بخشی از مقاله
اصول اوليه شبكه هاي خصوصي مجازي
Vpn احتمالاً از جمله موضوعاتي است : كه زياد در مورد آن صحبت مي شود . اما نكتة عجيب اين است كه كمتر فردي را مي توان يافت كه مفاهيم آن را در رابطه با اينترنت و يا دسترسي از راه دور خوب درك كرده باشد سالها است كه vpn ها پيرامون ما وجود دارند ، اما تا كنون چندان مورد توجه قرار نگرفته اند.
بخشي از سردرگمي هاي مربوط به آن از كلمة Private (خصوصي) منشأ مي گيرد. مثلاً مدت زياد است كه شركت هاي مختلف امكان اتصال از طريق خطهاي
اجاره اي خصوصي را براي سايت هاي خود (مانند شعبه هاي اداري) فراهم كرده اند. اين در واقع نوعي شبكة خصوصي مي باشد ، كه تا دور دست كشيده شده است . اين حالت را بيشتر vpn مبتني بر سيم حامل مي نامند. در اين روش ISP (يا شركت تلفن) مدارهاي مجازي بين سايتها ايجاد مي كند در اين حالت براي برقراري ارتباط خصوصي دو نوع مدار مجازي ممكن است وجود داشته باشند كه عبارتند از PVC,SVC متداولترين روش PVC مي باشد.
در اينجا روش Internet vpn شرح داده مي شود. Internet vpn روشي است كه بر اساس آن دو كامپيوتر يا شبكه مي توانند از طريق يك شبكه اشتراكي يا عمومي (مانند اينترينت) به صورت خصوصي با يكديگر ارتباط برقرار كنند. اين روش نيز نوعي گسترش شبكة خصوصي مي باد. اما در اينجا ديگر نيازي نيست كه ISP يا شركت تلفن ، نوعي اتصال مجزا و اضافي براي برقراري ارتباط ارائه كند. بنابراين چنين روشي مي تواند به ميزان زيادي در هزينه تان صرفه جويي كند .
vpn ها به اتصال سايت به سايت محدود نمي شوند. بلكه اين امكان را برايتان فراهم مي كنند كه سرويس گيرنده هاي سيار ، يا سرويس گيرنده هايي كه در مسافرت هستند. بتوانند با شركت خود ارتباطي از نوع كاملاُ ايمن برقرار كنند. مثلاً سرويس گيرندة راه دور ابتدا شمارة ISP محلي خود را مي گيرد.(اين روش در هزينة تلفن صرفه جويي خواهد كرد.) سپس از طريق اينترنت نوعي vpn با شبكة شركت خود برقرار مي كند.
Vpn ها در واقع ايمني و قابليت اطمينان كارهايي كه ممكن است انجام آنها از ساير روشها در شبكه هاي عمومي نا امن باشند ، را فراهم. Vpn در اصل از سه تكنولوژي تشكيل شده است كه وقتي همراه با يكديگر مورد استفاده قرار مي گيرند نوعي اتصال ايمن را فراهم مي كنند. تكنولوژي هاي مزبور عبارتند از اعتبار سنجي (Authentication) ايجاد تونل (Tunneling) و رمزگذاري (Eneryption).
اعتبـار سنجـي
اولين دليل براي اعتبار سنجي در vpn اطمينان هويت سرويس گيرنده و سرويس دهنده مي باشد كه بايد قبل از برقراري جلسة vpn مشخص شود. البته چنين مطلبي به معني اين نيست كه همواره بايد اعتبار سنجي به صورت دو طرفه باشد . اما قبل از برقراري تونل و امكان ارسال داده ها، بايد مرحلة اعتبار سنجي با موفقيت انجام شود . نوع اعتبار سنجي كه مورد استفاده قرار مي گيرد به نوع سرويس گيرنده هاي موجود در شبكه و نيز روشي كه انتخاب كرده ايد بستگي خواهد داشت.
تنها مشكل احتمالي اين است كه اگر سرويس گيرنده هاي راه دور از نوع سرويس گيرنده هاي سطح پايين باشند. احتمالاً توسط پروتكل اعتبار سنجي EAP پشتيباني نشده اند. در حقيقت سرويس گيرنده هاي سطح ويندوز NT و ويندوز 9x اين ويژگي را پشتيباني نمي كنند . هنگام تصميم گيري در مورد نوع پروتكل EAP كه بايد مورداستفاده قرار گيرد. در نظر داشته باشيد كه بايد بالاترين سطح اعتبار سنجي را انتخاب كنيد. به عبارت ديگر بايد پروتكل هاي اعتبار سنجي نظير Ms-CHAp , EAP و يا MS-CHAPv2 را مورد استفاده قرار دهيد.
ايجـاد تـونـل
روش ايجاد تونل (Tunneling) در مرحله أي مورد استفاده قرار مي گيرد كه مي خواهيد پروتكل هاي پوشانندة دادهاي شكبه مانند ( Net beui. Appele talk , Ipx/spx , Tcp/Ip) بتوانند از اينترنت عبور كنند بله درست است كه Tcp/Ip به خودي خود مي تواند از اينترنت عبور كند. اما در آن صورت بخشي از تونل يا vpn نخواهد بود. ايجاد تونل را به صورت راهي كه موش كور در زير زمين براي اتصال از نقطه اي به نقطة ديگر ايجاد مي كند در نظر بگيريد.
براي ايجاد تونل ابتدا بايد هويت دو انتهاي آن تاييد شود. بعد از اعتبار سنجي آنها ، تونل ايجاد و اطلاعات بين دو نقطه مزبور ارسال مي شود. اين حالت را شكل 11-16 مشاهده مي كنيد. دو پروتكلي كه در ويندوز 2000 مسئول ايجاد تونل هاي vpn مي باشند عبارتند از از pptp و L2tp كه در قسمتهاي قبل شرح داده شدند. پروتكل ايجاد تونل L2tp نسبت به pptp پيشرفته تر است . L2tp از Ipsec به عنوان پروتكل اعتبار سنجي و رمزگذاري استفاده مي كند.
L2tp فقط در نگارشهاي ويندوز RRAS2000 وجود دارد و فقط سرويس گيرنده هاي مبتني بر ويندوز 2000 به آن مجهز مي باشند . جدول 1 نشان مي دهد كه سرويس گيرنده هاي مختلف مي توانند چه نوع پروتكل هاي ايجاد تونل را پشتيباني كنند.
جدول 1 : سرويش گيرنده ها و پروتكل هاي ايجاد تونلي كه توسط آنها پشتيباني مي شوند.
سرويس گيرنده VPn پروتكل ايجاد تونلي كه پشتيباني شده است
ويندوز 2000 L2tp,PPTP
ويندوز NT نگارش 4 PPTP
ويندوز 98 PPTP
ويندوز 95 PPTP همراه با Dial-up Networking نگارش 1/3 در ويندوز
MPPE
MPEE مي تواند داده هاي ارسالي در اتصالهاي PPTPVPN را رمز گذاري كند. MPEE طرحهاي رمزگذاري زير را پشتيباني ميكند :
رمزگذاري استاندارد 40 بيتي
رمز گذاري استاندارد 56 بيتي
رمز گذاري تقويت شدة 128 بيتي كه فقط در ايالات متحده و كانادا قابل استفاده است.
براي استفاده از MPEE بايد يكي از پروتكل هاي اعتبار سنجي MS-CHAP يا MS-CHAPv2 را مورد استفاده قرار دهيد.
Ipsec
عليرغم باور عمومي Ipsec در واقع مجموعه اي از سرويس ها و پروتكل هاي مبتني بر رمزگذاري مي باشد. IPSec علاوه بر رمز گذاري ، اعتبار سنجي اتصالهاي VPN مبتني بر L2tp را نيز انجام مي دهد. اما L2tp همچنان از روشهاي اعتبار سنجي كه قبلاً شرح داده شدند مانند EAP , MS-CHAP استفاده مي كند.
Ipsec در روش پياده سازي ويندوز 2000 يا Des و يا Triple DES(3DES) را مورد استفاده قرار مي دهد. DES از كليد كد گزاري 56 كليدي استفاده مي كند و مي توان آن را به صورت بين المللي مورد استفاده قرار داد . اما 3des از دو كليد 56 بتي استفاده مي كند و نميتوان آن را براي صادر كردن اطلاعات به خارج از ايالات متحده مورد استفاده قرار داد. نوع رمز گذاري Ipsec مورد استفاده توسط SA تعيين مي شود . Sa بين دو نقطة انتهايي VPN قرار مي گيرد و ايمني متداولي كه بايد مورد استفاده قرار گيرد ، را اعمال مي كند.
نكاتي كه بايد در رابطه با پياده سازي VPN در نظر گرفت
فقط به علت اينكه VPN داغ ترين تكنولوژي براي دسترسي از راه دور مي باشد ، نميتوان گفت VPN راه حل مناسبي براي كارمان خواهد بود. قبل از اينكه آن را به عنوان راه حل نهايي در محيط شبكه مبتني بر ويندوز 2000 خود پياده كنيم بايد موارد زير را در نظر بگيريم :
ايمني : ايمني بايد يكي از بزرگترين عوامل تصميم گيري باشد ن كه شما را به پياده سازي VPN هدايت مي كند. در اين مورد بايد به دو سئوال پاسخ دهيد. اول اينكه ما با توانايي VPN براي نوع اطلاعاتي كه مي خواهيم ارسال كنيم بيش از حد زياد نيست ؟ مثلاً ممكن است بخواهيد فقط پيغامهاي پست الكترونيكي غير محرمانه را ارسال كنيد. سئوال دوم اين است كه آيا VPN مي تواند از عهدة حفظ ايمني مورد نياز برآيد مثلاً ادارات دولتي بايد از ايمني قابل توجهي برخوردار باشند. مثلآص به احتمال زياد ارتش صرف نظر از ادعاي VPN در رابطه با ارائة سطح ايمني مطلوب هيچگاه آن را براي انتقال داده ها از طريق شبكه اي عمومي مورد استفاده قرار نخواهد داد.
بودجه اي كه براي اينكار در نظر گرفته شده است : هزينه اوليه و هزينه هاي حين كار براي راه اندازي VPN در محيط شبكه مبتني بر ويندوز 2000 در مقايسه با خطهاي اجاره أي بسيار ناچيز است . مزيتهاي استفاده از VPN در رابطه با صرف جويي بسيار واضح است زيرا با استفاده از آن ديگر سايتها و سرويس گيرنده هاي راه دور مي توانند بصورت ايمن و بدون پرداخت هزينه هاي اضافي (مانند سخت افزارهاي برقراركنندة اتصال ، هزينه ي تلفن و ..) به شبكه شركت متصل شود. درست است كه كاربران راه دور مي توانند شماره تلفن هايي كه با عدد 800 شروع مي شوند را مورد استفاده قرار دهند اما اين كار هزينه و مشكلات را بطور كامل بر طرف نمي كند و البته بازهم گران قيمت مي باشد.
سرعت ارسال : از آنجا كه VPN به اعتبار سنجي و رمزگذاري نياز دارد سرعت ارسال داده ها از آن طريق كندتر از حالتي است كه اين كار بدون استفاده از VPN انجام مي شود. مي توانيد كاهش سرعتي بين 30 تا 50 درصد را در رابطه با استفاده از VPN انتظار داشته باشيد. در اين حالت ناچاريد هزينه و سرعت انتقال داده ها را در مقابل يكديگر در نظر بگيريد.
اينها فقط چند مورد از مواردي است كه بايد قبل از پياده سازي VPN در نظر بگيريم. اما با درنظر گرفتن اين سه مطلب بهتر مي توانيم در مورد ارائه قابليت هاي VPN در شبكه ويندوز 2000 خود تصميم گيري كنيم.
انتخاب نحوة تماس در VPN
در اصل دو نوع نحوة تماس در VPN وجود دارد كه عبارتند از شماره گيري VPN و سايت به سايت .تركيب اين دو روش را نيز مي توان به عنوان روش سوم مطرح كرد.
شماره گيري VPN : در اين روش معمولاُ سرويس گيرنده هاي راه دور بعد از شماره گيري ISP خود براي برقراري ارتباط VPN بين سرويس گيرندة راه دور و سرويس دهندة VPN ، شماره سرويس دهندة مذكور در ويندوز 2000 را مي گيرد به اين ترتيب در هزينه تلفن راه دور براي سرويس گيرنده راه دور ، و نيز سرويس دهنده VPN صرفه جويي خواهد شد. زيرا در بسياري از موارد مي توان اين روش را به جاي تعداد زياد مودم ها و ساير وسيله هاي جانبي مربوط به اتصال از راه دور مورد استفاده قرار داد.
روش سايت به سايت : متداول ترين روش براي برقراري تماس از طريق VPN روش سايت به سايت مي باشد در اين روش دو يا چند سرويس دهنده VPN را مورد استفاده قرار خواهيم داد تا بتوانيم بين آنها ارتباط مبتني بر VPN را برقرار كنيم . كاربراني كه در هر كدام از شبكه ها قرارداشته باشند مي توانند با سايت يا سايتهاي دور دست ديگر ارتباط برقرار كنند.
روش تركيبي : همانطور كه از نام اين روش بر مي آيد در اينجا محيطهاي شبكه مبتني بر ويندوز 2000 هم روش مورد استفاده توسط سرويس گيرنده هاي راه دور و هم روش سايت به سايت را براي برقراري ارتباط مبتني بر VPN مورد استفاده قرار مي دهند تا به هر دو مورد سرويس دهند.
پيكربندي سرويس دهنده VPN
با پيكر بندي RRAS بعنوان سرويس دهندة VPN به سرويس گيرنده هاي راه دور اجازه مي دهيد كه از طريق شبكة عمومي مانند اينترنت عبور كنند. اينكار از طريق تونلي رمزگذاري شده در محيط شبكة ويندوز 2000 انجام مي شود .
1ـ با انتخاب دستورهاي Start | programs | adminstorative tools كادر مكالمة Routing and Remote access را باز كنيد.
2ـ از منوي Action گزينة Configure and enable routing and remote access را انتخاب كنيد بعد از ظاهر شدن پنجرة ويزارد Routing and remote access server setup براي ادامة كادر دكمة Next را كليك كنيد.
3ـگزينة Virtual private network (VPN) server را انتخاب كنيد ، سپس دكمة Next را كليك كنيد.
4ـ پروتكلهاي مورد نياز براي شماره گيري سرويس گيرنده راه دور و اتصال به سرويس دهنده را بررسي و در صورت نياز پروتكلهايي را اضافه كنيد سپس دكمه Next را كليك كنيد.
5ـ اتصال مناسبي كه بايد براي اينترنت مورد استفاده قرار بگيرد را انتخاب كنيد سپس دكمهNext را كليك كنيد.
6ـ آدرسهاي IP اختصاص داده شده به سرويس گيرنده ها را انتخاب كنيد اگر سرويس دهندة DHCP را داريد بايد آنرا انتخاب كنيد اگر DHCP را در اختيار نداريد سرويس دهندة VPN با استفاده از محدودة آدرسهاي Ip تعيين شده ، آدرس IP مناسب را به سرويس گيرنده اختصاص مي دهند. توجه داشته باشيد كه اگر گزينه دوم را انتخاب كنيد بايد در مرحلة بعد محدودة آدرس را تعيين كنيد براي ادامه كادر ، دكمة Next را كليك كنيد.
7ـ با فرض اينكه پيشنهاد ارائه شده در مرحلة 6 را پذيرفتيم در پنجرة بعدي از شما در مورد استفادة سرويس دهندة VPN از سرويس دهندة Radius سئوال خواهد شد . در اين مثال حالت پيش فرض عدم استفاده مي باشد براي ادامة كار دكمة Next را كليك كنيد.
8ـ دكمةFinish را كليك كنيد.
پيكربندي سياست هاي دسترسي از را دور
اجازة اتصال هاي دسترسي از راه دور بر اساس شمارة عضويت كاربر و سياست هاي دسترسي از راه دور مي باشد در اصل سياستهاي كاري مربوط به دسترسي از راه دور اتصالها را با تعيين مجموعه أي از شرايط تعريف مي كنند. جدول زير فهرستي از متداول ترين سياستها در رابطه با دسترسي از راه دور را نشان مي دهد و شرح مختصري در رابطه با هريك از آنها ارائه كرده است.
نـام سيـاسـت شـــــــــــــــرح
Called station ID شمارة تلفني كه توسط كاربر شماره گيري مي شود
Calling -station –ID شماره تلفني كه براي برقراري تماس مورد استفاده قرار گرفته است
Day-and-time-restaictions دوره هاي زماني و روزهاي هفته اي كه كاربر مجاز به تماس مي باشد
Framed-protocol پروتكلي كه بايد هنگام تماس مورد استفاده قرار گيرد.
Tunnel-type پروتكلهاي ايجاد تونل كه بايد هنگام تماس مورد استفاده قرار گيرند
Windows-groups گروه ويندوز 2000 كه كاربر به آن تعلق دارد.
وقتي سياستهاي دسترسي از راه دور را اضافه مي كنيم به استفاده از يك سياست به ازاي هر سرويس گيرنده محدود نمي شويم . مي توانيم هر تعداد از سياستهاي كاري در رابطه با دسترسي از راه دور كه به نظرتان مناسب مي باشد را تعيين كنيم . اما بهتر است كه سياست هاي مزبور را به حداقل تعداد ممكن محدود كنيم تا پيكربندي نيز به ساده ترين شكل ممكن باقي بماند.
براي اضافه كردن سياست كاري در رابطه با دسترسي از راه دور ، مرحله هاي زير را دنبال مي كنيم .
1ـ با انتخاب دستورهاي Start | Programs | adminstrative Tools گزينة Routing ans remote Access را انتخاب كنيم .
2ـ در قاب سمت چپ پنجرة كنسول گزينه remote access policies را با استفاده از كليد سمت راست موس كليك كنيد سپس از منوي ميانبري كه ظاهر مي شود گزينة New remote access policy را انتخاب مي كنيم با اينكار پنجرة Add remote access policy باز خواهد شد.
3ـ بعد از تعيين نامي براي سياست مزبور دكمه Next را مي زنيم .
4ـ براي دستيابي به پنجرة Select attribute دكمة add را كليك كنيم. بعد از انتخاب صفت دكمة add را مي زنيم .
5ـ پارامترهاي مربوط به شرايطي كه تعيين كرده ايم را تايپ مي كنيم مثلاً در رابطه با
Caller-station- Id بايد شمارة تلفن را تايپ كنيم. نكتة مهمي كه بايد به آن توجه داشته باشيم اينست كه اطلاعات ارائه شده در اين قسمت به شرايطي كه مي خواهيم اضافه كنيم بستگي دارند. بعد از انجام اين كادر دكمة Ok را كليك مي كنيم.
6ـ تا زماني كه مي خواهيم اضافه شوند تمام نشده اند . مرحله هاي 4 و 5 را تكرار كنيد سپس براي ادامه كار دكمة Next را كليك مي كنيم.
7ـ پنجرة بعدي در ويزارد از شما مي پرسد كه وقتي شرايط تعيين شده برقرار شده آيا مي خواهيد اجازة تماس صادر شود يا تماس قطع شود . بعد از انتخاب يكي از گزينه هاي Grant يا Deny دكمة Next را مي زنيم.
8ـ در اين مرحله مي توانيم با كليك كردن دكمة Edit profile سياست كاري مورد نظر خود را ويرايش كنيم و يا با كليك كردن finish كار پيكربندي سياست كاري در رابطه با دسترسي از راه دور را خاتمه دهيم
هنگام ويرايش پيش طرح سياست كاري در رابطه با دسترسي از راه دور گزينه هاي مختلفي ظاهر خواهند شد . گزينه هاي مزبور امكان پيكربندي شرايط شماره گيري براي ورود به سيستم IP اتصال هاي متعدد اعتبار سنجي رمزگذاري و ساير تنظيم هاي مربوط به صفت هاي مربوطه را شامل مي شوند.
سياست هاي كاري در رابطه با دسترسي از راه دور به ميزان زيادي قابل دسترسي شدن مي باشند تا بتوانند به بهترين نحو با نيازهاي محيط شبكه تان تطبيق يابند.