شبکه خصوصی مجازی: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
Paiamshadi (بحث | مشارکتها) فارسی سازی ارقام |
|||
خط ۱:
{{ویکی سازی}}{{تمیزکاری}}{{حق تکثیر مشکوک}}
'''شبکهٔ خصوصی مجازی''' {{انگلیسی|Virtual Private Network}} (مخفف ''VPN'')، شبکهای است که اطلاعات در آن از طریق یک شبکه عمومی مانند [[اینترنت]] جابهجا میشود اما در عین حال با استفاده از الگوریتمهای [[رمزنگاری]] و با تصدیق هویت (Authentication)، این ارتباط همچنان اختصاصی باقی میماند. <ref>Electronic Commerce, Efraim Turabn,
شبکهٔ خصوصی مجازی به طور عمده برای ایجاد ارتباط بین شعبههای مختلف شرکتها و یا فعالیت از راه دور مورد استفاده قرار میگیرد.
==چکیده==
همزمان باعمومیت یافتن اینترنت،اغلب سازمانهاوموسسات ضرورت توسعه اختصاصی خود را به درستی احساس کردند.درابتداشبکههای اینترانت مطرح گردیدند.این نوع شبکه بصورت کاملاً اختصاصی بوده وکارمندان یک سازمان بااستفاده از رمز عبور تعریف شده،قادر به ورود به شبکه واستفاده از منابع موجودمی باشند.ولی اخیراً،موسسات و سازمانها با توجه به مطرح شدن خواستههای جدید(کارمندان از راه دور، ادارات از راه دور)اقدام به ایجادشبکههای اختصاصی مجازیVirtual Private Networkنموده یک VPN شبکهای اختصاصی بوده که ازاینترنت برای ارتباط با سایت های از راه دور وارتباط کاربران با می نماید.این نوع شبکهها بجای استفاده از خطوط واقعی نظیر خطوط Leasedاز یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده می کنند .
امنیت VPN
شبکههای VPN بمنظورامنیت داده هاوارتباطات از روش های متعددی استفاده می نمایند:
●
● رمزنگاری
● IPSec
●
اصول VPN
فرستادن حجم زیادی از داده از یک کامپیوتربه کامپیوتر دیگر مثلا در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهندهMail نشدنی است.
سطر ۲۴ ⟵ ۲۰:
یکی ازراه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم،پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بودازاین گذشته،هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است.امااگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد.در این حالت،کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند.به این ترتیب بسیاری از راههای خرابکاری برای نفوذ کنندگان بسته می شود.
شبکههای شخصی مجاری یا VPNهااینگونه مشکلات راحل می کند.VPN به کمک رمز گذاری روی داده ها،درون یک شبکه کوچک می سازدوتنها کسی که آدرس های لازم و رمز عبور رادراختیار داشته باشد میتواند به این شبکه وارد شود.مدیران شبکهای که بیش از اندازه وسواس داشته و محتاط هستند میتوانند VPN را حتی روی شبکه محلی هم پیاده کنند.اگر چه نفوذ کنندگان میتوانند به کمک برنامههای Packet sniffer جریان داده هارادنبال کنند اما بدون داشتن کلید رمز نمیتوانند آنها را بخوانند.
درطی ده سال گذشته
همزمان
فرستادن حجم
دو نوع عمده شبکههای VPNوجود دارد:
●
به
●
درمدل فوق
▪ مبتنی
▪ مبتنی بر اکسترانت .در
استفاده از VPN برای
فرض
با توجه به مواردگفته شده،چه ضرورتی بمنظور استفاده از VPNوجود داشته و VPN
دارای سرعت بالااست.
قادر به استتار(مخفی نمودن)
قابل اعتماداست.
پس از
در مدل فوق،باوجود
مثال فوق
با توجه به
● گسترش محدوه
● بهبود
●
●
● بهبود بهره
●
VPNنسبت به
شبکههای VPNبمنظور
●
رمزنگاری
رمزنگاری
در رمز نگاری"
در رمزنگاری عمومی از
● IPSec
پروتکل IPsec،
روتر به روتر
●
شما چه کسی
شما مجاز به انجام چه کاری
چه کارهائی را انجام داده
با توجه به نوع VPN("
نرم افزارهای مربوط به کاربران از راه دور
سخت افزارهای اختصاصی
با توجه به
- کانکتور VPN.سخت افزار فوق توسط شرکت
- روتر مختص VPN.روتر فوق توسط شرکت
-
فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلاً در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است.انجام این کاراز طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است.
استفاده از FTPهم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلاً قابل اطمینان نیست.
سطر ۱۰۱ ⟵ ۹۷:
سرویس گیرنده VPN بسته هارا پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام میدهد.روشی که شرح داده شد را اغلب Tunneling یا تونل زنی می نامند چون دادهها برای رسیدن به کامپیوتر مقصد از چیزی مانند تونل می گذرند . برای پیاده سازی VPNراههای گوناگونی وجود دارد که پر کاربرد ترین آنها عبارتنداز:
Point to point Tunneling protocol یا PPTP که برای انتقال NetBEUI روی یک شبکه بر پایه IP مناسب است.
L2TP که برای انتقالIP ، IPX یا NetBEUI روی هر رسانه دلخواه که توان انتقال Datagram های نقطه به نقطه Point to point را داشته باشد مناسب است. برای نمونه میتوان ب IP ، X.
IP Security protocol یا Ipsec که برای انتقال دادههای IP روی یک شبکه بر پایه IP مناسب است.
اکثر شبکههای VPN
روش فوق مستلزماستفاده از سه پروتکل است:
پروتکل حمل کننده.ازپروتکل فوق شبکه حامل اطلاعات استفاده می
پروتکل کپسوله سازی.از پروتکل هائی
پروتکل مسافر.از پروتکل هائی
با استفاده از روش Tunnelingمی توان
در شبکههای VPNاز نوع "
در شبکههای VPN از نوع"
هر
Tunnelingرا میتوان روی دو لایه از لایههای OSI پیاده کرد. PPTP و L2TP از لایه
با توجه به اهمیت ایمنی انتقال دادهها درVPN،دراین میان تعیین اعتبار کاربر نقش بسیار مهمی دارد.برای این کار معمولاً از CHAP استفاده میشود که مشخصات کاربر را در این حالت رمز گذاری شده جابه جا میکند.Call back هم دسترسی به سطح بعدی ایمنی را ممکن می سازد.در این روش پس از تعیین اعتبار موفقیت آمیز،ارتباط قطع میشود.سپس سرویس دهنده برای برقرار کردن ارتباط جهت انتقال دادهها شماره گیری میکند.هنگام انتقال داده ها،Packet های IP ، IP X یا NetBEUI در قالب Frame های PPP بسته بندی شده و فرستاده میشوند.PPTP هم Frame های PPP را پیش از ارسال روی شبکه بر پایه IP به سوی کامپیوتر مقصد،در قالب Packet های IP بسته بندی میکند. این پروتکل در سال
پروتکل فوق توسط
PPTP)Point-to-Point Tunneling Protocol).
پروتکل فوق توسط
.
پروتکل فوق با همکاری
NAS و روتر
روتر و روتر
عملکرد Tunnelingمشابه حمل
VPN-Ipsec فقط برای
Ipsec برخلافPPTP و L2TPروی لایه شبکه یعنی لایه سوم کار میکند.این پروتکل دادههایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می فرستد.
کامپیوتری که در آن سو قرار دارد IP Headerرا جدا کرده،دادهها را رمز گشایی کرده و آن را به کامپیوتر مقصد می فرستد .Ipsec را میتوان با دو شیوه Tunneling پیکر بندی کرد.در این شیوه انتخاب اختیاری تونل،سرویس گیرنده نخست یک ارتباط معمولی با اینترنت برقرار میکند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده میکند . برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل تونل نصب شده باشد.معمولاً کاربر اینترنت است که به اینترنت وصل میشود.اما کامپیوترهای درون LAN هم می توانند یک ارتباط VPN برقرا کنند.از آنجا که ارتباط IPاز پیش موجود است تنها برقرار کردن ارتباط VPN کافی است.در شیوه تونل اجباری ،سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار به عهده فراهم ساز است.سرویس گیرنده تنها باید به ISP وصل شود.تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد.البته برای این کار باید همانگی های لازم با ISPانجام بگیرد.ٍ
Ipsec از طریق AHمطمئن میشود که Packet های دریافتی از سوی فرستنده واقعیو نه از سوی یک نفوذ کننده که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده.AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay جلوگیری کند.اما AH رمز گذاری نمیشود.رمز گذاری از طریق Encapsulation Security Header یا ESH انجام میگیرد.در این شیوه دادههای اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال میکند.
ESH همچنین کارکرد هایی برای تعیین اعتبار و خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست .برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IETF برای حفظ سازگاری میان محصولات مختلف، الگوریتم های اجباری برای پیاده سازی Ipsec تدارک دیده.برای نمونه میتوان به
• Diffie-Hellman برای مبادله کلید ها میان ایستگاههای دو سر ارتباط.
• رمز گذاری Public Key برای ثبت و اطمینان از کلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاههای سهیم در ارتباط.
سطر ۱۳۸ ⟵ ۱۳۴:
• الگوریتم های درهم ریزی ( Hash) برای تعیین اعتبار تک تک Packet ها.
• امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی.
Ipsec در مقایسه با دیگر روش ها یک برتری دیگر هم دارد و آن اینست که میتواند همچون یک پروتکل انتقال معمولی به کار برود.
در این حالت برخلاف حالت Tunneling همه IP packet رمز گذاری و دوباره بسته بندی نمیشود.بجای آن، تنها دادههای اصلی رمزگذاری میشوند و Header همراه با آدرس های فرستنده و گیرنده باقی می ماند.این باعث میشود که دادههای سرباز ( Overhead ) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود . اما روشن است که در این وضعیت ، خرابکاران میتوانند به مبدا و مقصد دادهها پی ببرند . از آنجا که در مدل OSI دادهها از لایه
بیش از آن که دو کامپیوتر بتواننداز طریق Ipsec دادهها را میان خود جابجا کنند باید یکسری کارها انجام شود.
• نخست باید ایمنی برقرار شود.برای این منظور ، کامپیوترها برای یکدیگر مشخص میکنند که آیا رمز گذاری،تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه.
• سپس الگوریتم را مشخص میکنند،مثلاً DEC برای رمزگذاری و
• در گام بعدی ،کلیدها را میان خود مبادله میکنند.
Ipsec برای حفظ ایمنی ارتباط از SA استفاده میکند. SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص میکند.SA ها از سوی SPI شناسایی میشوند.SPI از یک عدد تصادفی و آدرس مقصد تشکیل میشود.این به آن معنی است که همواره میان دو کامپیوتر دو SPI وجود دارد:
یکی برای ارتباط A و B و یکی برای ارتباط B به A .اگر یکی از کامپیوترها بخواهد در حالت محافظت شده دادهها را منتقل کند نخست شیوه رمز گذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی دادهها اعمال میکند.سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد.
اگر چه Ipsec فرض را بر این می گذارد که توافقی برای ایمنی دادهها وجود دارد اما خودش برای ایجاد این توافق نمیتواند کاری انجام بدهد .
Ipsec در این کار به IKE تکیه میکند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند.در حال حاضر برای این کار از راههای زیر استفاده میشود:
سطر ۱۵۴ ⟵ ۱۵۰:
• رمز گذاری Public Key:هر کامپیوتر یک عدد تصادفی ساخته و پس از رمز گذاری آن با کلید عمومی کامپیوتر مقابل ،آن را به کامپیوتر مقابل می فرستد .اگر کامپیوتر مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده و باز پس بفرستد برا ی ارتباط مجاز است.در حال حاضر تنها از روش RSA برای این کار پیشنهاد میشود.
• امضاء دیجیتال :در این شیوه،هر کامپیوتر یک رشته داده را علامت گذاری( امضاء ) کرده و به کامپیوتر مقصد می فرستد.در حال حاضر برای این کار از روش های RSA و DSS استفاده میشود . برای امنیت بخشیدن به تبادل دادهها باید هر دو سر ارتبا طنخست بر سر یک یک کلید به توافق میرسند که برای تبادل دادهها به کار میرود . برا ی این منظور میتوان همان کلید به دست آمده از طریق Diffie Hellman را به کاربرد که سریع تر است یا یک کلید دیگر ساخت که مطمئن تر است .
از
در پنجره بعد نحوه
اما
PPTP
اما در
حالا
www.support.microsot.com
بر
در انجام مرحله بالا از شما
مراحل بالا تنها
اگر همه
در
در قسمت General مطمئن
پس از مراحل بالا
در پنجره
پس از
اما مرحله
Use This to Initate Demand
انتخاب شده باشد.پس از انجام مرحله بالا
==نتیجه گیری==
تبادل دادهها روی اینرنت چندان ایمن نیست.تقریباًهر کسی که در جای مناسب قرار داشته باشد میتواند جریان دادهها را زیر نظر گرفته و از آنها سوء استفاده کند.شبکههای شخصی مجازی یا VPN ها کار نفوذ را برا ی خرابکاران خیلی سخت میکند.
سطر ۱۹۷ ⟵ ۱۹۳:
== منابع ==
{{چپچین}}
*{{یادکرد|نویسنده=Efraim Turban [et al]|کتاب=Electronic Commerce
{{پایان چپچین}}
*[http://tools.ietf.org وبگاه آر اف سی]
|