M
Mahmoodi
کاربر مهمان
منبع : از ماهنامه كامپيوتري رايانه شماره 131
شبكه خصوصي مجازي يا VPN (Virtual Private Network) در اذهان تصور يك مطلب پيچيده براي استفاده و پياده كنندگان آن به وجود آورده است . اما اين پيچيدگي ، در مطالب بنيادين و مفهومي آن است نه در پيادهسازي .
اين نكته را بايد بدانيد كه پيادهسازي VPN داراي روش خاصي نبوده و هر سختافزار و نرمافزاري روش پيادهسازي خود را داراست و نميتوان روش استانداردي را براي كليه موارد بيان نمود . اما اصول كار همگي به يك روش است .
مختصري درباره تئوري VPN
مفهوم اصلي VPN چيزي جز برقراري يك كانال ارتباطي خصوصي براي دسترسي كاربران راه دور به منابع شبكه نيست . در اين كانال كه بين دو نقطه برقرار ميشود ، ممكن است كه مسيرهاي مختلفي عبور كند اما كسي قادر به وارد شدن به اين شبكه خصوصي شما نخواهد بود . گرچه ميتوان از VPN در هر جايي استفاده نمود اما استفاده آن در خطوط Dialup و Leased كار غير ضروري است (در ادامه بهدليل آن پي خواهيد برد).
در يك ارتباط VPN شبكه يا شبكهها ميتوانند به هم متصل شوند و از اين طريق كاربران از راه دور به شبكه به راحتي دسترسي پيدا ميكنند. اگر اين روش از ارائه دسترسي كاربران از راه دور را با روش خطوط اختصاصي فيزيكي (Leased) مقايسه كنيم ، ميبينيد كه ارائه يك ارتباط خصوصي از روي اينترنت به مراتب از هر روش ديگري ارزانتر تمام ميشود .
از اصول ديگري كه در يك شبكه VPN در نظر گرفته شده بحث امنيت انتقال اطلاعات در اين كانال مجازي ميباشد . يك ارتباط VPN ميتواند بين يك ايستگاه كاري و يك شبكه محلي و يا بين دو شبكه محلي صورت گيرد. در بين هر دو نقطه يك تونل ارتباطي برقرار ميگردد و اطلاعات انتقال يافته در اين كانال به صورت كد شده حركت ميكنند ، بنابراين حتي در صورت دسترسي مزاحمان و هكرها به اين شبكه خصوصي نميتوانند به اطلاعات رد و بدل شده در آن دسترسي پيدا كنند.
جهت برقراري يك ارتباط VPN ، ميتوان به كمك نرمافزار يا سختافزار و يا تركيب هر دو ، آن را پيادهسازي نمود . به طور مثال اكثر ديوارههاي آتش تجاري و روترها از VPN پشتيباني ميكنند . در زمينه نرمافزاري نيز از زمان ارائه ويندوز NT ويرايش 4 به بعد كليه سيستم عاملها داراي چنين قابليتي هستند .
در اين مقاله پيادهسازي VPN بر مبناي ويندوز 2000 گفته خواهد شد .
پياهسازي VPN
براي پيادهسازي VPN بر روي ويندوز 2000 كافيست كه از منوي Program/AdministrativeTools/ ، گزينه Routing and Remote Access را انتخاب كنيد . از اين پنجره گزينه VPN را انتخاب كنيد . پس از زدن دكمه Next وارد پنجره ديگري ميشويد كه در آن كارتهاي شبكه موجود بر روي سيستم ليست ميشوند .
براي راهاندازي يك سرور VPN ميبايست دو كارت شبكه نصب شده بر روي سيستم داشته باشيد .
از يك كارت شبكه براي ارتباط با اينترنت و از كارت ديگر جهت برقراري ارتباط با شبكه محلي استفاده ميشود. در اينجا بر روي هر كارت بهطور ثابت IP قرار داده شده اما ميتوان اين IPها را به صورت پويا بر روي كارتهاي شبكه قرار داد .
در پنجره بعد نحوه آدرسدهي به سيستم راه دوري كه قصد اتصال به سرور ما را دارد پرسيده ميشود . هر ايستگاه كاري مي تواند يك آدرس IP براي كار در شبكه محلي و يك IP براي اتصال VPN داشته باشد . در منوي بعد نحوه بازرسي كاربران پرسيده ميشود كه اين بازرسي مي تواند از روي كاربران تعريف شده در روي خود ويندوز باشد و يا آنكه از طريق يك سرويس دهنده RADIUS صورت گيرد در صورت داشتن چندين سرور VPN استفاده از RADIUS را به شما پيشنهاد ميكنيم . با اين روش كاربران ، بين تمام سرورهاي VPN به اشتراك گذاشته شده و نيازي به تعريف كاربران در تمامي سرورها نميباشد.
پروتكلهاي استفاده شونده
عملياتي كه در بالا انجام گرفت تنها پيكربنديهاي لازم جهت راهاندازي يك سرور VPN ميباشد .
اما (Remote Routing Access Service) RRAS داراي دو پروتكل جهت برقراري تونل ارتباطي VPN ميباشد. سادهترين پروتكل آن PPTP (Point to Point Tunneling Protocol) است ، اين پروتكل برگرفته از PPP است كه در سرويسهاي Dialup مورد استفاده واقع ميشود ، در واقع PPTP همانند PPP عمل ميكند .
پروتكل PPTP در بسياري از موارد كافي و مناسب است ، به كمك اين پروتكل كاربران ميتوانند به روشهاي PAP (Password Authentication Protocol) و Chap (Challenge Handshake Authentication Protocol) بازرسي شوند. جهت كد كردن اطلاعات ميتوان از روش كد سازي RSA استفاده نمود.
PPTP براي كاربردهاي خانگي و دفاتر و افرادي كه در امر شبكه حرفهاي نيستند مناسب است اما در جايگاه امنيتي داراي پايداري زيادي نيست . پروتكل ديگري به نام L2TP (Layer2 Forwarding) به وسيله شركت CISCO ارائه شده كه به لحاظ امنيتي بسيار قدرتمندتر است.
اين پروتكل با استفاده از پروتكل انتقال اطلاعات UDP (User Datagram Protocol) بهجاي استفاده از TCP به مزاياي زيادي دست يافته است . اين روش باعث بهينه و ملموستر شدن براي ديوارههاي آتش شده است ، اما باز هم اين پروتكل در واقع چيزي جز يك كانال ارتباطي نيست . جهت حل اين مشكل و هر چه بالاتر رفتن ضريب امنيتي در VPN شركت مايكروسافت پروتكل ديگري را به نام IPSec (IP Security) مطرح نموده كه پيكربندي VPN با آن كمي دچار پيچيدگي ميگردد.
اما در صورتي كه پروتكل PPTP را انتخاب كردهايد و با اين پروتكل راحتتر هستيد تنها كاري كه بايد در روي سرور انجام دهيد فعال كردن قابليت دسترسي Dial in ميباشد. اين كار را ميتوانيد با كليك بر روي Remote Access Polices در RRAS انجام دهيد و با تغيير سياست كاري آن ، آن را راهاندازي كنيد (به طور كلي پيشفرض سياست كاري ، رد كليه درخواستها ميباشد).
دسترسي ايستگاه كاري از طريق VPN
حالا كه سرور VPN آماده سرويسدهي شده ، براي استفاده از آن بايد بر روي ايستگاه كاري نيز پيكربنديهايي را انجام دهيم . سيستم عاملي كه ما در اينجا استفاده ميكنيم ويندوز XP ميباشد و روش پيادهسازي VPN را بر روي آن خواهيم گفت اما انجام اين كار بر روي ويندوز 2000 نيز به همين شكل صورت ميگيرد . بر روي ويندوزهاي 98 نيز ميتوان ارتباط VPN را برقرار نمود ، اما روش كار كمي متفاوت است و براي انجام آن بهتر است به آدرس زير مراجعه كنيد :
www.support.microsot.com
بر روي ويندوزهاي XP ، يك نرمافزار جهت اتصال به VPN براي هر دو پروتكل PPTP و L2TP وجود دارد. در صورت انتخاب هر كدام ، نحوه پيكربندي با پروتكل ديگر تفاوتي ندارد . راهاندازي VPN كار بسيار سادهاي است ، كافيست كه بر روي Network Connection كليك نموده و از آن اتصال به شبكه خصوصي از طريق اينترنت (Private Network Through Internet) را انتخاب كنيد .
در انجام مرحله بالا از شما يك اسم پرسيده ميشود . در همين مرحله خواسته ميشود كه براي اتصال به اينترنت يك ارتباط تلفني (Dialup) تعريف نماييد ، پس از انجام اين مرحله نام و يا آدرس سرور VPN پرسيده ميشود .
مراحل بالا تنها مراحلي است كه نياز براي پيكربندي يك ارتباط VPN بر روي ايستگاههاي كاري ميباشد . كليه عمليات لازمه براي VPN به صورت خودكار انجام ميگيرد و نيازي به انجام هيچ عملي نيست . براي برقراري ارتباط كافيست كه بر روي آيكوني كه بر روي ميز كاري ايجاد شده دو بار كليك كنيد پس از وارد كردن كد كاربري و كلمه عبور چندين پيام را مشاهده خواهيد كرد كه نشاندهنده روند انجام برقراري ارتباط VPN است .
اگر همه چيز به خوبي پيش رفته باشد ميتوانيد به منابع موجود بر روي سرور VPN دسترسي پيدا كنيد اين دسترسي مانند آن است كه بر روي خود سرور قرار گرفته باشيد .
ارتباط سايت به سايت (Site-to-Site VPN)
در صورتي كه بخواهيد دو شبكه را از طريق يك سرور VPN دومي به يكديگر وصل كنيد علاوه بر مراحل بالا بايد چند كار اضافهتر ديگري را نيز انجام دهيد .
جزئيات كار به پروتكلي كه مورد استفاده قرار ميگيرد . جهت اين كار بايد سرور را در پنجره RRAS انتخاب كرده و منوي خاص (Properties) آن را بياوريد .
در قسمت General مطمئن شويد كه گزينههاي LAN و Demand Dial انتخاب شده باشند (به طور پيش گزيده انتخاب شده هستند). همچنين اطمينان حاصل كنيد كه پروتكل را كه قصد روت (Route) كردن آن را داريد فعال است .
پس از مراحل بالا نياز به ايجاد يك Demand Dial داريد ، اين كار را ميتوانيد با يك كليك راست بر روي واسط روت (Routing Interface) انجام دهيد .
در پنجره بعدي كه ظاهر ميشود بايد براي اين ارتباط VPN خود يك نام تعيين كنيد اين نام بايد همان اسمي باشد كه در طرف ديگر كاربران با آن به اينترنت متصل ميشوند در صورتي كه اين مطلب را رعايت نكنيد ارتباط VPN شما برقرار نخواهد شد .
پس از اين مرحله بايد آدرس IP و يا نام دامنه آن را مشخص كنيد و پس از آن نوع پروتكل ارتباطي را تعيين نمود .
اما مرحله نهايي تعريف يك مسير (Route) بر روي سرور ديگر ميباشد بدين منظور بر روي آن سرور در قسمت RRAS ، Demand Dial را انتخاب كنيد و آدرس IP و سابنت را در آن وارد كنيد و مطمئن شويد كه قسمت
Use This to Initate Demand
انتخاب شده باشد . پس از انجام مرحله بالا كار راهاندازي اين نوع VPN به پايان ميرسد .
پايان
همانطور كه ديديد راهاندازي يك سرور VPN بر روي ويندوز 2000 تحت پروتكل PPTP كار سادهاي بود اما اگر بخواهيد از پروتكل L2TP/IPSec استفاده كنيد كمي كار پيچيده خواهد شد . به خاطر بسپاريد كه راهاندازي VPN بار زيادي را بر روي پردازنده سرور ميگذارد و هرچه تعداد ارتباطات VPNبيشتر باشد بار زيادتري بر روي سرور است كه ميتوانيد از يك وسيله سختافزاري مانند روتر جهت پيادهسازي VPN كمك بگيرد .
منبع فناوري اطلاعات ايران
شبكه خصوصي مجازي يا VPN (Virtual Private Network) در اذهان تصور يك مطلب پيچيده براي استفاده و پياده كنندگان آن به وجود آورده است . اما اين پيچيدگي ، در مطالب بنيادين و مفهومي آن است نه در پيادهسازي .
اين نكته را بايد بدانيد كه پيادهسازي VPN داراي روش خاصي نبوده و هر سختافزار و نرمافزاري روش پيادهسازي خود را داراست و نميتوان روش استانداردي را براي كليه موارد بيان نمود . اما اصول كار همگي به يك روش است .
مختصري درباره تئوري VPN
مفهوم اصلي VPN چيزي جز برقراري يك كانال ارتباطي خصوصي براي دسترسي كاربران راه دور به منابع شبكه نيست . در اين كانال كه بين دو نقطه برقرار ميشود ، ممكن است كه مسيرهاي مختلفي عبور كند اما كسي قادر به وارد شدن به اين شبكه خصوصي شما نخواهد بود . گرچه ميتوان از VPN در هر جايي استفاده نمود اما استفاده آن در خطوط Dialup و Leased كار غير ضروري است (در ادامه بهدليل آن پي خواهيد برد).
در يك ارتباط VPN شبكه يا شبكهها ميتوانند به هم متصل شوند و از اين طريق كاربران از راه دور به شبكه به راحتي دسترسي پيدا ميكنند. اگر اين روش از ارائه دسترسي كاربران از راه دور را با روش خطوط اختصاصي فيزيكي (Leased) مقايسه كنيم ، ميبينيد كه ارائه يك ارتباط خصوصي از روي اينترنت به مراتب از هر روش ديگري ارزانتر تمام ميشود .
از اصول ديگري كه در يك شبكه VPN در نظر گرفته شده بحث امنيت انتقال اطلاعات در اين كانال مجازي ميباشد . يك ارتباط VPN ميتواند بين يك ايستگاه كاري و يك شبكه محلي و يا بين دو شبكه محلي صورت گيرد. در بين هر دو نقطه يك تونل ارتباطي برقرار ميگردد و اطلاعات انتقال يافته در اين كانال به صورت كد شده حركت ميكنند ، بنابراين حتي در صورت دسترسي مزاحمان و هكرها به اين شبكه خصوصي نميتوانند به اطلاعات رد و بدل شده در آن دسترسي پيدا كنند.
جهت برقراري يك ارتباط VPN ، ميتوان به كمك نرمافزار يا سختافزار و يا تركيب هر دو ، آن را پيادهسازي نمود . به طور مثال اكثر ديوارههاي آتش تجاري و روترها از VPN پشتيباني ميكنند . در زمينه نرمافزاري نيز از زمان ارائه ويندوز NT ويرايش 4 به بعد كليه سيستم عاملها داراي چنين قابليتي هستند .
در اين مقاله پيادهسازي VPN بر مبناي ويندوز 2000 گفته خواهد شد .
پياهسازي VPN
براي پيادهسازي VPN بر روي ويندوز 2000 كافيست كه از منوي Program/AdministrativeTools/ ، گزينه Routing and Remote Access را انتخاب كنيد . از اين پنجره گزينه VPN را انتخاب كنيد . پس از زدن دكمه Next وارد پنجره ديگري ميشويد كه در آن كارتهاي شبكه موجود بر روي سيستم ليست ميشوند .
براي راهاندازي يك سرور VPN ميبايست دو كارت شبكه نصب شده بر روي سيستم داشته باشيد .
از يك كارت شبكه براي ارتباط با اينترنت و از كارت ديگر جهت برقراري ارتباط با شبكه محلي استفاده ميشود. در اينجا بر روي هر كارت بهطور ثابت IP قرار داده شده اما ميتوان اين IPها را به صورت پويا بر روي كارتهاي شبكه قرار داد .
در پنجره بعد نحوه آدرسدهي به سيستم راه دوري كه قصد اتصال به سرور ما را دارد پرسيده ميشود . هر ايستگاه كاري مي تواند يك آدرس IP براي كار در شبكه محلي و يك IP براي اتصال VPN داشته باشد . در منوي بعد نحوه بازرسي كاربران پرسيده ميشود كه اين بازرسي مي تواند از روي كاربران تعريف شده در روي خود ويندوز باشد و يا آنكه از طريق يك سرويس دهنده RADIUS صورت گيرد در صورت داشتن چندين سرور VPN استفاده از RADIUS را به شما پيشنهاد ميكنيم . با اين روش كاربران ، بين تمام سرورهاي VPN به اشتراك گذاشته شده و نيازي به تعريف كاربران در تمامي سرورها نميباشد.
پروتكلهاي استفاده شونده
عملياتي كه در بالا انجام گرفت تنها پيكربنديهاي لازم جهت راهاندازي يك سرور VPN ميباشد .
اما (Remote Routing Access Service) RRAS داراي دو پروتكل جهت برقراري تونل ارتباطي VPN ميباشد. سادهترين پروتكل آن PPTP (Point to Point Tunneling Protocol) است ، اين پروتكل برگرفته از PPP است كه در سرويسهاي Dialup مورد استفاده واقع ميشود ، در واقع PPTP همانند PPP عمل ميكند .
پروتكل PPTP در بسياري از موارد كافي و مناسب است ، به كمك اين پروتكل كاربران ميتوانند به روشهاي PAP (Password Authentication Protocol) و Chap (Challenge Handshake Authentication Protocol) بازرسي شوند. جهت كد كردن اطلاعات ميتوان از روش كد سازي RSA استفاده نمود.
PPTP براي كاربردهاي خانگي و دفاتر و افرادي كه در امر شبكه حرفهاي نيستند مناسب است اما در جايگاه امنيتي داراي پايداري زيادي نيست . پروتكل ديگري به نام L2TP (Layer2 Forwarding) به وسيله شركت CISCO ارائه شده كه به لحاظ امنيتي بسيار قدرتمندتر است.
اين پروتكل با استفاده از پروتكل انتقال اطلاعات UDP (User Datagram Protocol) بهجاي استفاده از TCP به مزاياي زيادي دست يافته است . اين روش باعث بهينه و ملموستر شدن براي ديوارههاي آتش شده است ، اما باز هم اين پروتكل در واقع چيزي جز يك كانال ارتباطي نيست . جهت حل اين مشكل و هر چه بالاتر رفتن ضريب امنيتي در VPN شركت مايكروسافت پروتكل ديگري را به نام IPSec (IP Security) مطرح نموده كه پيكربندي VPN با آن كمي دچار پيچيدگي ميگردد.
اما در صورتي كه پروتكل PPTP را انتخاب كردهايد و با اين پروتكل راحتتر هستيد تنها كاري كه بايد در روي سرور انجام دهيد فعال كردن قابليت دسترسي Dial in ميباشد. اين كار را ميتوانيد با كليك بر روي Remote Access Polices در RRAS انجام دهيد و با تغيير سياست كاري آن ، آن را راهاندازي كنيد (به طور كلي پيشفرض سياست كاري ، رد كليه درخواستها ميباشد).
دسترسي ايستگاه كاري از طريق VPN
حالا كه سرور VPN آماده سرويسدهي شده ، براي استفاده از آن بايد بر روي ايستگاه كاري نيز پيكربنديهايي را انجام دهيم . سيستم عاملي كه ما در اينجا استفاده ميكنيم ويندوز XP ميباشد و روش پيادهسازي VPN را بر روي آن خواهيم گفت اما انجام اين كار بر روي ويندوز 2000 نيز به همين شكل صورت ميگيرد . بر روي ويندوزهاي 98 نيز ميتوان ارتباط VPN را برقرار نمود ، اما روش كار كمي متفاوت است و براي انجام آن بهتر است به آدرس زير مراجعه كنيد :
www.support.microsot.com
بر روي ويندوزهاي XP ، يك نرمافزار جهت اتصال به VPN براي هر دو پروتكل PPTP و L2TP وجود دارد. در صورت انتخاب هر كدام ، نحوه پيكربندي با پروتكل ديگر تفاوتي ندارد . راهاندازي VPN كار بسيار سادهاي است ، كافيست كه بر روي Network Connection كليك نموده و از آن اتصال به شبكه خصوصي از طريق اينترنت (Private Network Through Internet) را انتخاب كنيد .
در انجام مرحله بالا از شما يك اسم پرسيده ميشود . در همين مرحله خواسته ميشود كه براي اتصال به اينترنت يك ارتباط تلفني (Dialup) تعريف نماييد ، پس از انجام اين مرحله نام و يا آدرس سرور VPN پرسيده ميشود .
مراحل بالا تنها مراحلي است كه نياز براي پيكربندي يك ارتباط VPN بر روي ايستگاههاي كاري ميباشد . كليه عمليات لازمه براي VPN به صورت خودكار انجام ميگيرد و نيازي به انجام هيچ عملي نيست . براي برقراري ارتباط كافيست كه بر روي آيكوني كه بر روي ميز كاري ايجاد شده دو بار كليك كنيد پس از وارد كردن كد كاربري و كلمه عبور چندين پيام را مشاهده خواهيد كرد كه نشاندهنده روند انجام برقراري ارتباط VPN است .
اگر همه چيز به خوبي پيش رفته باشد ميتوانيد به منابع موجود بر روي سرور VPN دسترسي پيدا كنيد اين دسترسي مانند آن است كه بر روي خود سرور قرار گرفته باشيد .
ارتباط سايت به سايت (Site-to-Site VPN)
در صورتي كه بخواهيد دو شبكه را از طريق يك سرور VPN دومي به يكديگر وصل كنيد علاوه بر مراحل بالا بايد چند كار اضافهتر ديگري را نيز انجام دهيد .
جزئيات كار به پروتكلي كه مورد استفاده قرار ميگيرد . جهت اين كار بايد سرور را در پنجره RRAS انتخاب كرده و منوي خاص (Properties) آن را بياوريد .
در قسمت General مطمئن شويد كه گزينههاي LAN و Demand Dial انتخاب شده باشند (به طور پيش گزيده انتخاب شده هستند). همچنين اطمينان حاصل كنيد كه پروتكل را كه قصد روت (Route) كردن آن را داريد فعال است .
پس از مراحل بالا نياز به ايجاد يك Demand Dial داريد ، اين كار را ميتوانيد با يك كليك راست بر روي واسط روت (Routing Interface) انجام دهيد .
در پنجره بعدي كه ظاهر ميشود بايد براي اين ارتباط VPN خود يك نام تعيين كنيد اين نام بايد همان اسمي باشد كه در طرف ديگر كاربران با آن به اينترنت متصل ميشوند در صورتي كه اين مطلب را رعايت نكنيد ارتباط VPN شما برقرار نخواهد شد .
پس از اين مرحله بايد آدرس IP و يا نام دامنه آن را مشخص كنيد و پس از آن نوع پروتكل ارتباطي را تعيين نمود .
اما مرحله نهايي تعريف يك مسير (Route) بر روي سرور ديگر ميباشد بدين منظور بر روي آن سرور در قسمت RRAS ، Demand Dial را انتخاب كنيد و آدرس IP و سابنت را در آن وارد كنيد و مطمئن شويد كه قسمت
Use This to Initate Demand
انتخاب شده باشد . پس از انجام مرحله بالا كار راهاندازي اين نوع VPN به پايان ميرسد .
پايان
همانطور كه ديديد راهاندازي يك سرور VPN بر روي ويندوز 2000 تحت پروتكل PPTP كار سادهاي بود اما اگر بخواهيد از پروتكل L2TP/IPSec استفاده كنيد كمي كار پيچيده خواهد شد . به خاطر بسپاريد كه راهاندازي VPN بار زيادي را بر روي پردازنده سرور ميگذارد و هرچه تعداد ارتباطات VPNبيشتر باشد بار زيادتري بر روي سرور است كه ميتوانيد از يك وسيله سختافزاري مانند روتر جهت پيادهسازي VPN كمك بگيرد .
منبع فناوري اطلاعات ايران
