شبكه هاي خصوصي مجازي

در طي ده سال گذشته دنيا دستخوش تحولات فراواني در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده كالا و خدمات كه در گذشته بسيار محدود و منطقه اي مسائل را دنبال و در صدد ارائه راهكارهاي مربوطه بودند ، امروزه بيش از گذشته نيازمند تفكر در محدوده جهاني براي ارائه خدمات و كالاي توليده شده را دارند. به عبارت ديگر تفكرات منطقه اي و محلي حاكم بر فعاليت هاي تجاري جاي خود را به تفكرات جهاني و سراسري داده اند. امروزه با سازمانهاي زيادي برخورد مي نمائيم كه در سطح يك كشور داراي دفاتر فعال و حتي در سطح دنيا داراي دفاتر متفاوتي مي باشند .

تمام سازمانهاي فوق قبل از هر چيز بدنبال يك اصل بسيار مهم مي باشند : يك روش سريع ، ايمن و قابل اعتماد بمنظور برقراري ارتباط با دفاتر و نمايندگي در اقصي نقاط يك كشور و يا در سطح دنيا اكثر سازمانها و موسسات بمنظور ايجاد يك شبكه WAN از خطوط اختصاصي (Leased Line) استفاده مي نمايند.خطوط فوق داراي انواع متفاوتي مي باشند. ISDN ( با سرعت 128 كيلوبيت در ثانيه )، ( OC3 Optical Carrier-3) ( با سرعت 155 مگابيت در ثانيه ) دامنه وسيع خطوط اختصاصي را نشان مي دهد. يك شبكه WAN داراي مزاياي عمده اي نسبت به يك شبكه عمومي نظير اينترنت از بعد امنيت وكارآئي است . پشتياني و نگهداري يك شبكه WAN در عمل و زمانيكه از خطوط اختصاصي استفاده مي گردد ، مستلزم صرف هزينه بالائي است.

همزمان با عموميت يافتن اينترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبكه اختصاصي خود را بدرستي احساس كردند. در ابتدا شبكه هاي اينترانت مطرح گرديدند.اين نوع شبكه بصورت كاملا" اختصاصي بوده و كارمندان يك سازمان با استفاده از رمز عبور تعريف شده ، قادر به ورود به شبكه و استفاده از منابع موجود مي باشند. اخيرا" ، تعداد زيادي از موسسات و سازمانها با توجه به مطرح شدن خواسته هاي جديد ( كارمندان از راه دور ، ادارات از راه دور )، اقدام به ايجاد شبكه هاي اختصاصي مجازي VPN)Virtual Private Network) نموده اند.

يك VPN ، شبكه اي اختصاصي بوده كه از يك شبكه عمومي ( عموما" اينترنت ) ، براي ارتباط با سايت هاي از راه دور و ارتباط كاربران بايكديگر، استفاده مي نمايد. اين نوع شبكه ها در عوض استفاده از خطوط واقعي نظير : خطوط Leased ، از يك ارتباط مجازي بكمك اينترنت براي شبكه اختصاصي بمنظور ارتباط به سايت ها استفاده مي كند.

عناصر تشكيل دهنده يك VPN

دو نوع عمده شبكه هاي VPN وجود دارد

دستيابي از راه دور (Remote-Access)

به اين نوع از شبكه ها VPDN)Virtual private dial-up network)، نيز گفته مي شود.در شبكه هاي فوق از مدل ارتباطي User-To-Lan ( ارتباط كاربر به يك شبكه محلي ) استفاده مي گردد. سازمانهائي كه از مدل فوق استفاده مي نمايند ، بدنبال ايجاد تسهيلات لازم براي ارتباط پرسنل ( عموما" كاربران از راه دور و در هر مكاني مي توانند حضور داشته باشند ) به شبكه سازمان مي باشند. سازمانهائي كه تمايل به برپاسازي يك شبكه بزرگ " دستيابي از راه دور " مي باشند ، مي بايست از امكانات يك مركز ارائه دهنده خدمات اينترنت جهاني ESP)Enterprise service provider) استفاده نمايند. سرويس دهنده ESP ، بمنظور نصب و پيكربندي VPN ، يك NAS)Network access server) را پيكربندي و نرم افزاري را در اختيار كاربران از راه دور بمنظور ارتباط با سايت قرار خواهد داد. كاربران در ادامه با برقراري ارتباط قادر به دستيابي به NAS و استفاده از نرم افزار مربوطه بمنظور دستيابي به شبكه سازمان خود خواهند بود.

سايت به سايت (Site-to-Site)

در مدل فوق يك سازمان با توجه به سياست هاي موجود ، قادر به اتصال چندين سايت ثابت از طريق يك شبكه عمومي نظير اينترنت است . شبكه هاي VPN كه از روش فوق استفاده مي نمايند ، داراي گونه هاي خاصي در اين زمينه مي باشند:

مبتني بر اينترانت

در صورتيكه سازماني داراي يك و يا بيش از يك محل ( راه دور) بوده و تمايل به الحاق آنها در يك شبكه اختصاصي باشد ، مي توان يك اينترانت VPN را بمنظور برقراي ارتباط هر يك از شبكه هاي محلي با يكديگر ايجاد نمود.

مبتني بر اكسترانت

در موارديكه سازماني در تعامل اطلاعاتي بسيار نزديك با سازمان ديگر باشد ، مي توان يك اكسترانت VPN را بمنظور ارتباط شبكه هاي محلي هر يك از سازمانها ايجاد كرد. در چنين حالتي سازمانهاي متعدد قادر به فعاليت در يك محيط اشتراكي خواهند بود.

استفاده از VPN براي يك سازمان داراي مزاياي متعددي نظير : گسترش محدوه جغرافيائي ارتباطي ، بهبود وضعيت امنيت ، كاهش هزينه هاي عملياتي در مقايسه با روش هاي سنتي WAN ، كاهش زمان ارسال و حمل اطلاعات براي كاربران از راه دور ، بهبود بهره وري ، توپولوژي آسان ،... است . در يكه شبكه VPN به عوامل متفاوتي نظير : امنيت ، اعتمادپذيري ، مديريت شبكه و سياست ها نياز خواهد بود.

شبكه هاي LAN جزاير اطلاعاتي

فرض نمائيد در جزيره اي در اقيانوسي بزرگ ، زندگي مي كنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخي از جزاير نزديك و برخي ديگر داراي مسافت طولاني با جزيره شما مي باشند. متداولترين روش بمنظور مسافرت به جزيره ديگر ، استفاده از يك كشتي مسافربري است . مسافرت با كشتي مسافربري ، بمنزله عدم وجود امنيت است . در اين راستا هر كاري را كه شما انجام دهيد ، توسط ساير مسافرين قابل مشاهده خواهد بود. فرض كنيد هر يك از جزاير مورد نظر به مشابه يك شبكه محلي (LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يك كشتي مسافربري مشابه برقراري ارتباط با يك سرويس دهنده وب و يا ساير دستگاههاي موجود در اينترنت است . شما داراي هيچگونه كنترلي بر روي كابل ها و روترهاي موجود در اينترنت نمي باشيد. ( مشابه عدم كنترل شما بعنوان مسافر كشتي مسافربري بر روي ساير مسافرين حاضر در كشتي ) .در صورتيكه تمايل به ارتباط بين دو شبكه اختصاصي از طريق منابع عمومي وجود داشته باشد ، اولين مسئله اي كه با چالش هاي جدي برخورد خواهد كرد ، امنيت خواهد بود.

فرض كنيد ، جزيره شما قصد ايجاد يك پل ارتباطي با جزيره مورد نظر را داشته باشد .مسير ايجاد شده يك روش ايمن ، ساده و مستقيم براي مسافرت ساكنين جزيره شما به جزيره ديگر را فراهم مي آورد. همانطور كه حدس زده ايد ، ايجاد و نگهداري يك پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.( حتي اگر جزاير در مجاورت يكديگر باشند ) . با توجه به ضرورت و حساسيت مربوط به داشتن يك مسير ايمن و مطمئن ، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است . در صورتيكه جزيره شما قصد ايجاد يك پل ارتباطي با جزيره ديگر را داشته باشد كه در مسافت بسيار طولاني نسبت به جزيره شما واقع است ، هزينه هاي مربوط بمراتب بيشتر خواهد بود. وضعيت فوق ، نظير استفاده از يك اختصاصي Leased است . ماهيت پل هاي ارتباطي ( خطوط اختصاصي ) از اقيانوس ( اينترنت ) متفاوت بوده و كماكن قادر به ارتباط جزاير( شبكه هاي LAN) خواهند بود. سازمانها و موسسات متعددي از رويكرد فوق ( استفاده از خطوط اختصاصي) استفاده مي نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان براي برقراري ارتباط هر يك سازمانهاي مورد نظر با يكديگر است . در صورتيكه مسافت ادارات و يا شعب يك سازمان از يكديگر بسيار دور باشد ، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت .

با توجه به موارد گفته شده ، چه ضرورتي بمنظور استفاده از VPN وجود داشته و VPN تامين كننده ، كداميك از اهداف و خواسته هاي مورد نظر است ؟ با توجه به مقايسه انجام شده در مثال فرضي ، مي توان گفت كه با استفاده از VPN به هريك از ساكنين جزيره يك زيردريائي داده مي شود.

زيردريائي فوق داراي خصايص متفاوت نظير :

· داراي سرعت بالا است .

· هدايت آن ساده است .

· قادر به استتار( مخفي نمودن) شما از ساير زيردريا ئيها و كشتي ها است .

· قابل اعتماد است .

· پس از تامين اولين زيردريائي ، افزودن امكانات جانبي و حتي يك زيردريائي ديگرمقرون به صرفه خواهد بود .

در مدل فوق ، با وجود ترافيك در اقيانوس ، هر يك از ساكنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمني مي باشند. مثال فوق دقيقا" بيانگر تحوه عملكرد VPN است . هر يك از كاربران از راه دور شبكه قادربه برقراري ارتباطي امن و مطمئن با استفاده از يك محيط انتقال عمومي ( نظير اينترنت ) با شبكه محلي (LAN) موجود در سازمان خود خواهند بود. توسعه يك VPN ( افزايش تعداد كاربران از راه دور و يا افزايش مكان هاي مورد نظر ) بمراتب آسانتر از شبكه هائي است كه از خطوط اختصاصي استفاده مي نمايند. قابليت توسعه فراگير از مهمتزين ويژگي هاي يك VPN نسبت به خطوط اختصاصي است .

امنيت VPN

شبكه هاي VPN بمنظور تامين امنيت (داده ها و ارتباطات) از روش هاي متعددي استفاده مي نمايند :

فايروال

فايروال يك ديواره مجازي بين شبكه اختصاي يك سازمان و اينترنت ايجاد مي نمايد. با استفاده از فايروال مي توان عمليات متفاوتي را در جهت اعمال سياست هاي امنيتي يك سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال ، ايجاد محدوديت در رابطه به پروتكل هاي خاص ، ايجاد محدوديت در نوع بسته هاي اطلاعاتي و ... نمونه هائي از عملياتي است كه مي توان با استفاده از يك فايروال انجام داد.

رمزنگاري

فرآيندي است كه با استفاده از آن كامپيوتر مبداء اطلاعاتي رمزشده را براي كامپيوتر ديگر ارسال مي نمايد. ساير كامپيوترها ي مجاز قادر به رمزگشائي اطلاعات ارسالي خواهند بود. بدين ترتيب پس از ارسال اطلاعات توسط فرستنده ، دريافت كنندگان، قبل از استفاده از اطلاعات مي بايست اقدام به رمزگشائي اطلاعات ارسال شده نمايند. سيستم هاي رمزنگاري در كامپيوتر به دو گروه عمده تقسيم مي گردد :

· رمزنگاري كليد متقارن

· رمزنگاري كليد عمومي

در رمز نگاري " كليد متقارن " هر يك از كامپيوترها داراي يك كليد Secret ( كد ) بوده كه با استفاده از آن قادر به رمزنگاري يك بسته اطلاعاتي قبل از ارسال در شبكه براي كامپيوتر ديگر مي باشند. در روش فوق مي بايست در ابتدا نسبت به كامپيوترهائي كه قصد برقراري و ارسال اطلاعات براي يكديگر را دارند ، آگاهي كامل وجود داشته باشد. هر يك از كامپيوترهاي شركت كننده در مبادله اطلاعاتي مي بايست داراي كليد رمز مشابه بمنظور رمزگشائي اطلاعات باشند. بمنظور رمزنگاري اطلاعات ارسالي نيز از كليد فوق استفاده خواهد شد. فرض كنيد قصد ارسال يك پيام رمز شده براي يكي از دوستان خود را داشته باشيد. بدين منظور از يك الگوريتم خاص براي رمزنگاري استفاده مي شود .در الگوريتم فوق هر حرف به دوحرف بعد از خود تبديل مي گردد.

(حرف A به حرف C ، حرف B به حرف D ) .

پس از رمزنمودن پيام و ارسال آن ، مي بايست دريافت كننده پيام به اين حقيقت واقف باشد كه براي رمزگشائي پيام لرسال شده ، هر حرف به دو حرق قبل از خود مي باطست تبديل گردد. در چنين حالتي مي باطست به دوست امين خود ، واقعيت فوق ( كليد رمز ) گفته شود. در صورتيكه پيام فوق توسط افراد ديگري دريافت گردد ، بدليل عدم آگاهي از كليد ، آنان قادر به رمزگشائي و استفاده از پيام ارسال شده نخواهند بود.

در رمزنگاري عمومي از تركيب يك كليد خصوصي و يك كليد عمومي استفاده مي شود. كليد خصوصي صرفا" براي كامپيوتر شما ( ارسال كننده) قابل شناسائي و استفاده است . كليد عمومي توسط كامپيوتر شما در اختيار تمام كامپيوترهاي ديگر كه قصد ارتباط با آن را داشته باشند ، گذاشته مي شود. بمنظور رمزگشائي يك پيام رمز شده ، يك كامپيوتر مي بايست با استفاده از كليد عمومي ( ارائه شده توسط كامپيوتر ارسال كننده ) ، كليد خصوصي مربوط به خود اقدام به رمزگشائي پيام ارسالي نمايد . يكي از متداولترين ابزار "رمزنگاري كليد عمومي" ، روشي با نام PGP)Pretty Good Privacy) است . با استفاده از روش فوق مي توان اقدام به رمزنگاري اطلاعات دلخواه خود نمود.

IPSec

پروتكل IPsec)Internet protocol security protocol) ، يكي از امكانات موجود براي ايجاد امنيت در ارسال و دريافت اطلاعات مي باشد . قابليت روش فوق در مقايسه با الگوريتم هاي رمزنگاري بمراتب بيشتر است . پروتكل فوق داراي دو روش رمزنگاري است : Tunnel ، Transport . در روش tunel ، هدر و Payload رمز شده درحاليكه در روش transport صرفا" payload رمز مي گردد.

پروتكل فوق قادر به رمزنگاري اطلاعات بين دستگاههاي متفاوت است :

· روتر به روتر

· فايروال به روتر

· كامپيوتر به روتر

· كامپيوتر به سرويس دهنده

سرويس دهنده AAA

سرويس دهندگان( AAA : Authentication ,Authorization,Accounting) بمنظور ايجاد امنيت بالا در محيط هاي VPN از نوع " دستيابي از راه دور " استفاده مي گردند. زمانيكه كاربران با استفاده از خط تلفن به سيستم متصل مي گردند ، سرويس دهنده AAA درخواست آنها را اخذ و عمايات زير را انجام خواهد داد :

· شما چه كسي هستيد؟ ( تاييد ، Authentication )

· شما مجاز به انجام چه كاري هستيد؟ ( مجوز ، Authorization )

· چه كارهائي را انجام داده ايد؟ ( حسابداري ، Accounting )

تكنولوژي هاي VPN

با توجه به نوع VPN ( " دستيابي از راه دور " و يا " سايت به سايت " ) ، بمنظور ايجاد شبكه از عناصر خاصي استفاده مي گردد:

· نرم افزارهاي مربوط به كاربران از راه دور

· سخت افزارهاي اختصاصي نظير يك " كانكتور VPN" و يا يك فايروال PIX

· سرويس دهنده اختصاصي VPN بمنظور سرويُس هاي Dial-up

· سرويس دهنده NAS كه توسط مركز ارائه خدمات اينترنت بمنظور دستيابي به VPN از نوع "دستيابي از را دور" استفاده مي شود.

· شبكه VPN و مركز مديريت سياست ها

با توجه به اينكه تاكنون يك استاندارد قابل قبول و عمومي بمنظور ايجاد شVPN ايجاد نشده است ، شركت هاي متعدد هر يك اقدام به توليد محصولات اختصاصي خود نموده اند.

- كانكتور VPN

سخت افزار فوق توسط شركت سيسكو طراحي و عرضه شده است. كانكتور فوق در مدل هاي متفاوت و قابليت هاي گوناگون عرضه شده است . در برخي از نمونه هاي دستگاه فوق امكان فعاليت همزمان 100 كاربر از راه دور و در برخي نمونه هاي ديگر تا 10.000 كاربر از راه دور قادر به اتصال به شبكه خواهند بود.

- روتر مختص VPN

روتر فوق توسط شركت سيسكو ارائه شده است . اين روتر داراي قابليت هاي متعدد بمنظور استفاده در محيط هاي گوناگون است . در طراحي روتر فوق شبكه هاي VPN نيز مورد توجه قرار گرفته و امكانات مربوط در آن بگونه اي بهينه سازي شده اند.

- فايروال PIX

فايروال PIX(Private Internet eXchange) قابليت هائي نظير NAT ، سرويس دهنده Proxy ، فيلتر نمودن بسته اي اطلاعاتي ، فايروال و VPN را در يك سخت افزار فراهم نموده است . Tunneling( تونل سازي ) اكثر شبكه هاي VPN بمنظور ايجاد يك شبكه اختصاصي با قابليت دستيابي از طريق اينترنت از امكان " Tunneling " استفاده مي نمايند. در روش فوق تمام بسته اطلاعاتي در يك بسته ديگر قرار گرفته و از طريق شبكه ارسال خواهد شد. پروتكل مربوط به بسته اطلاعاتي خارجي ( پوسته ) توسط شبكه و دو نفطه (ورود و خروج بسته اطلاعاتي ) قابل فهم مي باشد. دو نقظه فوق را "اينترفيس هاي تونل " مي گويند.

روش فوق مستلزم استفاده از سه پروتكل است :

· پروتكل حمل كننده . از پروتكل فوق شبكه حامل اطلاعات استفاده مي نمايد.

· پروتكل كپسوله سازي . از پروتكل هائي نظير: IPSec,L2F,PPTP,L2TP,GRE استفاده مي گردد.

· پروتكل مسافر . از پروتكل هائي نظير IPX,IP,NetBeui بمنظور انتقال داده هاي اوليه استفاده مي شود.

با استفاده از روش Tunneling مي توان عمليات جالبي را انجام داد. مثلا" مي توان از بسته اي اطلاعاتي كه پروتكل اينترنت را حمايت نمي كند ( نظير NetBeui) درون يك بسته اطلاعاتي IP استفاده و آن را از طريق اينترنت ارسال نمود و يا مي توان يك بسته اطلاعاتي را كه از يك آدرس IP غير قابل روت ( اختصاصي ) استفاده مي نمايد ، درون يك بسته اطلاعاتي كه از آدرس هاي معتبر IP استفاده مي كند ، مستقر و از طريق اينترنت ارسال نمود.

در شبكه هاي VPN از نوع " سايت به سايت " ، GRE)generic routing encapsulation) بعنوان پروتكل كپسوله سازي استفاده مي گردد. فرآيند فوق نحوه استقرار و بسته بندي " پروتكل مسافر" از طريق پروتكل " حمل كننده " براي انتقال را تبين مي نمايد. ( پروتكل حمل كننده ، عموما" IP است ) . فرآيند فوق شامل اطلاعاتي در رابطه با نوع بست هاي اطلاعاتي براي كپسوله نمودن و اطلاعاتي در رابطه با ارتباط بين سرويس گيرنده و سرويس دهنده است . در برخي موارد از پروتكل IPSec ( در حالت tunnel) براي كپسوله سازي استفاده مي گردد.پروتكل IPSec ، قابل استفاده در دو نوع شبكه VPN ( سايت به يايت و دستيابي از راه دور ) است . اينترفيش هاي Tunnel مي بايست داراي امكانات حمايتي از IPSec باشند.

در شبكه هاي VPN از نوع " دستيابي از راه دور " ، Tunneling با استفاده از PPP انجام مي گيرد. PPP بعنوان حمل كننده ساير پروتكل هاي IP در زمان برقراري ارتباط بين يك سيستم ميزبان و يك سيستم ازه دور ، مورد استفاده قرار مي گيرد.

هر يك از پروتكل هاي زير با استفاده از ساختار اوليه PPP ايجاد و توسط شبكه هاي VPN از نوع " دستيابي از راه دور " استفاده مي گردند:

- L2F)Layer 2 Forwarding)

پروتكل فوق توسط سيسكو ايجاد شده است . در پروتكل فوق از مدل هاي تعيين اعتبار كاربر كه توسط PPP حمايت شده اند ، استفاده شد ه است .

(PPTP)Point-to-Point Tunneling Protocol)

پروتكل فوق توسط كنسرسيومي متشكل از شركت هاي متفاوت ايجاد شده است . اين پروتكل امكان رمزنگاري 40 بيتي و 128 بيتي را دارا بوده و از مدل هاي تعيين اعتبار كاربر كه توسط PPP حمايت شده اند ، استفاده مي نمايد.

- L2TP)Layer 2 Tunneling Protocol)

پروتكل فوق با همكاري چندين شركت ايجاد شده است .پروتكل فوق از ويژگي هاي PPTP و L2F استفاده كرده است . پروتكل L2TP بصورت كامل IPSec را حمايت مي كند. از پروتكل فوق بمنظور ايجاد تونل بين موارد زير استفاده مي گردد :

· سرويس گيرنده و روتر

· NAS و روتر

· روتر و روتر

عملكرد Tunneling مشابه حمل يك كامپيوتر توسط يك كاميون است . فروشنده ، پس از بسته بندي كامپيوتر ( پروتكل مسافر ) درون يك جعبه ( پروتكل كپسوله سازي ) آن را توسط يك كاميون ( پروتكل حمل كننده ) از انبار خود ( ايترفيس ورودي تونل ) براي متقاضي ارسال مي دارد. كاميون ( پروتكل حمل كننده ) از طريق بزرگراه ( اينترنت ) مسير خود را طي ، تا به منزل شما ( اينترفيش خروجي تونل ) برسد. شما در منزل جعبه ( پروتكل كپسول سازي ) را باز و كامپيوتر ( پروتكل مسافر) را از آن خارج مي نمائيد.