بخشی از مقاله
امنيت لايه دسترسي شبكه
فصل 12
Chapter 12 : Conclusions and Outlook
مرور
اگر درست در نظر گرفته ،اجرا ، گسترش و اداره شده باشد،يك سيستم امنيتي قادر به توليد عامل مؤثر دسترسي به كنترل سرويسها براي جمع شدن ناسازگاريهاست. در نتيجه در بيشتر شبكه اداره كننده ي تنظيمات، سيستم هاي امنيتي چنان است كه آنها اول : در مقابل حمله هاي خارجي ،دفاع كنند. و بعد باعث معرفي و بحث از عقايد و اصول اساسي و پايه از تكنولوژي سيستم هاي امنيتي مي شوند. اجزاء آن: ( بسته هاي اطلاعات، فيلترها، گذرگاههاي مدارات پيچيده و گذرگاه درخواستها) و تعدادي پيكربندي ممكن است.
ما اين فصل را تا پايان بخش 2 براي رسيدن به يك تصوير رايج و روشن درباره ي خلاصه اي از دستورالعملها در پيشرفت و توسعه و بازبيني سيستم هاي امنيتي در آينده و نقش مهم سيستم هاي امنيتي در آينده ي اطلاعات ادامه مي دهيم.
در ابتدا مسئله قابل توجه از موارد امنيت يك صورتي ازوجود مسائل امنيتي در اينترنت است و اين احتمال وجود ندارد كه آنها در آينده ناپديد شوند. در اين صورت تكنولوژي سيستم امنيتي بيشترين توسعه را نسبت به تكنولوژي امنيت در اينترنت داشته است.تعداد زيادي شركت و سازمان بطور مداوم بازار را مورد بررسي قرار مي دهند و نتايج متناظر ( با نياز بازار) توليد مي كنند. دردنيا بين چندين فروشنده ي كامپيوتر اطلاعات متناسب با نياز، ردوبدل مي شود.اين موارد تكنولوژي نرم افزار Check Point را هم شامل ميشود. پايگاه آزادي براي ايمني در سال 1997 كشف شد ،ابتكاري مانند OPSEC براي تكميل تكنولوژي سيستم امنيتي در آينده بسيار مهم است.
با وجود موفقيت تجاري آنها ، تكنولوژي سيستم امنيتي در جامعه ي اينترنت بصورت يك موضوع حساس و هيجان انگيز باقي مانده بود. ما بطورمختصر آرگومانهاي بزرگتري را بيان كرديم.
• سيستم امنيتي رسيدگي به سيستم دفاعي همچون پيش بيني هاي امنيتي مهم و حفاظت دوبل است زيرا آن توابع امنيتي در يك محل و موقعيت واحد جمع شده اند و به طور ساده اي نسب، پيكربندي و مديريت مي شوند. تعداد زيادي شركت و سازمان، سيستم هاي امنيتي را همچون مأموران متحد براي Download كردن و نرم افزار تصحيح برنامه و ...استفاده مي كنند.
براي يك توليد كننده، تكنولوژي سيستمهاي امنيتي را جالب توجه است زيرا قوانين رمزگذاري براي آنها استفاده نشده بود، ولي قابل صدور و رمزگذاري بود، ضمن اينكه استفاده از تكنولوژي اينترنت براي هركدام ازپروتكل هاي TCP/IP محدود شده و خيلي تكنيك مشابه مي تواند در هر بسته ي كليد شده ي داده ي شبكه همچون شبكه ي داده ي X.25 استفاده شود.
• منتقدان سيستمهاي امنيتي معمولا نگران اجراي درست دستگاه،اداره و استفاده از سيستمها هستند، بعلاوه اينكه مداخله ي آنها با قابليت استفاده و اينترنتِ قدرتي كاملا درست است. آنها درخواست كردن كه سيستمهاي امنيتي طوري پردازش شوند كه رمز اشتباه را دريافت كنند وآن را درمحدوده ي سيستمهاي امنيتي راهنمايي كنند.
منتهي سيستم امنيتي پشتيباني مي كند و منتقدان نيز موافق هستند كه سيستم هاي امنيتي ابزاري قدرتمند براي امنيت شبكه هستند.اما آنها يك وسيله ي رفع مشكل يا يك نشانه ي جادويي براي همه ي شبكه ها و مسائل امنيتي مربوط به اينترنت نيستند در نتيجه آنها نبايد جانشين برنامه ريزي امنيتي درون يك محيط متحد شوند. همچنين يك سيستم امنيتي اگر تنها براي عبور همه ي داده از اينترنت پيكربندي شده باشد مفيد است .
اين حالت هميشگي نيست،همچنين پايگاه هاي زيادي كه اجازه دسترسي به مودمها را مي دهند، طوري تنظيم شده اند كه به سراسر نقاط مختلف نفوذ كنند. اين يك انرژي نهفته است و مي توانست مانع محافظتهاي آماده شده بوسيله سيستم امنيتي باشد. يك روش بهتر براي بررسي مودم ها تركيب آنها در يك دسته است. در حقيقت يك دسته مودم مركب از چندين مودم متصل به پايانه سرورتشكيل شده است. يك شماره ورودي اتصال كاربر، به پايانه سروروسپس از آنجا به سيستم هاي داخلي متصل مي شود.تعدادي پايانه ي سرور خصوصيات امنيتي را آماده مي كنند كه بتوانند اتصال به سيستم ويژه را محدود كنند يا به درخواست كاربر آنها را تصديق كنند. بديهي است RADIUS ياTACACS باضافه ي توانايي ارتباطات ايمن بين سرور و يك سرور امنيتي مركزي استفاده كرد. بعضي وقتهاكاربر مجاز به دسترسي ، تنها شماره ي خروجي را مي خواهد. اين كاربرها احتياج به شناسايي قابليتهاي آسيب پذيري دارند ، اگر آنها بي دقتي كنند ممكن است براي ايجاد شماره ي خروجي از مودم استفاده كنند. ورود به يك شماره خروجي آسان است. اگرپيش بينيهاي مناسب پذيرفته شود يك شماره خروجي قابل قبول به آساني يك شماره ورودي قابل اجرا مي شود.
در كل، شماره ي ورودي و خروجي قابل اجرا بايد در طرحي از سيستم امنيتي مطرح شوند و در درون آن متحد شوند. كاربران خروجي مجبورند كه از ميان سيستم امنيتي شناسايي عبوركنند.
در مجموع مودمهاي مجاز، دو نوع از مسائل امنيتي كه سيستم هاي امنيتي نمي تواند آدرس دهي كنند وجود دارد:
• سيستم هاي امنيتي دربرابرحمله هاي داخلي چنانكه ذكر شده به كار مي افتد و اين حمله ها نبايد اصلا از سيستم امنيتي عبوركند. در نتيجه سيستم امنيتي اطلاعي ازهرچيزي كه در داخل اتفاق مي افتد ،درباره ي حفاظت، ندارد. محافظت در برابر حمله هاي داخلي مي تواند تنهابوسيله طراحي، اجرا وگسترش دادن مختصات كدهاي بيان تصديق، اجازه عبور و كنترل موفق قطعات درون سيستم امنيتي باشد.بعلاوه داخل سيستمهاي امنيتي مي تواند از مقادير محدود در برابر حمله هاي داخلي استفاده شود.
• به همين نحو سيستم هاي امنيتي در حالت كلي نمي توانند در برابر حمله هاي ركوردهاي شخصي كه ذخيره شدند محافظت شوند.همچنين آنها بوسيله نرم افزار كاربر آلوده به ويروس از بايگاني يا انتقال مشابه، ويروسي ميشوند.فايلهاي برنامه در حالت MIME ضميمه به پيغامهاي ايميلي است. زيرا ممكن است اين فايلهاي برنامه، رمزگذاري شده، فشرده شده وبصورت متن رمزگذاري شود.درهريك ازاين راهها، يك سيستم امنيتي هميشه نمي تواند آنها را براي بررسي ودانستن كد مخصوص ويروس ، وارد كند
.براي ويروس هاي بزرگ كه ممكن است شامل فايل داده ي بي ضررباشند( مانند: يادداشتهاي Word و جملات PowerPoint ) درست مشابه است. اين ممكن و خيلي شبيه است كه اين مسائل در آينده بيشتر جدا شوند،همينطور چون بيشتر عبور و مرور داده ها در يك پايانه رمزگذاري شده، در حالت كلي زياد امكان ندارد اما براي يك سيستم متوسط ( مانند: يك سيستم امنيتي يانماينده ي سرور) با آشكار ساختن عبورومرور داده به ساخت پايگاه باهوش ، درباره تشخيص كد اشتباه است.محافظت در برابر حمله ركوردهاي شخصي مي تواند تنها بوسيله ي داشتن راه درمان در شرايطي از پذيرفتن نرم افزارقبول شود، نصب و زمان اجراي آن بهتر از داشتن و استفاده ي نرم افزارجديد آنها از توليدات نرم افزار ضد ويروس است.
راجع به ويروس كامپيوتر و حمله هاي داده هاي شخصي به اين نكته توجه كنيد كه استفاده و گسترش عرض قابل اجرا و كد همراه، براي مثال بوسيله ي برنامه هاي كوچك كاربردي Java و برنامه هاي كاربردي كنترل افزايش داده مسائل امنيتيت
-3] [1 مهيج و جالب توجه است.[2] اگر براي مثال يك كاربر يك برنامه كاربردي كنترل يا برنامه ي كاربردي كوچك را به يك گره ( يا ترمينال) كه پيكربندي شده است انتقال دهد محافظت آن بوسيله ي پيش فرض برنامه كاربردي كنترل يا برنامه ي كاربردي كوچك اتوماتيك بدون اينكه از كاربر براي اجازه ي بيشتر سؤال كند اجرا ميشود.
همينطور برنامه هاي كوچك كاربردي يا برنامه هاي كاربردي كنترل ممكن است با هم براي امنيت سيستم مصالحه ي پنهاني و غير قابل ديد داشته باشند.[3] اين وضعيت واقعا خطرناك است، چون كاربر، يك برنامه كه بطور كامل اجرا شود را بدون فهميدن درست اينكه برنامه كامل است يادرحقيقت توابع اجرايي دارد را وارد مي كند. تصور اين است كه اين محل مربوط به بعضي چيزها مثل كانال كنترل داده از فراخواني پردازه ي دور دست است.
بيشترتوضيح در فصل 9 و 11 از[3]است، تنها تكنولوژي كمي كه بتوان در شرح مسائل امنيتي نقل شده به ظرفيت و گنجايش قابل اجرا و كد همراه استفاده كرد، وجود دارد.براي مثال Java در طراحي سيستم امنيت از مفهوم جعبه ي شني استفاده مي كند كه مي تواند به سنگيني و يا به سختي اجازه دستيابي به محيط، در زمان اجرا و اجازه دستيابي به منابع مشترك از يك برنامه كاربردي كوچك باشد. به همين نحو اعتبار كلمه ي رمز يا كد مخصوص در حال استفاده از يك برنامه ي كاربردي كنترل، بررسي مي شود. با جدايي آن از يك مفهوم مشابه جعبه ي شني Java ، برنامه كاربردي قصد جداكردن بيشتر روش بررسي خطابراي اعداد زوج را از مسائل امنيتي مطرح كند. براي مثال : كلوپ كامپيوتري Chaos آلماني نشان داد به خطر افتادن استفاده برنامه كاربردي هنگامي كه آنها مي نوشتند و به Web مي افزودند در برنامه كاربردي كنترلي مانند يك اسب تروايي واقعي بود. اين زمينه برنامه كاربردي كنترل آماده دريافت يك سكه و انتقال آن طبق دستوربراي برنامه ي كوئين شركت Microsoft و قرار دادن آن در انتهاي صف پرداخت متناظر.
بنابراين كاربردرمرحله ي بعد دستور انتقال پولش را به كوئين ميدهد.وانمود شده طبق دستور انتقال پول بوسيله ي اسب تروايي توليد شده و بايد فقط منتقل مي شود. اگر مجموعه ي ايجاد شده از پول، خيلي بزرگ نباشد اتفاقي است كه كاربر شبكه متوجه نمي شود.
بعلاوه اين ارزش اشاره كردن دارد كه براي سيستمهاي امنيتي محافظت محكم عرضه شود، اما كانالها مي توانند هميشه در گير انداختن و گذشتن آنها استفاده شوند. در حقيقت كار انداختن كانال به روش قرار دادن واحد داده در محفظه از يك قرارداد يا پروتكل و استفاده از امكانات پروتكل دوم در به گردش انداختن قسمتي از شبكه است.در نقطه مقصد كپسول (كپسول داده ها) باز مي شود و واحد داده ي اصلي وارد شبكه ي محلي مي شود.
استفاده ي زيادي براي كانال وجود دارد و در بيشتر حالتها يك پروتكل ممكن است در داخل خودش كپسول شود. براي مثال: كانال IP در باز كردن و ارسال داده ها به گره هاي دوردست و در هر دو حالت شبكه چرخشي سريع ( كه شبكه هاي كوچكتر را به هم وصل مي كند) و IPV6 (M Bone ) و (6 Bone ) استفاده مي شود.
• درباره ي ( M Bone) و بسته هاي چند كاره IP : با بسته هاي IP بدون طرح تونل شدند. با صراحت بيشتر، بسته هاي IP چندكاره با آدرس مقصد بسته هاي IP بدون طرح وآدرس مقصد كپسول شده هستند و تونل در ميان اينترنت ساخته شده است. تنها در مقصدهاي قابل دسترسي عبور بسته ها به صورت كپسول شده نيست و در نهايت آنها درون شبكه هاي محلي هستند.
• همانطور كه اشاره شد IPV6 در انتقال از كانال IP براي ارسال بسته هاي IPV6 در IPV4 مستقر موجود در اينترنت استفاده مي شود. در اين حالت بسته هاي IPV6 كانال استفاده بسته هاي IPV4 هستند. صراحتا بسته هاي IPV6 در بسته هاي IPV4 كپسول شده هستند و در ميان كانال موجود اينترنت وجود دارند.تنها مقصد هاي قابل دسترسي، بسته هاي IPV6 را باز مي كنند (از كپسول خارج مي كنند) ،بسته هاي IPV6 عبور و در نهايت درون شبكه هاي محلي قرار مي گيرند، بعد هنگاميكه IPV6 وارد مي شود، بيشترين عرض گسترش مي يابد، اين ممكن و خيلي جالب است كه IPV6 مستقر در اينترنت از ميان كانال IPV4 عبور خواهد كرد.
متأسفانه، كانال IP همچنين مي تواند با گيرانداختن و گذشتن سيستمهاي امنيتي بصورت بدي بكار رود. ما فرض مي كنيم كه اجازه يك نوع عبور و مرورداده شود اين عبور و مرور دو طرفه است. در اين حالت يك شخص داخلي و يا يك شخص خارجي كه سيستم امنيتي را دوست ندارد و گذرگاه يا مسير جنبي عبور مي خواهد، مي تواند كانالي بين يك سيستم داخلي و يك سيستم خارجي بسازد، آنها در نقطه ي شروع بررسي شده اند.بسته IP دلخواه در بسته ي IP درست يا بعضي پيغامهاي لايه بالاتر كه اجازه ي عبور از ميان سيستم امنيتي داده شده كپسول مي شوند. همچنين بسته ي IP درست يا بعضي پيامهاي لايه بالاتربه سيستم مقصد انتقال داده مي شوند. درجايي كه آنها هستند كپسول باز مي شود، بسته ي IP اصلي بازيابي مي شود.در نتيجه دو هم مقصد تونل پذيرفتند كه جريان آزادي درميان بسته هاي IP در سيستم امنيتي برقرار باشد. بواسطه ي يك نقطه امنيتي از نمايش يك تونل غيرمجاز يك اتصال ساده از دوردست بعد از اتصالات وارد شده به درون سيستم كه معمولا عبورازميان تونل است مانند : يك جريان مجاز باشد.
تونل غير مجاز درتحليلهاي نهايي مسئله مديريتي بدون تكنيك است. اگر مشتركان داخلي احتياج به اطلاعات را بطور كلي نپذيرند سيستم هاي امنيتي دستگاهها و ديگر قطعات كنترل دسترسي هميشه بيهوده خواهند بود.ثابت شدن يك تونل غير مجاز واقعا يك مسئله ورود كارمند داخلي است.
همچون درخواست درست انتخاب از يك كاربر داخلي اول بايد شناخته شود كه تونلهاي وسط سيستم هاي امنيتي فقط طرف خوب آنهاست.هنگامي كه درست پيكربندي واستفاده شود آنها مي توانند در گذرگاه محدود، از يك مديريت سيستم امنيتي ويژه استفاده كنند. براي مثال يك تونل بايد بطور طبيعي در اتصال دو سايت جدا از هم استفاده شود. سيستم هاي امنيتي در هر كجا كه هستند، تا زمانيكه اتصال تونلها برقرارباشد بايد ازخارج محافظت كنند. اگر تونل كاملا رمزگذاري شود خطر چنين پيكربندي اي كمترو مزاياي بيشتري دارد.
بعضي از مردم تصور مي كردند كه يك سيستم امنيتي مشكوك است، آنها درباره ي اينكه در بيشتر موقعيتها شبكه كاملا منبع خطر نيست، بحث و گفتگو كردند، بيشتر نقاط شبكه خبري است. هدف از مهاجم، ميزبان در شبكه است، آيا آنها نبايد به طورمناسب در برابر كل حملات سازماندهي و محافظت شوند؟ پاسخ اين است كه آنها بايد چنين باشند، اما شايد نمي توانند. مشكلاتي ازقبيل: يكي از دو شكل زير وجود خواهد داشت:
1- در مسائل شبكه
2- در مديريت سيستمها
در نتيجه سيستمهاي امنيتي مجبور به ايجاد بوده و به طور عملي به دلايلي چون وجود شركتهاي علاقه مند در سطح بالايي از امنيت كه ممكن بود بدون آنها مطابق Steven Bellovin ، سيستمهاي امنيتي پاسخي به مسائل امنيتي شبكه نباشد، استفاده ميشوند. اما بيشتر شبكه جوابگوي يك گروه مسئله امنيتي است.[4]. صراحتا آنها پاسخگوي وضعيت پريشان كننده اي از مهندسي نرم افزار هستند. تماما پذيرفته است كه صنعت توليد نرم افزاري كه ايمن و صحيح و آسان اداره شود ريسك بزرگي است.
سرويسهاي كنترل دسترسي سيستمهاي امنيتي اصلي براي Intranet كامل شده اما سيستمهاي امنيتي قصد حل كردن همه ي مسائل امنيتي را ندارد.توجه به مقايسه ي تاريخي مي تواند ما را در بهتر فهميدن نقش تكنولوژي سيستم امنيتي براي اينترنت رايج و در آينده ياري كند.
• گذشتگان ما در غارهاي سنگي زندگي مي كردند، هر جايي آباد مي شد بوسيله يك خانواده اي بود كه اعضاي آن هر يك خوب مي فهميدند.آنها بايد با استفاده از اين دانش همديگر را مي شناختند و مورد اعتماد قرارمي داند. يك شخصي كه مي خواست وارد غار بشود بايد يك عضوي از خانواده را كه مورد اعتماد ديگران بود معرفي مي كرد.انسان هاي ماقبل تاريخ نشان دادند كه اين امنيت همچنين نمونه اي از كار در مقياس بزرگ است.
همچنين خانواده هادر مقياس بزرگي رشد كرده بودندو شروع به اثر گذاري با همديگر بودند( روابط متقابل )، اين براي همه ي اعضاي خانواده كه ديگر اعضاي جامعه ي خود را بشناسند يا همه اشخاص قابل اعتماد كه به آنها معرفي شده بودند را به خاطر بياورند ممكن نبود.
• در اين دوره اجداد ما در قلعه ها و دهكده هايي كه بوسيله ديوار دور شهر احاطه مي شد، زندگي مي كردند، ساكنان با يكديگر آشنا بودند، اما اين طرز آشنايي قابل اعتماد نبود. در عوض شناسايي، تصديق، اجازه و كنترل دسترسي بطور مركزي در دروازه ي ورودي بود. هر كس كه مي خواست وارد قلعه يا دهكده شود بايد از دروازه عبور مي كرد و كاملا در آنجا بررسي مي شد.آنهايي كه دروازه را اداره مي كردند كاملا مورد اعتماد ساكنان بودند، اما آنها نشان دادند كه اين مدل امنيت برار همه كس نيست. براي مثال ديوارهاي شهر در برابر حمله ي دشمنان داخلي محافظت نمي كردند، ديوارهاي شهر و دروازه هاي ورودي مقياس خوبي نبود. از قرون وسطي گواهي بر احتياج به مقياس پذيري وجود داشت.
فايده ي اين مقايسه ها فقط وارد شدن به ميان دوره ي اينترنت است. مدل امنيتي ساده از گذشته هنوز براي يك گروه و شبكه ي محلي(LAN) كار ميكند،اما آن براي شبكه گسترده WAN)) در حالت كلي و اينترنت ، در حالت ويژه كار نمي كند.در مرحله ي اوليه سيستمهاي امنيتي به طور مكرر و دائمي در ورود به داخل شبكه وجود داشتند زيرا آنها ( سيستمهاي امنيتي ) توانايي انتخاب بسته هاي كوچك IP را داشتند، سيستمهاي امنيتي اتصال از اينترنت به سرتاسر را جهان محدود كردند. سيستمهاي امنيتي اينترنت بدين گونه قابل مقايسه با ديوارشهرو دروازه هاي ورودي در آن دوره بودند. آزمايش يا مسيرهاي وروردي مرتبط در حقيقت براي تخصيص دادن بيشتر وروديهاي مرتبط است. ما هم اكنون ديواري از شهر را نمي بينيم، در عوض تبعه ي كشورها با پاسپورت يا گذرنامه خارج مي شوند. اين گذرنامه در تمام دنيا براي شناسايي و تصديق استفاده مي شود. در اينترنت ممكن است احتياج به معاني مشابهي از امنيت وجود داشته باشد. TTPها و CAهاي خروجي به صورت محلي يا سراسري بايد گواهي يا عنواني براي قسمت عمده اي از اينترنت بپذيرند و آن برچسب ها يا گواهي ها بايد بعد در توليد سيستم هاي امنيتي همچون شناسايـي داده هاي قابل اعتماد و بي عيب، كنترل دسترسي و سرويسهاي غير قابل انكار استفاده شوند. در باقي مانده ي اين كتاب قصد داريم به آنچه كه به زحمت درست شده نزديك شويم ( آگاهي از اينكه چطور تكنيكهاي پنهاني در توليد سرويسهاي امنيتي براي يك شبكه داخلي يا شبكه خارجي مانند: Intranet & Internet استفـاده مي شوند.)
[1] http://www.checkpoint.com/opsec/
[2] در بيشتر نوشته ها Java تنها به يك سيستم ارسال يا پخش نرم افزار دشمن بصورت اتوماتيك نسبت داده مي شود.
[3] دسترسي صفحه ي خانگي، WWW از DigiCrime را شامل مي شود.
در URL http://www.digicrime.com آگاهي مي يابيم چطور حجم قابل استفاده اي اختصاص دهيم.در واقع معيوب كردن سيستم شما.
Chapter 13: Network Access Layer Security Protocols
فصل 13:
پروتكل امنيت لايه ي دسترسي
در اين فصل قواعد ما در بعضي پروتكلهاي امنيتي كه پيشنهاد، تعيين ،اجرا و توسعه داده شده بود براي لايه دسترسي شبكه از مدل اينترنت است. مخصوصا ما اين موضوع را دربخش 13.1 معرفي كرديم و با زحمت در سه شماره قابل تصور مشابه پروتكل امنيتي لايه دسترسي شبكه در بخشهاي 13.2 تا 13.4 رسم شد و تعدادي از نتايج در بخش 13.5 قرار گرفت.
13.1 مقدمه
چنانچه در فصل2 ذكر شد، بكار بردن لايه دسترسي شبكه مربوط به شبكه بندي محلي و شماره ي اتصال در فرم اينترنت و مجموعه ي پروتكل ارتباط TCP/IP متناظر ومشابه است. پروتكلهايي كه باعث فعاليت كردن اين لايه مي شود شامل Ethernet (IEEE 802.3) ، مسير نشان دار (IEEE 802.4) وحلقه ي نشان دار (IEEE 802.5) ،انتقال يا ارسال داده ي آنالوگ به صورت ديجيتال و شكلهايي براي شبكه بندي خط سريال dial-up مانند خط سريال IP ( SLIP) شكل [1] و شكل نظير به نظير ( PPP) [2]است، SLIP و PPP هر دوتعيين كننده ساختمان ارسال براي انتقال چند فرمي داده در سرتاسر دولايه ي نظير به نظيرمتصل، هستند (مانند خطوط سريال). براي همه مقاصد عملي، Ethernet زيادتراستفاده مي شود وتكنولوژي آن براي شبكه بندي محلي توسعه يافته است. و PPP شكل توسعه يافته -تري براي شبكه بندي dial-up است.
در قبل از سال 1980 IEEE شروع به آدرس دهي نتايج مربوط به LAN وشبكه امنيتي منطقه كلان شهري يا MAN بود. در حالت ويژه اي گروه كاري IEEE 802.10 در ماه May سال 1988 به آدرس دهي شبكه LANو شبكه امنيتي MAN شكل گرفت. در اين ضمن گروه كاري IEEE 802.10 از چندين استاندارد براي انتقال اطلاعات امنيتي LAN/MAN صحبت كرده بود( SILS) كه مطابق با IEEE 802 موجود و خصوصيات OSI شد. متأسفانه SILS از نظر تجاري موفق نبود و مشكل، توليدات و اجراي خصوصيات SILS بود.
در نتيجه ما دراين كتاب كار كردن با IEEE 802.10 را توصيه نمي كنيم. درعوض، ما كاراستادانه ي تازه اي انجام داديم كه در امنيت شماره ي اتصال، PPP را با تعدادي توسعه ي سخت افزاري و نرم افزاري امنيتي استفاده مي كند.
پيش از هر كاري ما به مسئله يك اروپايي كه مشاوره مي گيرد و به مناظردر حال سفردر ايالات متحده توجه دارد مي پردازيم. به خواست اوكه درباره ي اتصال لپ تاپ وي به شبكه Intranet در اروپا ميباشد رسيدگي مي كنيم ( مانند يك پيغام ايميل يا دانلود كردن يك تصوير PowerPoint ).اين وضعيت در شكل 13.1 مشخص است.
دوپاسخ براي اين مسئله وجود دارد.
.1 يك پاسخ كاملا بديهي براي اين مسئله استفاده از تغييرات كامل شبكه تلفن (PSTN ) يا تغييرات كامل شبكه ديجيتال است (ISDN ) در اتصال به يك سرور دوردست ( RAS ) تعيين شده در شبكه ي Intranet كامل شده ( مانند يك مودم متمركز) ، تنظيمات يك اتصال PPP و استفاده ي اين اتصال اينست كه وقايع درون سرور مقصد در Intranet يافته شده، ثبت مي شود. مزيت بزرگ اين پاسخ قابل استفاده و سادگي آن است،در حالي كه ضرر بزرگ آن مربوط به امنيت و هزينه است.
• مسئله ي مربوط به امنيت اين است كه عبور و مرورو ردوبدل داده ها در بين كامپيوتر و لپ تاپ و Intranet مركز به صورت بي پايان و بدون محافظت است.
• مسئله ي مربوط به هزينه اين است كه كاربر مسئول يك فراخواني طولاني است (يا شركت مسئول پرداخت هزينه در حالتي از يك مودم متمركز با شارژآزاد يا امكانات dial-back است).
2. يك پاسخ كاملا پيچيده براي مسئله استفاده از كانال VPN ( شبكه خصوصي مجازي) است.همچنين ما بعدا تعداد زيادي تكنولوژي كه به استفاده و ساخت دوره VPN برمي گردد، مطرح كرديم. تعداد زيادي از اين تكنولوژيها در رمزگشايي عبورومرور داده به صورت كپسول شده استفاده مي شود. محافظت پنهاني كانالها در ارتباط بين كانالهاي مشابه، تأسيس و نگهداري شد.بطور اساسي دو حالت براي ايجاد يك كانال VPN وجود دارد.
• يك امكان ديگري در كپسول شدن يك شكل معين لايه شبكه مانند: IP ياIPX يا سيستم ،Apple Talk درون PPP به محافظت پنهاني در قالب PPP و كپسول كردن داده درون پروتكل تونل وجود دارد كه بطور نمونه IP است (اما بايد تنها ATM يا فرم رله باشد).
اين برخورد به طور عادي به " لايه دو تونل" فرستاده شده چون گذرنده از تونل طرحي واقعي از پروتكل دو لايه است.( يعني: PPP )
• امكان ديگر در كپسول شدن يك شكل معين لايه شبكه مانند: IP ياIPX يا سيستم ،Apple Talk مستقيما درون يك پروتكل تونل همچون سه ورودي VTP و كپسول شدن داده درون يك پروتكل تونل ( يعني IP )وجود دارد، اين برخورد بطور عادي به " لايه سه تونل " فرستاده شده، چون گذرنده از تونل يك طرح واقعي از يك پروتكل سه لايه (مانند VTP ) است.
بخش 13.1
شكل مثال، نمايي از يك گفتگواست كه شخص درسفربه ايالات مي خواهد لپ تاپش به شبكه كامل Intranet در اروپا متصل شود.
بخش 13.2
مثالي از قراردادن درون نماي سه بعدي از طرح كپسول شدن لايه 2و3 تونل (براي IPX كپسول شده درون IP ) مي باشد. مزيت بزرگي از كانالهاي VPN مربوط به صورتي است كه عبورومرور داده كپسول شده در بسته هاي IP باشد كه مي تواند درسراسر اينترنت پخش شود و اين تكنيك پنهاني مي تواند در محافظت بسته هاي IP استفاده شود.
شكل13.2 طرح كپسول شدن لايه ي 2و3 تونل است.
اولين پاسخ آسان و درست است و توضيح بيشتري لازم ندارد. در ادامه ي اين قسمت ما به دقت پاسخ دوم را شرح داديم و بويژه بطور خلاصه مرور كرديم و راجع به ارسال لايه 2 از پروتكل تونل كه در گذشته پيشنهاد و توسعه داده شده بود گفتگو كرديم ( پروتكل لايه 3 در فصل 14كامل توضيح داده شده).
امروزه توافق بسيار محكمي است كه پروتكل لايه 2 تونل ( L2TP ) انتخابي مقدم براي درخواستهايي است كه مي خواهند از لايه 2 تونل استفاده كنند. به اين دليل پروتكل لايه 2 تونل در شكل 13.2 كه L2TP است استفاده مي شود.
شكل 13.3: مثال ارسال تونل لايه 2 پاسخي به گفتگو درباره مسئله نامبرده ي قبلي است.دراين پاسخ اتصال كانالي است ازنقطه ي توليد سرويس اينترنت موجود (POP) به RAS يا سرور كنترل شبكه ( NAS ) كه بطور نمونه در سيستم امنيتي از Intranet كامل، تعيين محل شده است.
شكل 13.3: تصوير مثالي از تونل ارسال لايه 2 براي گفتگو راجع به مشكل است.
به دنبال آن، لغات مخصوص بوسيله ي خصوصيات L2TP معرفي شده. در طي اين مدت لغات تركيبي در شكل 13.3 و ادامه ي اين فصل استفاده مي شود.( در مقابل POP و RAS[2]).
• يك سيستم دور دست يا گره dial-up ، يك سيستم كامپيوتر يا مسيرياب است كه هركدام ( فرستنده ) يا دريافت كننده از يك كانال دو لايه هستند. در شكل 13.3 دايره ي سفيد در سمت چپ تصوير سيستم دوردست يا گره dial-up است.
• يك متمركز كننده ي دسترسي L2TP يا ( LAC ) يك گره است. در يك لبه از تونل انرژي يافته ي دو لايه و يك مشابهي از پروتكل تونل دو لايه سرور قرار دارد ( L2TP سرور شبكه در آينده صحبت خواهد شد). همينطور LAC بين سيستم دوردست يا گره dial-up و سرور و بسته هاي جلويي ويا هر يك از اين دو قرار گرفته است. اتصال از LACبه سيستم دوردست، يا محلي است يا يك ارتباط PPP است.
در شكل 13.3 دومين حالت، تصوير شده است. يعني سيستم دوردست در اتصال به LAC از PPP استفاده كرده. در مقابل بسته هاي IP بين LAC و سرور خواستارتونل با يك پروتكل جلويي دو لايه قرارگرفته اند.
• در نهايت يك L2TP سرور شبكه ( LNS ) يك گرهي است كه در يك طرف از تونل لايه 2 انرژي يافته و مشابه LACقراردارد. در مقابل و در طرف ديگر LNS يك نقطه نهايي و پاياني منطقي از يك دوره ي PPP است كه از سيستم دوردست بوسيله ي LAC شروع به تونل زدن كرده.
توجه به LAC و LNS احتياج به يك فهم عمومي از پروتكل كپسول شدن دارد، آنقدركه فرم دو لايه (PPP ) مي تواند با موفقيت در سرتاسر اينترنت انتقال و دريافت شود. فقط به اين نكته توجه شود كه يك NAS يك وسيله توليد دسترسي كاربر به شبكه محلي از يك شبكه دوردست همچون PSTN يا ISDN است.
همينطور يك NAS ممكن است يك LAC يايك LNS يا هردو را به كارگيرد به دنبال اين قسمت ما بطور خلاصه در سه پروتكل تونل Forward دو لايه گفتگو كرديم اينكه در گذشته رشد يافته، پيشنهاد شده، اجرا و گسترش داده شده بود.
يادآوري: پروتكلها در اين دو لايه بطور كلي بواسطه ي پروتكلهاي لايه دسترسي يا پروتكلهاي لايه دسترسي شبكه بكارانداخته شده بود.
چون مدت زمان RAS خيلي به سختي استفاده شده بود در اجراي PPTP از مايكروسافت، آن را هنگاميكه از MS-PPTP در آخر اين فصل صحبت كنيم، استفاده خواهيم كرد.
13.2: پروتكل لايه دو جلويي
در تصوير. ابتدا پروتكل جلويي لايه 2 تونل (L2F) در اصل بوسيله ي سيستم سيسكو توسعه داده شده و اجرا شده بود. آن دو منطقه ي استاندارد آدرس دهي شد:
• سيستم ارسال از فرم لايه دو مانند فرم PPP درون پروتكل L2F است. هر فرم L2F شامل يك L2F سرصفحه و يا بازده آن است. سپس كپسول شده و درون يك بسته ي IP يا يك بسته ي حاوي آدرس مقصد ومسير UDP فرستاده مي شود. متقابلا در بيشتر پروتكل تونل دو لايه جلويي پيشنهادي جديد، پروتكل L2F در درون كلمه رمز مؤثر واقع نشد، از رمزگشايي در حفاظت قابل اعتماد از فرم دو لايه كپسول شده استفاده مي شود.
• مديريت اتصال ، براي تونل دولايه ( مانند: اينكه چطوردر تونل راه انداخته شده و به پايان رسيده باشد) است.
هر دو منطقه درRFC 2341 [5] تعيين شده است. مطابق با اين خصوصيات پروتكل دولايه از پورت يا ورودي UDP 1701 معروف استفاده مي كند.( براي هردو منبع و پورت مقصد).
چون پروتكل L2F تنها ارزش تاريخي دارد[5] ، ما درون جزئيات تكنيكي از خصوصيات پروتكل L2F را در اين كتاب جستجو نكرده ايم.
اگر شما علاقه مند به تاريخچه ي آن هستيد مي توانيد به يادداشتهاي مرجع RFC مراجعه كنيد( يا اگر در سازماندهي و اجراي پروتكل L2F عهده دار مسئوليتي هستيد).
توجه كنيد كه دسته اي از يادداشتهاي مرجع RFC معروف و تاريخي است.
13.3: شكل ارتباط نظيربه نظير
مشابه به پروتكل L2F شكل ارتباط نظير به نظير ( PPTP) در اصل توسعه يافته بود و مخصوص حل مشكلاتي از ايجاد و نگهداري تونلهاي VPN در بالاي TCP/IP مستقر شده ي عمومي شبكه هاي استفاده كننده PPP[6،7] بود.[4]
PPTP نتيجه ي كوششهاي ريز ريز مايكروسافت است و يك ست از فروش توليدات را شامل مي شود مانند: افزايش ارتباطات، سه وردي اوليه دسترسي، واسط پردازش داده ECI و علم روبوتيك U.S. شركتها در ابتدا PPTP مجتمع تأسيس كردند، خصوصيات PPTP محصول آنها موجود و مشخص بود و به پروتكل الحاقي نظير به نظير IETF ، گروه كاري قابل توجهي همچون اينترنت استاندارد در 1996 پيشنهاد كردند.[6] ، PPTP در يك سري از پيش نويس اينترنتي كه همه اش از اعتبار ساقط بود نوشته شده بود.
همچون مثالي در شكل 13.1و13.3 يك نمونه ي درست شده از PPTP بايد با يك سيستم دور دست يا گره dial-up شروع شود، مانند يك كامپيوتر لپ تاپ كه بايد به يك LNS تعيين شده در يك Intranet متحد كه از LAC استفاده مي كند متصل شود. همينطور PPTP مي تواند از فرم PPP كپسول شده در بسته هاي IP استفاده كند. براي انتقال موارد مذكور در اينترنت يا هر شبكه TCP/IP قابل دسترسي عمومي ديگر بويژه سيستم دوردست مي توان از دو راه به LNS متصل شد:
• با استفاده از PPTP پرسرعت ( اگر سيستم دوردست PPTP را پشتيباني كند).
• استفاده از يك سرويس اينترنت توليد كننده ي LAC كه اتصالات PPP ورودي را پشتيباني مي كند( اگر PPTP پرسرعت نباشد سيستم دوردست پشتيباني نمي كند).
در اولين حالت: وضعيت بطور قابل مقايسه اي ساده است. سيستم دوردست اول يك PPP متصل به سرويس اينترنت توليد كننده LAC توليد مي كند و سپس از PPTP در فرستادن فرم PPP كپسول شده به LNS استفاده مي كند. بسته هاي IP كه فرم PPP را در كپسول يا محافظ قرار مي دهند به سادگي به وسيله ي LAC به جلو حركت مي كنند.