ویکی‌پدیا

شبکه خصوصی مجازی: تفاوت میان نسخه‌ها

نمایش تاریخچه به صورت تعاملی
→ تفاوت قدیمی‌ترتفاوت جدیدتر ←
محتوای حذف‌شده محتوای افزوده‌شده
دیداریویکی‌متن
B t g3 (بحث | مشارکت‌ها)
۳ ویرایش‌ها
فارسی سازی ارقام
خط ۱:
{{ویکی سازی}}{{تمیزکاری}}{{حق تکثیر مشکوک}}
'''شبکهٔ خصوصی مجازی''' {{انگلیسی|Virtual Private Network}} (مخفف ''VPN'')، شبکه‌ای است که اطلاعات در آن از طریق یک شبکه عمومی مانند [[اینترنت]] جابه‌جا می‌شود اما در عین حال با استفاده از الگوریتم‌های [[رمزنگاری]] و با تصدیق هویت (Authentication)، این ارتباط هم‌چنان اختصاصی باقی می‌ماند. <ref>Electronic Commerce, Efraim Turabn, 482۴۸۲</ref>
 
شبکهٔ خصوصی مجازی به طور عمده برای ایجاد ارتباط بین شعبه‌های مختلف شرکت‌ها و یا فعالیت از راه دور مورد استفاده قرار می‌گیرد.
 
==چکیده==
شبکه اختصاصی مجازی
 
محمد امير نيکجو ، ساناز امانی ارجستان
 
چکيده
 
همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه اختصاصی خود را به درستی احساس کردند.درابتداشبکه‌های اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملاً اختصاصی بوده وکارمندان یک سازمان بااستفاده از رمز عبور تعریف شده،قادر به ورود به شبکه واستفاده از منابع موجودمی باشند.ولی اخیراً،موسسات و سازمانها با توجه به مطرح شدن خواسته‌های جدید(کارمندان از راه دور، ادارات از راه دور)اقدام به ایجادشبکه‌های اختصاصی مجازیVirtual Private Networkنموده یک VPN شبکه‌ای اختصاصی بوده که ازاینترنت برای ارتباط با سایت های از راه دور وارتباط کاربران با می نماید.این نوع شبکه‌ها بجای استفاده از خطوط واقعی نظیر خطوط Leasedاز یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند .
 
1==۱- مقدمه==
امنیت VPN
شبکه‌های VPN بمنظورامنیت داده هاوارتباطات از روش های متعددی استفاده می نمایند:
فايروالفایروال
● رمزنگاری
● IPSec
سرويسسرویس دهنده AAA
اصول VPN
فرستادن حجم زیادی از داده از یک کامپیوتربه کامپیوتر دیگر مثلا در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهندهMail نشدنی است.
سطر ۲۴ ⟵ ۲۰:
یکی ازراه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بودازاین گذشته،هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.در این حالت،کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به این ترتیب بسیاری از راه‌های خرابکاری برای نفوذ کنندگان بسته می شود.
شبکه‌های شخصی مجاری یا VPNهااینگونه مشکلات راحل می کند.VPN به کمک رمز گذاری روی داده ها،درون یک شبکه کوچک می سازدوتنها کسی که آدرس های لازم و رمز عبور رادراختیار داشته باشد می‌تواند به این شبکه وارد شود.مدیران شبکه‌ای که بیش از اندازه وسواس داشته و محتاط هستند می‌توانند VPN را حتی روی شبکه محلی هم پیاده کنند.اگر چه نفوذ کنندگان می‌توانند به کمک برنامه‌های Packet sniffer جریان داده هارادنبال کنند اما بدون داشتن کلید رمز نمی‌توانند آنها را بخوانند.
2۲- شبکه VPN چيست؟چیست؟
درطی ده سال گذشته دنيادنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است. اغلب سازمانهاوموسسات ارائه دهنده کالا و خدمات که در گذشته بسياربسیار محدود و منطقه‌ای مسائل رادنبال ودر صددارائه راهکارهای مربوطه بودند،امروزه بيشبیش از گذشته نيازمندنیازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای توليدهتولیده شده را دارند.به عبارت ديگردیگر تفکرات منطقه‌ای و محلی حاکم بر فعاليتفعالیت های تجاری جای خود را به تفکرات جهانی و سراسری داده اند. امروزه با سازمانهای زيادیزیادی برخورد می نمائيمنمائیم که در سطح يکیک کشور دارای دفاتر فعال و حتی درسطح دنيادنیا دارای دفاتر متفاوتی می‌باشند.تمام سازمانهای فوق قبل از هر چيزچیز به‌دنبال يکیک اصل بسياربسیار مهم می باشند:يکیک روش سريع،ايمنسریع،ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمايندگینمایندگی در اقصی نقاط يکیک کشور و يادریادر سطح دنيادنیا اکثرسازمانهاوموسسات بمنظورايجادبمنظورایجاد يکیک شبکه WANاز خطوط اختصاصی استفاده می نمايندنمایند.خطوط فوق دارای انواع متفاوتی می‌باشند. ISDN (با سرعت 128کيلوبيت۱۲۸کیلوبیت در ثانيهثانیه)، ( OC3 Optical Carrier-3۳)(با سرعت 155۱۵۵ مگابيتمگابیت در ثانيهثانیه)دامنه وسيعوسیع خطوط اختصاصی را نشان می دهد.يکیک شبکه WAN دارای مزايایمزایای عمده‌ای نسبت به يکیک شبکه عمومی نظيرنظیر اينترنتاینترنت از بعد امنيتامنیت وکارآئی است.پشتيانیپشتیانی و نگهداری يکیک شبکهWANدر عمل و زمانيکهزمانیکه از خطوط اختصاصی استفاده می گردد،مستلزم صرف هزينههزینه بالائی است.
همزمان باعموميتباعمومیت يافتنیافتن اينترنت،اغلباینترنت،اغلب سازمانهاوموسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکه‌های اينترانتاینترانت مطرح گرديدندگردیدند.ايناین نوع شبکه بصورت کاملااختصاصی بوده و کارمندان يکیک سازمان با استفاده از رمز عبور تعريفتعریف شده،قادر به ورود به شبکه و استفاده از منابع موجود می باشند.اخيراً،اخیراً، تعداد زيادیزیادی از موسسات و سازمانها با توجه به مطرح شدن خواسته‌های جديدجدید(کارمندان از راه دور،ادارات از راه دور)،اقدام به ايجادایجاد شبکه‌های اختصاصی مجازی VPN)) نموده اند.
يکیک VPN،شبکه‌ای اختصاصی بوده که از يکیک شبکه عمومی(عمومااينترنتعمومااینترنت)،برای ارتباط با سايتسایت های از راه دور و ارتباط کاربران بايکديگر،بایکدیگر، استفاده می نمايدنماید. ايناین نوع شبکه‌ها در عوض استفاده از خطوط واقعی نظيرنظیر:خطوط Leased،از يکیک ارتباط مجازی بکمک اينترنتاینترنت برای شبکه اختصاصی بمنظورارتباط به سايتسایت ها استفاده می‌کند.
شبكه‏‌هايشبکه‏‌های رايانه‏ايرایانه‏ای به شكلشکل گسترده‏ايگسترده‏ای در سازمان‏هاوشركت‏هايسازمان‏هاوشرکت‏های ادارياداری و تجاريتجاری مورد استفاده قرار مي‏گيرندمی‏گیرند.اگر يكیک شركتشرکت از نظر جغرافياييجغرافیایی و در فضايفضای كوچكکوچک متمركزمتمرکز باشد، ارتباطات بينبین بخش‏هايبخش‏های مختلف آن‌را مي‌توانمی‌توان با يكیک شبكه‏‏‌يشبکه‏‏‌ی محليمحلی برقرار كردکرد. اما برايبرای يكیک شركتشرکت بزرگ كهکه دارايدارای فضايفضای گسترده جغرافياييجغرافیایی وشعب مختلف در نقاط مختلف يكیک كشورکشور و يایا در نقاط مختلف دنيادنیا است واينواین بخشها يایا شعب نيازنیاز دارند كهکه با هم ارتباطاتِ اطلاعاتيِاطلاعاتیِ امن داشته‏ باشند، بايستيبایستی يكیک شبكه‏‏‌يشبکه‏‏‌ی گسترده‏يگسترده‏ی خصوصيخصوصی بينبین نقاط آن ايجادایجاد گردد.شبكه‏‌هايشبکه‏‌های اينترانتاینترانت كهکه فقط محدود به يكیک سازمان يایا يكیک شركتشرکت مي‏باشند،بهمی‏باشند،به دليلدلیل محدوديت‌هايمحدودیت‌های گسترشيگسترشی نمي‏توانندنمی‏توانند چندينچندین سازمان يایا شركتشرکت را تحت پوشش قرار دهند.شبكه‏‌هايشبکه‏‌های گسترده نيزنیز كهکه با خطوط استيجارياستیجاری راه‌‏اندازيراه‌‏اندازی مي‏شوند،می‏شوند، در واقع شبكه‏‌هايشبکه‏‌های گسترده‏يگسترده‏ی امنيامنی هستند كهکه بينبین مراكزمراکز سازمان‌هاايجادسازمان‌هاایجاد مي‏شوندمی‏شوند. پياده‌‏سازيپیاده‌‏سازی ايناین شبكه‏‌هاشبکه‏‌ها علي‏رغمعلی‏رغم درصد پايينپایین بهره‌وري،بهره‌وری، نيازنیاز به هزينه‌هزینه‌ زياديزیادی دارد.زيرا،اين‏زیرا،این‏ شبكه‏‌هاشبکه‏‌ها به دليلدلیل عدم اشتراكاشتراک منابع با ديگران،هزينه‏دیگران،هزینه‏ مواقع عدم استفاده از منابع را نيزنیز بايستيبایستی پرداخت كنندکنند. راه‌حل غلبه بر ايناین مشكلات،راه‌اندازيمشکلات،راه‌اندازی يكیک VPNاست.
فرستادن حجم زياديزیادی ازداده از يكیک كامپيوترکامپیوتر به كامپيوترکامپیوتر ديگردیگر مثلاً در به هنگام رسانيرسانی بانكبانک اطلاعاتياطلاعاتی يكیک مشكلمشکل شناخته شده و قديميقدیمی است.انجام ايناین كارازکاراز طريقطریق Email به دليلدلیل محدوديتمحدودیت گنجايشگنجایش سرويسسرویس دهنده Mail نشدنينشدنی است.استفاده از FTP هم به سرويسسرویس دهنده مربوطه وهمچنينوهمچنین ذخيرهذخیره سازيسازی موقت رويروی فضايفضای اينترنتاینترنت نيازنیاز دارد كهکه اصلا قابل اطميناناطمینان نيستنیست.
يكيیکی از راه حل هايهای اتصال مستقيممستقیم به كامپيوترکامپیوتر مقصد به كمكکمک مودم است كهکه در اينجااینجا هم علاوه بر مودم،پيكرمودم،پیکر بنديبندی كامپيوترکامپیوتر به عنوان سرويسسرویس دهنده RAS لازم خواهد بود.از ايناین گذشته،هزينهگذشته،هزینه ارتباط تلفنيتلفنی راه دور برايبرای مودم هم قابل تامل است.امااگر دو كامپيوترکامپیوتر در دو جايجای مختلف به اينترنتاینترنت متصل باشند ميمی توان از طريقطریق سرويسسرویس به اشتراكاشتراک گذاريگذاری فايلفایل در ويندوزویندوز بسادگيبسادگی فايلفایل ها را رد و بدل كردکرد.درايندراین حالت،كاربرانحالت،کاربران ميمی توانند به سخت ديسكدیسک كامپيوترهايکامپیوترهای ديگردیگر همچون سخت ديسكدیسک كامپيوترکامپیوتر خود دسترسيدسترسی داشته باشند.به ايناین ترتيبترتیب بسياريبسیاری از راههايراههای خرابكاريخرابکاری برايبرای نفوذ كنندگانکنندگان بسته ميمی شود.
شبكهشبکه هايهای شخصيشخصی مجازيمجازی يایا VPNهااينگونهVPNهااینگونه مشكلاتمشکلات را حل ميكندمیکند.VPN به كمكکمک رمز گذاريگذاری رويروی داده‌ها ، درون يكیک شبكهشبکه كوچكکوچک ميمی سازد و تنها كسيکسی كهکه آدرس هايهای لازم و رمز عبور را در اختياراختیار داشته باشد ميمی تواند به ايناین شبكهشبکه وارد شود. مديرانمدیران شبكهشبکه ايای كهکه بيشبیش از اندازه وسواس داشته و محتاط هستند ميمی توانند VPN را حتيحتی رويروی شبكهشبکه محليمحلی هم پيادهپیاده كنندکنند كهکه ايناین امردر موسسه رازيرازی انجام پذيرفتهپذیرفته است .اگر چه نفوذ كنندگانکنندگان ميمی توانند به كمكکمک برنامه هايهای Packet snifter جريانجریان داده هارادنبال كنندکنند اما بدون داشتن كليدکلید رمز نمينمی توانند آنها را بخوانند.
3۳-عناصر تشکيلتشکیل دهنده يکیک VPN
دو نوع عمده شبکه‌های VPNوجود دارد:
دستيابیدستیابی از راه دور
به ايناین نوع از شبکه‌ها VPDN)Virtual private dial-up network)،نيز،نیز گفته می‌شود.در شبکه‌های فوق از مدل ارتباطی User to LAN (ارتباط کاربر به يکیک شبکه محلی) استفاده می‌گردد.سازمانهائی که از مدل فوق استفاده می نمايند،بدنبالنمایند،بدنبال ايجادایجاد تسهيلاتتسهیلات لازم برای ارتباط پرسنل (عموماکاربران از راه دور و در هر مکانی می‌توانند حضور داشته باشند) به شبکه سازمان می‌باشند. سازمانهائی که تمايلتمایل به برپاسازی يکیک شبکه بزرگ"دستيابیدستیابی از راه دور می‌باشند،می بايستبایست از امکانات يکیک مرکز ارائه دهنده خدمات اينترنتاینترنت جهان ESP استفاده نمايندنمایند. سرويسسرویس دهنده ESP، بمنظور نصب و پيکربندیپیکربندی VPN،يکVPN،یک NASرا پيکربندیپیکربندی و نرم افزاری را در اختياراختیار کاربران از راه دور بمنظور ارتباط با سايتسایت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط قادر به دستيابیدستیابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستيابیدستیابی به شبکه سازمان خود خواهند بود.
سايتسایت به سايتسایت
درمدل فوق يکیک سازمان با توجه به سياستسیاست های موجود،قادر به اتصال چندينچندین سايتسایت ثابت ازطريقازطریق يکیک شبکه عمومی نظيرنظیر اينترنتاینترنت است.شبکه‌های VPN که از روش فوق استفاده می نمايند،داراینمایند،دارای گونه‌های خاصی درايندراین زمينهزمینه می‌باشند:
▪ مبتنی براينترانتبراینترانت.در صورتيکهصورتیکه سازمانی دارای يکیک و يایا بيشبیش از يکیک محل(راه دور)بوده و تمايلتمایل به الحاق آنها در يکیک شبکه اختصاصی باشد،میتوان يکیک اينترانتاینترانت VPNرابمنظوربرقرای ارتباط هر يکیک از شبکه‌های محلی بايکديگرايجادبایکدیگرایجاد نمود.
▪ مبتنی بر اکسترانت .در موارديکهمواردیکه سازمانی در تعامل اطلاعاتی بسيارنزديکبسیارنزدیک با سازمان ديگردیگر باشد،می توان يکیک اکسترانت VPN را بمنظورارتباط شبکه‌های محلی هر يکیک از سازمانها ايجادایجاد کرد.در چنينچنین حالتی سازمانهای متعدد قادر به فعاليتفعالیت در يکیک محيطمحیط اشتراکی خواهند بود.
استفاده از VPN برای يکیک سازمان دارای مزايایمزایای متعددی نظيرنظیر:گسترش محدوه جغرافيائیجغرافیائی ارتباطی ، بهبود وضعيتوضعیت امنيت،کاهشامنیت،کاهش هزينه‌هایهزینه‌های عملياتیعملیاتی در مقايسهمقایسه با روش های سنتی WAN،کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبودبهره وری،توپولوژی آسان،...است.در يکهیکه شبکه VPNبه عوامل متفاوتی نظيرنظیر:امنيت،اعتمادپذيریامنیت،اعتمادپذیری ،مديريت،مدیریت شبکه و سياستسیاست ها نيازنیاز خواهد بود.
4۴- شبکه‌های LANجزايراطلاعاتیLANجزایراطلاعاتی
فرض نمائيدنمائید در جزيره‌ایجزیره‌ای دراقيانوسیدراقیانوسی بزرگ،زندگی می کنيدکنید.هزاران جزيرهجزیره در اطراف جزيرهجزیره شما وجود دارد.برخی از جزايرجزایر نزديکنزدیک و برخی ديگردیگر دارای مسافت طولانی با جزيرهجزیره شما می‌باشند.متداولترينمتداولترین روش بمنظور مسافرت به جزيرهجزیره ديگر،استفادهدیگر،استفاده از يکیک کشتی مسافربری است.مسافرت با کشتی مسافربری،بمنزله عدم وجود امنيتامنیت است .در ايناین راستاهر کاری راکه شما انجام دهيد،توسطدهید،توسط سايرسایر مسافرينمسافرین قابل مشاهده خواهد بود.فرض کنيدکنید هر يکیک از جزايرجزایر مورد نظر به مشابه يکیک شبکه محلی(LAN)واقيانوسواقیانوس مانند اينترنتاینترنت باشند.مسافرت با يکیک کشتی مسافربری مشابه برقراری ارتباط با يکیک سرويسسرویس دهنده وب و يایا سايرسایر دستگاههای موجود دراينترنتدراینترنت است.شما دارای هيچگونههیچگونه کنترلی بر روی کابل ها و روترهای موجوددراينترنتموجوددراینترنت نمی باشيدباشید.(مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سايرسایر مسافرينمسافرین حاضر در کشتی).در صورتيکهصورتیکه تمايلتمایل به ارتباط بينبین دو شبکه اختصاصی از طريقطریق منابع عمومی وجود داشته باشد،اولينباشد،اولین مسئله‌ای که با چالش های جدی برخورد خواهد کرد،امنيتکرد،امنیت خواهد بود.فرض کنيد،جزيرهکنید،جزیره شما قصد ايجادایجاد يکیک پل ارتباطی با جزيرهجزیره مورد نظر را داشته باشد .مسيرايجادمسیرایجاد شده يکیک روش ايمن،ایمن، ساده و مستقيممستقیم برای مسافرت ساکنينساکنین جزيرهجزیره شما به جزيرهجزیره ديگردیگر را فراهم می‌آورد.همانطور که حدس زده ايد،ايجاداید،ایجاد و نگهداری يکیک پل ارتباطی بينبین دو جزيرهجزیره مستلزم صرف هزينه‌هایهزینه‌های بالائی خواهد بود.(حتی اگر جزايرجزایر در مجاورت يکديگریکدیگر باشند).با توجه به ضرورت و حساسيتحساسیت مربوط به داشتن يکیک مسيرمسیر ايمنایمن و مطمئن، تصميمتصمیم به ايجادایجاد پل ارتباطی بينبین دو جزيرهجزیره گرفته شده است.در صورتيکهصورتیکه جزيرهجزیره شما قصد ايجادایجاد يکیک پل ارتباطی با جزيرهجزیره ديگردیگر را داشته باشد که در مسافت بسياربسیار طولانی نسبت به جزيرهجزیره شما واقع است ، هزينه‌هایهزینه‌های مربوط بمراتب بيشتربیشتر خواهد بود.وضعيتوضعیت فوق،نظيرفوق،نظیر استفاده از يکیک اختصاصی Leasedاست.ماهيتماهیت پل های ارتباطی (خطوط اختصاصی)ازاقيانوسازاقیانوس(اينترنتاینترنت)متفاوت بوده وکماکن قادر به ارتباط جزايرجزایر( شبکه‌های LAN)خواهند بود.سازمانها و موسسات متعددی از رويکردرویکرد فوق( استفاده از خطوط اختصاصی) استفاده می نمايندنمایند.مهمترينمهمترین عامل در ايناین زمينهزمینه وجودامنيتوجودامنیت واطمينانواطمینان برای برقراری ارتباط هر يکیک سازمانهای مورد نظر با يکديگریکدیگر است.در صورتيکهصورتیکه مسافت ادارات و ياشعبیاشعب يکیک سازمان از يکديگریکدیگر بسياربسیار دور باشد،هزينهباشد،هزینه مربوط به برقرای ارتباط نيزنیز افزايشافزایش خواهديافتخواهدیافت.
با توجه به مواردگفته شده،چه ضرورتی بمنظور استفاده از VPNوجود داشته و VPN تامينتامین کننده،کداميککننده،کدامیک از اهداف و خواسته‌های مورد نظراست؟با توجه به مقايسهمقایسه انجام شده در مثال فرضی،می توان گفت که بااستفاده از VPN به هريکهریک از ساکنينساکنین جزيرهجزیره يکیک زيردريائیزیردریائی داده می شود.زيردريائیزیردریائی فوق دارای خصايصخصایص متفاوت نظيرنظیر:
دارای سرعت بالااست.
هدايتهدایت آن ساده است.
قادر به استتار(مخفی نمودن) شماازسايرشماازسایر زيردريازیردریا ئيهاوکشتیئیهاوکشتی هااست.
قابل اعتماداست.
پس از تامينتامین اوليناولین زيردريائی،افزودنزیردریائی،افزودن امکانات جانبی و حتی يکیک زيردريائیزیردریائی ديگرمقروندیگرمقرون به صرفه خواهد بود
در مدل فوق،باوجود ترافيکترافیک در اقيانوس،هراقیانوس،هر يکیک از ساکنينساکنین دوجزيرهدوجزیره قادر به تردد در طول مسيرمسیر در زمان دلخواه خود با رعايترعایت مسايلمسایل ايمنیایمنی می‌باشند.مثال فوق دقيقاًبيانگردقیقاًبیانگر تحوه عملکرد VPNاست.هر يکیک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن بااستفاده از يکیک محيطمحیط انتقال عمومی( نظيراينترنتنظیراینترنت)باشبکه محلی(LAN)موجود در سازمان خود خواهندبود.توسعه يکیک VPN (افزايشافزایش تعداد کاربران از راه دوروياافزايشدورویاافزایش مکان های مورد نظر) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمايندنمایند.قابليتقابلیت توسعه فراگيرازفراگیراز مهمترينمهمترین ويژگیویژگی های يکیک VPN نسبت به خطوط اختصاصی است.
مثال فوق دقيقاًبيانگردقیقاًبیانگر تحوه عملكردعملکرد VPN است.هر يكیک از كاربرانکاربران از راه دور شبكهشبکه قادربه برقراريبرقراری ارتباطيارتباطی امن و مطمئن بااستفاده از يكیک محيطمحیط انتقال عموميعمومی (نظيراينترنتنظیراینترنت)با شبكهشبکه محليمحلی(LAN)موجوددرسازمان خود خواهند بود.توسعه يكیک VPN افزايشافزایش تعداد كاربرانکاربران از راه دور و يایا افزايشافزایش مكانمکان هايهای مورد نظر)بمراتب آسانتر از شبكهشبکه هائيهائی است كهکه از خطوط اختصاصياختصاصی استفاده ميمی نمايندنمایند. قابليتقابلیت توسعه فراگيرفراگیر از مهمترينمهمترین ويژگيویژگی هايهای يكیک VPN نسبت به خطوط اختصاصياختصاصی است.
با توجه به اينكهاینکه دريكدریک شبكهشبکه VPN به عوامل متفاوتيمتفاوتی نظيرنظیر:امنيت،امنیت، اعتمادپذيري،مديريتاعتمادپذیری،مدیریت شبكهشبکه و سياستسیاست ها نيازنیاز خواهد بود.استفاده از VPNبرايVPNبرای يكیک سازمان دارايدارای مزايايمزایای متعدديمتعددی مانند:
● گسترش محدوه جغرافيائيجغرافیائی ارتباطيارتباطی
● بهبود وضعيتوضعیت امنيتامنیت
كاهشکاهش هزينههزینه هايهای عملياتيعملیاتی در مقايسهمقایسه با روش هايهای سنتيسنتی نظيرWANنظیرWAN
كاهشکاهش زمان ارسال و حمل اطلاعات برايبرای كاربرانکاربران از راه دور
● بهبود بهره وريوری
توپولوژيتوپولوژی آسان ،...است.
VPNنسبت به شبكه‏‌هايشبکه‏‌های پياده‌‏سازيپیاده‌‏سازی شده با خطوط استيجاري،دراستیجاری،در پياده‌‏سازيپیاده‌‏سازی و استفاده،هزينهاستفاده،هزینه كمتريکمتری صرف مي‏كندمی‏کند.اضافه وكموکم كردنکردن گره‌هاياشبكه‌هايگره‌هایاشبکه‌های محليمحلی به VPN، به خاطرساختارآن،با هزينه‌هزینه‌ كمتريکمتری امكان‏پذيرامکان‏پذیر است.در صورت نيازنیاز به تغييرتغییر همبنديهمبندی شبكه‌يشبکه‌ی خصوصي،نيازيخصوصی،نیازی به راه‌‏اندازيراه‌‏اندازی مجدد فيزيكيفیزیکی شبكهشبکه نيستنیست و به صورت نرم‏افزاري،همبندينرم‏افزاری،همبندی شبكهشبکه قابل تغييراستتغییراست.
5۵- امنيتامنیت VPN
شبکه‌های VPNبمنظور تامينتامین امنيتامنیت (داده هاوارتباطات)از روش های متعددی استفاده می نمايندنمایند:
فايروالفایروال.
فايروالفایروال يکیک ديوارهدیواره مجازی بينبین شبکه اختصای يکیک سازمان واينترنتواینترنت ايجادایجاد می نمايدنماید. با استفاده از فايروالفایروال می‌توان عملياتعملیات متفاوتی رادر جهت اعمال سياستسیاست های امنيتیامنیتی يکیک سازمان انجام داد. ايجادایجاد محدوديتمحدودیت در تعداد پورت ها فعال،ايجادفعال،ایجاد محدوديتمحدودیت در رابطه به پروتکل های خاص،ايجادخاص،ایجاد محدوديتمحدودیت در نوع بسته‌های اطلاعاتی و ...نمونه هائی از عملياتیعملیاتی است که می‌توان با استفاده از يکیک فايروالفایروال انجام داد.
==رمزنگاری .==
فرآيندیفرآیندی است که بااستفاده ازآن کامپيوترکامپیوتر مبداءاطلاعاتی رمزشده را برای کامپيوترکامپیوتر ديگردیگر ارسال می نمايدنماید.سايرسایر کامپيوترهاکامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدينبدین ترتيبترتیب پس از ارسال اطلاعات توسط فرستنده، دريافتدریافت کنندگان،قبل ازاستفاده ازاطلاعات می بايستبایست اقدام به رمزگشائی اطلاعات ارسال شده نمايندنمایند.سيستمسیستم های رمزنگاری در کامپيوترکامپیوتر به دو گروه عمده تقسيمتقسیم می‌گردد:
رمزنگاری کليدکلید متقارن
رمزنگاری کليدکلید عمومی
در رمز نگاری"کليدکلید متقارن" هر يکیک از کامپيوترهاکامپیوترها دارای يکیک کليدکلید Secret(کد) بوده که بااستفاده ازآن قادر به رمزنگاری يکیک بسته اطلاعاتی قبل ازارسال در شبکه برای کامپيوترکامپیوتر ديگردیگر می‌باشند.در روش فوق می بايستبایست درابتدا نسبت به کامپيوترهائیکامپیوترهائی که قصد برقراری و ارسال اطلاعات برای يکديگریکدیگر را دارند،آگاهی کامل وجود داشته باشد.هر يکیک از کامپيوترهایکامپیوترهای شرکت کننده در مبادله اطلاعاتی می بايستبایست دارای کليدکلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نيزنیز از کليدکلید فوق استفاده خواهد شد. فرض کنيدکنید قصد ارسال يکیک پيامپیام رمز شده برای يکییکی از دوستان خود را داشته باشيدباشید. بدينبدین منظور از يکیک الگوريتمالگوریتم خاص برای رمزنگاری استفاده می‌شود .در الگوريتمالگوریتم فوق هر حرف به دوحرف بعداز خود تبديلتبدیل می‌گردد.(حرف A به حرف C،حرف Bبه حرف D).پس از رمزنمودن پيامپیام و ارسال آن،می بايستبایست دريافتدریافت کننده پيامپیام به ايناین حقيقتحقیقت واقف باشد که برای رمزگشائی پيامپیام لرسال شده،هر حرف به دو حرق قبل از خود می باطست تبديلتبدیل گردد. در چنينچنین حالتی می باطست به دوست امينامین خود، واقعيتواقعیت فوق(کليدکلید رمز) گفته شود.در صورتيکهصورتیکه پيامپیام فوق توسط افراد ديگریدیگری دريافتدریافت گردد ، بدليلبدلیل عدم آگاهی از کليد،آنانکلید،آنان قادر به رمزگشائی و استفاده از پيامپیام ارسال شده نخواهند بود.
در رمزنگاری عمومی از ترکيبترکیب يکیک کليدکلید خصوصی و يکیک کليدکلید عمومی استفاده می‌شود.کليدکلید خصوصی صرفاًبرای کامپيوترکامپیوتر شما(ارسال کننده)قابل شناسائی و استفاده است.کليدکلید عمومی توسط کامپيوترکامپیوتر شما در اختياراختیار تمام کامپيوترهایکامپیوترهای ديگردیگر که قصد ارتباط با آن را داشته باشند ، گذاشته می‌شود. بمنظور رمزگشائی يکیک پيامپیام رمز شده،يکشده،یک کامپيوترکامپیوتر می بايستبایست با استفاده از کليدکلید عمومی(ارائه شده توسط کامپيوترکامپیوتر ارسال کننده)،کليد،کلید خصوصی مربوط به خود اقدام به رمزگشائی پيامپیام ارسالی نمايدنماید.يکییکی از متداولترينمتداولترین ابزار"رمزنگاری کليدکلید عمومی"روشی با نام PGP است.با استفاده از روش فوق می‌توان اقدام به رمزنگاری اطلاعات دلخواه خودنمود.
● IPSec
پروتکل IPsec، يکییکی از امکانات موجود برای ايجادایجاد امنيتامنیت درارسال و دريافتدریافت اطلاعات می‌باشد.قابليتقابلیت روش فوق در مقايسهمقایسه با الگوريتمالگوریتم های رمزنگاری بمراتب بيشتربیشتر است.پروتکل فوق دارای دو روش رمزنگاری است: Tunnel ، Transport.در روش tunel، هدر و Payload رمز شده درحاليکهدرحالیکه در روش transport صرفاً payload رمز می‌گردد.پروتکل فوق قادر به رمزنگاری اطلاعات بينبین دستگاههای متفاوت است:
روتر به روتر
فايروالفایروال به روتر
کامپيوترکامپیوتر به روتر
کامپيوترکامپیوتر به سرويسسرویس دهنده
سرويسسرویس دهنده AAA
سرويسسرویس دهندگانAAA بمنظور ايجادامنيتایجادامنیت بالا در محيطمحیط های VPN از نوع "دستيابیدستیابی از راه دور " استفاده می‌گردند. زمانيکهزمانیکه کاربران با استفاده از خط تلفن به سيستمسیستم متصل می‌گردند،سرويسمی‌گردند،سرویس دهنده AAAدرخواست آنها را اخذ و عماياتعمایات زيرزیر را انجام خواهد داد:
شما چه کسی هستيد؟هستید؟(تاييد،Authenticationتایید،Authentication)
شما مجاز به انجام چه کاری هستيد؟هستید؟( مجوز،Authorization)
چه کارهائی را انجام داده ايد؟اید؟(حسابداری،Accounting)
6۶- تکنولوژی های VPN
با توجه به نوع VPN("دستيابیدستیابی از راه دور"و يایا"سايتسایت به سايتسایت")،بمنظور ايجادایجاد شبکه از عناصر خاصی استفاده می‌گردد:
نرم افزارهای مربوط به کاربران از راه دور
سخت افزارهای اختصاصی نظيرنظیر يکیک "کانکتور VPN" و يایا يکیک فايروالفایروال PIX
سرويسسرویس دهنده اختصاصی VPN بمنظور سرويُسسرویُس های Dial-up
سرويسسرویس دهنده NAS که توسط مرکز ارائه خدمات اينترنتاینترنت بمنظور دستيابیدستیابی به VPN از نوع "دستيابیدستیابی از را دور"استفاده می‌شود.
7۷- شبکه VPNومرکز مديريتمدیریت سياستسیاست ها
با توجه به اينکهاینکه تاکنون يکیک استاندارد قابل قبول و عمومی بمنظورايجادشVPNبمنظورایجادشVPN ايجادایجاد نشده است،شرکت های متعدد هر يکیک اقدام به توليدتولید محصولات اختصاصی خود نموده اند.
- کانکتور VPN.سخت افزار فوق توسط شرکت سيسکوسیسکو طراحی و عرضه شده است. کانکتور فوق در مدل های متفاوت و قابليتقابلیت های گوناگون عرضه شده است.در برخی از نمونه‌های دستگاه فوق امکان فعاليتفعالیت همزمان 100۱۰۰ کاربر از راه دور و در برخی نمونه‌های ديگردیگر تا 10.000۱۰٫۰۰۰ کاربر از راه دور قادر به اتصال به شبکه خواهند بود.
- روتر مختص VPN.روتر فوق توسط شرکت سيسکوسیسکو ارائه شده است.ايناین روتر دارای قابليتقابلیت های متعدد بمنظور استفاده در محيطمحیط های گوناگون است.در طراحی روتر فوق شبکه‌های VPN نيزنیز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه‌ای بهينهبهینه سازی شده اند.
 
- فايروالفایروال PIX .فايروالفایروال قابليتقابلیت هائی نظيرنظیر NAT ،سرويس،سرویس دهنده Proxy،فيلترProxy،فیلتر نمودن بسته‌ای اطلاعاتی،فايروالاطلاعاتی،فایروال و VPN را در يکیک سخت افزار فراهم نموده است.
8۸-اصولVPN
فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلاً در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کاراز طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است.
استفاده از FTPهم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلاً قابل اطمینان نیست.
سطر ۱۰۱ ⟵ ۹۷:
سرویس گیرنده VPN بسته هارا پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام می‌دهد.روشی که شرح داده شد را اغلب Tunneling یا تونل زنی می نامند چون داده‌ها برای رسیدن به کامپیوتر مقصد از چیزی مانند تونل می گذرند . برای پیاده سازی VPNراه‌های گوناگونی وجود دارد که پر کاربرد ترین آنها عبارتنداز:
Point to point Tunneling protocol یا PPTP که برای انتقال NetBEUI روی یک شبکه بر پایه IP مناسب است.
L2TP که برای انتقالIP ، IPX یا NetBEUI روی هر رسانه دلخواه که توان انتقال Datagram های نقطه به نقطه Point to point را داشته باشد مناسب است. برای نمونه می‌توان ب IP ، X.25۲۵ ، Frame Relay یا ATM اشاره کرد.
IP Security protocol یا Ipsec که برای انتقال داده‌های IP روی یک شبکه بر پایه IP مناسب است.
9۹- (تونل سازی)
اکثر شبکه‌های VPN بمنظورايجادبمنظورایجاد يکیک شبکه اختصاصی با قابليتقابلیت دستيابیدستیابی از طريقطریق اينترنتاینترنت ازامکان" Tunneling "استفاده می نمايندنمایند. در روش فوق تمام بسته اطلاعاتی در يکیک بسته ديگردیگر قرار گرفته واز طريقطریق شبکه ارسال خواهد شد.پروتکل مربوط به بسته اطلاعاتی خارجی(پوسته)توسط شبکه و دو نفطه(ورودو خروج بسته اطلاعاتی)قابل فهم می‌باشد.دو نقظه فوق را"اينترفيساینترفیس های تونل"می گويندگویند.
روش فوق مستلزماستفاده از سه پروتکل است:
پروتکل حمل کننده.ازپروتکل فوق شبکه حامل اطلاعات استفاده می نمايدنماید.
پروتکل کپسوله سازی.از پروتکل هائی نظيرنظیر:IPSec,L2F,PPTP,L2TP,GRE استفاده می‌گردد.
پروتکل مسافر.از پروتکل هائی نظيرنظیر IPX,IP,NetBeuiبمنظورانتقال داده‌های اوليهاولیه استفاده می‌شود.
با استفاده از روش Tunnelingمی توان عملياتعملیات جالبی را انجام داد. مثلاً می‌توان از بسته‌ای اطلاعاتی که پروتکل اينترنتاینترنت را حمايتحمایت نمی‌کند(نظيرنظیر NetBeui)درون يکیک بسته اطلاعاتی IP استفاده وآن را از طريقطریق اينترنتاینترنت ارسال نمود و يایا می‌توان يکیک بسته اطلاعاتی را که از يکیک آدرس IP غيرغیر قابل روت(اختصاصی)استفاده می نمايدنماید ،درون يکیک بسته اطلاعاتی که از آدرس های معتبر IPاستفاده می‌کند،مستقر وازطريقوازطریق اينترنتاینترنت ارسال نمود.
در شبکه‌های VPNاز نوع "سايتسایت به سايتسایت "،GRE)generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده می‌گردد. فرآيندفرآیند فوق نحوه استقرار و بسته بندی "پروتکل مسافر" از طريقطریق پروتکل" حمل کننده" برای انتقال را تبينتبین می نمايدنماید.(پروتکل حمل کننده،عموما" IPاست).فرآيندفرآیند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بينبین سرويسسرویس گيرندهگیرنده و سرويسسرویس دهنده است.در برخی موارد از پروتکل IPSec(در حالت tunnel) برای کپسوله سازی استفاده می‌گردد.پروتکل IPSec، قابل استفاده در دو نوع شبکه VPN(سايتسایت به يايتیایت و دستيابیدستیابی از راه دور) است.اينترفيشاینترفیش های Tunnel می بايستبایست دارای امکانات حمايتیحمایتی از IPSec باشند.
در شبکه‌های VPN از نوع"دستيابیدستیابی از راه دور"، Tunneling با استفاده از PPP انجام می گيردگیرد.PPP به عنوان حمل کننده سايرسایر پروتکل های IP در زمان برقراری ارتباط بينبین يکیک سيستمسیستم ميزبانمیزبان و يکیک سيستمسیستم ازه دور،مورد استفاده قرار می گيردگیرد.
هر يکیک از پروتکل های زيرزیر با استفاده از ساختار اوليهاولیه PPPايجادوتوسطPPPایجادوتوسط شبکه‌های VPNاز نوع"دستيابیدستیابی از راه دور "استفاده می گردند:
10۱۰- پروتکل های درون تونل
Tunnelingرا می‌توان روی دو لایه از لایه‌های OSI پیاده کرد. PPTP و L2TP از لایه 2۲ یعنی پیوند داده استفاده کرده و داده‌ها را در قالب Frame های پروتکل نقطه به نقطه (PPP) بسته بندی می‌کنند. دراین حالت می‌توان از ویژگی های PPP همچون تعیین اعتبار کاربر ، تخصیص آدرس پویا (مانند DHCP) ،فشرده سازی داده‌ها یا رمز گذاری داده‌ها بهره برد.
با توجه به اهمیت ایمنی انتقال داده‌ها درVPN،دراین میان تعیین اعتبار کاربر نقش بسیار مهمی دارد.برای این کار معمولاً از CHAP استفاده می‌شود که مشخصات کاربر را در این حالت رمز گذاری شده جابه جا می‌کند.Call back هم دسترسی به سطح بعدی ایمنی را ممکن می سازد.در این روش پس از تعیین اعتبار موفقیت آمیز،ارتباط قطع می‌شود.سپس سرویس دهنده برای برقرار کردن ارتباط جهت انتقال داده‌ها شماره گیری می‌کند.هنگام انتقال داده ها،Packet های IP ، IP X یا NetBEUI در قالب Frame های PPP بسته بندی شده و فرستاده می‌شوند.PPTP هم Frame های PPP را پیش از ارسال روی شبکه بر پایه IP به سوی کامپیوتر مقصد،در قالب Packet های IP بسته بندی می‌کند. این پروتکل در سال 1996۱۹۹۶ از سوی شرکت هایی چون مایکرو سافت، Ascend ، 3۳ com و Robotics US پایه گذاری شد.محدودیت PPTP در کار تنها روی شبکه‌های IP باعث ظهور ایده‌ای در سال 1998۱۹۹۸ شد.L2TP روی X.25۲۵ ،Frame Relay یا ATM هم کار می‌کند . برتری L2TP در برابر PPTP این است که به طور مستقیم روی رسانه‌های گوناگون WAN قابل انتقال است .
2F۲F)Layer 2 Forwarding)
پروتکل فوق توسط سيسکوسیسکو ايجادایجاد شده است . در پروتکل فوق از مدل های تعيينتعیین اعتبار کاربر که توسط PPP حمايتحمایت شده اند ،استفاده شد ه است .
PPTP)Point-to-Point Tunneling Protocol).
پروتکل فوق توسط کنسرسيومیکنسرسیومی متشکل از شرکت های متفاوت ايجادایجاد شده است .ايناین پروتکل امکان رمزنگاری 40۴۰ بيتیبیتی و 128۱۲۸ بيتیبیتی را دارا بوده و از مدل های تعيينتعیین اعتبار کاربر که توسط PPP حمايتحمایت شده اند،استفاده می نمايدنماید
.
2TP۲TP)Layer 2 Tunneling Protocol)
پروتکل فوق با همکاری چندينچندین شرکت ايجادایجاد شده است .پروتکل فوق از ويژگیویژگی های PPTP و L2F استفاده کرده است . پروتکل L2TP بصورت کامل IPSec را حمايتحمایت می‌کند. از پروتکل فوق بمنظور ايجادایجاد تونل بينبین موارد زيرزیر استفاده می‌گردد:
سرويسسرویس گيرندهگیرنده و روتر
NAS و روتر
روتر و روتر
عملکرد Tunnelingمشابه حمل يکیک کامپيوترکامپیوتر توسط يکیک کاميونکامیون است . فروشنده ، پس از بسته بندی کامپيوترکامپیوتر(پروتکل مسافر)درون يکیک جعبه(پروتکل کپسوله سازی) آن را توسط يکیک کاميونکامیون(پروتکل حمل کننده)ازانبار خود(ايترفيسایترفیس ورودی تونل ) برای متقاضی ارسال می‌دارد.کاميونکامیون(پروتکل حمل کننده)از طريقطریق بزرگراه(اينترنتاینترنت) مسيرمسیر خودرا طی،تا به منزل شما(اينترفيشاینترفیش خروجی تونل)برسد.شما در منزل جعبه( پروتکل کپسول سازی)را بازوکامپيوتربازوکامپیوتر(پروتکل مسافر)راازآن خارج می نمائيدنمائید
VPN-Ipsec فقط برای اينترنتاینترنت
Ipsec برخلافPPTP و L2TPروی لایه شبکه یعنی لایه سوم کار می‌کند.این پروتکل داده‌هایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می فرستد.
کامپیوتری که در آن سو قرار دارد IP Headerرا جدا کرده،داده‌ها را رمز گشایی کرده و آن را به کامپیوتر مقصد می فرستد .Ipsec را می‌توان با دو شیوه Tunneling پیکر بندی کرد.در این شیوه انتخاب اختیاری تونل،سرویس گیرنده نخست یک ارتباط معمولی با اینترنت برقرار می‌کند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده می‌کند . برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل تونل نصب شده باشد.معمولاً کاربر اینترنت است که به اینترنت وصل می‌شود.اما کامپیوترهای درون LAN هم می توانند یک ارتباط VPN برقرا کنند.از آنجا که ارتباط IPاز پیش موجود است تنها برقرار کردن ارتباط VPN کافی است.در شیوه تونل اجباری ،سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار به عهده فراهم ساز است.سرویس گیرنده تنها باید به ISP وصل شود.تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد.البته برای این کار باید همانگی های لازم با ISPانجام بگیرد.ٍ
11۱۱- ويژگیویژگی های امنيتیامنیتی در IPsec
Ipsec از طریق AHمطمئن می‌شود که Packet های دریافتی از سوی فرستنده واقعیو نه از سوی یک نفوذ کننده که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده.AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay جلوگیری کند.اما AH رمز گذاری نمی‌شود.رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می‌گیرد.در این شیوه داده‌های اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال می‌کند.
ESH همچنین کارکرد هایی برای تعیین اعتبار و خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست .برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IETF برای حفظ سازگاری میان محصولات مختلف، الگوریتم های اجباری برای پیاده سازی Ipsec تدارک دیده.برای نمونه می‌توان به MD5،DESMD۵،DES یا Secure Hash Algorithm اشاره کرد.مهمترین استانداردها و روش هایی که در Ipsec به کار می‌روند عبارتنداز:
• Diffie-Hellman برای مبادله کلید ها میان ایستگاه‌های دو سر ارتباط.
• رمز گذاری Public Key برای ثبت و اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاه‌های سهیم در ارتباط.
سطر ۱۳۸ ⟵ ۱۳۴:
• الگوریتم های درهم ریزی ( Hash) برای تعیین اعتبار تک تک Packet ها.
• امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی.
4۴٫۱.1.5۵ - Ipsec بدون تونل
Ipsec در مقایسه با دیگر روش ها یک برتری دیگر هم دارد و آن اینست که می‌تواند همچون یک پروتکل انتقال معمولی به کار برود.
در این حالت برخلاف حالت Tunneling همه IP packet رمز گذاری و دوباره بسته بندی نمی‌شود.بجای آن، تنها داده‌های اصلی رمزگذاری می‌شوند و Header همراه با آدرس های فرستنده و گیرنده باقی می ماند.این باعث می‌شود که داده‌های سرباز ( Overhead ) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود . اما روشن است که در این وضعیت ، خرابکاران می‌توانند به مبدا و مقصد داده‌ها پی ببرند . از آنجا که در مدل OSI داده‌ها از لایه 3۳ به بالا رمز گذاری می‌شوند خرابکاران متوجه نمی‌شوند که این داده‌ها به ارتباط با سرویس دهنده Mail مربوط می‌شود یا به چیز دیگر.
12۱۲- جریان یک ارتباط Ipsec
بیش از آن که دو کامپیوتر بتواننداز طریق Ipsec داده‌ها را میان خود جابجا کنند باید یکسری کارها انجام شود.
• نخست باید ایمنی برقرار شود.برای این منظور ، کامپیوترها برای یکدیگر مشخص می‌کنند که آیا رمز گذاری،تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه.
• سپس الگوریتم را مشخص می‌کنند،مثلاً DEC برای رمزگذاری و MD5MD۵ برای خطایابی.
• در گام بعدی ،کلیدها را میان خود مبادله می‌کنند.
Ipsec برای حفظ ایمنی ارتباط از SA استفاده می‌کند. SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص می‌کند.SA ها از سوی SPI شناسایی می‌شوند.SPI از یک عدد تصادفی و آدرس مقصد تشکیل می‌شود.این به آن معنی است که همواره میان دو کامپیوتر دو SPI وجود دارد:
یکی برای ارتباط A و B و یکی برای ارتباط B به A .اگر یکی از کامپیوترها بخواهد در حالت محافظت شده داده‌ها را منتقل کند نخست شیوه رمز گذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی داده‌ها اعمال می‌کند.سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد.
12۱۲- مديريتمدیریت کليدهایکلیدهای رمز در Ipsec
اگر چه Ipsec فرض را بر این می گذارد که توافقی برای ایمنی داده‌ها وجود دارد اما خودش برای ایجاد این توافق نمی‌تواند کاری انجام بدهد .
Ipsec در این کار به IKE تکیه می‌کند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند.در حال حاضر برای این کار از راه‌های زیر استفاده می‌شود:
سطر ۱۵۴ ⟵ ۱۵۰:
• رمز گذاری Public Key:هر کامپیوتر یک عدد تصادفی ساخته و پس از رمز گذاری آن با کلید عمومی کامپیوتر مقابل ،آن را به کامپیوتر مقابل می فرستد .اگر کامپیوتر مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده و باز پس بفرستد برا ی ارتباط مجاز است.در حال حاضر تنها از روش RSA برای این کار پیشنهاد می‌شود.
• امضاء دیجیتال :در این شیوه،هر کامپیوتر یک رشته داده را علامت گذاری( امضاء ) کرده و به کامپیوتر مقصد می فرستد.در حال حاضر برای این کار از روش های RSA و DSS استفاده می‌شود . برای امنیت بخشیدن به تبادل داده‌ها باید هر دو سر ارتبا طنخست بر سر یک یک کلید به توافق می‌رسند که برای تبادل داده‌ها به کار می‌رود . برا ی این منظور می‌توان همان کلید به دست آمده از طریق Diffie Hellman را به کاربرد که سریع تر است یا یک کلید دیگر ساخت که مطمئن تر است .
13۱۳- پياه‌سازيپیاه‌سازی VPN
برايبرای راه‌اندازيراه‌اندازی يكیک سرور VPN مي‌بايستمی‌بایست دو كارتکارت شبكهشبکه نصب شده بر رويروی سيستمسیستم داشته باشيدباشید .
از يكیک كارتکارت شبكهشبکه برايبرای ارتباط با اينترنتاینترنت و از كارتکارت ديگردیگر جهت برقراريبرقراری ارتباط با شبكهشبکه محليمحلی استفاده مي‌شودمی‌شود. در اين‌جااین‌جا بر رويروی هر كارتکارت به‌طور ثابت IP قرار داده شده اما مي‌توانمی‌توان ايناین IPها را به صورت پوياپویا بر رويروی كارت‌هايکارت‌های شبكهشبکه قرار داد .
در پنجره بعد نحوه آدرس‌دهيآدرس‌دهی به سيستمسیستم راه دوريدوری كهکه قصد اتصال به سرور ما را دارد پرسيدهپرسیده مي‌شودمی‌شود.هر ايستگاهایستگاه كاريکاری مي‌می‌ تواند يكیک آدرس IP برايبرای كارکار در شبكهشبکه محليمحلی و يكیک IP برايبرای اتصال VPN داشته باشد .در منويمنوی بعد نحوه بازرسيبازرسی كاربرانکاربران پرسيدهپرسیده مي‌شودمی‌شود كهکه ايناین بازرسيبازرسی مي‌می‌ تواند از رويروی كاربرانکاربران تعريفتعریف شده در رويروی خود ويندوزویندوز باشد و يایا آنكهآنکه از طريقطریق يكیک سرويسسرویس دهنده RADIUS صورت گيردگیرد در صورت داشتن چندينچندین سرور VPN استفاده از RADIUS را به شما پيشنهادپیشنهاد مي‌كنيممی‌کنیم . با ايناین روش كاربرانکاربران ، بينبین تمام سرورهايسرورهای VPN به اشتراكاشتراک گذاشته شده و نيازينیازی به تعريفتعریف كاربرانکاربران در تماميتمامی سرورها نمي‌باشدنمی‌باشد.
پروتكل‌هايپروتکل‌های استفاده شونده
عملياتيعملیاتی كهکه در بالا انجام گرفت تنها پيكربندي‌هايپیکربندی‌های لازم جهت راه‌اندازيراه‌اندازی يكیک سرور VPN مي‌باشدمی‌باشد.
اما RRASدارايRRASدارای دو پروتكلپروتکل جهت برقراريبرقراری تونل ارتباطيارتباطی VPN مي‌باشدمی‌باشد. ساده‌ترينساده‌ترین پروتكلپروتکل آنPPTPl)است،ايناست،این پروتكلپروتکل برگرفته از PPP است كهکه در سرويس‌هايسرویس‌های Dialup مورد استفاده واقع مي‌شود،‌درمی‌شود،‌در واقع PPTP همانند PPP عمل مي‌كندمی‌کند.
پروتكلپروتکل PPTP در بسياريبسیاری از موارد كافيکافی و مناسب است ،‌ به كمكکمک ايناین پروتكلپروتکل كاربرانکاربران مي‌توانندمی‌توانند به روش‌هايروش‌های PAP و Chap Protocol بازرسيبازرسی شوند.جهت كدکد كردنکردن اطلاعات مي‌توانمی‌توان از روش كدکد سازيسازی RSAاستفاده نمود.
PPTP برايبرای كاربردهايکاربردهای خانگيخانگی و دفاتروافراديدفاتروافرادی كهکه در امر شبكهشبکه حرفه‌ايحرفه‌ای نيستندنیستند مناسب است اما در جايگاهجایگاه امنيتيامنیتی دارايدارای پايداريپایداری زياديزیادی نيستنیست.پروتكلپروتکل ديگريدیگری به نام(2TP۲TP(Layer2 Forwardingبه وسيلهوسیله شركتشرکت CISCO ارائه شده كهکه به لحاظ امنيتيامنیتی بسياربسیار قدرتمندتراست.
ايناین پروتكلپروتکل بااستفاده از پروتكلپروتکل انتقال اطلاعات UDP به‌جايبه‌جای استفاده از TCP به مزايايمزایای زياديزیادی دست يافتهیافته است.ايناین روش باعث بهينهبهینه و ملموس‌تر شدن برايبرای ديواره‌هايدیواره‌های آتش شده است ،اما باز هم ايناین پروتكلپروتکل در واقع چيزيچیزی جز يكیک كانالکانال ارتباطيارتباطی نيستنیست.جهت حل ايناین مشكلمشکل و هر چه بالاتر رفتن ضريبضریب امنيتيامنیتی در VPN شركتشرکت مايكروسافتمایکروسافت پروتكلپروتکل ديگريدیگری را به نام (IPSec (IP Security مطرح نموده كهکه پيكربنديپیکربندی VPN با آن كميکمی دچار پيچيدگيپیچیدگی مي‌گرددمی‌گردد.
اما در صورتيصورتی كهکه پروتكلپروتکل PPTPراانتخاب كرده‌ايدکرده‌اید و با ايناین پروتكلپروتکل راحت ‌تر هستيدهستید تنها كاريکاری كهکه بايدباید در رويروی سرور انجام دهيددهید فعال كردنکردن قابليتقابلیت دسترسيدسترسی Dial in مي‌باشدمی‌باشد.ايناین كارکار را مي‌توانيدمی‌توانید با كليكکلیک بر رويروی Remote Access Polices در RRAS انجام دهيددهید و با تغييرتغییر سياستسیاست كاريکاری آن ، آن را راه‌اندازيراه‌اندازی كنيدکنید (به‌ طور كليکلی پيش‌فرضپیش‌فرض سياستسیاست كاريکاری ، رد كليهکلیه درخواست‌ها مي‌باشدمی‌باشد).
14۱۴-دسترسيدسترسی ايستگاهایستگاه كاريکاری از طريقطریق VPN
حالا كهکه سرورVPNآماده سرويس‌دهيسرویس‌دهی شده،برايشده،برای استفاده از آن بايدباید بر رويروی ايستگاهایستگاه كاريکاری نيزنیز پيكربنديهاييپیکربندیهایی راانجام دهيمدهیم.سيستمسیستم عامليعاملی كهکه ما در اين‌جااین‌جا استفاده مي‌كنيممی‌کنیم ويندوزویندوز XP مي‌باشدوروشمی‌باشدوروش پياده‌سازيپیاده‌سازی VPN را بر رويروی آن خواهيمخواهیم گفت اما انجام ايناین كارکار بر رويروی ويندوزویندوز 2000۲۰۰۰ نيزنیز به همينهمین شكلشکل صورت مي‌گيردمی‌گیرد.بر رويروی ويندوزهايویندوزهای 98۹۸ نيزنیز مي‌توانمی‌توان ارتباط VPN را برقرار نمود،اما روش كارکار كميکمی متفاوت است و برايبرای انجام آن بهتر است به آدرس زيرزیر مراجعه كنيدکنید:
www.support.microsot.com
بر رويروی ويندوزهايXP،يكویندوزهایXP،یک نرم‌افزار جهت اتصال به VPN برايبرای هر دو پروتكلپروتکل PPTP و L2TP وجود دارد.در صورت انتخاب هر كدام،‌نحوهکدام،‌نحوه پيكربنديپیکربندی با پروتكلپروتکل ديگردیگر تفاوتيتفاوتی ندارد.راه‌اندازيراه‌اندازی VPN كارکار بسياربسیار ساده‌ايساده‌ای است،كافيستاست،کافیست كهکه بر رويروی Network Connection كليكکلیک نموده وازآن اتصال به شبكهشبکه خصوصيخصوصی از طريقطریق اينترنتاینترنت (Private Network Through Internet)راانتخاب كنيدکنید.
در انجام مرحله بالا از شما يكیک اسم پرسيدهپرسیده مي‌شودمی‌شود.در همينهمین مرحله خواسته مي‌شودمی‌شود كهکه برايبرای اتصال به اينترنتاینترنت يكیک ارتباط تلفنيتلفنی(Dialup)تعريفتعریف نماييد،پسنمایید،پس از انجام ايناین مرحله نام و يایا آدرس سرور VPN پرسيدهپرسیده مي‌شودمی‌شود.
مراحل بالا تنها مراحليمراحلی است كهکه نيازنیاز برايبرای پيكربنديپیکربندی يكیک ارتباط VPN بر رويروی ايستگاه‌هايایستگاه‌های كاريکاری مي‌باشدمی‌باشد . كليهکلیه عملياتعملیات لازمه برايبرای VPN به صورت خودكارخودکار انجام مي‌گيردمی‌گیرد و نيازينیازی به انجام هيچهیچ عمليعملی نيستنیست . برايبرای برقراريبرقراری ارتباط كافيستکافیست كهکه بر رويروی آيكونيآیکونی كهکه بر رويروی ميزمیز كاريکاری ايجادایجاد شده دو بار كليكکلیک كنيدکنید پس از وارد كردنکردن كدکد كاربريکاربری و كلمهکلمه عبور چندينچندین پيامپیام را مشاهده خواهيدخواهید كردکرد كهکه نشان‌دهنده روند انجام برقراريبرقراری ارتباط VPN است.
اگر همه چيزچیز به خوبيخوبی پيشپیش رفته باشد مي‌توانيدمی‌توانید به منابع موجود بر رويروی سرور VPNدسترسيVPNدسترسی پيداپیدا كنيدکنید ايناین دسترسيدسترسی مانند آن است كهکه بر رويروی خود سرور قرار گرفته باشيدباشید.
 
15۱۵-ارتباط سايتسایت به سايتسایت (Site-to-Site VPN)
در صورتيصورتی كهکه بخواهيدبخواهید دو شبكهشبکه را از طريقطریق يكیک سرور VPN دوميدومی به يكديگریکدیگر وصل كنيدکنید علاوه بر مراحل بالا بايدباید چند كارکار اضافه‌تر ديگريدیگری را نيزنیز انجام دهيددهید .
جزئياتجزئیات كارکار به پروتكليپروتکلی كهکه مورد استفاده قرار مي‌گيردمی‌گیرد.جهت ايناین كارکار بايدباید سرور را در پنجره RRAS انتخاب كردهکرده و منويمنوی خاص (Properties)آن را بياوريدبیاورید .
در قسمت General مطمئن شويدشوید كهکه گزينه‌هايگزینه‌های LANو Demand Dial انتخاب شده باشند (به طور پيشپیش گزيدهگزیده انتخاب شده هستند). هم‌چنينهم‌چنین اطميناناطمینان حاصل كنيدکنید كهکه پروتكلپروتکل را كهکه قصد روت(Route)كردنکردن آن را داريددارید فعال است.
پس از مراحل بالا نيازنیاز به ايجادایجاد يكیک Demand Dial داريددارید ،اين،این كارکار را مي‌توانيدمی‌توانید با يكیک كليكکلیک راست بر رويروی واسط روت (Routing Interface)انجام دهيددهید.
در پنجره بعديبعدی كهکه ظاهر مي‌شودمی‌شود بايدباید برايبرای ايناین ارتباط VPN خود يكیک نام تعيينتعیین كنيداينکنیداین نام بايدباید همان اسمياسمی باشد كهکه در طرف ديگردیگر كاربرانکاربران با آن به اينترنتاینترنت متصل مي‌شوندمی‌شوند در صورتيصورتی كهکه ايناین مطلب را رعايترعایت نكنيدنکنید ارتباط VPN شما برقرار نخواهد شد .
پس از ايناین مرحله بايدباید آدرس IPوياIPویا نام دامنه آن را مشخص كنيدوکنیدو پس از آن نوع پروتكلپروتکل ارتباطيارتباطی را تعيينتعیین نمود.
اما مرحله نهايينهایی تعريفتعریف يكیک مسيرمسیر (Route) بر رويروی سرور ديگردیگر مي‌باشدمی‌باشد بدينبدین منظور بر رويروی آن سروردر قسمت RRAS ، Demand Dial را انتخاب كنيدکنید و آدرس IP و ساب‌نت را در آن وارد كنيدکنید و مطمئن شويدشوید كهکه قسمت
Use This to Initate Demand
انتخاب شده باشد.پس از انجام مرحله بالا كارکار راه‌اندازيراه‌اندازی ايناین نوع VPN به پايانپایان مي‌رسدمی‌رسد.
 
 
==نتیجه گیری==
نتيجه گيري
تبادل داده‌ها روی اینرنت چندان ایمن نیست.تقریباًهر کسی که در جای مناسب قرار داشته باشد می‌تواند جریان داده‌ها را زیر نظر گرفته و از آنها سوء استفاده کند.شبکه‌های شخصی مجازی یا VPN ها کار نفوذ را برا ی خرابکاران خیلی سخت می‌کند.
 
سطر ۱۹۷ ⟵ ۱۹۳:
== منابع ==
{{چپ‌چین}}
*{{یادکرد|نویسنده=Efraim Turban [et al]|کتاب=Electronic Commerce 2006۲۰۰۶: A Managerial Perspective|ناشر=Pearson Prentice Hall|سال=2006۲۰۰۶|شابک=ISBN 0-13-185461-5}}
{{پایان چپ‌چین}}
*[http://tools.ietf.org وب‌گاه آر اف سی]
برگرفته از «https://fa.wikipedia.org/wiki/شبکه_خصوصی_مجازی»