شبکه های خصوصی مجازی VPN
در طی ده سال گذشته دنيا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است . اغلب سازمانها و موسسات ارائه دهنده کالا و خدمات که در گذشته بسيار محدود و منطقه ای مسائل را دنبال و در صدد ارائه راهکارهای مربوطه بودند ، امروزه بيش از گذشته نيازمند تفکر در محدوده جهانی برای ارائه خدمات و کالای توليده شده را دارند. به عبارت ديگر تفکرات منطقه ای و محلی حاکم بر فعاليت های تجاری جای خود را به تفکرات جهانی و سراسری داده اند. امروزه با سازمانهای زيادی برخورد می نمائيم که در سطح يک کشور دارای دفاتر فعال و حتی در سطح دنيا دارای دفاتر متفاوتی می باشند. تمام سازمانهای فوق قبل از هر چيز به دنبال يک اصل بسيار مهم می باشند که آن یافتن يک روش سريع ، ايمن و قابل اعتماد به منظور برقراری ارتباط با دفاتر و نمايندگی در اقصی نقاط يک کشور و يا در سطح دنيا می باشد.
اکثر سازمانها و موسسات به منظور ايجاد يک شبکه WAN از خطوط اختصاصی (Leased Line) استفاده می نمايند. خطوط فوق دارای انواع متفاوتی می باشند. ISDN ( با سرعت 128 کيلوبيت در ثانيه )، ( OC3 Optical Carrier-3) ( با سرعت 155 مگابيت در ثانيه ) دامنه وسيع خطوط اختصاصی را نشان می دهد. يک شبکه WAN دارای مزايای عمده ای نسبت به يک شبکه عمومی نظير اينترنت از بعد امنيت وکارایی است. پشتيانی و نگهداری شبکه WAN در عمل و زمانيکه از خطوط اختصاصی استفاده می گردد ، مستلزم صرف هزينه بالائی است.
همزمان با عموميت يافتن اينترنت ، اغلب سازمانها و موسسات ضرورت توسعه شبکه اختصاصی خود را بدرستی احساس کردند. در ابتدا شبکه های اينترانت مطرح گرديدند. اين نوع شبکه بصورت کاملا” اختصاصی بوده و کارمندان يک سازمان با استفاده از رمز عبور تعريف شده ، قادر به ورود به شبکه و استفاده از منابع موجود می باشند. اخيرا” ، تعداد زيادی از موسسات و سازمانها با توجه به مطرح شدن خواسته های جديد ( کارمندان از راه دور ، ادارات از راه دور )، اقدام به ايجاد شبکه های اختصاصی مجازی VPN)Virtual Private Network) نموده اند.
يک VPN ، شبکه ای اختصاصی بوده که از يک شبکه عمومی ( عموما” اينترنت ) ، برای ارتباط با سايت های از راه دور و ارتباط کاربران بايکديگر، استفاده می نمايد. اين نوع شبکه ها در عوض استفاده از خطوط واقعی نظير : خطوط Leased ، از يک ارتباط مجازی به کمک اينترنت برای شبکه اختصاصی به منظور ارتباط به سايت ها استفاده می کند.
عناصر تشکيل دهنده يک VPN
دو نوع عمده شبکه های VPN وجود دارد :
دستيابی از راه دور (Remote-Access)
به اين نوع از شبکه ها VPDN) Virtual private dial-up network)، نيز گفته می شود.در شبکه های فوق از مدل ارتباطی User-To-Lan ( ارتباط کاربر به يک شبکه محلی ) استفاده می گردد. سازمانهائی که از مدل فوق استفاده می نمايند ، بدنبال ايجاد تسهيلات لازم برای ارتباط پرسنل ( عموما” کاربران از راه دور و در هر مکانی می توانند حضور داشته باشند ) به شبکه سازمان می باشند. سازمانهائی که تمايل به برپاسازی يک شبکه بزرگ ” دستيابی از راه دور ” می باشند ، می بايست از امکانات يک مرکز ارائه دهنده خدمات اينترنت جهانی ESP)Enterprise service provider) استفاده نمايند. سرويس دهنده ESP ، به منظور نصب و پيکربندی VPN ، يک NAS)Network access server) را پيکربندی و نرم افزاری را در اختيار کاربران از راه دور بمنظور ارتباط با سايت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط قادر به دستيابی به NAS و استفاده از نرم افزار مربوطه به منظور دستيابی به شبکه سازمان خود خواهند بود.
سايت به سايت (Site-to-Site)
در مدل فوق يک سازمان با توجه به سياست های موجود ، قادر به اتصال چندين سايت ثابت از طريق يک شبکه عمومی نظير اينترنت است. شبکه های VPN که از روش فوق استفاده می نمايند ، دارای گونه های خاصی در اين زمينه می باشند:
مبتنی بر اينترانت
در صورتيکه سازمانی دارای يک و يا بيش از يک محل ( راه دور) بوده و تمايل به الحاق آنها در يک شبکه اختصاصی باشد ، می توان يک اينترانت VPN را به منظور برقرای ارتباط هر يک از شبکه های محلی با يکديگر ايجاد نمود.
مبتنی بر اکسترانت
در موارديکه سازمانی در تعامل اطلاعاتی بسيار نزديک با سازمان ديگر باشد ، می توان يک اکسترانت VPN را بمنظور ارتباط شبکه های محلی هر يک از سازمانها ايجاد کرد. در چنين حالتی سازمانهای متعدد قادر به فعاليت در يک محيط اشتراکی خواهند بود.
استفاده از VPN برای يک سازمان دارای مزايای متعددی نظير : گسترش محدوه جغرافيائی ارتباطی ، بهبود وضعيت امنيت ، کاهش هزينه های عملياتی در مقايسه با روش های سنتی WAN ، کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور ، بهبود بهره وری ، توپولوژی آسان و … است. در يک شبکه VPN به عوامل متفاوتی نظير : امنيت ، اعتمادپذيری ، مديريت شبکه و سياست ها نياز خواهد بود.
شبکه های LAN جزاير اطلاعاتی
فرض نمائيد در جزيره ای در اقيانوسی بزرگ ، زندگی می کنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخی از جزاير نزديک و برخی ديگر دارای مسافت طولانی با جزيره شما می باشند. متداولترين روش به منظور مسافرت به جزيره ديگر ، استفاده از يک کشتی مسافربری است. مسافرت با کشتی مسافربری ، به منزله عدم وجود امنيت است. در اين راستا هر کاری را که شما انجام دهيد ، توسط ساير مسافرين قابل مشاهده خواهد بود. فرض کنيد هر يک از جزاير مورد نظر به مشابه يک شبکه محلی (LAN) و اقيانوس مانند اينترنت باشند. مسافرت با يک کشتی مسافربری مشابه برقراری ارتباط با يک سرويس دهنده وب و يا ساير دستگاههای موجود در اينترنت است. شما دارای هيچگونه کنترلی بر روی کابل ها و روترهای موجود در اينترنت نمی باشيد. ( مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی ساير مسافرين حاضر در کشتی ). در صورتيکه تمايل به ارتباط بين دو شبکه اختصاصی از طريق منابع عمومی وجود داشته باشد ، اولين مسئله ای که با چالش های جدی برخورد خواهد کرد ، امنيت خواهد بود. فرض کنيد ، جزيره شما قصد ايجاد يک پل ارتباطی با جزيره مورد نظر را داشته باشد. مسير ايجاد شده يک روش ايمن ، ساده و مستقيم برای مسافرت ساکنين جزيره شما به جزيره ديگر را فراهم می آورد. همانطور که حدس زده ايد ، ايجاد و نگهداری يک پل ارتباطی بين دو جزيره مستلزم صرف هزينه های بالائی خواهد بود.( حتی اگر جزاير در مجاورت يکديگر باشند ). با توجه به ضرورت و حساسيت مربوط به داشتن يک مسير ايمن و مطمئن ، تصميم به ايجاد پل ارتباطی بين دو جزيره گرفته شده است. در صورتيکه جزيره شما قصد ايجاد يک پل ارتباطی با جزيره ديگر را داشته باشد که در مسافت بسيار طولانی نسبت به جزيره شما واقع است ، هزينه های مربوط به مراتب بيشتر خواهد بود. وضعيت فوق ، نظير استفاده از يک اختصاصی Leased است. ماهيت پل های ارتباطی ( خطوط اختصاصی ) از اقيانوس ( اينترنت ) متفاوت بوده و کماکان قادر به ارتباط جزاير( شبکه های LAN) خواهند بود. سازمانها و موسسات متعددی از رويکرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان برای برقراری ارتباط هر يک سازمانهای مورد نظر با يکديگر است. در صورتيکه مسافت ادارات و يا شعب يک سازمان از يکديگر بسيار دور باشد ، هزينه مربوط به برقرای ارتباط نيز افزايش خواهد يافت.
با توجه به موارد گفته شده ، چه ضرورتی به منظور استفاده از VPN وجود داشته و VPN تامين کننده ، کداميک از اهداف و خواسته های مورد نظر است ؟ با توجه به مقايسه انجام شده در مثال فرضی ، می توان گفت که با استفاده از VPN به هريک از ساکنين جزيره يک زيردريائی داده می شود. زيردريائی فوق دارای خصايص متفاوت نظير :
- دارای سرعت بالا است.
- هدايت آن ساده است.
- قادر به استتار( مخفی نمودن) شما از ساير زيردرياییها و کشتی ها است.
- قابل اعتماد است.
- پس از تامين اولين زيردريایی ، افزودن امکانات جانبی و حتی يک زيردريایی ديگرمقرون به صرفه خواهد بود.
در مدل فوق ، با وجود ترافيک در اقيانوس ، هر يک از ساکنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمنی می باشند. مثال فوق دقيقا” بيانگر تحوه عملکرد VPN است. هر يک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از يک محيط انتقال عمومی ( نظير اينترنت ) با شبکه محلی (LAN) موجود در سازمان خود خواهند بود. توسعه يک VPN ( افزايش تعداد کاربران از راه دور و يا افزايش مکان های مورد نظر ) به مراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمايند. قابليت توسعه فراگير از مهمتزين ويژگی های يک VPN نسبت به خطوط اختصاصی است .
امنيت VPN
شبکه های VPN به منظور تامين امنيت (داده ها و ارتباطات) از روش های متعددی استفاده می نمايند :
فايروال
فايروال يک ديواره مجازی بين شبکه اختصای يک سازمان و اينترنت ايجاد می نمايد. با استفاده از فايروال می توان عمليات متفاوتی را در جهت اعمال سياست های امنيتی يک سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال ، ايجاد محدوديت در رابطه به پروتکل های خاص ، ايجاد محدوديت در نوع بسته های اطلاعاتی و … نمونه هائی از عملياتی است که می توان با استفاده از يک فايروال انجام داد.
رمزنگاری
فرآيندی است که با استفاده از آن کامپيوتر مبداء اطلاعاتی رمزشده را برای کامپيوتر ديگر ارسال می نمايد. ساير کامپيوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدين ترتيب پس از ارسال اطلاعات توسط فرستنده ، دريافت کنندگان، قبل از استفاده از اطلاعات می بايست اقدام به رمزگشائی اطلاعات ارسال شده نمايند. سيستم های رمزنگاری در کامپيوتر به دو گروه عمده تقسيم می گردد :
- رمزنگاری کليد متقارن
- رمزنگاری کليد عمومی
در رمز نگاری ” کليد متقارن ” هر يک از کامپيوترها دارای يک کليد Secret ( کد ) بوده که با استفاده از آن قادر به رمزنگاری يک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپيوتر ديگر می باشند. در روش فوق می بايست در ابتدا نسبت به کامپيوترهایی که قصد برقراری و ارسال اطلاعات برای يکديگر را دارند ، آگاهی کامل وجود داشته باشد. هر يک از کامپيوترهای شرکت کننده در مبادله اطلاعاتی می بايست دارای کليد رمز مشابه بمنظور رمزگشائی اطلاعات باشند. به منظور رمزنگاری اطلاعات ارسالی نيز از کليد فوق استفاده خواهد شد. فرض کنيد قصد ارسال يک پيام رمز شده برای يکی از دوستان خود را داشته باشيد. بدين منظور از يک الگوريتم خاص برای رمزنگاری استفاده می شود. در الگوريتم فوق هر حرف به دوحرف بعد از خود تبديل می گردد.(حرف A به حرف C ، حرف B به حرف D ) .پس از رمزنمودن پيام و ارسال آن ، می بايست دريافت کننده پيام به اين حقيقت واقف باشد که برای رمزگشائی پيام ارسال شده ، هر حرف به دو حرق قبل از خود می باطست تبديل گردد. در چنين حالتی می باطست به دوست امين خود ، واقعيت فوق ( کليد رمز ) گفته شود. در صورتيکه پيام فوق توسط افراد ديگری دريافت گردد ، بدليل عدم آگاهی از کليد ، آنان قادر به رمزگشائی و استفاده از پيام ارسال شده نخواهند بود.
در رمزنگاری عمومی از ترکيب يک کليد خصوصی و يک کليد عمومی استفاده می شود. کليد خصوصی صرفا” برای کامپيوتر شما ( ارسال کننده) قابل شناسائی و استفاده است. کليد عمومی توسط کامپيوتر شما در اختيار تمام کامپيوترهای ديگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود. به منظور رمزگشائی يک پيام رمز شده ، يک کامپيوتر می بايست با استفاده از کليد عمومی ( ارائه شده توسط کامپيوتر ارسال کننده ) ، کليد خصوصی مربوط به خود اقدام به رمزگشائی پيام ارسالی نمايد. يکی از متداولترين ابزار “رمزنگاری کليد عمومی” ، روشی با نام PGP)Pretty Good Privacy) است. با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.
IPSec
پروتکل IPsec)Internet protocol security protocol) ، يکی از امکانات موجود برای ايجاد امنيت در ارسال و دريافت اطلاعات می باشد. قابليت روش فوق در مقايسه با الگوريتم های رمزنگاری به مراتب بيشتر است. پروتکل فوق دارای دو روش رمزنگاری Tunnel و Transportمی باشد. در روش tunnel ، هدر و Payload رمز شده درحاليکه در روش transport فقط payload رمز می گردد. پروتکل فوق قادر به رمزنگاری اطلاعات بين دستگاههای متفاوت است :
- روتر به روتر
- فايروال به روتر
- کامپيوتر به روتر
- کامپيوتر به سرويس دهنده
سرويس دهنده AAA
سرويس دهندگان ( AAA : Authentication ,Authorization,Accounting) بمنظور ايجاد امنيت بالا در محيط های VPN از نوع ” دستيابی از راه دور ” استفاده می گردند. زمانيکه کاربران با استفاده از خط تلفن به سيستم متصل می گردند ، سرويس دهنده AAA درخواست آنها را اخذ و عمايات زير را انجام خواهد داد :
§ شما چه کسی هستيد؟ ( تاييد ، Authentication )
§ شما مجاز به انجام چه کاری هستيد؟ ( مجوز ، Authorization )
§ چه کارهائی را انجام داده ايد؟ ( حسابداری ، Accounting )
تکنولوژی های VPN
با توجه به نوع VPN ( ” دستيابی از راه دور ” و يا ” سايت به سايت ” ) ، به منظور ايجاد شبکه از عناصر خاصی استفاده می گردد:
- نرم افزارهای مربوط به کاربران از راه دور
- سخت افزارهای اختصاصی نظير يک ” کانکتور VPN” و يا يک فايروال PIX
- سرويس دهنده اختصاصی VPN به منظور سرویس های Dial-up
- سرويس دهنده NAS که توسط مرکز ارائه خدمات اينترنت به منظور دستيابی به VPN از نوع “دستيابی از را دور” استفاده می شود.
- شبکه VPN و مرکز مديريت سياست ها
با توجه به اينکه تاکنون يک استاندارد قابل قبول و عمومی به منظور ايجاد VPN ايجاد نشده است ، شرکت های متعدد هر يک اقدام به توليد محصولات اختصاصی خود نموده اند.
کانکتور VPN
سخت افزار فوق توسط شرکت سيسکو طراحی و عرضه شده است. کانکتور فوق در مدل های متفاوت و قابليت های گوناگون عرضه شده است . در برخی از نمونه های دستگاه فوق امکان فعاليت همزمان 100 کاربر از راه دور و در برخی نمونه های ديگر تا 10.000 کاربر از راه دور قادر به اتصال به شبکه خواهند بود.
روتر مختص VPN
روتر فوق توسط شرکت سيسکو ارائه شده است . اين روتر دارای قابليت های متعدد به منظور استفاده در محيط های گوناگون است . در طراحی روتر فوق شبکه های VPN نيز مورد توجه قرار گرفته و امکانات مربوط در آن بگونه ای بهينه سازی شده اند.
فايروال PIX
فايروال PIX(Private Internet eXchange) قابليت هائی نظير NAT ، سرويس دهنده Proxy ، فيلتر نمودن بسته ای اطلاعاتی ، فايروال و VPN را در يک سخت افزار فراهم نموده است .
Tunneling( تونل سازی )
اکثر شبکه های VPN به منظور ايجاد يک شبکه اختصاصی با قابليت دستيابی از طريق اينترنت از امکان ” Tunneling ” استفاده می نمايند. در روش فوق تمام بسته اطلاعاتی در يک بسته ديگر قرار گرفته و از طريق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی خارجی ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی ) قابل فهم می باشد. دو نقظه فوق را “اينترفيس های تونل ” می گويند. روش فوق مستلزم استفاده از سه پروتکل است :
- پروتکل حمل کننده : از پروتکل فوق شبکه حامل اطلاعات استفاده می نمايد.
- پروتکل کپسوله سازی : از پروتکل هائی نظير: IPSec,L2F,PPTP,L2TP,GRE استفاده می گردد.
- پروتکل مسافر : از پروتکل هائی نظير IPX,IP,NetBeui به منظور انتقال داده های اوليه استفاده می شود.
با استفاده از روش Tunneling می توان عمليات جالبی را انجام داد. مثلا” می توان از بسته ای اطلاعاتی که پروتکل اينترنت را حمايت نمی کند ( نظير NetBeui) درون يک بسته اطلاعاتی IP استفاده و آن را از طريق اينترنت ارسال نمود و يا می توان يک بسته اطلاعاتی را که از يک آدرس IP غير قابل روت ( اختصاصی ) استفاده می نمايد ، درون يک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طريق اينترنت ارسال نمود.
در شبکه های VPN از نوع ” سايت به سايت ” ، GRE) generic routing encapsulation) بعنوان پروتکل کپسوله سازی استفاده می گردد. فرآيند فوق نحوه استقرار و بسته بندی ” پروتکل مسافر” از طريق پروتکل ” حمل کننده ” برای انتقال را تبين می نمايد. ( پروتکل حمل کننده ، عموما” IP است ) . فرآيند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بين سرويس گيرنده و سرويس دهنده است. در برخی موارد از پروتکل IPSec ( در حالت tunnel) برای کپسوله سازی استفاده می گردد. پروتکل IPSec ، قابل استفاده در دو نوع شبکه VPN ( سايت به يايت و دستيابی از راه دور ) است. اينترفيش های Tunnel می بايست دارای امکانات حمايتی از IPSec باشند.
در شبکه های VPN از نوع ” دستيابی از راه دور ” ، Tunneling با استفاده از PPP انجام می گيرد. PPP بعنوان حمل کننده ساير پروتکل های IP در زمان برقراری ارتباط بين يک سيستم ميزبان و يک سيستم ازه دور ، مورد استفاده قرار می گيرد.
هر يک از پروتکل های زير با استفاده از ساختار اوليه PPP ايجاد و توسط شبکه های VPN از نوع ” دستيابی از راه دور ” استفاده می گردند:
L2F) Layer 2 Forwarding)
پروتکل فوق توسط سيسکو ايجاد شده است. در پروتکل فوق از مدل های تعيين اعتبار کاربر که توسط PPP حمايت شده اند ، استفاده شد ه است.
PPTP)Point-to-Point Tunneling Protocol)
پروتکل فوق توسط کنسرسيومی متشکل از شرکت های متفاوت ايجاد شده است. اين پروتکل امکان رمزنگاری 40 بيتی و 128 بيتی را دارا بوده و از مدل های تعيين اعتبار کاربر که توسط PPP حمايت شده اند ، استفاده می نمايد.
L2TP)Layer 2 Tunneling Protocol)
پروتکل فوق با همکاری چندين شرکت ايجاد شده است .پروتکل فوق از ويژگی های PPTP و L2F استفاده کرده است. پروتکل L2TP بصورت کامل IPSec را حمايت می کند. از پروتکل فوق به منظور ايجاد تونل بين موارد زير استفاده می گردد :
- سرويس گيرنده و روتر
- NAS و روتر
- روتر و روتر
عملکرد Tunneling مشابه حمل يک کامپيوتر توسط يک کاميون است. فروشنده ، پس از بسته بندی کامپيوتر ( پروتکل مسافر ) درون يک جعبه ( پروتکل کپسوله سازی ) آن را توسط يک کاميون ( پروتکل حمل کننده ) از انبار خود ( ايترفيس ورودی تونل ) برای متقاضی ارسال می دارد. کاميون ( پروتکل حمل کننده ) از طريق بزرگراه ( اينترنت ) مسير خود را طی ، تا به منزل شما ( اينترفيش خروجی تونل ) برسد. شما در منزل جعبه ( پروتکل کپسول سازی ) را باز و کامپيوتر ( پروتکل مسافر) را از آن خارج می نمائيد.