شبکه
جهانی اینترنت بخش حیاتی و غیرقابل تفکیک جامعه جهانی است. در واقع شبکه
اینترنت ستون فقرات ارتباطات کامپیوتری جهانی در دهه 1990 است زیرا اساسا
به تدریج بیشتر شبکه ها را به هم متصل کرده است.در حال حاضر رفته رفته
تفکرات منطقه ای و محلی حاکم بر فعالیت های تجاری جای خود را به تفکرات
جهانی و سراسری داده اند. امروزه با سازمانهای زیادی برخورد می نمائیم که
در سطح یک کشور دارای دفاتر فعال و حتی در سطح دنیا دارای دفاتر متفاوتی می
باشند . تمام سازمانهای فوق قبل از هر چیز بدنبال یک اصل بسیار مهم می
باشند : یک روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و
نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا
بدین منظوربایستی یک
شبکهی گستردهی خصوصی بین شعب این شرکت ایجاد گردد. شبکههای اینترنت
که فقط محدود به یک سازمان یا یک شرکت میباشند، به دلیل محدودیتهای
گسترشی نمیتوانند چندین سازمان یا شرکت را تحت پوشش قرار دهند. شبکههای
گسترده نیز که با خطوط استیجاری راهاندازی میشوند، در واقع شبکههای
گستردهی امنی هستند که بین مراکز سازمانها ایجاد میشوند. پیادهسازی
این شبکهها نیاز به هزینه زیادی دارد راه حل غلبه بر این مشکلات،
راهاندازی یک VPN است.
VPN در یک تعریف کوتاه شبکهای از مدارهای مجازی
برای انتقال ترافیک شخصی است. در واقع پیادهسازی شبکهی خصوصی یک شرکت
یا سازمان را روی یک شبکه عمومی، VPN گویند.
شبکههای رایانهای به شکل
گستردهای در سازمانها و شرکتهای اداری و تجاری مورد استفاده قرار
میگیرند. اگر یک شرکت از نظر جغرافیایی در یک نقطه متمرکز باشد، ارتباطات
بین بخشهای مختلف آنرا میتوان با یک شبکهی محلی برقرار کرد. اما برای
یک شرکت بزرگ که دارای شعب مختلف در نقاط مختلف یک کشور و یا در نقاط
مختلف دنیا است و این شعب نیاز دارند که با هم ارتباطاتِ اطلاعاتیِ امن
داشته باشند، بایستی یک شبکهی گستردهی خصوصی بین شعب این شرکت ایجاد
گردد.
شبکههای اینترانت که فقط محدود به یک سازمان یا یک شرکت
میباشند، به دلیل محدودیتهای گسترشی نمیتوانند چندین سازمان یا شرکت را
تحت پوشش قرار دهند. شبکههای گسترده نیز که با خطوط استیجاری راهاندازی
میشوند، در واقع شبکههای گستردهی امنی هستند که بین مراکز سازمانها
ایجاد میشوند. پیادهسازی این شبکهها علیرغم درصد پایین بهرهوری،
نیاز به هزینه زیادی دارد. زیرا، این شبکهها به دلیل عدم اشتراک منابع
با دیگران، هزینه مواقع عدم استفاده از منابع را نیز بایستی پرداخت کنند.
راهحل غلبه بر این مشکلات، راهاندازی یک VPN است.
فرستادن حجم زیادی
از داده از یک کامپیوتر به کامپیوتر دیگر مثلا” در به هنگام رسانی بانک
اطلاعاتی یک مشکل شناخته شده و قدیمی است . انجام این کار از طریق Email به
دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است .استفاده از FTP هم به
سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد
که اصلا” قابل اطمینان نیست .
یکی از راه حل های اتصال مستقیم به
کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم ، پیکر بندی
کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود . از این گذشته ، هزینه
ارتباط تلفنی راه دور برای مودم هم قابل تامل است . اما اگر دو کامپیوتر در
دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک
گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد . در این حالت ،
کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر
خود دسترسی داشته باشند . به این ترتیب بسیاری از راه های خرابکاری برای
نفوذ کنندگان بسته می شود .
شبکه های شخصی مجازی یا( VPN ( Virtual
private Networkها اینگونه مشکلات را حل میکند . VPN به کمک رمز گذاری روی
داده ها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز
عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود . مدیران شبکه
ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی
شبکه محلی هم پیاده کنند . اگر چه نفوذ کنندگان می توانند به کمک برنامه
های Packet snifter جریان داده ها را دنبال کنند اما بدون داشتن کلید رمز
نمی توانند آنها را بخوانند.
یک مثال :
فرض نمائید درجزیره ای در
اقیانوسی بزرگ، زندگی می کنید. هزاران جزیره در اطراف جزیره شما وجود دارد.
برخی از جزایر نزدیک و برخی دیگر دارای مسافت طولانی با جزیره شما میباشند
متداولترین روش بمنظور مسافرت به جزیره دیگر، استفاده از یک کشتی مسافربری
است مسافرت با کشتی مسافربری ، بمنزله عدم وجود امنیت است . در این راستا
هر کاری را که شما انجام دهید،توسط سایر مسافرین قابل مشاهده خواهد بود.فرض
کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی(LAN) و اقیانوس مانند
اینترنت باشند.
مسافرت با یک کشتی مسافربری مشابه برقراری ارتباط با یک
سرویس دهنده وب و یا سایر دستگاههای موجود در اینترنت است.شما دارای
هیچگونه کنترلی بر روی کابل ها و روترهای موجود در اینترنت نمیباشید.(مشابه
عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در
کشتی ) .در صورتیکه تمایل به ارتباط بین دو شبکه اختصاصی از طریق منابع
عمومی وجود داشته باشد، اولین مسئله ای که با چالش های جدی برخورد خواهد
کرد، امنیت خواهد بود.
فرض کنید، جزیره شما قصد ایجاد یک پل ارتباطی با
جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یک روش ایمن ، ساده و مستقیم
برای مسافرت ساکنین جزیره شما به جزیره دیگر را فراهم می آورد. اما ایجاد و
نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد
بود.(حتی اگر جزایر در مجاورت یکدیگر باشند).با توجه به ضرورت و حساسیت
مربوط به داشتن یک مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین دو
جزیره گرفته شده است. در صورتیکه جزیره شما قصد ایجاد یک پل ارتباطی با
جزیره دیگر را داشته باشد که در مسافت بسیار طولانی نسبت به جزیره شما واقع
است ، هزینه های مربوط بمراتب بیشتر خواهد بود.
وضعیت فوق ، نظیر
استفاده از یک اختصاصی Leased است. ماهیت پل های ارتباطی(خطوط اختصاصی) از
اقیانوس (اینترنت) متفاوت بوده و کماکان قادر به ارتباط جزایر شبکه های(
LAN) خواهند بود. سازمانها و موسسات متعددی از رویکرد فوق ( استفاده از
خطوط اختصاصی) استفاده می نمایند. مهمترین عامل در این زمینه وجود امنیت و
اطمینان برای برقراری ارتباط هر یک سازمانهای مورد نظر با یکدیگر است . در
صورتیکه مسافت ادارات و یا شعب یک سازمان از یکدیگر بسیار دور باشد ، هزینه
مربوط به برقرای ارتباط نیز افزایش خواهد یافت
با توجه به موارد گفته
شده ، چه ضرورتی بمنظور استفاده از VPN وجود داشته و VPN تامین کننده ،
کدامیک از اهداف و خواسته های مورد نظر است ؟
یک شبکه اختصاصی مجازی
(vpn) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از
یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند. Vpn اساساً یک تونل
رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت
ایجاد می کند. این تونل Vpn می تواند در یک مسیریاب برپایه Vpn، فایروال یا
یک سرور در ناحیه Dmz پایان پذیرد. برقراری ارتباطات Vpn برای تمام بخش
های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی
می شود.
تبادل داده ها روی اینرنت چندان ایمن نیست . تقریبا” هر کسی که
در جای مناسب قرار داشته باشد می تواند جریان داده ها را زیر نظر گرفته و
از آنها سوء استفاده کند . اگرچه Vpn رمزنگاری مؤثری ارائه می کندو کار
نفوذ را برا ی خرابکاران خیلی سخت می کند ، اما کار اجرایی بیشتری را برروی
کارمندان It تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری
باید بصورت مداوم مدیریت شوند.
قراردادهای ردهی بستهگرایvpn
VPNSimple Key Management for Internet Protocol SKIP:
یک
قرارداد مدیریت کلید است ولی با توجه به اینکه این قرارداد امکانات
تونلکشی را نیز ارائه میدهد، میتوان آنرا به عنوان یک قرارداد
پیادهسازی VPN در نظر گرفت. این قرارداد در سطح لایهی سوم OSI کار
میکند.
Layer 2 Tunneling Protocol L2TP:
یک مکانیزم تونلکشی است
که از ترکیب مکانیزمهای PPTP وL2F به منظور بهرهوری از محاسن هر دو
قرارداد به وجود آمده است و از قرارداد PPP برای بستهبندی اطلاعات
استفاده میکند.
از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می گردد :
● سرویس گیرنده و روتر
● NAS و روتر
● روتر و روتر
Layer Two Filtering L2F:
این
قرارداد مانند PPTP یک قرارداد تونلکشی در لایهی دوم است که توسط شرکت
Cisco ارائه شده و بوسیلهی بعضی از شرکتها نظیر Telecom حمایت میشود.
Point to Point Tunneling Protocol PPTP:
یک
مکانیزم تونلکشی نقطه به نقطه است که برای دسترسی راه دور به کارگزار
سختافزاری Ascend و ویندوز NT طراحی شده است.در این قراداد، امکان
رمزنگاری و هویتشناسی پیشبینی نشده و ازقرارداد PPPبرای بستهبندی
اطلاعات استفاده میشود.قراردادPPP ارتباط تلفنی یک میزبان به شبکهی
محلی را فراهم میآورد و وظیفهی لایهی پیوند داده و لایهی فیزیکی را
هنگام ارتباط تلفنی میزبان به فراهم آورندهی سرویس اینترنت(ISP)، انجام
میدهد قراردادPPTP در کاربردهای کوچک و کاربردهایی که نیاز به امنیت خیلی
بالایی ندارند، استفاده میشود.راهاندازیVPN با استفاده از قرارداد PPTP
در این محیطها کمهزینه و مقرون بصرفه است.
قرارداد PPTP دارای قابلیت پیادهسازیVPN شبکهی محلی-بهشبکهی محلی نیز میباشد
این
پروتکل امکان رمزنگاری 40 بیتی و 128 بیتی را دارا بوده و از مدل های
تعیین اعتبار کاربر که توسط PPP حمایت شده اند ، استفاده می نماید.
Ipsec IP Security protocol:
Ipsec
برخلافPPTP و L2TP روی لایه شبکه یعنی لایه سوم کار می کند . این پروتکل
داده هایی که باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده
و پیغام های وضعیت رمز گذاری کرده و به آن یک IP Header معمولی اضافه کرده
و به آن سوی تونل می فرستد .
کامپیوتری که در آن سو قرار دارد IP
Header را جدا کرده ، داده ها را رمز گشایی کرده و آن را به کامپیوتر مقصد
می فرستد .Ipsec را می توان با دو شیوه Tunneling پیکر بندی کرد . در این
شیوه انتخاب اختیاری تونل ، سرویس گیرنده نخست یک ارتباط معمولی با اینترنت
برقرار می کند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد
استفاده می کند . برای این منظور ، باید روی کامپیوتر سرویس گیرنده پروتکل
تونل نصب شده باشد . معمولا” کاربر اینترنت است که به اینترنت وصل می شود .
اما
کامپیوترهای درون LAN هم می توانند یک ارتباط VPN برقرا کنند . از آنجا که
ارتباط IP از پیش موجود است تنها برقرار کردن ارتباط VPN کافی است . در
شیوه تونل اجباری ، سرویس گیرنده نباید تونل را ایجاد کند بلکه این کار ار
به عهده فراهم ساز (Service provider ) است . سرویس گیرنده تنها باید به
ISP وصل شود . تونل به طور خودکار از فراهم ساز تا ایستگاه مقصد وجود دارد .
البته برای این کار باید همانگی های لازم با ISP انجام بگیرد
قراردادهای کاربردگرای VPN
قراردادهای:SSH
کاربرد
اصلی قرارداد SSH، امن نمودن خدمت ارتباط از راه دور است. این قرارداد در
لایهی کاربرد و بالاتر از قرارداد TCP/IP کار میکند. SSH قابلیت
هویتشناسی کاربران ورمزنگاری اطلاعات را دارد. قرارداد SSH دارای سه
لایهی اصلی انتقال، هویتشناسی کاربر و اتصال میباشد. لایهی انتقال،
وظیفهی فراهم آوردن امنیت و هویتشناسی کارگزار را بهعهده دارد. به علت
قرار گرفتن این لایه بر روی لایهی TCP و همچنین وجود حفرهی امنیتی در
لایههای TCP و IP، امنیت در ارتباط بین دو کامپیوتر از بین خواهد رفت، که
میتوان با قرار دادن دیوارهی آتش بر روی آن، این مشکل را به نوعی حل
نمود. لایهی هویتشناسی کاربر، وظیفهی شناساندن کارفرما به کارگزار را به
عهده دارد. لایهی اتصال وظیفهی تسهیم و ایجاد کانالهای امن لایههای
انتقال و هویتشناسی را بر عهده دارد. از قرارداد SSH میتوان برای
پیادهسازی شبکههای خصوصی که حالت خاصی از VPNها هستند، استفاده نمود.
قرار داد SOCKS :
قرارداد
SOCKS در مدل لایهبندی شبکه OSI درلایهی پنجم بصورت کارفرما و کارگزار
پیادهسازی شده است این قرارداد دارای امکان رمزنگاری اطلاعات نیست ولی
بدلیل داشتن امکان هویتشناسی چند سطحی و امکان مذاکره بین کارفرما
وکارگزار SOCKS(Negotiate Capability)، میتوان از آن برای پیادهسازی
قراردادهای رمزنگاری موجود، از آن استفاده نمود. SOCKS، به صورت
Circuit-Level Proxy پیاده سازی شده است. یعنی، کارفرما و کارگزار SOCKS در
دروازههای دو شبکه محلی، اعمال هویتشناسی و مذاکرههای لازم را انجام
میدهند و سپس ارتباطات میزبانهای دو شبکه محلی با یکدیگر انجام میشود.
چون کارفرمای SOCKS مثل یک Proxy عمل مینماید، میتوان برای امنیت بیشتر،
به میزبانهای شبکهی محلی، آدرسهای نامعتبر اختصاص داد و با ترجمه آدرس
شبکه (NAT) که در کارگزار SOCKS انجام میشود، این آدرسهای نامعتبر را به
آدرس معتبر و بالعکس تبدیل نمود. با این روش میتوان شبکه محلی را از یک
شبکه عمومی مخفی نمود.
قراردادهای موجود در پیادهسازی VPN
o ردهی بسته گرا Packet Oriented
لفافه بندی
روی بستهها اِعمال میشود. اکثر پیادهسازیهای تجاری و غیرتجاری VPN،
بستهگرا میباشند. این قرارداد از قرارداد PPP برای بستهبندی اطلاعات
استفاده مینماید. این نوع قراردادها در مدل استاندارد لایهبندی شبکهی
OSI، در سطح لایههای دوم و سوم قرار دارند. بنابراین، امکان تونلکشی
برای دسترسی راه دور وجود دارد.
o ردهی کاربردگرا Application Oriented
در
قراردادهای کاربردگرا، اعمال رمزنگاری اطلاعات و هویتشناسی کاربران انجام
میشود. این نوع قراردادها در مدل پشتهای شبکهی OSI در لایههای
چهارم به بالا قرار دارند و چون آدرسدهی شبکهها و میزبانها در لایهی
سومِ مدلِ پشتهای شبکهی OSI امکانپذیر است، این نوع قراردادها امکان
تونلکشی بین میزبان و شبکهی محلی یا بین دو شبکهی محلی را فراهم
نمیکنند. با توجه به عدم امکان تونلکشی در قراردادهای این رده، توانایی
ایجاد شبکههای مجازی در قراردادهای این رده وجود ندارد و از این
قراردادها برای ایجاد شبکههای خصوصی استفاده میشود.
البته میتوان
برای مخفیسازی آدرسهای شبکهی محلی، از امکان ترجمهی آدرس شبکه(NAT)
که در اکثر دیوارههای آتش وجود دارد، استفاده نمود. با این روش میتوان
بعضی از قابلیتهای تونلکشی را برای قراردادهای VPN کاربردگرا ایجاد کرد.
تکنولوژی های VPN
با توجه به نوع) VPN "دستیابی از راه دور " و یا " سایت به سایت " ) ، بمنظور ایجاد شبکه از عناصر خاصی استفاده می گردد:
- نرم افزارهای مربوط به کاربران از راه دور
- سخت افزارهای اختصاصی نظیر یک " کانکتور VPN" و یا یک فایروال PIX
- سرویس دهنده اختصاصی VPN بمنظور سرویُس های Dial-up
- سرویس دهنده NAS که توسط مرکز ارائه خدمات اینترنت بمنظور دستیابی به VPN از نوع "دستیابی از را دور" استفاده می شود.
-
کانکتور VPN . سخت افزار فوق توسط شرکت سیسکو طراحی و عرضه شده است.
کانکتور فوق در مدل های متفاوت و قابلیت های گوناگون عرضه شده است .
-
روتر مختص VPN . روتر فوق توسط شرکت سیسکو ارائه شده است . این روتر دارای
قابلیت های متعدد بمنظور استفاده در محیط های گوناگون است . - در طراحی
روتر فوق شبکه های VPN نیز مورد توجه قرار گرفته و امکانات مربوط در آن
بگونه ای بهینه سازی شده اند.
- فایروال PIX . فایروال PIX(Private
Internet exchange) قابلیت هائی نظیرNAT، سرویس دهنده Proxy ، ----- نمودن
بسته ای اطلاعاتی، فایروال وVPN را در یک سخت افزار فراهم نموده است
-
با توجه به اینکه تاکنون یک استاندارد قابل قبول و عمومی بمنظور ایجاد شVPN
ایجاد نشده است ، شرکت های متعدد هر یک اقدام به تولید محصولات اختصاصی
خود نموده اند.
معماریهای VPN
شبکهی محلی-به-شبکهی محلی:
تبادل اطلاعات به صورت امن، بین دو شعبهی مختلف از یک سازمان میتواند از
طریق شبکه عمومی و به صورت مجازی، به فرم شبکهی محلی-به-شبکهی محلی
صورت گیرد. هدف از این نوع معماری، این است که تمامی رایانههای متصل به
شبکههای محلیِ مختلفِ موجود در یک سازمان، که ممکن است از نظر مسافت
بسیار از هم دور باشند، به صورت مجازی، به صورت یک شبکه محلی دیده شوند و
تمامی رایانههای موجود در این شبکهی محلی مجازی بتوانند به تمامی
اطلاعات و کارگزارها دسترسی داشته باشند و از امکانات یکدیگر استفاده
نمایند. در این معماری، هر رایانه تمامی رایانههای موجود در شبکهی
محلی مجازی را به صورت شفاف مشاهده مینماید و قادر است از آنها استفادهی
عملیاتی و اطلاعاتی نماید. تمامی میزبانهای این شبکهی مجازی دارای
آدرسی مشابه میزبانهای یک شبکهی محلی واقعی هستند.
شبکهی
محلی-به-شبکهی محلی مبتنی بر اینترانت : در صورتیکه سازمانی دارای یک و یا
بیش از یک محل ( راه دور) بوده و تمایل به الحاق آنها در یک شبکه اختصاصی
باشد ، می توان یک اینترانت VPN را بمنظور برقرای ارتباط هر یک از شبکه های
محلی با یکدیگر ایجاد نمود.
شبکهی محلی-به-شبکهی محلی مبتنی بر
اکسترانت : در مواردیکه سازمانی در تعامل اطلاعاتی بسیار نزدیک با سازمان
دیگر باشد ، می توان یک اکسترانت VPN را بمنظور ارتباط شبکه های محلی هر یک
از سازمانها ایجاد کرد. در چنین حالتی سازمانهای متعدد قادر به فعالیت در
یک محیط اشتراکی خواهند بود.
● میزبان-به-شبکهی محلی: حالت خاص
معماری شبکهی محلی-به-شبکهی محلی، ساختار میزبان-به-شبکهی محلی است
که در آن، یک کاربر مجاز (مانند مدیر شرکت که از راه دور کارهای اداری و
مدیریتی را کنترل می کند و یا نمایندهی فروش شرکت که با شرکت ارتباط
برقرار کرده و معاملات را انجام میدهد) میخواهد از راه دور با یک شبکه
محلی که پردازشگر اطلاعات خصوصی یک شرکت است و با پایگاه دادهی شرکت در
تماس مستقیم است، ارتباط امن برقرار نماید. در این ارتباط در واقع میزبان
راه دور به عنوان عضوی از شبکهی محلی شرکت محسوب میشود که قادر است از
اطلاعات و کارگزارهای موجود در آن شبکه محلی استفاده نماید. از آنجا که
این یک ارتباط دوطرفه نیست، پس میزبانهای آن شبکه محلی، نیازی به برقراری
ارتباط با میزبان راه دور ندارند. در صورت نیاز به برقراری ارتباط شبکهی
محلی با میزبان راه دور، باید همان حالت معماری شبکهی محلی-به-شبکهی
محلی پیادهسازی شود. در این معماری برقراری ارتباط همواره از سوی میزبان
راه دور انجام میشود.
سازمانهائی که تمایل به برپاسازی یک شبکه
بزرگ " دستیابی از راه دور " می باشند ، می بایست از امکانات یک مرکز ارائه
دهنده خدمات اینترنت جهانی ISP(Internet service provider) استفاده
نمایند. سرویس دهنده ISP ، بمنظور نصب و پیکربندیVPN ، یک NAS(Network
access server) را پیکربندی و نرم افزاری را در اختیار کاربران از راه دور
بمنظور ارتباط با سایت قرار خواهد داد. کاربران در ادامه با برقراری ارتباط
قادر به دستیابی به NAS و استفاده از نرم افزار مربوطه بمنظور دستیابی به
شبکه سازمان خود خواهند بود.
امنیت در Vpn
خصوصی بودن یک Vpn بدین
معناست که بستهها به صورت امن از یک شبکهی عمومی مثل اینترنت عبور
نمایند. برای محقق شدن این امر در محیط واقعی از:
هویتشناسی بستهها، برای اطمینان از ارسال بستهها به وسیله یک فرستندهی مجاز استفاده میشود.
فایروال
. فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان و اینترنت ایجاد می
نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال
سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها
فعال ، ایجاد محدودیت در رابطه به پروتکل های خاص ، ایجاد محدودیت در نوع
بسته های اطلاعاتی و ... نمونه هائی از عملیاتی است که می توان با استفاده
از یک فایروال انجام داد.
تونل کشی
مجازی بودن در VPN به این
معناست که شبکههای محلی و میزبانهای متعلق به عناصر اطلاعاتی یک شرکت
که در نقاط مختلف از نظر جغرافیایی قرار دارند، همدیگر را ببینند و این
فاصلهها را حس نکنند. VPNها برای پیادهسازی این خصوصیت از مفهومی به
نام تونلکشی(tunneling)استفاده میکنند. در تونلکشی، بین تمامی عناصر
مختلف یک VPN، تونل زده میشود. از طریق این تونل، عناصر به صورت شفاف
همدیگر را میبینند
در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر
قرار گرفته و از طریق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی
خارجی ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی )قابل فهم
میباشد. دو نقطه فوق را "اینترفیس های تونل " می گویند. روش فوق مستلزم
استفاده از سه پروتکل است :
● پروتکل حمل کننده : از پروتکل فوق شبکه حامل اطلاعات استفاده می نماید.
● پروتکل کپسوله سازی: از پروتکل هائی نظیر: IPSec,L2F,PPTP,L2TP,GRE استفاده میگردد.
پروتکل مسافر: از پروتکل هائی نظیر IPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود.
با
توجه به مقایسه انجام شده در مثال فرضی ، می توان گفت که با استفاده از
Vpn به هریک از ساکنین جزیره یک زیردریائی داده می شود. زیردریائی فوق
دارای خصایص متفاوت نظیر :
- دارای سرعت بالا است .
- هدایت آن ساده است .
- قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و کشتی ها است .
- قابل اعتماد است .
- پس از تامین اولین زیردریائی ، افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود
-
در مدل فوق ، با وجود ترافیک در اقیانوس ، هر یک از ساکنین دو جزیره قادر
به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی میباشند
مثال
فوق دقیقا" بیانگر تحوه عملکرد Vpn است . هر یک از کاربران از راه دور
شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یک محیط انتقال
عمومی ( نظیر اینترنت ) با شبکه محلی (lan) موجود در سازمان خود خواهند
بود. توسعه یک Vpn افزایش تعداد کاربران از راه دور و یا افزایش مکان های
مورد نظر ) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می
نمایند. قابلیت توسعه فراگیر از مهمترین ویژگی های یک Vpn نسبت به خطوط
اختصاصی است .
معایب ومزایا
با توجه به اینکه در یک شبکه Vpn به
عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبکه و سیاست ها نیاز
خواهد بود. استفاده از Vpn برای یک سازمان دارای مزایای متعددی مانند :
● گسترش محدوه جغرافیائی ارتباطی
● بهبود وضعیت امنیت
● کاهش هزینه های عملیاتی در مقایسه با روش های سنتی نظیر Wan
● کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور
● بهبود بهره وری
● توپولوژی آسان ،... است .
برخی از جوانب منفی شبکه سازی اینترنتی به این شرح است :
● شک نسبت به اطلاعات دریافت شده
● استفاده از منابع غیرموثق
● تفسیر بد از اطلاعات رسیده
● سرقت ایده ها
● نبود مهارتهای حرفه ای در کار با اطلاعات
● فروش اطلاعات یا استفاده نابجای از اطلاعات
● عدم اطمینان از کارایی سرویس و تأخیر در ارتباطات
Vpn
نسبت به شبکههای پیادهسازی شده با خطوط استیجاری، در پیادهسازی و
استفاده، هزینه کمتری صرف میکند. اضافه وکم کردن گرهها یا شبکههای محلی
به Vpn، به خاطر ساختار آن، با هزینه کمتری امکانپذیر است. در صورت نیاز
به تغییر همبندی شبکهی خصوصی، نیازی به راهاندازی مجدد فیزیکی شبکه نیست
و به صورت نرمافزاری، همبندی شبکه قابل تغییر است.
منبع:http://farsibooks.ir