چكيده

  شبكه جهاني اينترنت بخش حياتي و غيرقابل تفكيك جامعه جهاني است. در واقع شبكه اينترنت ستون فقرات ارتباطات كامپيوتري جهاني در دهه 1990 است زيرا اساساً به تدريج بيشتر شبكه ها را به هم متصل كرده است.در حال حاضر رفته رفته تفكرات منطقه اي و محلي حاكم بر فعاليت هاي تجاري، جاي خود را به تفكرات جهاني و سراسري داده اند. امروزه با سازمانهاي زيادي برخورد مي نمائيم كه در سطح يك كشور داراي دفاتر فعال و حتي در سطح دنيا داراي دفاتر متفاوتي مي باشند . تمام سازمانهاي فوق قبل از هر چيز بدنبال يك اصل بسيار مهم مي باشند : يك روش سريع، ايمن و قابل اعتماد بمنظور برقراري ارتباط با دفاتر و نمايندگي در اقصي نقاط يك كشور و يا در سطح دنيا؛ بدين منظور بايستي يك شبكه‏‏‌ي گسترده‏ي خصوصي بين شعب اين شركت ايجاد گردد. شبكه‏‌هاي اينترنت كه فقط محدود به يك سازمان يا يك شركت مي‏باشند، به دليل محدوديت‌هاي گسترشي نمي‏توانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكه‏‌هاي گسترده  نيز كه با خطوط استيجاري راه‌‏اندازي مي‏شوند، در واقع شبكه‏‌هاي گسترده‏ي امني هستند كه بين مراكز سازمان‌ها ايجاد مي‏شوند. پياده‌‏سازي اين شبكه‏‌ها نياز به هزينه‌ زيادي دارد. راه‌ حل غلبه بر اين مشكلات، راه‌اندازي يك شبکه مجازی است.

 

كليد واژه‌ها:  

 شبكه هاي مجازي – VPN – تونل كشي-رمز نگاري 

 

 

 

 

 

 

 

 

 

 

مقدمه

VPN   در يك تعريف كوتاه شبكه‌اي از مدارهاي مجازي براي انتقال ترافيك شخصي است. در واقع پياده‌‏سازي شبكه‌ي خصوصي يك شركت يا سازمان را روي يك شبكه عمومي، VPN گويند.

   شبكه‏‌هاي رايانه‏اي به شكل گسترده‏اي در سازمان‏ها و شركت‏هاي اداري و تجاري مورد استفاده قرار مي‏گيرند. اگر يك شركت از نظر جغرافيايي در يك نقطه متمركز باشد، ارتباطات بين بخش‏هاي مختلف آن را مي‌توان با يك شبكه‏‏‌ي محلي برقرار كرد. اما براي يك شركت بزرگ كه داراي شعب مختلف در نقاط مختلف يك كشور و يا در نقاط مختلف دنيا است و اين شعب نياز دارند كه با هم ارتباطاتِ اطلاعاتيِ امن داشته‏ باشند، بايستي يك شبكه‏‏‌ي گسترده‏ي خصوصي بين شعب اين شركت ايجاد گردد. شبكه‏‌هاي اينترانت كه فقط محدود به يك سازمان يا يك شركت مي‏باشند، به دليل محدوديت‌هاي گسترشي نمي‏توانند چندين سازمان يا شركت را تحت پوشش قرار دهند. شبكه‏‌هاي گسترده نيز كه با خطوط استيجاري راه‌‏اندازي مي‏شوند، در واقع شبكه‏‌هاي گسترده‏ي امني هستند كه بين مراكز سازمان‌ها ايجاد مي‏شوند. پياده‌‏سازي اين شبكه‏‌ها علي‏رغم درصد پايين بهره‌وري، نياز به هزينه‌ زيادي دارد. زيرا، اين‏ شبكه‏‌ها به دليل عدم اشتراك منابع با ديگران، هزينه‏ مواقع عدم استفاده از منابع را نيز بايستي پرداخت كنند. بهترین راه‌غلبه بر اين مشكلات، راه‌اندازي يك شبکه مجازی VPN است.

   از اصول ديگري که در يک شبکه VPN در نظر گرفته شده بحث امنيت انتقال اطلاعات در اين کانال مجازي مي باشد ... يک ارتباط VPN مي تواند بين يک ايستگاه کاري و يک شبکه محلي و يا بين دو شبکه محلي صورت گيرد... در بين هر دو نقطه يک تونل ارتباطي برقرار مي گردد و اطلاعات انتقال يافته در اين کانال به صورت کد شده حرکت مي کنند، بنابراين حتي در صورت دسترسي مزاحمان و هکرها به اين شبکه خصوصي نمي توانند به اطلاعات رد و بدل شده در آن دسترسي پيدا کنند .  

 

 

 

 

 

 

 

 

 

فصل اول

آشنایی با شبکه مجازی

1-1:شبكه هاي شخصي مجازي

  فرستادن حجم زيادي از داده از يك كامپيوتر به كامپيوتر ديگر مثلا” در به هنگام رساني بانك اطلاعاتي يك مشكل شناخته شده و قديمي است . انجام اين كار از طريق Email به دليل محدوديت گنجايش سرويس دهنده Mail نشدني است .استفاده از FTP  هم به سرويس دهنده مربوطه و همچنين ذخيره سازي موقت روي فضاي اينترنت نياز دارد كه اصلا” قابل اطمينان نيست . يكي از راه حل هاي اتصال مستقيم به كامپيوتر مقصد به كمك مودم است كه در اينجا هم علاوه بر مودم ، پيكر بندي كامپيوتر به عنوان سرويس دهنده RAS لازم خواهد بود . از اين گذشته ، هزينه ارتباط تلفني راه دور براي مودم هم قابل تامل است . اما اگر دو كامپيوتر در دو جاي مختلف به اينترنت متصل باشند مي توان از طريق سرويس به اشتراك گذاري فايل در ويندوز بسادگي فايل ها را رد و بدل كرد . در اين حالت ، كاربران مي توانند به هارد ديسك كامپيوترهاي ديگر همچون هارد ديسك كامپيوتر خود دسترسي داشته باشند . به اين ترتيب بسياري از راه هاي خرابكاري براي نفوذ كنندگان بسته مي شود . شبكه هاي شخصي مجازي يا  VPNها اينگونه مشكلات را حل ميكند . VPN به كمك رمز گذاري روي داده ها ، درون يك شبكه كوچك مي سازد و تنها كسي كه آدرس هاي لازم و رمز عبور را در اختيار داشته باشد مي تواند به اين شبكه وارد شود . مديران شبكه اي كه بيش از اندازه وسواس داشته و محتاط هستند مي توانند VPN را حتي روي شبكه محلي هم پياده كنند . اگر چه نفوذ كنندگان مي توانند به كمك برنامه هاي  Packet sifter  جريان داده ها را دنبال كنند اما بدون داشتن كليد رمز نمي توانند آنها را بخوانند.

1-2:شبکه های LAN جزاير اطلاعاتی  

  فرض نمائيد درجزيره اي در اقيانوسي بزرگ، زندگي مي كنيد. هزاران جزيره در اطراف جزيره شما وجود دارد. برخي از جزاير نزديك و برخي ديگر داراي مسافت طولاني با جزيره شما ميباشند. متداولترين روش بمنظور مسافرت به جزيره ديگر، استفاده از يك كشتي مسافربري است مسافرت با كشتي مسافربري، بمنزله عدم وجود امنيت است. در اين راستا هر كاري را كه شما انجام دهيد،توسط ساير مسافرين قابل مشاهده خواهد بود. فرض كنيد هر يك از جزاير مورد نظر به مشابه يك شبكه محلي(LAN)  و اقيانوس مانند اينترنت باشند. مسافرت با يك كشتي مسافربري مشابه برقراري ارتباط با يك سرويس دهنده وب و يا ساير دستگاه‌هاي موجود در اينترنت است. شما داراي هيچگونه كنترلي بر روي كابل ها و روترهاي موجود در اينترنت نميباشيد.(مشابه عدم كنترل شما بعنوان مسافر كشتي مسافربري بر روي ساير مسافرين حاضر در كشتي ).در صورتيكه تمايل به ارتباط بين دو شبكه اختصاصي از طريق منابع عمومي وجود داشته باشد، اولين مسئله اي كه با چالش هاي جدي برخورد خواهد كرد، امنيت خواهد بود. فرض كنيد، جزيره شما قصد ايجاد يك پل ارتباطي با جزيره مورد نظر را داشته باشد. مسير ايجاد شده يك روش ايمن، ساده و مستقيم براي مسافرت ساكنين جزيره شما به جزيره ديگر را فراهم مي آورد. اما ايجاد و نگهداري يك پل ارتباطي بين دو جزيره مستلزم صرف هزينه هاي بالائي خواهد بود.(حتي اگر جزاير در مجاورت يكديگر باشند).با توجه به ضرورت و حساسيت مربوط به داشتن يك مسير ايمن و مطمئن، تصميم به ايجاد پل ارتباطي بين دو جزيره گرفته شده است. در صورتيكه جزيره شما قصد ايجاد يك پل ارتباطي با جزيره ديگر را داشته باشد كه در مسافت بسيار طولاني نسبت به جزيره شما واقع است، هزينه هاي مربوط بمراتب بيشتر خواهد بود. وضعيت فوق، نظير استفاده از يك اختصاصي است. ماهيت پل هاي ارتباطي(خطوط اختصاصي) از اقيانوس (اينترنت) متفاوت بوده و كماكان قادر به ارتباط جزاير شبكه هاي( LAN) خواهند بود. سازمانها و موسسات متعددي از رويكرد فوق(استفاده از خطوط اختصاصي)استفاده مي نمايند. مهمترين عامل در اين زمينه وجود امنيت و اطمينان براي برقراري ارتباط هر يك سازمانهاي مورد نظر با يكديگر است. در صورتيكه مسافت ادارات و يا شعب يك سازمان از يكديگر بسيار دور باشد، هزينه مربوط به برقراي ارتباط نيز افزايش خواهد يافت با توجه به موارد گفته شده، چه ضرورتي بمنظور استفاده از VPN وجود داشته و VPN تامين كننده، كداميك از اهداف و خواسته هاي مورد نظر است؟ با توجه به مقايسه انجام شده در مثال فرضي، مي توان گفت كه با استفاده از VPN به هريك از ساكنين جزيره يك زيردريائي داده مي شود. زيردريائي فوق داراي خصايص متفاوت نظير : 

- داراي سرعت بالا است . 

- هدايت آن ساده است . 

- قادر به استتار( مخفي نمودن) شما از ساير زيردريائيها و كشتي ها است . 

- قابل اعتماد است . 

- پس از تأمين اولين زيردريائي ، افزودن امكانات جانبي و حتي يك زيردريائي ديگرمقرون به صرفه خواهد بود 

- در مدل فوق ، با وجود ترافيك در اقيانوس ، هر يك از ساكنين دو جزيره قادر به تردد در طول مسير در زمان دلخواه خود با رعايت مسايل ايمني مي‌باشند. مثال فوق دقيقا" بيانگر نحوه عملكرد VPN است . هر يك از كاربران از راه دور شبكه قادر به برقراري ارتباطي امن و مطمئن با استفاده از يك محيط انتقال عمومي ( نظير اينترنت ) با شبكه محلي (LAN) موجود در سازمان خود خواهند بود. توسعه يك VPN افزايش تعداد كاربران از راه دور و يا افزايش مكان هاي مورد نظر ) بمراتب آسانتر از شبكه هائي است كه از خطوط اختصاصي استفاده مي نمايند. قابليت توسعه فراگير از مهمترين ويژگي هاي يك VPN نسبت به خطوط اختصاصي است .

 

 

1-3:معایب ومزایا

  با توجه به اينكه در يك  شبكه VPN به عوامل متفاوتي نظير: امنيت،اعتمادپذيري، مديريت شبكه و سياست ها نياز خواهد بود، استفاده از VPN براي يك سازمان داراي مزاياي متعددي مانند: 

● گسترش محدوه جغرافيائي ارتباطي 

● بهبود وضعيت امنيت 

●  كاهش هزينه هاي عملياتي در مقايسه با روش هاي سنتي نظير  WAN ●  كاهش زمان ارسال و حمل اطلاعات براي كاربران از راه دور 

●  بهبود بهره وري 

●  توپولوژي آسان،و ... است . 

 

برخي از جوانب منفي شبكه سازي اينترنتي نیز به اين شرح است :

●  شك نسبت به اطلاعات دريافت شده 

●  استفاده از منابع غيرموثق 

●  تفسير بد از اطلاعات رسيده 

●  سرقت ايده ها 

●  نبود مهارتهاي حرفه اي در كار با اطلاعات 

●  فروش اطلاعات يا استفاده نابجاي از اطلاعات 

●  عدم اطمينان از كارايي سرويس و تأخير در ارتباطات

 

VPN    نسبت به شبكه‏‌هاي پياده‌‏سازي شده با خطوط استيجاري، در پياده‌‏سازي و استفاده، هزينه كمتري صرف مي‏كند. اضافه وكم كردن گره‌ها  يا شبكه‌هاي محلي به VPN، به خاطر ساختار آن، با هزينه‌ كمتري امكان‏پذير است. در صورت نياز به تغيير همبندي شبكه‌ي خصوصي، نيازي به راه‌‏اندازي مجدد فيزيكي شبكه نيست و به صورت نرم‏افزاري، همبندي شبكه قابل تغيير است. 

 

1-4:تونل کشی

  مجازي بودن در VPN به اين معناست كه شبكه‏‌هاي محلي و ميزبان‏هاي متعلق به عناصر اطلاعاتي يك شركت كه در نقاط مختلف از نظر جغرافيايي قرار دارند، همديگر را ببينند و اين فاصله‏‌ها را حس نكنند. VPNها براي پياده‌‏سازي اين خصوصيت از مفهومي به نام تونل‌‏كشي(tunneling)استفاده مي‏كنند. همانطور که در شکل(1-1)مشاهده میشود در تونل‌‏كشي، بين تمامي عناصر مختلف يك VPN، تونل ‏زده مي‏شود. از طريق اين تونل، عناصر به صورت شفاف همديگر را مي‏بينند. در روش فوق تمام بسته اطلاعاتي در يك بسته ديگر قرار گرفته و از طريق شبكه ارسال خواهد شد. پروتكل مربوط به بسته اطلاعاتي خارجي(پوسته)توسط شبكه و دو نقطه(ورود و خروج بسته اطلاعاتي)قابل فهم ميباشد.دو نقطه فوق را "اينترفيس هاي تونل" مي گويند.

 روش فوق مستلزم استفاده از سه پروتكل است : 

 

●  پروتكل حمل كننده: از پروتكل فوق شبكه حامل اطلاعات استفاده مي نمايد. 

●  پروتكل كپسوله سازي: از پروتكل هائي نظير: IPSec ,L2F ,PPTP ,L2TP ,GRE استفاده ميگردد. 

●  پروتكل مسافر: از پروتكل هائي نظير IPX ,IP ,NetBeui بمنظور انتقال داده هاي اوليه استفاده مي شود.

 

 

 

شکل 1-1:نمای ساده شده تونل کشی

 

1-4-1:مفهوم تونل کشی در VPN

  براي تونل‌‏كشي بين عناصر يك VPN از مفهومي به نام لفافه‏بندي بسته‏‌هاي اطلاعاتي  استفاده مي‏شود. تمام عناصر يك VPN داراي آدرس‏هاي اختصاصي هستند. همه اين عناصر از آدرس‏هاي اختصاصي يكديگر مطلعند و هنگام ارسال داده بين يكديگر از اين آدرس‏ها استفاده مي‏كنند. اين وظيفه‏ي يك VPN است كه بسته‏‌هاي اطلاعاتي را در بسته‏‌هاي انتقالي روي شبكه عمومي لفافه‏بندي كند و پس از انتقال امن از محيط ارتباط عمومي، آن بسته‏‌ها را از حالت لفافه‏بندي خارج نموده و با توجه به آدرس قبل از لفافه‏بندي، بسته‏‌ها را به عنصر گيرنده برساند. به اين‌ ترتيب ايجاد VPN بر روي يك شبكه‏‏‌ي عمومي، با پياده‌‏سازي دو جنبه‏ي خصوصي‏گري و مجازي‏گري امكان‏پذير است.

  عملكرد Tunneling مشابه حمل يك كامپيوتر توسط يك كاميون است . فروشنده، پس از بسته بندي كامپيوتر (پروتكل مسافر) درون يك جعبه (پروتكل كپسوله سازي)، آن را توسط يك كاميون (پروتكل حمل كننده)از انبار خود (اينترفيس ورودي تونل) براي متقاضي ارسال مي دارد. كاميون (پروتكل حمل كننده) از طريق بزرگراه (اينترنت) مسير خود را طي، تا به منزل شما (اينترفيش خروجي تونل) برسد. شما در منزل جعبه (پروتكل كپسول سازي) را باز و كامپيوتر (پروتكل مسافر) را از آن خارج مي نمائيد. 

  با استفاده از روش Tunneling مي توان عمليات جالبي را انجام داد. مثلا" مي توان از بسته اي اطلاعاتي كه پروتكل اينترنت را حمايت نمي كند درون يك بسته اطلاعاتي IP استفاده و آن را از طريق اينترنت ارسال نمود و يا مي‌توان يك بسته اطلاعاتي را كه از يك آدرس IP غير قابل رؤيت( اختصاصي )استفاده مي نمايد، درون يك بسته اطلاعاتي كه از آدرس هاي معتبر IP استفاده مي كند، مستقر و از طريق اينترنت ارسال نمود.