panisa 12,132 اشتراک گذاری ارسال شده در 22 تیر، ۱۳۹۱ استفاده از RAS سرور و خط تلفن براي برقراري ارتباط دو مشکل عمده دارد عبارتند از: 1)در صورتي که RAS سرور و سيستم تماس گيرنده در يک استان قرار نداشته باشند، علاوه بر لزوم پرداخت هزينه زياد، سرعت ارتباط نيز پايين خواهد آمد و اين مسئله وقتي بيشتر نمود پيدا مي کند که کاربر نياز به ارتباطي با سرعت مناسب داشته باشد. 2)در صورتي که تعداد اتصالات راه دور در يک لحظه بيش از يک مورد باشد، RAS سرور به چندين خط تلفن و مودم احتياج خواهد داشت که باز هم مسئله هزينه مطرح مي گردد. اما با ارتباط VPN مشکلات مذکور به طور کامل حل مي شود و کاربر با اتصال به ISP محلي به اينترنت متصل شده و VPN بين کامپيوتر کاربر و سرور سازمان از طريق اينترنت ايجاد مي گردد. ارتباط مذکور مي تواند از طريق خط Dialup و يا خط اختصاصي مانند Leased Line برقرار شود. به هر حال اکنون مسئله اين نيست که طريقه استفاده از VPN چيست، بلکه مسئله اين است که کداميک از تکنولوژي هاي VPN بايد مورد استفاده قرار گيرند. پنج نوع پروتکل در VPN مورد استفاده قرار مي گيرد که هر کدام مزايا و معايبي دارند. در اين مقاله ما قصد داريم در مورد هر کدام از اين پروتکل ها بحث کرده و آنها را مقايسه کنيم. البته نتيجه نهايي به هدف شما در استفاده VPN بستگي دارد. 3 نقل قول لینک به دیدگاه
panisa 12,132 مالک اشتراک گذاری ارسال شده در 22 تیر، ۱۳۹۱ ارتباط سيستم ها در يک اينترانت در برخي سازمان ها، اطلاعات يک دپارتمان خاص به دليل حساسيت بالا، به طور فيزيکي از شبکه اصلي داخلي آن سازمان جدا گرديده است. اين مسئله عليرغم محافظت از اطلاعات آن دپارتمان، مشکلات خاصي را نيز از بابت دسترسي کاربران دپارتمان مذکور به شبکه هاي خارجي به وجود مي آورد. VPN اجازه مي دهد که شبکه دپارتمان مذکور به صورت فيزيکي به شبکه مقصد مورد نظر متصل گردد، اما به صورتي که توسط VPN سرور، جدا شده است (با قرار گرفتن VPN سرور بين دو شبکه). البته لازم به يادآوري است که نيازي نيست VPN سرور به صورت يک Router مسير ياب بين دو شبکه عمل نمايد، بلکه کاربران شبکه مورد نظر علاوه بر اينکه خصوصيات و Subnet شبکه خاص خود را دارا هستند به VPNسرورمتصل شده و به اطلاعات درشبکه مقصد دست مي يابند. علاوه بر اين تمام ارتباطات برقرار شده از طريق VPN، مي توانند به منظور محرمانه ماندن رمز نگاري شوند. براي کاربراني که داراي اعتبار نامه مجاز نيستند، اطلاعات مقصد به صورت خودکار غير قابل رويت خواهند بود. مباني Tunneling Tunneling يا سيستم ايجاد تونل ارتباطي با نام کپسوله کردن (Encapsulation) نيز شناخته مي شود که روشي است براي استفاده از زير ساخت يک شبکه عمومي جهت انتقال اطلاعات. اين اطلاعات ممکن است از پروتکل ديگري باشد. اطلاعات به جاي اينکه به صورت اصلي و Original فرستاده شوند، با اضافه کردن يک Header (سرايند) کپسوله مي شوند. اين سزايند اضافي که به پکت متصل مي شود، اطلاعات مسير يابي را براي پکت فراهم مي کند تا اطلاعات به صورت صحيح، سريع و فوري به مقصد برسند. هنگامي که پکت هاي کپسوله شده به مقصد رسيدند، سرايندها از روي پکت برداشته شده و اطلاعات به صورت اصلي خود تبديل مي شوند. اين عمليات را از ابتدا تا اتمام کار Tunneling مي نامند. 2 نقل قول لینک به دیدگاه
panisa 12,132 مالک اشتراک گذاری ارسال شده در 22 تیر، ۱۳۹۱ نگهداري تونل مجموعه عمليات متشکل از پروتکل نگهداري تونل و پروتکل تبادل اطلاعات تونل به نام پروتکل Tunneling شناخته مي شوند. براي اينکه اين تونل برقرار شود، هم کلاينت و هم سرور مي بايست پروتکل Tunneling يکساني را مورد استفاده قرار دهند. از جمله پروتکل هايي که براي عمليات Tunneling مورد استفاده قرار مي گيرند PPTP و L2TP هستند که در ادامه مورد بررسي قرار خواهند گرفت. پروتکل نگهداري تونل پروتکل نگهداري تونل به عنوان مکانيسمي براي مديريت تونل استفاده مي شود. براي برخي از تکنولوژي هاي Tunneling مانند PPTP و L2TP يک تونل مانند يک Session مي باشد، يعني هر دو نقطه انتهايي تونل علاوه بر اينکه بايد با نوع تونل منطبق باشند، مي بايست از برقرار شدن آن نيز مطلع شوند. هر چند بر خلاف يک Session، يک تونل ذريافت اطلاعات را به صورتي قابل اطمينان گارانتي نمي کند و اطلاعات ارسالي معمولا به وسيله پروتکلي بر مبناي ديتا گرام مانند UDP هنگام استفاده از L2TP يا TCP براي مديريت تونل و يک پروتکل کپسوله کردن مسير يابي عمومي اصلاح شده به نام GRE براي وقتي که PPTP استفاده مي گردد، پيکربندي و ارسال مي شوند. ساخته شدن تونل يک تونل بايد قبل از اين که تبادل اطلاعات انجام شود، ساخته شود. عمليات ساخته شدن تونل به وسيله يک طرف تونل يعني کلاينت آغاز مي شود و طرف ديگر تونل يعني سرور، تقاضاي ارتباط Tunneling را دريافت مي کند. براي ساخت تونل يک عمليات ارتباطي مانند PPP انجام مي شود. سرور تقاضا مي کند که کلاينت خودش را معرفي کرده و معيارهاي تصديق هويت خود را ارائه نمايد. هنگامي که قانوني بودن و معتبر بودن کلاينت مورد تاييد قرار گرفت، ارتباط تونل مجاز شناخته شده و پيغام ساخته شدن تونل توسط کلاينت به سرور ارسال مي گردد و سپس انتقال اطلاعات از طريق تونل شروع خواهد شد. براي روشن شدن مطلب، مثالي مي زنيم. اگر محيط عمومي را، که غالبا نيز همين گونه است، اينترنت فرض کنيم، کلاينت پيغام ساخته شدن تونل را از آدرس IP کارت شبکه خود به عنوان مبدا به آدرس IP مقصد يعني سرور ارسال مي کند. حال اگر ارتباط اينترنت به صورت Dialup از جانب کلاينت ايجاد شده باشد، کلاينت به جاي آدرس NIC خود، آدرس IP را که ISP به آن اختصاص داده به عنوان مبدا استفاده خواهد نمود. نگهداري تونل در برخي از تکنولوژي هاي Tunneling مانند L2TP و PPTP، تونل ساخته شده بايد نگهداري و مراقبت شود. هر دو انتهاي تونل بايد از وضعيت طرف ديگر تونل با خبر باشندو نگهداري يک تونل معمولا از طريق عملياتي به نام نگهداري فعال (KA) اجرا مي گردد که طي اين پروسه به صورت دوره زماني مداوم از انتهاي ديگر تونل آمار گيري مي شود. اين کار هنگامي که اطلاعاتي در خال تبادل نيست انجام مي پذيرد. 2 نقل قول لینک به دیدگاه
panisa 12,132 مالک اشتراک گذاری ارسال شده در 22 تیر، ۱۳۹۱ پروتکل تبادل اطلاعات تونل زماني که يک تونل برقرار مي شود، اطلاعات مي توانند از طريق آن ارسال گردند. پروتکل تبادل اطلاعات تونل، اطلاعات را کپسوله کرده تا قابل عبور از تونل باشند. وقتي که تونل کلاينت قصد ارسال اطلاعات را به تونل سرور دارد، يک سرايند (مخصوص پروتکل تبادل اطلاعات) را بر روي پکت اضافه مي کند. نتيجه اين کار اين است که اطلاعات از طريق شبکه عمومي قابل ارسال شده و تا تونل سرور مسيريابي مي شوند. تونل سرور پکت ها را دريافت کرده و سرايند اضافه شده را از روي اطلاعات برداشته و سپس اطلاعات را به صورت اصلي در مي آورد. انواع تونل تونل ها به دو نوع اصلي تقسيم مي گردند: اختياري و اجباري تونل اختياري تونل اختياري به وسيله کاربر و از سمت کامپيوتر کلاينت طي يک عمليات هوشمند، پيکربندي و ساخته مي شود. کامپيوتر کاربر نقطه انتهايي تونل بوده و به عنوان تونل کلاينت عمل مي کند. تونل اختياري زماني تشکيل مي شود که کلاينت براي ساخت تونل به سمت تونل سرور مقصد داوطلب شود. هنگامي که کلاينت به عنوان تونل کلاينت قصد انجام عمليات دارد، پروتکل Tunneling مورد نظر بايد بر روي سيستم کلاينت نصب گردد. تونل اختياري مي تواند در هر يک از حالت هاي زير اتفاق بيفتد: -کلاينت ارتباطي داشته باشد که بتواند ارسال اطلاعات پوشش گذاري شده را از طريق مسيريابي به سرور منتخب خود انجام دهد. -کلاينت ممکن است قبل از اينکه بتواندتونل را پيکربندي کند، ارتباطي را از طريق Dialup براي تبادل اطلاعات برقرار کرده باشد. اين معمول ترين حالت ممکن است. بهترين مثال از اين حالت، کاربران اينترنت هستند. قبل از اينکه يک تونل براي کاربران بر روي اينترنت ساخته شود، آن ها بايد به ISP خود شماره گيري کنند و يک ارتباط اينترنتي را تشکيل دهند. تونل اجباري تونل اجباري براي کاربراني پيکربندي و ساخته مي شود که دانش لازم را نداشته و يا دخالتي در ساخت تونل نخواهند داشت. در تونل اختياري، کاربر، نقطه انتهايي تونل نيست. بلکه يک Device ديگر بين سيستم کاربر و تونل سرور، نقطه انتهايي تونل است که به عنوان تونل کلاينت عمل مي نمايد. اگر پروتکل Tunneling بر روي کامپيوتر کلاينت نصب و راه اندازي نشده و در عين حال تونل هنوز مورد نياز و درخواست باشد. اين امکان وجود دارد که يک کامپيوتر ديگر و يا يک Device شبکه ديگر، تونلي از جانب کامپيوتر کلاينت ايجاد نمايد. اين وظيفه اي است که به يک متمرکز کننده دسترسي (AS) به تونل، ارجاع داده شده است. در مرخله تکميل اين وظيفه، متمرکز کننده دسترسي يا همان AS بايد پروتکل Tunneling مناسب را ايجاد کرده و قابليت برقراري تونل را در هنگام اتصال کامپيوتر کلاينت داشته باشد. هنگامي که ارتباط از طريق اينترنت برقرار مي شود، کامپيوتر کلاينت يک تونل تامين شده (Network Access Service) NAS را از طريق ISP احضار مي کند. به عنوان مثال يک سازمان ممکن است قراردادي با يک ISP داشته باشد تا بتواند کل کشور را توسط يک متمرکز کننده دسترسي به هم پيوند دهد. اين AC مي تواند تونل هايي را از طريق اينترنت برقرار کند که به يک تونل سرور متصل باشند و از آن طريق به شبکه خصوصي مستقر در سازمان مذکور دسترسي پيدا کنند. اين پيکربندي به عنوان تونل اجباري شناخته مي شود، به دليل اين که کلاينت مجبور به استفاده از تونل ساخته شده به وسيله AC شده است. يک بار که اين تونل ساخته شد، تمام ترافيک شبکه از سمت کلاينتو نيز از جانب سرور به صورت خودکار از طريق تونل مذکور ارسال خواهد شد. به وسيله اين تونل اجباري، کامپيوتر کلاينت يک ارتباط PPP مي سازد و هنگامي که کلاينت به NAS، از طريق شماره گيري متصل مي شود، تونل ساخته مي شود و تمام ترافيک به طور خودکار از طريق تونل مسيريابي و ارسال مي گردد. تونل اجباري مي تواند به طور ايستا و يا خودکار و پويا پيکربندي شود. 2 نقل قول لینک به دیدگاه
panisa 12,132 مالک اشتراک گذاری ارسال شده در 22 تیر، ۱۳۹۱ تونل هاي اجباري ايستا پيکربندي تونل هاي Static معمولا به تجهيزات خاص براي تونل هاي خودکار نياز دارند. سيستم Tunneling خودکار به گونه اي اعمال مي شودکه کلاينت ها به AC از طريق شماره گيري (Dialup) متصل مي شوند. اين مسئله احتياج به خطوط دسترسي محلي اختصاصي و نيز تجهيزات دسترسي شبکه دارد که به اين ها هزينه هاي جانبي نيز اضافه مي گردد. براي مثال کاربران احتياج دارند که با يک شماره تلفن خاص تماس بگيرند، تا به يک AC متصل شوند که تمام ارتباطات را به طور خودکار به يک تونل سرور خاص متصل مي کند. در طرح هاي Tunneling ناحيه اي، متمرکز کننده دسترسي بخشي از User Name را که Realm خوانده مي شود بازرسي مي کند تا تصميم بگيرد در چه موقعيتي از لحاظ ترافيک شبکه، تونل را تشکيل دهد. تونل هاي اجباري پويا در اين سيستم انتخاب مقصد تونل بر اساس زماني که کاربر به AC متصل مي شود، ساخته مي شود. کاربران داراي Realm يکسان، ممکن است تونل هايي با مقصد هاي مختلف تشکيل بدهند. البته اين امر به پارامترهاي مختلف آنها مانند User Name، شماره تماسف محل فيزيکي و زمان بستگي دارد. تونل هاي Dynamic، داراي قابليت انعطاف عالي هستند. همچنين تونل هاي پويااجازه مي دهند که AC به عنوان يک سيستم Multi-NAS عمل کند، يعني اينکه همزمان هم ارتباطات Tunneling را قبول مي کند و هم ارتباطات کلاينت هاي عادي و بدون تونل را. در صورتي که متمرکز کننده دسترسي بخواهد نوع کلاينت تماس گسرنده را مبني بر داراي تونل بودن يا نبودن از قبل تشخيص بدهد، بايد از همکاري يک بانک اطلاعاتي سود ببرد. براي اين کار بايد AC اطلاعات کاربران را در بانک اطلاعاتي خود ذخيره کند که بزرگترين عيب اين مسئله اين است که اين بانک اطلاعاتي به خوبي قابل مديريت نيست. بهترين راه حل اين موضوع، راه اندازي يک سرور RADIUS است، سروري که اجازه مي دهد که تعداد نا محدودي سرور، عمل شناسايي USER هاي خود را بر روي يک سرور خاص يعني همين سرور RADIUS انجام دهند، به عبارت بهتر اين سرور مرکزي براي ذخيره و شناسايي و احراز هويت نمودن کليه کاربران شبکه خواهد بود. 2 نقل قول لینک به دیدگاه
panisa 12,132 مالک اشتراک گذاری ارسال شده در 22 تیر، ۱۳۹۱ پروتکل هاي VPN عمده ترين پروتکل هايي که به وسيله ويندوز 2000 براي دسترسي به VPN استفاده مي شوند عبارتند از: PPTP، L2TP، IPSEC، IP-IP. البته پروتکل امنيتي SSL نيز جزء پروتکل هاي مورد استفاده در VPN به شمار مي آيد، ولي به علت اينکه SSL بيشتر بر روي پروتکل هاي HTTP، LDAP، POP3، SMTP و... مورد استفاده قرار مي گيرد، بحث در مورد آن را به فرتي ديگر موکول مي کنيم. پروتکل PPTP پروتکل Tunneling نقطه به نقطه، بخش توسعه يافته اي از پروتکل PPP است که فريم هاي پروتکل PPP را به صورت IP براي تبادل آنها از طريق يک شبکه IP مانند اينترنت توسط يک سرايند، کپسوله مي کند. اين پروتکل مي تواند در شبکه هاي خصوصي از نوع LAN-to-LAN نيز استفاده گردد. پروتکل PPTP به وسيله انجمني از شرکت هاي مايکروسافت، Ascend Communications، 3com، ESI و US Robotics ساخته شد. PPTP يک ارتباط TCPرا (که يک ارتباط Connection Oriented بوده و پس از ارسال پکت منتظرAcknowledgment آن مي ماند) براي نگهداري تونل و فريم هاي PPP کپسوله شده توسط (Generic Routing Encapsulation) GRE که به معني کپسوله کردن مسيريابي عمومي است، براي Tunneling کردن اطلاعات استفاده مي کند. ضمنا اطلاعات کپسوله شده PPP قابليت رمز نگاري و فشرده شدن را نيز دارا هستند، تونل هاي PPTP بايد به وسيله مکانيسم گواهي همان پروتکل PPP که شامل (EAP، CHAP، MS-CHAP، PAP) مي شوند، گواهي شوند. در ويندوز 2000 رمزنگاري پروتکل PPP فقط زماني استفاده مي گردد که پروتکل احراز هويت يکي از پروتکل هاي EAP، TLS و يا MS-CHAP باشد. بايد توجه شود که رمز نگاري PPP، محرمانگي اطلاعات را فقط بين دو نقطه نهايي يک تونل تامين مي کند و در صورتي که به امنيت بيشتري نياز باشد، بايد از پروتکل Ipsec استفاده شود. پروتکل L2TP پروتکل L2TP ترکيبي است از پروتکل هاي PPTP و (Layer 2 Forwarding) L2F که توسط شرکت سيسکو توسعه يافته است. اين پروتکل ترکيبي است از بهترين خصوصيات موجود در L2F و PPTP. L2TP نوعي پروتکل شبکه است که فريم هاي PPP را براي ارسال بر روي شبکه هاي IP مانند اينترنت و علاوه بر اين براي شبکه هاي مبتني بر X.25، Frame Relay و يا ATM کپسوله مي کند. هنگامي که اينترنت به عنوان زير ساخت تبادل اطلاعات استفاده مي گردد، L2TP مي تواند به عنوان پروتکل Tunneling از طريق اينترنت مورد استفاده قرار گيرد. L2TP براي نگهداري تونل از يک سري پيغام هاي L2TP و نيز از پروتکل UDP (پروتکل تبادل اطلاعات به صورت Connection Less که پس از ارسال اطلاعات منتظر دريافت Acknowledgment نمي شود و اطلاعات را، به مقصد رسيده فرض مي کند) استفاده مي کند. در L2TP نيز فريم هاي PPP کپسوله شده مي توانند همزمان علاوه بر رمزنگاري شدن، فشرده نيز شوند. البته مايکروسافت پروتکل امنيتي Ipsec را به جاي رمزنگاري PPP توصيه مي کند. ساخت تونل L2TP نيز بايد همانند PPTP توسط مکانيسم (PPP EAP، CHAP، MS-CHAP، PAP) بررسي و تاييد شود. 1 نقل قول لینک به دیدگاه
panisa 12,132 مالک اشتراک گذاری ارسال شده در 22 تیر، ۱۳۹۱ پروتکل Ipsec Ipsec يک پروتکل Tunneling لايه سوم است که از متد ESP براي کپسوله کردن و رمزنگاري اطلاعات IP براي تبادل امن اطلاعات از طريق يک شبکه کاري IP عمومي يا خصوصي پشتيباني مي کند. Ipsec به وسيله متد ESP مي تواند اطلاعات IP را به صورت کامل کپسوله کرده و نيز رمزنگاري کند. به محض دريافت اطلاعات رمزگذاري شده، تونل سرور، سرايند اضافه شده به IP را پردازش کرده و سپس کنار مي گذارد و بعد از آن رمزهاي ESP و پکت را باز مي کند. بعد از اين مراحل است که پکت IP به صورت عادي پردازش مي شود. پردازش عادي ممکن است شامل مسيريابي و ارسال پکت به مقصد نهايي آن باشد. پروتکل IP-IP اين پروتکل که با نام IP-IN-IP نيز شناخته مي شود، يک پروتکل لايه سوم يعني لايه شبکه است. مهمترين استفاده پروتکل IP-IP براي ايجاد سيستم Tunneling به صورت Multicast است که در شبکه هايي که سيستم مسيريابي Multicast را پشتيباني نمي کنند کاربرد دارد. ساختار پکت IP-IPتشکيل شده است از: سرايند IPخارجي، سرايند تونل، سرايند IP داخلي و اطلاعات IP. اطلاعات IP مي تواند شامل هر چيزي در محدوده IP مانند TCP، UDP، ICMP و اطلاعات اصلي پکت باشد. مديريت VPN در بيشتر موارد مديريت يک VPN مانند مديريت يک RAS سرور (به طور خلاصه، سروري که ارتباط ها و Connection هاي برقرار شده از طريق راه دور را کنترل و مديريت مي کند)، مي باشد. البته امنيت VPN بايد به دقت توسط ارتباطات اينترنتي مديريت گردد. مديريت کاربران VPN بيشتر مديران شبکه براي مديريت کاربران خود ار يک پايگاه داده مديريت کننده اکانت ها برروي کامپيوتر DC و يا از سرور RADIUS استفاده مي نمايند. اين کار به سرور VPN اجازه مي دهد تا اعتبارنامه احراز هويت کاربران را به يک سيستم احراز هويت مرکزي ارسال کند. مديريت آدرس ها و Name Server ها سرور VPN بايد رشته اي از آدرس هاي IP فعال را در خود داشته باشد تا بتواند آنها را در طول مرحله پردازش ارتباط از طريق پروتکل کنترل IP به نام IPCP به درگاه هاي VPN Server يا Client اختصاص دهد. در VPN هايي که مبتني بر ويندوز 2000 پيکربندي مي شوند، به صورت پيش فرض، IP آدرس هايي که به Client هاي VPN اختصاص داده مي شود، از طريق سرور DHCP گرفته مي شوند. البته همان طور که قبلا گفته شد شما مي توانيد يک رشته IP را به صورت دستي يعني ايستا به جاي استفاده از DHCP اعمال کنيد. ضمنا VPN Server بايد توسط يک سيستم تامين کننده نام مانند DNS و يا WINS نيز پشتيباني شود تا بتواند سيستم IPCP را به مورد اجرا بگذارد. برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید. ورود یا ثبت نام 2 نقل قول لینک به دیدگاه
ارسال های توصیه شده
به گفتگو بپیوندید
هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .