ارسال شده نخواهند بود.

در رمزنگاري عمومي از تركيب يك كليد خصوصي و يك كليد عمومي استفاده مي شود. كليد خصوصي صرفا" براي كامپيوتر شما ( ارسال كننده) قابل شناسائي و استفاده است . كليد عمومي توسط كامپيوتر شما در اختيار تمام كامپيوترهاي ديگر كه قصد ارتباط با آن را داشته باشند  ، گذاشته مي شود. بمنظور رمزگشائي يك پيام رمز شده  ، يك كامپيوتر مي بايست با استفاده از كليد عمومي ( ارائه شده توسط كامپيوتر ارسال كننده )  ، كليد خصوصي  مربوط به خود اقدام به رمزگشائي پيام ارسالي نمايد . يكي از متداولترين ابزار "رمزنگاري كليد عمومي"  ، روشي با نامPGP)Pretty Good Privacy) است . با استفاده از روش فوق مي توان اقدام به رمزنگاري اطلاعات دلخواه خود نمود.

*IPSec . پروتكلIPsec)Internet protocol security protocol)  ، يكي از امكانات موجود براي ايجاد امنيت در ارسال و دريافت اطلاعات مي باشد . قابليت روش فوق در مقايسه با الگوريتم هاي رمزنگاري بمراتب بيشتر است . پروتكل فوق داراي دو روش رمزنگاري است :Tunnel  ،Transport . در روشtunel  ، هدر وPayload رمز شده درحاليكه در روشtransport صرفا"payload رمز مي گردد. پروتكل فوق قادر به رمزنگاري اطلاعات بين دستگاههاي متفاوت است :

روتر به روتر

فايروال به روتر

كامپيوتر به روتر

كامپيوتر به سرويس دهنده

*سرويس دهندهAAA . سرويس دهندگان(AAA :Authentication,Authorization,Accounting)  بمنظور ايجاد امنيت بالا در محيط هايVPN از نوع " دستيابي از راه دور " استفاده مي گردند. زمانيكه كاربران با استفاده از خط تلفن به سيستم متصل مي گردند  ،  سرويس دهندهAAA درخواست آنها را اخذ و عمايات زير را انجام خواهد داد :

شما چه كسي هستيد؟ ( تاييد،Authentication )

شما مجاز به انجام چه كاري هستيد؟ ( مجوز ،Authorization )

چه كارهائي را انجام داده ايد؟ ( حسابداري  ،Accounting )

تكنولوژي هايVPN

با توجه به نوعVPN  ( " دستيابي از راه دور " و يا " سايت به سايت " )  ، بمنظور ايجاد شبكه از عناصر خاصي استفاده مي گردد:

نرم افزارهاي مربوط به كاربران از راه دور

سخت افزارهاي اختصاصي نظير يك " كانكتورVPN" و يا يك فايروالPIX

سرويس دهنده اختصاصيVPN بمنظور سرويُس هايDial-up

سرويس دهندهNAS كه توسط مركز ارائه خدمات اينترنت بمنظور دستيابي بهVPN از نوع "دستيابي از را دور" استفاده مي شود.

شبكهVPN و مركز مديريت سياست ها

با توجه به اينكه تاكنون يك استاندارد قابل قبول و عمومي بمنظور ايجاد شVPN ايجاد نشده است  ،  شركت هاي  متعدد هر يك اقدام به توليد محصولات اختصاصي خود نموده اند.

- كانكتورVPN . سخت افزار فوق توسط شركت سيسكو طراحي و عرضه شده است.  كانكتور فوق در مدل هاي متفاوت و قابليت هاي گوناگون عرضه شده است . در برخي از نمونه هاي دستگاه فوق امكان فعاليت همزمان 100 كاربر از راه دور و در برخي نمونه هاي ديگر تا 10.000 كاربر از راه دور قادر به اتصال به شبكه خواهند بود.

- روتر مختصVPN . روتر فوق توسط شركت سيسكو ارائه شده است . اين روتر داراي قابليت هاي متعدد بمنظور استفاده در محيط هاي گوناگون است . در طراحي روتر فوق شبكه هايVPN نيز مورد توجه قرار گرفته و امكانات مربوط در آن بگونه اي  بهينه سازي شده اند.

- فايروالPIX . فايروالPIX(Private Internet eXchange)  قابليت هائي نظيرNAT  ، سرويس دهندهProxy  ، فيلتر نمودن بسته اي اطلاعاتي  ، فايروال وVPN  را در يك سخت افزار فراهم نموده است .

Tunneling( تونل سازي )

اكثر شبكه هايVPN بمنظور ايجاد يك شبكه اختصاصي با قابليت دستيابي از طريق اينترنت از امكان "Tunneling " استفاده مي نمايند. در روش فوق تمام بسته اطلاعاتي در يك بسته ديگر قرار گرفته و از طريق شبكه ارسال خواهد شد. پروتكل مربوط به بسته اطلاعاتي خارجي  ( پوسته ) توسط شبكه  و دو نفطه (ورود  و خروج بسته اطلاعاتي ) قابل فهم مي باشد. دو نقظه فوق را "اينترفيس هاي تونل " مي گويند. روش فوق مستلزم استفاده از سه پروتكل است :

پروتكل حمل كننده . از پروتكل فوق شبكه حامل اطلاعات استفاده مي نمايد.

پروتكل كپسوله سازي . از پروتكل هائي نظير:IPSec,L2F,PPTP,L2TP,GRE استفاده مي گردد.

پروتكل مسافر . از پروتكل هائي نظيرIPX,IP,NetBeui بمنظور انتقال داده هاي اوليه استفاده مي شود.

با استفاده از روشTunneling  مي توان عمليات جالبي را انجام داد. مثلا" مي توان از بسته اي اطلاعاتي كه پروتكل اينترنت را حمايت نمي كند ( نظيرNetBeui) درون يك بسته اطلاعاتيIP استفاده و آن را از طريق اينترنت ارسال نمود و  يا  مي توان يك بسته اطلاعاتي را كه از يك آدرسIP غير قابل روت ( اختصاصي ) استفاده مي نمايد  ، درون يك بسته اطلاعاتي كه از آدرس هاي معتبرIP استفاده مي كند  ، مستقر و از طريق اينترنت ارسال نمود.

در شبكه هايVPN از نوع " سايت به سايت "  ،GRE)generic routing encapsulation) بعنوان پروتكل كپسوله سازي استفاده مي گردد. فرآيند فوق نحوه استقرار و بسته بندي " پروتكل مسافر" از طريق پروتكل " حمل كننده " براي انتقال را تبين مي نمايد. ( پروتكل حمل كننده  ، عموما"IP است ) . فرآيند فوق شامل اطلاعاتي در رابطه با نوع بست هاي اطلاعاتي براي كپسوله نمودن و اطلاعاتي در رابطه با ارتباط بين سرويس گيرنده و سرويس دهنده است . در  برخي موارد از پروتكلIPSec ( در حالتtunnel) براي كپسوله سازي استفاده مي گردد.پروتكلIPSec  ، قابل استفاده در دو نوع شبكهVPN ( سايت به يايت و دستيابي از راه دور ) است . اينترفيش هايTunnel مي بايست  داراي امكانات حمايتي ازIPSec باشند.

در شبكه هايVPN از نوع " دستيابي از راه دور "  ،Tunneling با استفاده ازPPP انجام مي گيرد.PPP بعنوان حمل كننده ساير پروتكل هايIP در زمان برقراري ارتباط بين يك سيستم ميزبان و يك سيستم ازه دور  ، مورد استفاده قرار مي گيرد.

هر يك از پروتكل هاي زير با استفاده از ساختار اوليهPPP ايجاد و توسط شبكه هايVPN از نوع " دستيابي از راه دور " استفاده مي گردند:

-L2F)Layer 2 Forwarding) . پروتكل فوق توسط سيسكو ايجاد شده است . در پروتكل فوق از مدل هاي  تعيين اعتبار كاربر كه توسطPPP حمايت شده اند  ، استفاده شد ه است .

PPTP)Point-to-Point Tunneling Protocol) . پروتكل فوق توسط كنسرسيومي متشكل از شركت هاي متفاوت ايجاد شده است . اين پروتكل امكان رمزنگاري 40 بيتي و 128 بيتي  را دارا بوده و از مدل هاي تعيين اعتبار كاربر كه توسطPPP حمايت شده اند  ، استفاده مي نمايد.

-L2TP)Layer 2 Tunneling Protocol) . پروتكل فوق با همكاري چندين شركت ايجاد شده است .پروتكل فوق از ويژگي هايPPTP وL2F استفاده كرده است .  پروتكلL2TP بصورت كاملIPSec را حمايت مي كند. از پروتكل فوق بمنظور ايجاد تونل بين موارد زير استفاده مي گردد :

سرويس گيرنده  و  روتر

NAS و روتر

روتر و روتر

عملكردTunneling مشابه حمل يك كامپيوتر توسط يك كاميون است . فروشنده  ، پس از بسته بندي كامپيوتر ( پروتكل مسافر ) درون يك جعبه ( پروتكل كپسوله سازي ) آن را توسط يك كاميون ( پروتكل حمل كننده ) از انبار خود ( ايترفيس ورودي تونل ) براي  متقاضي   ارسال مي دارد. كاميون ( پروتكل حمل كننده ) از طريق بزرگراه ( اينترنت ) مسير خود را طي ، تا به منزل شما ( اينترفيش  خروجي تونل ) برسد. شما در منزل جعبه ( پروتكل كپسول سازي ) را باز و كامپيوتر ( پروتكل مسافر) را از آن خارج مي نمائيد.