آبجی
12th October 2009, 12:16 PM
VPN يا شبكه مجازي اختصاصي (Virual Private Network) ابزار برقراري ارتباط در شبكه است. از زمان گسترش دنياي شبكههاي كامپيوتري، سازمانها و شركتها به دنبال يك شبكه ايمن و سريع گشتهاند.
تا مدتي قبل شركتها و سازمانهايي كه اطلاعات زيادي براي انتقال داشتند از خطوط Leased و شبكههاي WAN بهره ميبردند. شبكههاي ISDN (با سرعت 128كيلوبايت بر ثانيه) و OC3 (با 155مگابايت بر ثانيه) بخشي از شبكه WAN هستند.
اين شبكهها مزيتهاي زيادي نسبت به اينترنت دارند ولي گسترش و نصب آنها بسيار گرانقيمت و وقتگير است.
افزايش محبوبيت و فراگيري اينترنت بعضي از سازمانها را به استفاده از انترانت كشاند. در اين بين استفاده از شبكههاي مجازي اختصاصي (VPN) مطرح شد.
اصولاً VPN يك شبكه اختصاصي است كه از يك شبكه عمومي مانند اينترنت براي ايجاد يك كانال ارتباطي مخصوص بين چندين كاربر و دسترسي به اطلاعات بهره ميبرد.
بهره بردن VPN از شبكههاي عمومي مسافت را بيمعني ميسازد، امنيت را بالا ميبرد و دردسرهاي استفاده از پروتكلهاي مختلف را كاهش ميدهد.
مثال خوبي ميتوان براي توضيح VPN مطرح كرد. چند جزيره كوچك و مستقل از هم را در اقيانوسي در نظر بگيريد. در اينجا جزيرهها نقش مراكزي را ايفا ميكنند كه ما قصد اتصال آنها به يكديگر را داريم. اقيانوس هم ميتواند يك شبكه عمومي مانند اينترنت باشد.
براي رفت و آمد از جزيرهاي به جزيره ديگر ميتوان از قايقهاي موتوري كوچك استفاده كرد. البته استفاده از اين قايقها بسيار وقتگير و البته ناامن است. هر كس از جزيرههاي ديگر ميتواند رفت و آمد شما را مشاهده كند. از اين رو مي توان قايق را به استفاده از وب براي ايجاد ارتباط بين دو مركز تشبيه كرد.
فرض كنيد كه بين جزيرهها پلهايي ساخته شدهاست. استفاده از اين پلها به مراتب بهتر از روش قبلي است. البته اين روش نيز بسيار گران قيمت است و از ايمني كافي برخوردار نيست. اين روش را نيز ميتوان به استفاده از خطوط Leased تشبيه كرد.
حال استفاده از VPN را به صورت يك زيردريايي كوچك و سريع فرض كنيد. رفت و آمد با اين زيردريايي بسيار سريع و آسان است. از طرفي رفت و آمد شما كاملا? دور از چشمان همه انجام ميشود.
VPDN و Site-to-Site
از انواع VPN ميتوان به Remote Access VPN يا Virtual Private Dial-up Netowrk اشاره كرد. VPDN براي سازمانهايي كه كاربران زيادي در مكانهاي متعدد دارند، مناسب است. به اين ترتيب از يك مركز براي ايجاد سرور شبكه دسترسي (NAS) استفاده ميشود. هر كاربر ابزاري براي اتصال به اين سرور دريافت ميكند و به VPN متصل ميشود. [چطور سرورهاي اينترنت كار ميكنند؟]
نوع ديگر Site-to-Site نام دارد. در اين روش با استفاده از اينترانت و اكسترانت ميتوان دو سايت مشخص را به هم متصل كرد. اين كار براي شركتهايي مناسب است كه قصد به اشتراك گذاشتن يك دسته اطلاعات خاص با شركت ديگري را دارند. در اين روش VPN تنها بين دو سايت مشخص شده ايجاد ميشود.
تونلينگ (Tunneling)
VPN معمولاً براي ايجاد شبكه اختصاصي از تونلينگ استفاده ميكند. در اين روش يك تونل ارتباطي، بسته ديتايي كه در درون يك بسته ديگر قرار گرفته را به مقصد ميرساند.
تونلينگ از سه پروتكل ارتباطي استفاده ميكند:
پروتكل حامل (Carrier Protocol): اطلاعات شامل حمل اطلاعات به مقصد
پروتكل كپسوله كردن (Encapsulating Protocol): پروتكلي است كه بسته ديتا اصلي درون آن قرار ميگيرد
پروتكل عابر (Passenger Protocol): پروتكل مربوط به ديتا اصلي
استفاده از تونلينگ ارسال و دريافت هر نوع اطلاعاتي را ممكن ميسازد. براي مثال ميتوان دادهاي كه پروتكلي غير از IP (مانند NetBeui) دارد را در درون بسته IP قرار داد و به راحتي به مقصد رساند.
امنيت : فايروال
متخصصان شبكه از ابزارهاي مختلفي براي ايمن ساختن VPN استفاده ميكنند.
استفاده از فايروال تقريباً يكي از مرسومترين روشهاي ايمن سازي شبكهها است. فايروال ميتواند پورتهاي مختلف و همچنين نوع بستههاي ديتا را كنترل و محدود كند.
امنيت: كدگذاري
كدگذاري شامل ترجمه اطلاعات به رمزهايي خاص و ارسال آنها به يك دستگاه ديگر است به طوري كه دستگاه گيرنده هم ابزار ترجمه اين رمز خاص را دارا باشد.
در VPN از دو نوع كدگذاري استفاده ميشود. روش متفارن (Symmetric-key encryption) نوع رمز به كار رفته را همراه با اطلاعات ارسال ميكند. به اين ترتيب كامپيوتر فرستنده اطلاعات را به رمز خاصي ترجمه ميكند و اطلاعات اين رمز را همراه با دادهها به كامپيوتر گيرنده ارسال ميكند. كامپيوتر گيرنده نيز با دريافت دادهها و مشاهده اطلاعات كدگذاري، رمزها را ترجمه ميكند.
روش ديگر از دو كليد براي كدگذاري و بازخواني رمزها استفاده ميكند. اطلاعات كدگذاري شده يك كليد عمومي دريافت ميكنند در حالي كه هر كامپيوتر گيرنده بايد از قبل كليد مخصوصي را نيز دارا باشد. به اين ترتيب براي بازخواني اطلاعات كدگذاري شده، بايد هر دو كليد را در دست داشت.
تا مدتي قبل شركتها و سازمانهايي كه اطلاعات زيادي براي انتقال داشتند از خطوط Leased و شبكههاي WAN بهره ميبردند. شبكههاي ISDN (با سرعت 128كيلوبايت بر ثانيه) و OC3 (با 155مگابايت بر ثانيه) بخشي از شبكه WAN هستند.
اين شبكهها مزيتهاي زيادي نسبت به اينترنت دارند ولي گسترش و نصب آنها بسيار گرانقيمت و وقتگير است.
افزايش محبوبيت و فراگيري اينترنت بعضي از سازمانها را به استفاده از انترانت كشاند. در اين بين استفاده از شبكههاي مجازي اختصاصي (VPN) مطرح شد.
اصولاً VPN يك شبكه اختصاصي است كه از يك شبكه عمومي مانند اينترنت براي ايجاد يك كانال ارتباطي مخصوص بين چندين كاربر و دسترسي به اطلاعات بهره ميبرد.
بهره بردن VPN از شبكههاي عمومي مسافت را بيمعني ميسازد، امنيت را بالا ميبرد و دردسرهاي استفاده از پروتكلهاي مختلف را كاهش ميدهد.
مثال خوبي ميتوان براي توضيح VPN مطرح كرد. چند جزيره كوچك و مستقل از هم را در اقيانوسي در نظر بگيريد. در اينجا جزيرهها نقش مراكزي را ايفا ميكنند كه ما قصد اتصال آنها به يكديگر را داريم. اقيانوس هم ميتواند يك شبكه عمومي مانند اينترنت باشد.
براي رفت و آمد از جزيرهاي به جزيره ديگر ميتوان از قايقهاي موتوري كوچك استفاده كرد. البته استفاده از اين قايقها بسيار وقتگير و البته ناامن است. هر كس از جزيرههاي ديگر ميتواند رفت و آمد شما را مشاهده كند. از اين رو مي توان قايق را به استفاده از وب براي ايجاد ارتباط بين دو مركز تشبيه كرد.
فرض كنيد كه بين جزيرهها پلهايي ساخته شدهاست. استفاده از اين پلها به مراتب بهتر از روش قبلي است. البته اين روش نيز بسيار گران قيمت است و از ايمني كافي برخوردار نيست. اين روش را نيز ميتوان به استفاده از خطوط Leased تشبيه كرد.
حال استفاده از VPN را به صورت يك زيردريايي كوچك و سريع فرض كنيد. رفت و آمد با اين زيردريايي بسيار سريع و آسان است. از طرفي رفت و آمد شما كاملا? دور از چشمان همه انجام ميشود.
VPDN و Site-to-Site
از انواع VPN ميتوان به Remote Access VPN يا Virtual Private Dial-up Netowrk اشاره كرد. VPDN براي سازمانهايي كه كاربران زيادي در مكانهاي متعدد دارند، مناسب است. به اين ترتيب از يك مركز براي ايجاد سرور شبكه دسترسي (NAS) استفاده ميشود. هر كاربر ابزاري براي اتصال به اين سرور دريافت ميكند و به VPN متصل ميشود. [چطور سرورهاي اينترنت كار ميكنند؟]
نوع ديگر Site-to-Site نام دارد. در اين روش با استفاده از اينترانت و اكسترانت ميتوان دو سايت مشخص را به هم متصل كرد. اين كار براي شركتهايي مناسب است كه قصد به اشتراك گذاشتن يك دسته اطلاعات خاص با شركت ديگري را دارند. در اين روش VPN تنها بين دو سايت مشخص شده ايجاد ميشود.
تونلينگ (Tunneling)
VPN معمولاً براي ايجاد شبكه اختصاصي از تونلينگ استفاده ميكند. در اين روش يك تونل ارتباطي، بسته ديتايي كه در درون يك بسته ديگر قرار گرفته را به مقصد ميرساند.
تونلينگ از سه پروتكل ارتباطي استفاده ميكند:
پروتكل حامل (Carrier Protocol): اطلاعات شامل حمل اطلاعات به مقصد
پروتكل كپسوله كردن (Encapsulating Protocol): پروتكلي است كه بسته ديتا اصلي درون آن قرار ميگيرد
پروتكل عابر (Passenger Protocol): پروتكل مربوط به ديتا اصلي
استفاده از تونلينگ ارسال و دريافت هر نوع اطلاعاتي را ممكن ميسازد. براي مثال ميتوان دادهاي كه پروتكلي غير از IP (مانند NetBeui) دارد را در درون بسته IP قرار داد و به راحتي به مقصد رساند.
امنيت : فايروال
متخصصان شبكه از ابزارهاي مختلفي براي ايمن ساختن VPN استفاده ميكنند.
استفاده از فايروال تقريباً يكي از مرسومترين روشهاي ايمن سازي شبكهها است. فايروال ميتواند پورتهاي مختلف و همچنين نوع بستههاي ديتا را كنترل و محدود كند.
امنيت: كدگذاري
كدگذاري شامل ترجمه اطلاعات به رمزهايي خاص و ارسال آنها به يك دستگاه ديگر است به طوري كه دستگاه گيرنده هم ابزار ترجمه اين رمز خاص را دارا باشد.
در VPN از دو نوع كدگذاري استفاده ميشود. روش متفارن (Symmetric-key encryption) نوع رمز به كار رفته را همراه با اطلاعات ارسال ميكند. به اين ترتيب كامپيوتر فرستنده اطلاعات را به رمز خاصي ترجمه ميكند و اطلاعات اين رمز را همراه با دادهها به كامپيوتر گيرنده ارسال ميكند. كامپيوتر گيرنده نيز با دريافت دادهها و مشاهده اطلاعات كدگذاري، رمزها را ترجمه ميكند.
روش ديگر از دو كليد براي كدگذاري و بازخواني رمزها استفاده ميكند. اطلاعات كدگذاري شده يك كليد عمومي دريافت ميكنند در حالي كه هر كامپيوتر گيرنده بايد از قبل كليد مخصوصي را نيز دارا باشد. به اين ترتيب براي بازخواني اطلاعات كدگذاري شده، بايد هر دو كليد را در دست داشت.