شبکه‌های خصوصی مجازی

Virtual Private Network) VPN) : در طی ده سال گذشته دنیا دستخوش تحولات فراوانی در عرصه ارتباطات بوده است .اغلب سازمانها و موسسات ارائه كننده كالا و خدمات كه در گذشته بسیار محدود و منطقه‌ای مسائل را دنبال و درصدد ارائه راهكارهای مربوطه بودند، امروزه بیش از گذشته نیازمند تفكر در محدوده جهانی برای ارائه خدمات و كالای تولید شده را دارند. بعبارت دیگر تفكرات منطقه‌ای و محلی حاكم برفعالیت‌های تجاری خود را به تفكرات جهانی و سراسری داده اند. امروزه با سازمانهای زیادی برخورد می نمائیم كه در سطح یك كشور دارای دفاتر فعال و حتی در سطح دنیا دارای دفاتر متفاوتی می باشند. تمام سازمانهای فوق قبل از هر چیز به دنبال یك اصل بسیار مهم می باشند. یك روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یك كشور و یا در در سطح دنیا .جهت ارتباط بین دو نقطه بصورت WAN روشهای متفاوتی وجود دارد از قبیل استفاده از خطوط Leased Line ، خطوط فیبر نوری E۱)) ، شبكه بی سیم (Wireless) ،استفاده از دكل های Face- to- face و در نهایت ارتباط Sattelite،ولی نكته قابل توجه این است كه با استفاده از تمام تكنولوژیهای فوق می توان یك ارتباط WAN با ایمنی و قابلیت اطمینان بالا ایجاد كرد ولی این كار مستلزم صرف هزینه بالایی می باشد. لذا سازمانها و موسسات جهت انتقال data به دنبال بستری بودند كه علاوه بر ایمن بودن اطلاعات در حین انتقال ، هزینه را نیز به حداقل برسانند.به همین دلیل در صدد برآمدند كه از شبكه اینترنت بعنوان بستری عمومی جهت این انتقال استفاده نمایند ولی این عمل اگر چه هزینه را به طور چشمگیری پایین می آورد ولی ایمنی و قابلیت اطمینان را پائین آورده و اطلاعات را در معرفی خطر توسط اشخاص غیر مجاز قرار می‌داد.لذاشركتهای بزرگ تولید كننده تجهیزات شبكه طی قراردادی به این نتیجه رسیدند كه در خطوط ارتباطی اینترنتی بین دو منطقه مورد نظر یك تونل مجازی ایجاد نمایند. همچنین data را جهت انتقال به روشهای مختلفی encapsulate ،نماینده و بعلاوه جهت برقراری ارتباط از روشهای مختلف Authentication استفاده نمایند .همچنین جهت بالا بردن امنیت از روشهای encription password وایجادfirewall و بكار بردنAccess list می توان بهره برد كه در ادامه توضیح داده خواهد شد. پس بطور كلی VpnTunnelling یك تونل مجازی بین دو نقطه جغرافیایی می باشد كه طبق اصول و قوانین خاص امنیتی ، اطلاعات بین این دو نقطه منتقل میگردد.
VPN دارای مزیتهایی می باشد.
۱- دارای سرعت بالا می باشد
۲- هدایت آن ساده است
۳- قادر به استتار اطلاعات می باشد.
۴- قابل اعتماد است .
۵ – مقرون به صرفه است
۶- قابلیت توسعه آن بیشتر از شبكه های WAN اختصاص می باشد.
●امنیت VPN:
شبكه های VPN به منظور تامین امنیت (داده ها، ارتباطات) از روشهای متعددی استفاده می نمایند .
۱- فایروال
فایروال یك دیواره مجازی بین شبكه اختصاصی یك سازمان و اینترنت ایجاد می‌نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاستهای امنیتی یك سازمان انجام داد. مانند ایجاد محدودیت در تعداد پورتهای فعال ، ایجاد محدودیت در رابطه ، باپروتكلهای خاص، ایجاد محدودیت در نوع بسته های اطلاعاتی و غیره نمونه هایی از عملیاتی است كه می توان با استفاده از یك فایروال انجام داد.
۲- رمزنگاری
رمزنگاری فرآیندی است كه با استفاده از آن كامپیوتر مبدا اطلاعاتی رمز شده را برای كامپیوتر دیگر ارسال می نماید، سایر كامپیوترهای مجاز قادر به رمزگشایی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده ، دریافت كنندگان قبل از استفاده از اطلاعات می بایست اقدام به رمزگشایی اطلاعات ارسال شده نمایند. سیستمهای رمزنگاری در كامپیوتر به دو گروه تقسیم می شوند.
۱- رمزنگاری كلید متقارن
۲- رمزنگاری كلید عمومی
در رمزنگاری كلید متقارن هر یك از كامپیوترها دارای یك كلید secret بوده كه با استفاده از آن قادر به رمزنگاری یك بسته اطلاعاتی قبل از ارسال در شبكه برای كامپیوتر دیگر می باشند. در روش فوق می‌بایست در ابتدا نسبت به كامپیوترهائی كه قصد برقراری و ارسال اطلاعات برای یكدیگر را دارند‌، آگاهی كامل وجود داشته باشد. هریك از كامپیوترهای شركت كننده در مبادله اطلاعاتی می بایست دارای كلید رمز مشابه بمنظور رمزگشایی اطلاعات باشند. بمنظور رمزنگاری اطلاعات نیز از كلید فوق استفاده خواهد شد. فرض كنید قصد ارسال یك پیام رمز شده برای یكی از دوستان خود را داشته باشید، بدین منظور از یك الگورتیم خاص برای رمزنگاری استفاده می شود . در الگوریتم فوق هر به دو حرف بعد از خود تبدیل می‌گردد .( حرف A به حرف C ، حرف B به حرف D ) پس از رمز نمودن پیام و ارسال آن ، می بایست دریافت كننده پیام به این حقیقت واقف باشد كه برای رمزگشایی پیام ارسال شده ، هر حرف به دو حرف قبل از خود می بایست تبدیل گردد. در چنین حالتی می بایست به دوست خود واقعیت فوق (كلید رمز) گفته شود . در صورتیكه پیام فوق توسط افراد دیگری دریافت می گردد. به دلیل عدم آگاهی از كلید آنان قادر به رمز گشایی و استفاده از پیام ارسال شده نخواهند بود. در رمز نگاری عمومی از تركیب یك كلید خصوصی و یك كلید عمومی استفاده می شود . كلید خصوصی صرفاً برای كامپیوتر ارسال كننده قابل شناسایی و استفاده است . كلید عمومی توسط كامپیوتر شما در اختیار تمام كامپیوترهای دیگر كه قصد ارتباط با آنرا داشته باشند گذاشته می شود. بمنظور رمزگشایی یك پیام رمز شده ، یك كامپیوتر می بایست با استفاده از كلید عمومی (ارائه شده توسط كامپیوتر ارسال كننده ) ، كلید خصوصی مربوط به خود ، اقدام به رمزگشایی پیام ارسالی نماید. یكی از متداولترین ابزار رمزنگاری كلید عمومی روشی به نام PGP pretty good privacy) ) است . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.
۳- IPSEC (Internet protocol security)
یكی از امكانات موجود برای ایجاد امنیت و ارسال و دریافت اطلاعات می باشد. قابلیت روش فوق درمقایسهبا الگوریتمهای رمزنگاری به مراتب بیشتر است . پروتكل فوق دارای دو روش رمزنگاری است.
Transport , Tunnelدر روش tunnel ، هدر و Payload رمز شده در حالیكه در روش transport صرفاً payload رمز میگردد. پروتكل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است.
-روتر به روتر
- فایروال به روتر
-كامپیوتر به روتر
-كامپیوتر به سرویس دهنده .
۴- پروتكلهای Athentication
به منظور ایجاد امنیت بالا در محیطهای VPN از پروتكلهای امنیتی Athen tication استفاده می گردد. پروتكلهای امنیتی به فرم زیر می باشند.
۱- PAP Password Authentication protocol) )
۲- CHAP chalenge Authentication protocol) )
۳- ms chap
بطوریكه ابتدا username و password بصورت encripte شده دریافت می گردد ،سپس در Accounting چك می گردد كه شما مجوز ورود دارید یا خیر. پس در صورت داشتن مجوز Register شده و یك Acknowledg ment به شما ارسال میگردد . همچنین جهت بالا بردن امنیت می توان با استفاده از سرور linux امنیت را افزایش داد و از الگوریتمهای MD۵ و KERBRAUS نیز بهره برد.
۵- encapsulation
در انتقال داده ها به روش vpn Tunneling اطلاعات با فرمت خاصی encapsulate شده و در واقع packet واقعی در یك بسته دیگری با header دیگر قرار گرفته و ارسال میگردد. روشهای مختلف encapsulation كه بر روی روتر قابل تعریف است عبارتند از:
- PPP
- HDLC
- Fram relay
پروتكلهای كپسوله سازی فوق از روشهای نظیر
(generic vouting encapsulation) GRE
(layer۲ tunneling protocol) l۲TP
(poin to point tunneling protol) PPTP
(layer ۲ forwarding) L۲F
(interuot protocol security) IPSECاستفاده می نمایند.پروتكلهای فوق برروی تجهیزات ساخته شده توسط شركت cisco موجود می باشد.
۶- اعمال محدودیت
برروی روتر می توان دستوراتی به عنوان access list تعریف نمود كه طی آن برای افراد غیر مجاز محدودیت ایجاد كرد. توسط accesslist می توان عنوان كرد كه فقط یك IP خاص باsubnetmask خاص و پروتكل ارتباطی و پورت خاص می تواند مجوز ورود داشته باشد.
۷- سرویس دهندهAAA.
سرویس دهنده AAA بمنظور ایجاد امنیت بالا در محیط های vpn استفاده می گردند. زمانیكه كاربران در حال اتصال هستند سرویس دهندگان AAA درخواست آنها را اخذ و عملیات زیر را انجام خواهند داد.
شما چه كسی هستید؟
Authentication
شما مجاز به انجام چه كاری هستید؟
Authorizaton
چه كارهایی را انجام داده اید؟
Accounting
مدیریت شبكه های خصوصی مجازی
۱- مدیریت خرابی ( fault management ) :
جنبه های پشتیبانی و كاركردهای مورد نیاز برای مدیریت خرابی شامل موارد زیر است:
- مشخص كردن مشتریهایی كه ازخرابی متاثر شده اند .
- Alarm كشف خطا (گزارش های حوادث ها ، مشخص كردن خطاها)
- تعیین محل خرابی
- ثبت حوادث
- عملیات اصلاحی ( ترافیك ، مسیر یابی ، تخصیص منابع )
۲- مدیریت پیكر بندی ( configuration management )
NMS (network management system) سیستم مدیریت شبكه باید دست كم پیكر بندی جنبه های زیر را برای روترهای طرف provider ، costumer لایه ۳ را پشتیبانی كند.عضویت اینترانت و اكسترانت و پروتكل مسیر یابی برای هر اتصال ، اندازه گیری مسیر ، تونلها و غیره .
- NMS باید شناسه هایی را بكار برد و از تونلهای سلسله مراتبی پشتیبانی كند.
- تونلها بایدبین دستگاههای provider،costumer پیكربندی شود.
- پروتكلهای مسیریابی باید بین روترهای دوطرف پیكربندی شوند.
۳- مدیریت حسابداری (Accounting management)
سیاری از سرویس دهندگان هزینه شارژ را بر مبنای میزان مصرف ارائه می كنند، بنابراین اندازه‌‌گیریهایی كه میزان مصرف منابع را نشان می دهد باید با استفاده از سیستم های پشتیبانی و پروتكلها كامل باشد تا بتوان به حساب مشتریان رسیدگی كرد. همچنین ممكن است NMS به نگهداری همبستگی میان اطلاعات حسابداری با اطلاعات مدیریت خرابی و كارایی نیاز داشته باشد.همه راه حلهای گسترش VPN باید چگونگی انجام توابع مدیریت حسابداری زیر تشریح كنند.
- اندازه گیری میزان استفاده از منابع
- جمع آوری اطلاعات حسابداری
- ذخیره سازی و مدیریت اندازه گیری ها
۴- مدیریت كارایی performance management) )
مدیریت كارایی شامل مجموعه توابعی است كه درگیرمانیتور كردن و جمع آوری داده های مربوط به كارایی دستگاههای مربوط ، تسهیلات ، خدمات و همچنین محاسبه توافق با مشخصات سطح سرویس‌، اندازه گیری های قابل دسترس بودن هستند. مدیریت كارایی همچنین باید تحلیل جنبه های مهم یكVPN مانند میزان استفاده از پهنای باند ، زمان پاسخ ، در دسترس بودن ، آمارگیری و برنامه ریزی آینده بر مبنای داده های جمع آوری شده را پشتیبانی كند.
۵- مدیریت امنیت :
تابع مدیریت امنیت كاركردی NMS ، باید شامل جنبه هایی از مدیریت برای تضمین امنیت دستگاهها، اتصالات قابل دسترس و پروتكلهای داخل شبكه و همچنین امنیت داده ها و كنترل مشتریان باشد.
كیفیت سرویس VPN :
كیفیت سرویس بطور كلی به معنای اطمینان از داشتن كم ترین تاخیر یا گم شدن كم ترین میزان بسته‌هاست . كه برای انواع مشخصی از كاربردها یا ترافیك تعریف می شود. شبكه های سنتی شركتها می توانستند سطوح ثابتی را برای در دسترس بودن منابع در همه وضعیتها تضمین كنند كه این تضمین با استفاده از مدارهای اجاره ای اختصاص صورت می گرفت . VPN ها می توانند كارایی قابل قبول و قابل مقایسه با راه حلهای خطوط اختصاصی ایجاد كنند. همچنین انتظار می رود كه تهیه كنندگان سرویس VPN از كیفیت به همان نوع پشتیبانی كنند.بعلاوه دو چهارچوب بعنوان معماری كنترل كیفیت در شكبه های بر مبنای IP بوجود آمده است .
- سرویسهای مجتمع (Intserv)
- سرویسهای متمایز(Diffserv)
همچنین همراه با مدیریت ترافیك و مسیریابی مبتنی بر محدودیت نیز ابزارهای جدیدی برای مدیریت و كنترل كیفیت تهیه شده است . كه این روشها قابل كاربرد به VPN های مبتنی بر IP نیز هستند.
●Intserv :
در مدل سرویسهای مجتمع ، application ها مشخصات ترافیكی خود را می دانند و به گره های میانی شبكه علامت می دهند تا منابع مشخصی را برایشان ذخیره كنند تا بتوانند مشخصات ترافیكی آنها را برآورده سازند. بر حسب در دسترس بودن منابع ، گروه های میانی شبكه ، منابع را رزرو می كند و یك پیغام acknowledgement مثبت یا منفی بر میگرداند. این بخش از استاندارد ، كنترل ورود (admission control) نامیده می شود. پروتكل سیگنا لینگی كه در این بخش بیش تر استفاده می شود RSVP نامیده می شود.RSVP دو نوع كلاس سرویس را وابسته به نوع كاربرد و میزان حساسیت آن به تاخیر ، گم شدن بسته‌‌ها و غیره تحویل می دهد:
- سرویس تضمین شده :Guaranteed service
این سرویس پهنای باند را برای ترافیك application مورد نظر و پیشینه معینی را برای تاخیر تضیمن می كند.
- سرویس با بار كنترل control- load- service :
در این سرویس تاخیر متوسط تضمین می شود. اما تاخیر انتهایی كه بوسیله یك بسته دلخواه ایجاد می شود ، بطور دقیق نمی توان محاسبه شود.عمده ترین مشكل روشهای سرویس مجتمع ،‌ در استفاده از RSVP است . RSVP به تك تك جریانهای هر ترافیك یك میزان كیفیت نسبت می دهد. بنابراین ترافیك سینگالینگ سنگین باید بین عناصر شبكه كه وابسته به یك ناحیه مركزی از شبكه هستند، مبادله شود. بعلاوه بعد از اینكه رزرو صورت گرفت و ارتباط برقرار شد، هر عنصر شبكه باید برای هر بسته IP رسیده ، كلاس مشخص كند تا متعلق بودن به یك جریان كنترل كیفیت مشخص شود و اگر بسته IP رسیده متعلق به یك جریان كنترل كیفیت مورد نظر بود، منابع لازم را به جریان نسبت دهد. بنابراین در استفاده از RSVP مسائلی هم چون قابلیت گسترش در حوزه سیگنالینگ ، كلاس بندی و مكانیزم های زمان بندی وجود دارد.
●DIFFSERV :
تدارك سرویس متمایز برای تهیه كنترل كیفیت در یك شبكه از طریق مكانیزم هایی است كه می توانند برای بدست آوردن یك سرویس برای مشتری انتهایی استفاده می شوند. یكی از این مكانیزم ها رفتار در هر PHB است .Diffserv تعدای از رفتارهای داده ها را كه بعنوان یك PHB شناخته می شوند، تعریف می كند. این رفتارها می توانند به بسته های هر گروه اعمال شوند.همه بسته هایی كه از یك لینك عبور می كند و به رفتار مشابهی نیاز دارند یك Behavior Aggregate را تشكیل می دهند. PHB برای مشخص كردن رفتار نسبت داده شده به هر بسته در گروه بكار می رود. این رفتار شامل انتخاب صف و تنظیم زمانبندی و آستانه ازدحام است . بسته ها برای تشخیص رفتاری كه نیاز دارند، با استفاده از بایت DS علامت گذاری می شوند. بایت DS در قسمت بایت TOS كه در Heador IP وجود دارد قرار می گیرد.
●PHB های تعریف شده عبارتند از :
- EF (Expe dited forwarding)
در هر گروه loss پایین ، jitter پایین و تاخیر پایین را عرضه می دارد.
- AF (Assured forwarding)
گروه AF ، n كلاس forwarding غیر وابسته را تعریف می كند. كه البته در حال حاضر چهار كلاس فور واردینگ غیره وابسته تعریف شده است كه بصورت : Afl-Afn هستند. در داخل هریك از این كلاسهای فورواردینگ برای احتمال تحویل بسته ،M زیر كلاس وجود دارد كه در حال حاضر سه زیر كلاس تعریف شده است . هر كلاس فورواردینگ در داخل این گروه بطور مستقل برای منابعی مانند فضای سبز و حداقل ظرفیت خروجی كه باید بوسیله مكانیزم زمانبندی تضمین شود ، پیكربندی می شود.
- DE (Default Behavior)
DE ترافیك موجود besteffort را مشخص و رفتاری تعریف می كند كه گره ، هر تعدای از این بسته‌‌ها را كه امكان داشته باشد در كوتاهترین زمان ممكن تحویل دهد.
منابع :
۱- CCNA INTRO ۶۴۰-۸۲۱ exam certification Guide
۲- CCNA ICND ۶۴۰-۸۱۱ exam certification Guide
۳- CCNP
- ۴مدیریت شكبه های خصوصی مجازی نوشته مریم زمردی مقدم
تهیه و تنظیم : مهدی صدقی
معاونت برنامه ریزی و سیاستگذاری واشتغال
اداره كل آمار نیروی انسانی و خدمات ماشینی