امنيت VPN

شبکه های VPN بمنظور تامين امنيت (داده ها و ارتباطات) از روش های متعددی استفاده می نمايند :

● فايروال . فايروال يک ديواره مجازی بين شبکه اختصای يک سازمان و اينترنت ايجاد می نمايد. با استفاده از فايروال می توان عمليات متفاوتی را در جهت اعمال سياست های امنيتی يک سازمان انجام داد. ايجاد محدوديت در تعداد پورت ها فعال ، ايجاد محدوديت در رابطه به پروتکل های خاص ، ايجاد محدوديت در نوع بسته های اطلاعاتی و ... نمونه هائی از عملياتی است که می توان با استفاده از يک فايروال انجام داد.

● رمزنگاری . فرآيندی است که با استفاده از آن کامپيوتر مبداء اطلاعاتی رمزشده را برای کامپيوتر ديگر ارسال می نمايد. ساير کامپيوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدين ترتيب پس از ارسال اطلاعات توسط فرستنده ، دريافت کنندگان، قبل از استفاده از اطلاعات می بايست اقدام به رمزگشائی اطلاعات ارسال شده نمايند. سيستم های رمزنگاری در کامپيوتر به دو گروه عمده تقسيم می گردد :

رمزنگاری کليد متقارن

رمزنگاری کليد عمومی

در رمز نگاری " کليد متقارن " هر يک از کامپيوترها دارای يک کليد Secret ( کد ) بوده که با استفاده از آن قادر به رمزنگاری يک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپيوتر ديگر می باشند. در روش فوق می بايست در ابتدا نسبت به کامپيوترهائی که قصد برقراری و ارسال اطلاعات برای يکديگر را دارند ، آگاهی کامل وجود داشته باشد. هر يک از کامپيوترهای شرکت کننده در مبادله اطلاعاتی می بايست دارای کليد رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی نيز از کليد فوق استفاده خواهد شد. فرض کنيد قصد ارسال يک پيام رمز شده برای يکی از دوستان خود را داشته باشيد. بدين منظور از يک الگوريتم خاص برای رمزنگاری استفاده می شود .در الگوريتم فوق هر حرف به دوحرف بعد از خود تبديل می گردد.(حرف A به حرف C ، حرف B به حرف D ) .پس از رمزنمودن پيام و ارسال آن ، می بايست دريافت کننده پيام به اين حقيقت واقف باشد که برای رمزگشائی پيام لرسال شده ، هر حرف به دو حرق قبل از خود می باطست تبديل گردد. در چنين حالتی می باطست به دوست امين خود ، واقعيت فوق ( کليد رمز ) گفته شود. در صورتيکه پيام فوق توسط افراد ديگری دريافت گردد ، بدليل عدم آگاهی از کليد ، آنان قادر به رمزگشائی و استفاده از پيام ارسال شده نخواهند بود.

در رمزنگاری عمومی از ترکيب يک کليد خصوصی و يک کليد عمومی استفاده می شود. کليد خصوصی صرفا" برای کامپيوتر شما ( ارسال کننده) قابل شناسائی و استفاده است . کليد عمومی توسط کامپيوتر شما در اختيار تمام کامپيوترهای ديگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود. بمنظور رمزگشائی يک پيام رمز شده ، يک کامپيوتر می بايست با استفاده از کليد عمومی ( ارائه شده توسط کامپيوتر ارسال کننده ) ، کليد خصوصی مربوط به خود اقدام به رمزگشائی پيام ارسالی نمايد . يکی از متداولترين ابزار "رمزنگاری کليد عمومی" ، روشی با نام PGP)Pretty Good Privacy) است . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.
معایب وفواید vpn:
استفاده ازvpnبرای یک سازمان دارای فواید بسیار زیادی می باشد که از جمله این فواید ها می توان به موارد زیر اشاره کرد:
1.گسترش محدوده جغرافیایی ارتباطی در وضعیت امن
2.کاهش هزینه های عملیاتی در مقایسه با روش های سنتی wan
3.کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور
4.امنیت بالا
در مورد معایب vpn می توان به سرعت کم و تاخیر در انجام عملیات های ان می باشد.دلیل ان هم به عیب های شبکه های اینترنت می باشد .

فناوری های تونل زنی(TUNNELING TECHNOLOGIES):
اکثر شبکه های VPN بمنظور ايجاد يک شبکه اختصاصی با قابليت دستيابی از طريق اينترنت از امکان " Tunneling " استفاده می نمايند. در روش فوق تمام بسته اطلاعاتی در يک بسته ديگر قرار گرفته و از طريق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی خارجی ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی ) قابل فهم می باشد. دو نقظه فوق را "اينترفيس های تونل " می گويند.روش فوق مستلزم استفادها زسه پروتکل است:پروتکل حمل کننده.ازپروتکل فوق شبکه حامل اطلاعات استفاده مینمايد.پروتکل کپسوله سازی . از پروتکل هائی نظير:
1.IPSEC : IPSec مخفف و کوتاه شده عبارت IP Security است که به مجموعه ای از پروتکل ها اشاره کرده و تبادل امن بسته ها در لایه IP را پشتیبانی میکند. IPSec بطور گسترده در تکنولوژی VPN جهت احراز هویت، محرمانگی، یکپارچگی و مدیریت کلید در شبکه های مبتنی بر IP، مورد استفاده قرار میگیرد. IPSec امنیت ارتباطات را در بطن شبکه با کمک سرویس های امن رمزنگاری برقرار میکند. برای عملکرد صحیح و کامل IPSec، هر دو طرف فرستنده و گیرنده باید یک کلید عمومی را به اشتراک بگذارند که بواسطه استفاده از پروتکل "مدیریت کلید" عملی میشود. این پروتکل به گیرنده این اجازه را میدهد تا یک کلید عمومی را بدست آورده و فرستنده را بر اساس امضای دیجیتال احراز هویت نماید.
پروتكلPPTP
پروتكل Tunneling نقطه به نقطه، بخش توسعه یافته*ای از پروتكل PPP است كه فریم*های پروتكلPPرابه*صورتIP برای تبادل آن*ها از طریق یك شبكه IP مانند اینترنت توسط یك سرایند، كپسوله می*كند. این پروتكل می*تواند در شبكه*های خصوصی از نوع LAN-to-LAN نیز استفاده گردد.پروتكل PPTP به*وسیله انجمنی از شركت*های مایكروسافت، Ascend Communications ،3com،ESIوUSRoboticsساخته شد.PPTP یك ارتباط TCP را (كه یك ارتباط Connection Oriented بوده و پس از ارسال پكت منتظر Acknowledgment آن می*ماند) برای نگهداری تونل و فریم*های PPP كپسوله شده توسط GRE Generic Routing Encapsulation كه به معنی كپسوله كردن مسیریابی عمومیاست، برای Tunneling كردن اطلاعات استفاده می*كند. ضمناً اطلاعات كپسوله*شده PPP قابلیت رمزنگاری و فشردهشدنرانیزداراهستند.تو ل*های PPTP باید به*وسیله مكانیسم گواهی همان پروتكل PPP كه شامل (EAP ،CHAP ،MS-CHAP ،PAP)می*شوند، گواهی شوند. در ویندوز 2000 رمزنگاری پروتكل PPP فقط زمانی استفاده می*گردد كه پروتكل احراز هویت یكی از پروتكل*های EAP ،TLS و یا MS-CHAP باشد.باید توجه شود كه رمزنگاری PPP، محرمانگی اطلاعات را فقط بین دو نقطه نهایی یك تونل تأمین می*كند و در صورتی*كه به امنیت بیشتری نیاز باشد، باید از پروتكل Ipsec استفاده شود.
پروتكل L2TP
پروتكل L2TP تركیبی است از پروتكل*های PPTP وL2F Layer 2 Forwarding كه توسط شركت سیسكو توسعه یافته است. این پروتكل تركیبی است از بهترین خصوصیات موجود درL2Fو ppp

L2TP نوعی پروتكل شبكه است كه فریم*های PPP را برای ارسال بر روی شبكه*های IP مانند اینترنت و علاوه بر این برای شبكه*های مبتنی بر X.25 ،Frame Relay و یا ATM كپسوله می*كند.

هنگامی*كه اینترنت به*عنوان زیرساخت تبادل اطلاعات استفاده می*گردد، L2TP می*تواند به*عنوانپروتكلTunnelingازطریق اینترنت مورد استفاده قرارگیرد.L2TPبرای نگهداری تونل از یك سری پیغام*های L2TP و نیز از پروتكل UDP (پروتكل تبادل اطلاعات به*صورتConnection Less كه پس از ارسال اطلاعات منتظر دریافت Acknowledgment نمی*شود و اطلاعات را، به مقصد رسیده فرض می*كند) استفاده می*كند.

در L2TP نیز فریم*های PPP كپسوله شده می*توانند همزمان علاوه بر رمزنگاری شدن، فشرده نیز شوند. البته مایكروسافت پروتكل امنیتی Ipsec (كه به*طور مفصل در شماره 47 ماهنامه شبكه تحت عنوان "امنیت اطلاعات در حین انتقال به*وسیله IPsec " معرفی شده) را به*جای رمزنگاری PPP توصیه می كند. ساخت تونل L2TP نیز باید همانند PPTP توسط مكانیسم (PPP EAP ،CHAP ،MS-CHAP ،PAP) بررسی و تأیید شود.


پروتکل IP-IP
این پروتکل که با نام IP-IN-IP نیز شناخته می شود، یک پروتکل لایه سوم یعنی لایه شبکه است. مهمترین استفاده پروتکل IP-IP برای ایجاد سیستم Tunneling به صورت Multicast است که در شبکه هایی که سیستم مسیریابی Multicast را پشتیبانی نمی کنند کاربرد دارد. ساختار پکت IP-IPتشکیل شده است از: سرایند IPخارجی، سرایند تونل، سرایند IP داخلی و اطلاعات IP. اطلاعات IP می تواند شامل هر چیزی در محدوده IP مانند TCP، UDP، ICMP و اطلاعات اصلی پکت باشد