تبلیغات :
آکوستیک ، فوم شانه تخم مرغی، صداگیر ماینر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام

[ + افزودن آگهی متنی جدید ]




نمايش نتايج 1 به 1 از 1

نام تاپيک: بررسی شبكه بندی خصوصى مجازى - Vpn تحت ويندوز سرور 2003

  1. #1
    حـــــرفـه ای Mohammad's Avatar
    تاريخ عضويت
    Sep 2004
    پست ها
    9,311

    پيش فرض بررسی شبكه بندی خصوصى مجازى - Vpn تحت ويندوز سرور 2003

    اين مقاله یك ديد كلى از شبكه‌ بندى خصوصى مجازى و تكنولوژيهاي شبكه خصوصى مجازى1(VPN) که به وسيله ويندوز سرور 2003 و ويندوزXP پشتيبانى مي شوند ، ارائه مي دهد. پروتکل تونل کشی نقطه به نقطه و پروتکل تانالينگ لايه دو با امنيت پروتکل اينترنت به عنوان دو روش استاندارد براي اتصالات VPN شرح داده شده است. همچنين در اين مقاله مجموعه ويژگيهایي که در ويندوز سرور 2003 و ويندوز XP تواناييهاى امنيتي پيشرفته و مديريت اتصالات شبكه خصوصى مجازى را ساده مي کند شرح داده شده است.

    مقدمه
    يك شبكه خصوصى مجازى بسط و توسعه يك شبكه خصوصى است كه اتصالات شبكه‌هاى اشتراكى يا عمومى مانند اينترنت را در بر مي گيرد. يك شبكه خصوصى مجازى شما را قادر مي كند اطلاعات را بين دو كامپيوتردر طول يك شبكه اشتراكى يا عمومى بفرستيد در حالتي كه با خصوصيات يك اتصال خصوصى نقطه به نقطه4 برابری بکند. شكل دادن و به وجود آوردن يك شبكه خصوصى مجازى را شبكه‌سازى خصوصى مجازی گویند.

    براى رقابت و برابري با يك اتصال نقطه به نقطه، اطلاعات كپسوله يا پوشانده شده و به آن يك هدر5 اضافه می شودكه با فراهم كردن اطلاعات مسيريابى اجازه مي دهد تا داده مسير شبكه عمومي يا اشتراكي را پيموده و به نقطه پاياني6برسد. براى رقابت كردن و برابري با يك اتصال خصوصى، اطلاعات به صورت محرمانه رمزگذاري شده است. بسته‌هايي كه روى شبكه اشتراكى يا عمومي محافظت شده اند بدون كليدهاى رمز غيرقابل كشف هستند. بخشي از ارتباط كه داده هاي خصوصى در آن كپسوله شده است معروف به تونل7 است و بخشي از ارتباط كه داده هاي خصوصى در آن رمزنگاري شده است معروف به اتصال شبكه خصوصى مجازى است.

    اتصالات شبكه خصوصى مجازى اجازه مي دهند استفاده‌كنندگان در خانه يا در جاده به سرور يك سازمان راه دور به يك شيوه محفوظ و امن از طريق اطلاعات مسيريابي شبكه عمومي (مانند اينترنت) وصل شده و كار كنند. از ديد استفاده‌كنندگان، ارتباط شبكه خصوصى مجازى يك اتصال نقطه به نقطه بين كامپيوتر كاربر و سرور يك سازمان راه دور است. كاربر چنين تصور مي كند كه داده ها از طريق يك اتصال كاملا اختصاصي فرستاده مي شوند.


    مچنين تكنولوژى شبكه خصوصى مجازى به يك شركت اجازه مي دهد‏‏ ضمن حفظ كردن ارتباطات محرمانه به دفاتر شعبه هايش يا به كمپانيهاى ديگر روى يك شبكه عمومى از قبيل اينترنت وصل شود. ارتباط شبكه خصوصى مجازى از ميان اينترنت منطقاً به عنوان يك اتصال شبكه گسترده ميان سايت ها عمل مي كند.

    در هردوى اين موارد، ارتباط محفوظ و امن از ميان شبكه براي استفاده‌كننده به عنوان يك ارتباط شبكه خصوصى به نظر می رسد - با وجود اينكه اين ارتباط روي يك شبكه عمومي اتفاق مي افتد - از اين رو، شبكه خصوصى مجازى نام گرفته است.

    تكنولوژى شبكه خصوصى مجازى براي رساندن فعاليت هاي تجاري جاري به اين مرحله طراحي شده است كه آنها به صورت روزافزون تر از ارتباط راه دور و انتشار وسيع عمليات سراسري استفاده كنند‏؛ جايى كه شاغلين بايد قادر باشند به منابع مركزى وصل شده و قادر باشند با يكديگر ارتباط برقرار بكنند.

    براى فراهم كردن امكان وصل شدن كارمندان به منابع محاسباتي سازمان صرف نظر از موقعيت جغرافيايی آنان يك شركت بايد يك راه‌حل دستيابى از دور مطمئن را گسترش دهد. به طور نمونه، شركت‌ها يا يك راه‌حل دپارتماني انتخاب مي كنند، يعني يك دپارتمان سيستمهاى اطلاعاتى داخلى، مسئوليت خريد و نصب‌ و نگهدارى مودم سازمان و زير سازي شبكه خصوصي را به عهده مي گيرد؛ يا اينكه آنها يك راه حل شبكه ارزش-افزوده8 را انتخاب مي كنند، يعني هزينه خريد‏‏‏‏‏‏‏‏‏ ، ‏نصب و نگهداري مودم ها و زير سازي ارتباط از راه دور را به يك كمپانى ديگر مي پردازند تا اين كمپاني تمام كارها را برايشان انجام دهد.

    هيچ يك از اين راه‌حلها نياز هاي ضروري را به ازاى هزينه و اداره انعطاف‌پذير فراهم نمي كنند و نياز به اتصالات اضافي دارند. بنابراين، نياز به جايگزيني اين دو روش با يك روش با هزينه كمتر و مبتني بر تكنولوژي اينترنت احساس مي شود؛ بطوريكه شركت ها روي قابليت هاي اصلي خود تمركز كنند. با اين راه‌حل، تعداد كمي اتصال اينترنت ميان ISP ها و كامپيوترهاى سرور شبكه خصوصى مجازى مي توانند براي شبكه‌سازى راه دور براي صدها و حتي هزاران كلاينت يا شعبه راه دور بكار رود.

    موارد استفاده متداول VPN
    در بخش زير انواع متداول VPN شرح داده مي شود:
    1. دستيابى از دور از طريق اينترنت

    VPN ها امكان دستيابى از دور به منابع سازمان را از طريق شبكه عمومي اينترنت با حفظ اختفاء اطلاعات فراهم مي كنند. تصوير زیر يك ارتباط VPN را كه براي اتصال يك كلاينت راه دور به اينترانت يك سازمان بكار رفته است نشان مي دهد كه به آن اتصال VPN دسترسي از راه دور گفته مي شود.

    به جاى ايجاد يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (9(NAS، استفاده كننده مي تواند به ISPمحلي وصل شود. با استفاده از اتصال به ISP محلي، كلاينت VPN يك اتصال VPN بين كامپيوتر دسترسي راه دور و سرور VPN سازمان روي شبكه اينترنت ايجاد مي كند.


    2. اتصال شبكه‌ها از طريق اينترنت
    دو روش براى استفاده از VPN براي اتصال شبكه هاي محلي راه دور وجود دارد:

    استفاده از خطوط اختصاصي براي اتصال شعبه هاي سازمان به شبكه LAN سازمان
    براى مثال، به جاى اينكه يك مدار اختصاصي راه دور گران بين شعبه هاي سازمان و هاب شركت ایجاد شود، هر دوي آنها مي توانند از يك مدار اختصاصي و ISP محلي براي اتصال به اينترنت استفاده كنند. نرم‌افزار VPN از ISP محلي و اينترنت براي ايجاد يك شبكه خصوصى مجازى بين شعبه هاي سازمان و هاب شركت استفاده مي كنند.

    استفاده از يك خط dial-up براي اتصال شعبه هاي سازمان به اينترنت
    به جاى اينكه مسيرياب (روتر) شعبه ی شركت، يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (NAS) برقرار كند، مي تواند به يك ISP محلي وصل شود. كلاينت VPN از اتصال ISP محلي براي ايجاد يك ارتباط VPN بين روتر شعبه سازمان و روتر شركت در طول اينترنت استفاده مي كند كه اين عمل به يك ارتباط شبكه خصوصى مجازى سايت به سايت‌ معروف است.

    در هر دو حالت، امكانات و تسهيلاتي كه شعب شركت و خود شركت را به اينترنت وصل مي كند محلى هستند. مسيرياب شركت كه به عنوان يك سرور VPN عمل مي كند بايد از طريق يك خط اختصاصي‌ به اينترنت وصل ‌شده باشد. اين سرويس‌دهنده شبكه خصوصى مجازى بايد 24 ساعته به ترافيك شبكه خصوصى مجازى واردشونده گوش دهد.


    3. اتصال كامپيوترها روي يك اينترانت
    در بعضي از شبكه بندي هاي سازماني، ممكن است داده هاي بخشي از سازمان خيلي حساس بوده و LAN آن بخش از سازمان به بقيه شبكه سازمان متصل نباشد. اگرچه اين امر داده هاي محرمانه سازمان را محافظت مي كند اما براي استفاده كنندگاني كه به طور فيزيكي به LAN جداگانه اي متصل نيستند در مورد دسترسي به اطلاعات مشكلاتي پيش مي آيد.

    VPN ها به LAN دپارتمان اجازه مي دهند تا به صورت فيزيكي به شبكه داخلي سازمان متصل باشند اما توسط يك سرور VPN از شبكه تفكيك شوند. سرور VPN به عنوان يك مسيرياب بين شبكه داخلي سازمان و LAN دپارتمان عمل نمي كند. يك مسيرياب كه دو شبكه را بهم وصل مي كند، به همه اجازه مي دهد تا به LAN حساس دسترسى پيدا كنند. با استفاده از يك سرور VPN ، مدير شبكه مي تواند مطمئن باشد كه روى شبكه داخلي سازمان فقط آن استفاده‌كنندگان كه اعتبارنامه مناسب را دارند (مبنى بر سياست سازمان) مي توانند يك ارتباط VPN با سرور VPN برقرار بكند و به منابع حفاظت‌شده دپارتمان دستيابى پيدا كنند. علاوه بر اين تمام ارتباطات از ميان VPN مي تواند براى حفاظت داده‌ها رمزنگاري شود. آن تعداد از استفاده‌كنندگان كه اعتبار مناسب نداشته باشند، نمي توانند به LAN دپارتمان دسترسي داشته باشند.

    نيازمندی های اساسی VPN
    معمولا، هنگام مستقر كردن يك راه‌حل شبكه‌سازى راه دور، يك شرکت نیاز دارد دسترسي كنترل ‌شده به منابع سازمان و اطلاعات را تسهيل كند. راه‌حل بايد اجازه بدهدكلاينت هاي دور به LANمنابع وصل شوند. همچنين بايد اجازه دهد دفاتر دور به همديگر متصل شده و منابع و اطلاعات را با هم به اشتراك بگذارند. به علاوه، راه‌حل بايد از اختفا و درستي داده ها با گذر از اينترنت مطمئن باشد. همان نگرانيها در مورد موضوع انتقال داده هاي حساس در طول شبكه داخلي سازمان نيز وجود دارد.

    بنابراين يك VPN بايد حداقل تمام موارد زير را تامين كند:

    شناسايى كاربر
    راه‌حل بايد صحت هويت كلاينت VPN را بررسي كرده و دسترسي به VPN را به كاربران مجاز محدود كند. همچنين بايد اسناد بازبيني و حسابدارى را براي نشان دادن اينكه چه كساني و براي چه مدتي متصل هستند فراهم كند.

    مديريت آدرس
    راه‌حل بايد به يك كلاينت شبكه خصوصى مجازى يك آدرس روي اينترانت اختصاص دهد وتضمين كند آدرس هايي كه روى اينترانت استفاده مي شوند، به صورت اختصاصي محفوظ هستند.

    رمزگذارى داده
    داده‌هايي كه روي شبكه هاي عمومي حمل مي شوند بايد به صورت غيرقابل خواندن تغيير شكل يابند.

    مديريت كليد
    راه‌حل بايد براى داده‌هاى رمزنگاري شده كليد هاي رمزگذاري توليد و بازيابي كند.


    يك VPN مبتنى بر پروتكل PPTP يا پروتكل يا L2TP/IPSec تمام اين نيازمندي ها را برطرف مي كند و از قابليت هاي مفيد اينترنت استفاده مي كند. راه‌حلهاى ديگر، مانند حالت تونلى IPSec، فقط بعضى از اين ملزومات را برطرف مي كنند اما در موقعيت هاي مختلف سودمند خواهند بود.


    مباني Tunneling
    يك روش استفاده از زيرساختار يك شبكه براي انتقال داده‌هاى يك شبكه روى شبكه ديگر است. داده‌اي كه بايد انتقال‌يابد (payload) مي تواند فريم ( یا packet) يا پروتكل هاي ديگر باشد. به جاى فرستادن يك فريم كه توسط نود آغازي ايجاد شده‏ پروتكل tunneling فريم را با يك هدر اضافي كپسوله مي كند. هدر اضافي اطلاعات مسيريابي را فراهم مي كند به طوريكه داده كپسوله شده بتواند روي شبكه مياني منتقل شود.

    سپس بسته‌هاى كپسوله شده بين نقاط پاياني تونل روي شبكه مسيريابي مي شوند. مسير منطقى كه بسته‌هاى كپسوله شده توسط آن روي شبكه منتقل مي شوند تونل (tunnel) ناميده مي شود. وقتى كه فريم هاي كپسوله شده به مقصدشان روى شبكه مي رسند، از حالت كپسوله خارج شده و به سوي مقصد نهایيشان فرستاده مي شوند. Tunneling تمام اين موارد را در بر مي گيرد (كپسوله كردن بسته ها‏، انتقال آنها و از حالت كپسوله درآوردن آنها).


    شبكه انتقالی مي تواند هر شبكه اي باشد. اينترنت يك شبكه عمومى است و شناخته‌شده‌ترين مثال در اين مورد مي باشد. مثال هاي زيادي از تونلهايي كه عمل انتقال را روي شبكه سازمان انجام مي دهند وجود دارد.

    تكنولوژى هاى Tunneling مدت زماني است که بوجود آمده اند، از قبيل SNA روي شبكه هاي IP. زمانيكه ترافيك 10SNA روي شبكه ی IP يك سازمان فرستاده مي شود فريم هاي SNA در هدر UDP و IP كپسوله مي شوند. تكنولوژيهاى tunneling جديدی در سالهاى اخير معرفي شده اند. اين تكنولوژيهاى جديد شامل موارد زير هستند:

    Point-to-Point Tunneling Protocol (PPTP): PPTP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و سپس در يك هدر IP براي فرستادن روي شبكه IP سازمان يا شبكه IP عمومي مانند اينترنت كپسوله شود.

    Layer Two Tunneling Protocol (L2TP): L2TP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و روي هر واسطي كه تحويل ديتاگرام نقطه به نقطه (point-to-point) را ساپورت مي كند فرستاده شود.

    IPSec tunnel mode: حالت تونلى IPSec به بسته‌هاى IP اجازه ميدهد رمزنگاري شده و سپس براي فرستادن روي شبكه IP يك سازمان يا روي شبكه IP عمومي مثل اينترنت كپسوله شوند. حالت تونلى IPSec براي اتصال VPN راه دور توصيه نمي شود زيرا روش هاي استانداردي براي اهراز هويت كاربر،تخصيص آدرس IP و تخصيص آدرس سرور نام (name server) ندارد. البته استفاده از حالت تونلى IPSec براي اتصالات site-to-site مربوط به VPN با كامپيوتر هايي كه از ويندوز سرور2003 استفاده مي كنند امكان پذير است.

    انواع Tunne
    l
    مي توانند به طرق مختلفي ايجاد شوند: ها Tunnel
    1. تونلهاى اختیاری (tunnels Voluntary)

    يك کاربر يا كامپيوتر کلاينت مي تواند براي شکل دادن و ايجاد يک تونل اختياري، درخواست VPN صادر بكند. در اين صورت، كامپيوتر کاربر يك نقطه پايان تونلى است و مثل کلاينت تونل رفتار مي كند.

    2. تونلهاى اجبارى (Compulsory tunnels)
    يك سرور دسترسى از طريق شماره‌گيرى ( (dial-up access server شبكه خصوصى مجازى يك تونل اجبارى را شكل داده و به وجود مي آورد. در يك تونل اجبارى، كامپيوتر کاربر يك نقطه پايان تونلى نيست. وسيله ديگر، يعني سرور دسترسى از طريق شماره‌گيرى، بين كامپيوتر کاربر وسرور تونل نقطه پايان تونل است و مثل کلاينت تونل رفتار مي كند.

    در طول زمان، ثابت شده که تونلهاى اختیاری‌ عامه ‌پسندترند.

    ويژگيهاي امنيتي پيشرفته VPN
    براى اينكه اينترنت ايجاد اتصالات شبكه خصوصى مجازى را از هر جايى آسان مي كند، شبكه‌ها به ويژگي هاي امنيتي قوى احتياج دارند تا از دسترسى ناخواسته به شبكه‌هاى خصوصى جلوگيري کنند و از اطلاعات خصوصى که در شبکه عمومي منتقل مي شوند محافظت كنند. اهراز هويت کاربر و رمزنگاري داده‌ها قبلا مطرح‌شده بوده‌اند. اين بخش يک ديد كلي از ويژگيهاي امنيتي پيشرفته که مي توانند با اتصالات VPNويندوز سرور 2003 و ويندوزXP استفاده شوند ارائه مي دهد.


    1. EAP-TLS و اهراز هویت مبنی بر گواهینامه
    رمزگذاري متقارن (قراردادى)، يا كليد خصوصي ، مبنى بر يك كليد محرمانه كه است به وسيله طرفين ارتباط به اشتراك گذاشته مي شود.بخش فرستنده با استفاده از كليد محرمانه و با يک سري عمليات رياضى متن ساده را به متن رمزگذاري شده تبديل می کند. گيرنده همان كليد محرمانه را براي رمزگشايى متن رمزنگاري شده به متن ساده استفاده مي کند. نمونه اي از رمزگذاري متقارن الگوريتم RSA RC4 مي باشد که مبناي رمزگذاري نقطه به نقطه ميكروسافت11(MPPE)و رمزگذاري استاندارد داده (DES)12 مي باشد که براي رمزگذاري IPSec استفاده مي شود.

    رمزگذاري نامتقارن يا كليد عمومي، دو كليد متفاوت براى هر کاربر استفاده می كند:يك كليد خصوصى که فقط براي يک کاربر شناخته شده است؛ ديگرى يك كليد عمومى يکسان است، كه براي هر كسى قابل دسترسى است.كليدهاى خصوصى و عمومى به وسيله الگوريتم رمزگذاري به طور رياضى به يکديگر مربوط هستند. بسته به طبيعت انجام سرويس ارتباط ، يك كليد براى رمزگذاري و ديگرى براى رمزگشايى به كاررفته می رود.

    به علاوه، تكنولوژيهاى رمزگذاري كليد عمومى به امضاهاى ديجيتالي اجازه مي دهند تا روى پيغام‌ها قرار گيرند. يك امضاى ديجيتال از كليد خصوصى فرستنده براي رمزگذاري بعضي از قسمت های پيغام استفاده مي كند. وقتى که پيغام مي رسد، گيرنده از كليد عمومى فرستنده براي رمزگشايي امضاى ديجيتال و اهراز هويت فرستنده استفاده مي كند.

    1-1. گواهينامه‌هاى ديجيتالي (Digital Certificates)
    با رمزگذاري متقارن، هم فرستنده و هم گيرنده يك كليد محرمانه اشتراكى دارند. توزيع كليد محرمانه بايد پيش از هر ارتباط رمزگذاري شده انجام شود (با حفاظت كافى) .اما، در رمزنگاري نامتقارن، فرستنده يك كليد خصوصى براي رمزنگاري پيغام‌ها يا امضاء ديجيتالي استفاده مي كند، ماداميكه گيرنده يك كليد عمومى براي رمزگشايي اين پيغام‌ها استفاده مي كند. كليد عمومي به صورت آزادانه براي هر كسى كه نياز به دريافت پيغام‌هاي رمزگذاري شده يا به صورت ديجيتالي امضاء شده دارد، توزيع مي شود. فرستنده فقط به كليد خصوصى احتياج دارد که به دقت محافظت مي شود.

    براي تامين درستى کليد عمومي ، اين كليد با يك گواهينامه منتشر شده است. گواهينامه يك ساختمان داده‌ است که به وسيله يك مرجع صلاحيتدار (13(CA به صورت ديجيتالي امضا شده است ؛ يك مرجع صلاحيتدار كه کاربران مي توانند اعتماد بكنند. گواهينامه شامل يك سرى ارزشها است، از قبيل نام گواهينامه و كاربرد، اطلاعاتي براي تشخيص هويت صاحب كليد عمومي، خود كليد عمومي ، يك تاريخ انقضا و نام منبع موثق گواهينامه. CA از کليد خصوصى خود براي امضاء و تاييد گواهينامه استفاده مي كنند.

    اگر گيرنده ، كليد عمومي مرجع صلاحيتدار گواهینامه را بشناسد، گيرنده مي تواند تأیيد بكند كه گواهينامه قطعاً از CA مطمئن است و، بنابراين، شامل اطلاعات موثق و يك كليد عمومى معتبر مي باشد. گواهينامه‌ها مي توانند به صورت الكترونيكى قابل توزيع باشند (ازطريق وب يا ايميل)،یا روى كارت‌هاى هوشمند و يا روى فلاپي ديسك‌ها.

    به طور خلاصه، كليد عمومى، يك روش قابل‌ اعتماد راحت براى تأیيد هويت يك فرستنده فراهم مي كند. IPSecمي تواند اين روش را به طور اختيارى براى تصديق هويت سطح گره (peer-level) استفاده کند. سرورهاي دستيابي از راه دور مي توانند از کليد عمومي بصورتيکه جلوتر شرح داده خواهد شد استفاده کنند.

    2-1. پروتکل تصديق قابل توسعه14(EAP)
    همانطوريکه قبلا شرح داده شد، بسياري از اجرا‌هاى پروتكل نقطه به نقطه ( PPP ) روشهاى اهراز هويت خيلى محدودي را فراهم مي كنند. EAP يک استاندارد IETF براي استاندارد PPP است که براي اعتبارسنجي اتصالات PPP مکانيزم هاي اهراز هويت اختياري فراهم مي کند.EAP براي اين طراحي شده است که به ماژولهاي plug-in اهراز هويت اجازه دهد در دو نقطه انتهايي يک اتصال يعني سرور و کلاينت ، به صورت خودکار اضافه شوند. اين به فروشندگان اجازه مي دهد در هر زمان يك طرح تصديق جديد فراهم کنند. EAP بيشترين انعطاف ‌پذيرى را در يكتايى و تغيير اهراز هويت فراهم مي كند.

    EAP در RFC 2284 مستند است و در ويندوز سرور 2003 و ويندوز XP پشتيباني شده است.

    3-1. امنيت سطح انتقالEAP (EAP-TLS) 15
    EAP-TLS يک استاندارد IETF (RFC 2716) براى يك روش اهراز هويت قوى مبنى بر كليد عمومى است. با EAP-TLS، يك کلاينت يك گواهينامه کاربر را به سرور dial-in ارائه ميدهد و سرور يک گواهي نامه به کلاينت ارائه مي دهد. اولا يک تصديق هويت کاربر قوى براي سرور فراهم مي کند؛ ثانيا اطمينان مي دهد كه كاربري که منتظر است، به سرور دسترسي يابد. هر دو سيستم به يك زنجير تصديق هويت مطمئن براي رسيدگي به اعتبار گواهينامه هاي پيشنهاد شده متکي هستند.

    گواهينامه كاربرمي تواند روى كامپيوترکلاينت VPN يا در يك كارت هوشمند خارجى ذخيره‌ شود . در هر حال، گواهينامه نمي تواند بدون بعضي از فرم هاي تشخيص هويت کاربر ( شماره‌ پين يا نام و پسورد) بين كاربر و كامپيوتر کلاينت قابل دسترسي باشد. اين روش دستيابى بعضي از ضوابط و معيارهايي که شما بايد بدانيد و داشته باشيد که توسط بسياري از متخصصين امنيت توصيه مي شوند، تامين مي کند.

    EAP-TLS در ويندوز سرور 2003 و ويندوزXP پشتيبانى شده است.EAP-TLS مانند MS-CHAP و MS-CHAP v2 يك كليد رمزگذاري برمي گرداند که رمزگذارى داده هاي بعدي را توسط MPPE ممکن مي سازد.


    2. کنترل قرنطينه دسترسي شبکه
    کنترل قرنطينه دسترسي شبکه، يك ويژگى جديد در خانواده ويندوز سرور 2003 است که دسترسي از راه دور نرمال به يك شبكه خصوصى را تا زمانيکه پيكربندى كامپيوتر دستيابى از دور به وسيله اسكريپت تهيه شده توسط مدير ، امتحان واعتبارسنجي نشده به تاخير مي اندازد. هنگاميکه يك كامپيوتر دستيابى از دور يک ارتباط با يک سرور دسترسى از راه دور راه مي اندازد، كاربر اهراز هويت شده و به كامپيوتر دستيابى از دوريک آدرسIP تخصيص داده مي شود.با اين وجود، ارتباطي که در حالت قرنطينه قرار داده‌ شده است، از هر گونه دسترسى به شبكه‌ محدود شده است. اسكريپت تهيه شده توسط مديرروي كامپيوتر دستيابى از دور اجرا مي شود. وقتى كه اسكريپت با موفقيت كامل مى شود، يك مؤلفه را اجراء مي كند كه اطلاع مي دهد كامپيوتر دستيابى از دور رويه‌هاى امنيتي شبكه جارى را تامين مي كند. سرور دسترسى از راه دور حالت قرنطينه را بر مي دارد و كامپيوتر دستيابى از دور دستيابى از دورنرمال را تصديق مي کند.

    کنترل قرنطينه دسترسي شبکه تركيبي از موارد زير است:
    يك سرور دسترسى از راه دور ويندوز سرور 2003 و يك سرويس شنونده اطلاع دهنده قرنطينه را اجرا مي کند.
    يك سرور RADIUS ويندوز سرور 2003 و سرويس شناسايى اينترنت (IAS) 16 را اجراء مي كند که يك رويه دستيابى از دور قرنطينه پيكره‌بندى شده و تنظيمات قرنطينه را نشان مي دهد.
    يك پروفايل مدير ارتباط توسط كيت اداره مديريت ارتباط ويندوز سرور 2003 ايجاد شده که شامل اسکريپت تامین سياست و خط مشي شبکه و يك مولفه اخطار دهنده مي باشد.
    يك کلاينت دستيابى از دور كه ويندوز سرور 2003 ، ويندوز XP، ويندوز 2000، ويندوز Millennium يا ويندوز 98 ويرايش دوم را اجراء مي كند.

    3. ويژگي قفل حساب دستيابى از دور
    ويژگي قفل حساب دستيابى از دور براي تعيين کردن اينکه يک تصديق دستيابي راه دور چند بار با يک حساب کاربر معتبر شکست خورده قبل از اينکه کاربر دستيابي راه دور را رد کند، بکار می رود. ويژگي قفل حساب دستيابى از دور مخصوصاً براى اتصالات دستيابى از دور VPN از طريق اينترنت مهم است. روى اينترنت کاربران داراى سوء قصد مي توانند براي دسترسي به اينترانت يک سازمان با فرستادن اعتبار نامه (نام کاربري معتبر، پسورد حدسي) در طول پروسه تصديق ارتباط VPN تلاش کنند. در طول يك حمله فرهنگ لغات، كاربر داراى سوء قصد صدها يا هزاران اعتبارنامه با استفاده از ليستي از كلمات عبور مبنى بر كلمات يا عبارات متداول مي فرستد. با فعال کردن قفل حساب دستيابى از دور ، يك حمله فرهنگ لغات پس از يك تعداد مشخص‌شده تلاش ناموفق خنثى مي شود.

    ويژگي قفل حساب دستيابى از دور بين کاربري که به عنوان سوءقصد براي دسترسي به اينترانت شما تلاش مي کند و کاربر معتبري که سعي بر دستيابى از دور دارد ولي پسورد خود را فراموش کرده است فرقي قائل نمي شود.کاربراني كه پسوردشان را فراموش كرده اند معمولا با كلمات عبوري که به خاطر مي آورند سعي مي کنند وارد شوند و امكان دارد حسابشان قفل شود.

    اگر ويژگي قفل حساب دستيابى از دور را فعال كنيد، يك كاربر داراى سوءقصد مي تواند به طور عمدي با چندين بارتلاش براي تصديق با حساب کاربر باعث قفل شدن حساب شود و در نتيجه از ورود کاربر معتبر جلوگيري شود.

    ويژگي قفل حساب دستيابى از دور با عوض کردن تنظيماتي در رجيستري كامپيوتري كه شناسايى و تصديق را فراهم مي کند پيكره‌بندى مي شود. اگر سرور دسترسى از راه دور براى شناساي ويندوز پيكره‌بندى شده است، رجيستري كامپيوتر سرور دسترسى از راه دور را تغيير دهيد. اگر سرور دسترسى از راه دور براى شناسايى RADIUS پيكره‌بندى شده است و سرويس شناسايي اينترنت (IAS) در حال استفاده باشد، رجيسترس را روي کامپيوتر سرور IAS تغيير دهيد.

    4. فيلترگذارى بسته‌اى پروفايل سیاست دستيابى از راه دور
    رويه‌ها و خط مشي هاي دستيابى از دور که تصديق و محدوديت هاي ارتباط را تعريف مي کند،مي توانند براي معيين کردن مجموعه اي از فيلترهاي بسته IP که براي اتصالات دستيابي از راه دور بکار مي رود، استفاده شود. وقتى كه يک ارتباط پذيرفته مي شود، فيلترهاي بسته انواع ترافيک IP را که از کلاينت VPN و به کلاينت VPN مجاز هستند، تعريف مي کند.

    اين ويژگى مي تواند براى اتصالات اکسترانت (شبکه ارتباطي داخلي- خارجي) به كاررود. يك اکسترانت بخشي از شبكه سازمان شماست كه براي کاربران بيرون از سازمان قابل دسترس مي باشد، از قبيل شرکاي تجاري و فروشندگان. با استفاده ازفيلترگذارى بسته‌اى پروفايل خط مشي دستيابى از راه دور شما مي توانيد رويه هاي دستيابي از راه دور جديدي ايجاد کنيد که اعضاي گروه شريکان که فقط مي توانند به وب سرورها در آدرس IP خاصي يا روي زير شبکه خاصي دسترسي داشته باشند مشخص شوند.

    همچنين اين ويژگى مي تواند از فرستادن بسته هايي که اورجينال نيستنند توسط کلاينت دستيابى از راه دور VPN جلوگيري کند. هنگاميکه كامپيوترکلاينت دستيابى از دور يک ارتباط VPN ايجاد مي کند، به صورت پيش فرض يک مسير قراردادي و پيش فرض ايجاد مي کند بطوريکه تمام ترافيکي که روي مسير پيش فرض مچ مي شوند، روي اتصال VPN فرستاده مي شوند. اگر كامپيوترهاى ديگر ترافيك را به کلاينت دستيابى از راه دور VPN بفرستند، كامپيوتر کلاينت دستيابى از دور به عنوان يك مسيرياب عمل مي کند، سپس ترافيک از ميان ارتباط VPN ارسال مي شود. اين يك مسئله امنيتي است چون سرورVPN، كامپيوتري که براي کلاينت دسترسي راه دور VPN ترافيك مي فرستد ، تصديق نمي کند. كامپيوترى که براي کلاينت دسترسي راه دور VPN ترافيك مي فرستد دسترسي به شبکه يکساني مثل کامپيوتر کلاينت VPN دارد.

    براى جلوگيري از اينکه سرور VPN ترافيك از ميان ارتباط VPN براى كامپيوترها و گذشته از آن كامپيوترهاى کلاينت دستيابى از دور VPN تصديق ‌شده را دريافت کند،فيلترگذارى بسته‌اى خط مشي دستيابى از راه دور روي رويه دسترسي از راه دورکه براي اتصال VPN شما استفاده مي شود، پيكره‌بندى کنيد. رويه دسترسي از راه دور پيش فرض براي ويندوز سرور 2003 ، اتصال به مسيريابي ودسترسي راه دور ميکروسافت ناميده‌ مي شود که همواره فيلترهاي بسته ورودي صحيح براى اين پيكربندى دارد.


    مديريت VPN
    در انتخاب يك تكنولوژى شبكه خصوصى مجازى، مهم است که به موضوع مديريت رسيدگي شود. شبكه‌هاى بزرگ نياز دارند که اطلاعات راهنماي مربوط به هر كاربر را در يک منبع ذخيره متمرکز،ذخيره کنند، به طوريکه مديران و برنامه هاي كاربردي بتوانند اين اطلاعات را اضافه كنند، اصلاح كنند يا مورد پرس و جو قرار دهند. هر سرور دسترسى يا سرور تونل مي تواند پايگاه داده داخلي خود از مشخصات کاربران از قبيل نام‌ها، كلمات عبور و مجوز هاي دسترسي شماره گيري (dial-in ) را نگهداري کنند . اما، چون نگهداری حساب هاي کاربري متعدد روي سرورهاي متعدد و اداره کردن آنها گران است، بسياري از مديران يك پايگاه داده حساب را در سرور راهنما يا کنترلر اصلي دامنه يا روي يک سرور RADIUS نصب مي کنند.


    حسابدارى، پيگيرى و هشدار دادن
    براي مديريت صحيح يک سيستم VPN، مديران شبكه‌ بايد قادر باشند تا پيگيري کنند که چه اشخاصي از سيستم استفاده مي کنند، چه تعداد اتصال درست ‌شده است و نیز قادر باشند فعاليت غيرعادي،حالت خطا، و موقعيت هايي که ممکن است خرابي تجهيزات را نشان دهد، پيگيري کنند. اين اطلاعات می تواند براى صدور صورت‌حساب ، پيگيرى و هشدار در مورد خطا به كار روند.

    براى مثال، يك مدير ممكن است احتياج داشته باشد كه بداند چه کسي و براي چه مدت به سيستم وصل‌ شده تا داده هاي صدور صورت حساب را طرح ريزي کند. فعاليت غيرمعمول ممكن است نشانگراستفاده نادرست از سيستم يا کسري منابع سيستم باشد. مانيتورينگ Real-time از تجهيزات (براى مثال، فعاليت زياد غيرعادي روى يك مودم و بيكارى روى ديگری) مي تواند مدير را از نقص يک مودم آگاه سازد. سرور تونل بايد همه اين اطلاعات را فراهم كند و سيستم بايد امکان ثبت وقايع ، گزارشها و يك مکان ذخيره سازي براي اداره مناسب داده ها را فراهم کند.

    پروتکل RADIUS يك مجموعه از درخواست هاي مبتني بر مکالمه را تعريف مي كند که از درخواست هاي تصديق که در بالا بحث شد مستقل هستند. اين پيغام‌ها از NAS به سرور RADIUS تقاضاي ايجاد اسناد حسابدارى در شروع يك مکالمه، پايان مکالمه و در فواصل از پيش تعيين‌ شده در طول يك مکالمه را مي کند .سرويس مسيريابى و دستيابى از راه دور (RRAS)، كه عملكرد سرور شبكه خصوصى مجازى را در ويندوز سرور 2003 فراهم مي كند، مي تواند پيكره‌بندى شود تا درخواست هاي حسابرسيRADIUS را به صورت جداگانه از درخواست‌هاى ارتباط توليد کند ( كه مي تواند به كنترل ‌كننده دامنه يا به يك سرورRADIUS برود ). اين به يك مدير اجازه مي دهد تا يك سرور حسابدارى RADIUS را پيكره‌بندى بكند، چه RADIUS براى تصديق سنديت به كاررفته باشد و چه به کار نرفته باشد. بنابراين يك سرور حسابدارى مي تواند ركوردها را براى هر ارتباط شبكه خصوصى مجازى براي تحليل جمع‌آورى بكند.

    IAS در ويندوز سرور 2003 يك سرور حسابرسي RADIUS است و ثبت اطلاعات حسابدارى ارتباط را در يك فايل log يا فرستادن مستقيم آن به يك پايگاه داده سرور SQL پشتيبانى مي كند.

    در پایان
    VPNها به کاربران يا شركت ‌ها اجازه مي دهد به سرورهاي راه دور، دفاتر شعبه‌ ها يا به كمپانيهاى ديگر روى يك شبکه عمومى تا وقتي که ارتباطات امن را پشتيباني مي کند، وصل شوند. در همه اين موارد، ارتباط امن براي كاربر به عنوان يك شبكه خصوصى به نظر مي رسد در حالیکه اين ارتباط روى يك شبکه عمومى اتفاق مي افتد. تكنولوژى شبكه خصوصى مجازى براي رساندن فعاليت هاي تجاري جاري به اين مرحله طراحي شده است كه آنها به صورت روزافزون تر از ارتباط راه دور و انتشار وسيع عمليات سراسري استفاده كنند‏؛ جايى كه شاغلين بايد قادر باشند به منابع مركزى وصل شده و قادر باشند با يكديگر ارتباط برقرار بكنند.

    شبكه‌ سازى خصوصى مجازى با ويندوز سرور 2003 و ويندوز XP پروتكلهاي استاندارد PPTP وL2TP/IPSec ، ويژگي هاي امنيتي پيشرفته‌ از قبيل شناسايى مبنى بر گواهينامه‌ و کنترل قرنطينه دسترسي شبکه، و ويژگيهاي مديريت از قبيل شناسايى متمركز و حسابدارى با RADIUS و مديريت گسترش کلاينت VPN با مدير اتصال را پشتيباني مي کند.

    ----------------------------
    منبع: ICTIr
    نویسنده: وحید حسین زاده

  2. 2 کاربر از Mohammad بخاطر این مطلب مفید تشکر کرده اند


Thread Information

Users Browsing this Thread

هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)

User Tag List

قوانين ايجاد تاپيک در انجمن

  • شما نمی توانید تاپیک ایحاد کنید
  • شما نمی توانید پاسخی ارسال کنید
  • شما نمی توانید فایل پیوست کنید
  • شما نمی توانید پاسخ خود را ویرایش کنید
  •