خرید vpn سرور

در این مقاله قصد داریم به مبحث شبکه خصوصی مجازی یا VPN بپردازیم . امروزه با وجود بعد مسافت و نیاز به برقراری ارتباطات میان شعب مختلف سازمان ها کاربران به دنبال راهی برای برقراری ارتباط و دسترسی از راه دور به سایر شعب بصورت امن و البته سریع و آسان هستند که VPN این امکان را فراهم آورده است . VPN در حقیقت با ایجاد یک شبکه خصوصی مجازی و ارائه ی یک مکانیزم امن برای رمز نگاری و کپسوله سازی ترافیک ،در محیط ناامن اینترنت شرایط مناسب را برای برقراری ارتباط امن میان شبکه مبدا و مقصد مورد نظر آن فراهم می کند. در این ساختار برای حفظ محرمانگی داده ها آنها را رمزنگاری می کنند و از انتشار و اشتراک گذاری Packet هایی که فاقد کلید های رمزنگاری صحیح هستند در این محیط جلوگیری می شود .در این ساختار، داده ها با یک هدر در بردارنده ی اطلاعات مسیریابی ،محصور و کپسوله می شوند. در اولین قسمت مقاله به توضیح برخی از نکات و اطلاعات فنی مربوط به VPN پرداخته و در مقاله بعدی با طرح یک سناریو به پیاده سازی این سرویس می پردازیم.

خرید cisco vpn - خرید cisco anyconnect خرید اکانت خرید vpn
خرید cisco vpn – خرید cisco anyconnect خرید اکانت خرید vpn خرید vpn خرید vpn آندروید خرید vpn آیفون

معماری Virtual Private Network یا VPN

راه های متفاوتی برای برقراری ارتباط به کمک VPN وجود دارد که در اینجا به دو سناریوی رایج آن اشاره می کنیم :

ارتباطات VPN مبتنی بر اینترنت

Remote access VPN: کاربر دور کاری که قصد ریموت زدن به شبکه داخلی یک سازمان را دارد و بدین منظور از یک شبکه خصوصی مجازی برای ایجاد این ارتباط بهره می گیرد. در حقیقت VPN سرور است که دسترسی به منابع مورد نیازموجود در شبکه داخلی را برای کاربر فراهم می کند. و بسته های اطلاعاتی از طریق تونل VPN میان شبکه و کلاینت رد و بدل می شود.با توجه به شکل زیر یک VPN سرور هم به محیط اینترنت و هم به شبکه داخلی دسترسی دارد و کاربرنیز از طریق یک لینک ISP به اینترنت متصل است. و در نتیجه کلاینت از طریق تونل ایجاد شده در محیط اینترنت توسط VPN سرور، قادر به دسترسی به شبکه داخلی خواهد بود.

Image

Site-to-site VPN: به عنوان مثال ،به کمک این ساختار دو شعبه از یک سازمان که در مکان های دور از هم قرار دارند از طریق VPN با یکدیگر ارتباط برقرار می کنند در چنین شرایطی روتر های شعب به یکدیگر VPN زده و از طریق VPN به انتقال ترافیک می پردازند. مزیت این روش نسبت به روش قبلی در این است که دیگر نیازی نیست برای تک تک کاربران VPN Connection تعریف شود و صرفا با برقراری دو ارتباط بین سرورها یا روترهای مبدا و مقصد این ارتباط به درستی برقرار می شود.

Image

 

ارتباطات VPN مبتنی بر اینترانت

 

برقراری ارتباط به صورت Remote Access VPN از طریق اینترانت

در اینترانت برخی سازمان ها ، داده های مهم و محرمانه ی موجود در شبکه را به صورت فیزیکی از بقیه اینترانت سازمان جدا می کنند و این جدا سازی دستیابی کاربران سازمان را که به صورت فیزیکی به این بخش از شبکه دسترسی ندارند ،دشوار می سازد .VPN راهی امن برای ایجاد ارتباط کاربران با این بخش محصور شده ی سازمان را از طریق محیط اینترانت فراهم می کند. در این ساختار VPN سرور یک مسیر مستقیم برای ارتباط اینترانت سازمانی و بخش ایزوله شده سازمان ارائه می دهد. بنابراین کاربران اینترانت سازمان باید با سطح دسترسی ای که برای آنها در نظر گرفته شده یک کانکشن VPN برای ارتباط با VPN سرور ایجاد کنند خرید vpn  تا بتوانند به منابع بخش ایزوله دست یابند.علاوه براین برای محرمانه باقی ماندن داده ها ، تمامی ارتباطات صورت گرفته از طریق VPN رمز گذاری می شوند وبخش های جدا شده سازمان نیز از دید کاربرانی که مجوز VPN زدن ندارند ، پنهان می ماند.

Image

 

ارتباطات Site to Site روی بستر اینترانت

دوبخش شبکه با دو بستر اینترانت از طریق ساختار Site to Site می توانند با یکدیگر ارتباط برقرار کنند، این نوع برقراری ارتباط برای تبادل اطلاعات میان دوبخش مجزای سازمان با داده های محرمانه از اهمیت بالایی برخودار است.بعنوان مثال ممکن است بخش مالی سازمان نیاز به برقراری ارتباط با بخش منابع انسانی به منظور مبادله اطلاعات مربوط به حقوق و دستمزد داشته باشد.

Image

 

Tunneling در VPN

همانگونه که ذکر شد در ارتباطاتVPN ، برای حفظ امنیت اطلاعات ،Packet های اطلاعاتی در طول روند انتقال، کپسوله و محصور می شوند این فرایند تکنولوژی Tunneling نامیده می شود. VPN برای عملیات tunneling از پروتکل های متفاوتی بهره می گیرد که توضیح جامع این پروتکل ها در مقاله خانم مهندس مرشدی بیان شده است . در اینجا ما تنها به حالت امنی از پروتکل L2TP با نام L2TP with Internet Protocol security یا (L2TP-IPSECC) اشاره می کنیم. همانگونه که می دانیم پروتکل های PPTP و L2TP با ایجاد یک تونل امنیت داده ها را به هنگام انتقال در لایه دوم مدل OSI میسر می سازند، در مقابل پروتکل IPSEC در لایه شبکه اجرا شده و کمک می کند تا Packet داده ها ایمن بمانند.IPSEC دو پروتکل امنیتی را فراهم می آورد: تایید Header ها با عنوان AH و Encapsulating Security Payload یا (ESP) که علاوه بر احراز هویت و حفظ یکپارچگی و anti-reply بودن ، محرمانه ماندن داده ها را نیز پشتیبانی می کند.و در واقع بالا ترین سطح امنیت را برای پکت های L2TP-IPsec ایجاد می کند.

شیوه آدرس دهی توسط VPN

به دو صورت سرور IPآدرس در اختیار کاربران قرار می دهد :

  • DHCP Delivered: در این روش برای هر کلاینتی که در خواست IP داشته باشد ،این درخواست باید از VPN عبور کرده و وارد شبکه ی مقصد شود و VPN Server با توجه به درخواست دریافتی ، از DHCP Server شبکه داخلی IP گرفته و در اختیار کلاینت قرار می دهد . باید توجه داشت که VPNN سرور IP ها را در قالب یک بلاک ۱۰تایی از DHCP دریافت می کند و یکی از این IP های Invalid را برای خود VPN سرور در نظر می گیرد که بیانگر این مطلب است که VPN سرور عملیات Routing را نیزانجام داده و نه آدرس باقی مانده را به کاربران متقاضی IP، اختصاص می دهد.

 

  • Automatic assignment: روی VPN سرور یک Address pool تعریف می کنیم تا VPN سرور بتواند به در خواست IP دریافتی از سوی کاربران به صورت خودکار پاسخ دهد. و یا اینکه از طریق Remote Access policy به کلاینت ها IP اختصاص می دهیم . همچنین می توانیم برای کاربری که قصد برقراری ارتباط به کمک VPN را دارد ، در تب Networking موجود در properties گرفته شده از VPN connection به صورت دستی به کاربر IP اختصاص دهیم.

 

Image

 

ایجاد رمز عبور و حساب کاربری برای کلاینت ها

 

  • می توانیم روی سروری که نقش VPN را بر عهده دارد user name و پسورد ها را ایجاد کنیم .
  • روی یک دومین کنترلر موجود در شبکه مقصد که VPN سرور به آن join شده و قادر است رمز عبور و حسابهای کاربری را از آن دریافت کند ، USER name و پسوردها را تعریف کنیم .
  • بر روی یک RADIUS سرور User name و پسوردها را ایجاد کنیم تا کاربران بتوانند از این مجموعه ی موجود ، حساب کاربری و رمز عبور دریافت کنند.

 

احراز هویت در VPN


پروتکل های احراز هویت

 

  • PAP یا Password Authentication Protocol یک پروتکل احراز هویت ساده است که در آن نام کاربری و پسورد در قالب متن رمزگذاری نشده (unencrypted) به سروری که به آن ریموت زده ایم ارسال می شود .PAP در واقع شمایی است که بیشتر به منظور احراز هویت برای پروتکلPPPP به کاربرده می شودو پروتکلی امنی نیست و به راحتی توسط هکر ها مورد حمله قرار می گیرد زیرا که بهنگام ارسال و یا دریافت packet ها در طی فرایند احراز هویت ، پسورد به راحتی خوانده می شود. در اصطلاح می توان گفت که PAP از یک فرایند hand shake متقابل تبعیت می کند و پس از برقرای ارتباط،user name و پسورد را برای سرور مقابل که قصد ریموت زدن به آن را داریم ارسال می کند اگر این رمز کاربری و پسورد برای سرور مقابل معتبر باشد تائیدیه خود را برای ما ارسال می کند (acknowledge می دهد ) در غیر اینصورت به ارتباط خاتمه داده و در انتظار فرصتی دیگر برای برقراری ارتباط می ماند.

 

  • SPAP یا Secure Password Authentication Protocol یک الگوریتم رمز گذاری دو طرفه برای امنیت پسورد و برای احراز هویت به هنگام برقرای ارتباط به صورت ریموت ارائه می دهد. این پروتکل به پروتکل شیوا معروف است واز یک encryption ساده بهره می گیرد که به راحتی شکسته می شود که در این الگوریتم کلاینت پسورد خود را به صورت Encrypt و رمزگذاری شده برای سروری که به آن ریموت زده ارسال می کند و سرور این پسورد را decrypt کرده و از پسورد در یک قالب متنی برای ارتباط ریموت با کلاینت استفاده می کند .SPAP نسبت به PAP ایمن تر است اما باز هم پسورد ،به دلیل اینکه SPAP بهنگام برقراری هر ارتباطی، مجددا از همان رمز عبور کاربر که بصورت برگشت پذیر رمز گذاری کرده ، بهره می گیرد به آسانی قابل دستیابی است. برای استفاده از پروتکل شیوا باید نکات زیر را در نظر داشت ، اول اینکه اگر پسورد کلاینت منقضی شود SPAP قادر به تغییر پسورد در طی پروسه احراز هویت نخواهد بود و دومین نکته این است که قبل از اینکه network policy های مربوط به SPAP را روی NPS فعال کنیم باید مطمئن شویم که Network Access Server یا (NAS) این پروتکل را پشتیبانی می کند.

 

  • CHAP: یا Challenge Handshake Authentication Protocol این پروتکل یک رشته (string) را به مقصد مورد نظر ارسال می کند هنگامی که یک ارتباط ریموت میان کلاینت و سرور با استفاده از CHAP برقرار می شود ، در واقع سرور یک challenge میان خود و کلاینت ایجاد می کند . کلاینت بهنگام ارتباط ریموت از یک تابع و یا الگوریتم hash استفاده می کند که بر اساس challenge ایجاد شده میان کاربر و سرور و در نتیجه هش محاسبه شده از رمز عبور کاربر ، به محاسبه ی message digest-5 یا (MD5)که یک تابع هش رمزنگاری شناخته شده با مقدار ۱۲۸ بیت است می پردازد .متقابلا سرور نیز با همین روش به هش مربوط به پسورد کابر دست یافته و آن را با اطلاعاتی که از سوی کاربر دریافت کرده مقایسه می کند و در صورت تشابه هش ها ارتباط را برقرار کرده در غیر اینصورت برقراری ارتباط منتفی خواهد شد.واین مفهوم handshake authentication Challenge می باشد.

 

  • MSCHAP: یا Microsoft Challenge Handshake Authentication Protocol نسخه ی از CHAP است که مایکروسافت منحصرا برای احراز هویت در ارتباطات ریموت سیستم عامل های ویندوزی با یکدیگر ارائه داده است .MS-CHAP نیز همانند CHAP از مکانیزم پاسخ به یک challenge و بدون ارسال پسورد، فرایند احراز هویت را انجام می دهد. و برای ایجاد این challenge از الگوریتم hashing بنام MD4 و الگوریتم استاندارد رمزگذاری داده ها (DES) استفاده می کند و همچنین مکانیزمی را برای ارائه گزارش از خطاهای هنگام اتصال و نیز تغییر رمز عبور کاربران در نظر گرفته است.

 

  • MS-CHAPv2: در MS-CHAPv1 احراز هویت تنها به عهده سرور بود اما در این نسخه این ضعف برطرف شده و احراز هویت به صورت متقابل (هم از سوی سرور و هم کلاینت ) صورت می گیرد. به این حالت در اصطلاح Mutual Authentication یا احراز هویت دو طرفه هم می گویند.

 

  • EAP: یا Extensible Authentication Protocl قویترین ، منعطف ترین و متنوع ترین پروتکل احراز هویت می باشد و علاوه بر احراز هویت براساس پسورد ،با ترکیبی از پروتکل های مختلف کار می کند به عنوان مثال از TLS یا SSL بهره می گیرد .قوی ترین حالت ممکن برای این پروتکل EAP-TLSS است و یک EAP حفاظت شده محسوب می شود و از TLS برای رمزگذاری و احراز هویت بر اساس Certificate استفاده می کند.این پروتکل برای کارت های هوشمند ، کارت احراز هویت، مودم های بی سیم ،VPN واستاندارد ۸۰۲٫۱x برای تکنولوژی های سیمی با استفاده از NPS کاربرد دارد.

روش های حفظ امنیت در شبکه های VPN در مقاله خانم مهندس زهرا مرشدی توضیح داده شده است.

حال از اطلاعات ذکر شده ی فوق به یک جمع بندی کلی می رسیم که کلاینت باید یک connection ایجاد کند و اعتبارUser name و پسورد کاربرباید طی فرایند Authentication و به کمک پروتکل های احراز هویت تایید شود و در نهایت طی فرایند Authorization برای کاربری که احراز هویت شده و ارتباط آن با شبکه برقرار شده است ، سطح دسترسی به منابع تعیین می شود. بعنوان مثال اینکه از چه لینکی در ISP اینترنت را دریافت کند.

نکته: در ویندوز می توان Policy هایی همچون ساعت استفاده ی یک کاربر را مشخص کرد اما فرایند مهمی تحت عنوان Accounting وجود دارد که ویندوز به درستی قادر به انجام آن نیست که بواسطه آن می توان برای یک کلاینت مقدار حجم دانلود ، مدت زمان و ساعت connectt شدن ، انقضای حساب کاربری و مواردی از این قبیل را تعیین کرد، به همین دلیل از نرم افزارهای جانبی Accounting مثل NT TACACS و IBSng و سیب و … برای تعیین چنین محدودیت هایی برای کلاینت ،استفاده می کنیم .که به آنها نرم افزارهای RADIUS SERVER می گویند.

  • RADIUS SERVER: نقش NPS یا (Network Policy Server) موجود در ویندوز سرور می تواند از یک RADIUS سرور برای پیاده سازی فرایند های احراز هویت (Authentication) و واگذاری اختیارات (Authorization)و مدیریت حسابها و دسترسی های کاربران (Accounting) که در اصطلاح به آنها AAAگویند استفاده کند . RADIUS مخفف عبارت ( Remote Authentication Dial-In User Servicee) می باشد.

در این مقاله سعی بر آن شد که نگاهی بر پروتکل ها و فرایند ی که باید طی شود تا بواسطه آنها عمل VPN صورت گیرد داشته باشیم . حال با شناختی که از موارد عنوان شده بدست آورده ایم می توانیم با دیدی باز به پیاده سازی VPN بپردازیم .در قسمت دوم این مقاله به شرح شیوه ی برقراری ارتباط یک کلاینت دور کار با یک شبکه داخلی (remote Access Client ) با بهره گیری از VPN سرور موجود در ویندوز سرور ۲۰۰۸ خواهیم پرداخت .

نویسنده : مریم حیات رمضانی
منبع : انجمن حرفه ای های فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد .