قراردادهای موجود در پيادهسازي Vpn
قراردادهای موجود در پيادهسازي VPN
o ردهي بستهگرا Packet Oriented
لفافهبندي روي بستهها اِعمال ميشود. اكثر پيادهسازيهاي تجاري و غيرتجاري VPN، بستهگرا ميباشند. اين قرارداد از قرارداد PPP براي بستهبندي اطلاعات استفاده مينمايد. اين نوع قراردادها در مدل استاندارد لايهبندي شبكهي OSI، در سطح لايههاي دوم و سوم قرار دارند. بنابراين، امكان تونلكشي براي دسترسي راه دور وجود دارد.
o ردهي كاربردگرا Application Oriented
در قراردادهای كاربردگرا، اعمال رمزنگاري اطلاعات و هويتشناسي كاربران انجام ميشود. اين نوع قراردادها در مدل پشتهاي شبكهي OSI در لايههاي چهارم به بالا قرار دارند و چون آدرسدهي شبكهها و ميزبانها در لايهي سومِ مدلِ پشتهاي شبكهي OSI امكانپذير است، اين نوع قراردادها امكان تونلكشي بين ميزبان و شبكهي محلي يا بين دو شبكهي محلي را فراهم نمیکنند. با توجه به عدم امكان تونلكشي در قراردادهای اين رده، توانايي ايجاد شبكههاي مجازي در قراردادهای اين رده وجود ندارد و از اين قراردادها براي ايجاد شبكههاي خصوصي استفاده ميشود. البته ميتوان براي مخفيسازي آدرسهاي شبكهي محلي، از امكان ترجمهي آدرس شبكه(NAT) که در اكثر ديوارههاي آتش وجود دارد، استفاده نمود. با اين روش ميتوان بعضي از قابليتهاي تونلكشي را براي قراردادهای VPN كاربردگرا ايجاد كرد.
قراردادهای كاربردگراي Vpn
قراردادهای كاربردگراي VPN
قراردادهای:SSH
کاربرد اصلي قرارداد SSH، امن نمودن خدمت ارتباط از راه دور است. اين قرارداد در لايهي كاربرد و بالاتر از قرارداد TCP/IP كار ميكند. SSH قابليت هويتشناسي كاربران ورمزنگاري اطلاعات را دارد. قرارداد SSH داراي سه لايهي اصلي انتقال، هويتشناسي كاربر و اتصال ميباشد. لايهي انتقال، وظيفهي فراهم آوردن امنيت و هويتشناسي كارگزار را بهعهده دارد. به علت قرار گرفتن اين لايه بر روي لايهي TCP و همچنين وجود حفرهي امنيتي در لايههاي TCP و IP، امنيت در ارتباط بين دو كامپيوتر از بين خواهد رفت، كه ميتوان با قرار دادن ديوارهي آتش بر روي آن، اين مشكل را به نوعي حل نمود. لايهي هويتشناسي كاربر، وظيفهي شناساندن كارفرما به كارگزار را به عهده دارد. لايهي اتصال وظيفهي تسهيم و ايجاد كانالهاي امن لايههاي انتقال و هويتشناسي را بر عهده دارد. از قرارداد SSH ميتوان براي پيادهسازي شبكههاي خصوصي كه حالت خاصي از VPNها هستند، استفاده نمود.
قرار داد SOCKS :
قرارداد SOCKS در مدل لايهبندي شبكه OSI درلايهي پنجم بصورت كارفرما و كارگزار پيادهسازي شده است اين قرارداد داراي امكان رمزنگاري اطلاعات نيست ولي بدليل داشتن امكان هويتشناسي چند سطحي و امكان مذاكره بين كارفرما وكارگزار SOCKS(Negotiate Capability)، ميتوان از آن براي پيادهسازي قراردادهاي رمزنگاري موجود، از آن استفاده نمود. SOCKS، به صورت Circuit-Level Proxy پياده سازی شده است. يعني، كارفرما و كارگزار SOCKS در دروازههاي دو شبكه محلي، اعمال هويتشناسي و مذاكرههاي لازم را انجام ميدهند و سپس ارتباطات ميزبانهاي دو شبكه محلي با يكديگر انجام ميشود. چون كارفرماي SOCKS مثل يك Proxy عمل مينمايد، ميتوان براي امنيت بيشتر، به ميزبانهاي شبكهي محلي، آدرسهاي نامعتبر اختصاص داد و با ترجمه آدرس شبكه (NAT) كه در كارگزار SOCKS انجام ميشود، اين آدرسهاي نامعتبر را به آدرس معتبر و بالعكس تبديل نمود. با اين روش ميتوان شبكه محلي را از يك شبكه عمومي مخفي نمود.
قراردادهای ردهي بستهگرايvpn
قراردادهای ردهي بستهگرايvpn
VPNSimple Key Management for Internet Protocol SKIP:
يك قرارداد مديريت كليد است ولي با توجه به اينكه اين قرارداد امكانات تونلكشي را نيز ارائه ميدهد، ميتوان آنرا به عنوان يك قرارداد پيادهسازي VPN در نظر گرفت. اين قرارداد در سطح لايهي سوم OSI كار ميكند.
Layer 2 Tunneling Protocol L2TP:
يك مكانيزم تونلكشي است كه از تركيب مكانيزمهاي PPTP وL2F به منظور بهرهوري از محاسن هر دو قرارداد به وجود آمده است و از قرارداد PPP براي بستهبندي اطلاعات استفاده ميكند.
از پروتكل فوق بمنظور ايجاد تونل بين موارد زير استفاده مي گردد :
● سرويس گيرنده و روتر
● NAS و روتر
● روتر و روتر
Layer Two Filtering L2F:
اين قرارداد مانند PPTP يك قرارداد تونلكشي در لايهي دوم است كه توسط شركت Cisco ارائه شده و بوسيلهي بعضي از شركتها نظير Telecom حمايت ميشود.
Point to Point Tunneling Protocol PPTP:
يك مكانيزم تونلكشي نقطه به نقطه است كه براي دسترسي راه دور به كارگزار سختافزاري Ascend و ويندوز NT طراحي شده است.در اين قراداد، امكان رمزنگاري و هويتشناسي پيشبيني نشده و ازقرارداد PPPبراي بستهبندي اطلاعات استفاده ميشود.قراردادPPP ارتباط تلفني يك ميزبان به شبكهي محلي را فراهم ميآورد و وظيفهي لايهي پيوند داده و لايهي فيزيكي را هنگام ارتباط تلفني ميزبان به فراهم آورندهي سرويس اينترنت(ISP)، انجام ميدهد قراردادPPTP در كاربردهاي كوچك و كاربردهايي كه نياز به امنيت خيلي بالايي ندارند، استفاده ميشود.راهاندازيVPN با استفاده از قرارداد PPTP در اين محيطها كمهزينه و مقرون بصرفه است. قرارداد PPTP داراي قابليت پيادهسازيVPN شبكهي محلي-بهشبكهي محلي نيز ميباشد
اين پروتكل امكان رمزنگاري 40 بيتي و 128 بيتي را دارا بوده و از مدل هاي تعيين اعتبار كاربر كه توسط PPP حمايت شده اند ، استفاده مي نمايد.
Ipsec IP Security protocol:
Ipsec برخلافPPTP و L2TP روي لايه شبكه يعني لايه سوم كار مي كند . اين پروتكل داده هايي كه بايد فرستاده شود را همراه با همه اطلاعات جانبي مانند گيرنده و پيغام هاي وضعيت رمز گذاري كرده و به آن يك IP Header معمولي اضافه كرده و به آن سوي تونل مي فرستد .
كامپيوتري كه در آن سو قرار دارد IP Header را جدا كرده ، داده ها را رمز گشايي كرده و آن را به كامپيوتر مقصد مي فرستد .Ipsec را مي توان با دو شيوه Tunneling پيكر بندي كرد . در اين شيوه انتخاب اختياري تونل ، سرويس گيرنده نخست يك ارتباط معمولي با اينترنت برقرار مي كند و سپس از اين مسير براي ايجاد اتصال مجازي به كامپيوتر مقصد استفاده مي كند . براي اين منظور ، بايد روي كامپيوتر سرويس گيرنده پروتكل تونل نصب شده باشد . معمولا” كاربر اينترنت است كه به اينترنت وصل مي شود . اما كامپيوترهاي درون LAN هم مي توانند يك ارتباط VPN برقرا كنند . از آنجا كه ارتباط IP از پيش موجود است تنها برقرار كردن ارتباط VPN كافي است . در شيوه تونل اجباري ، سرويس گيرنده نبايد تونل را ايجاد كند بلكه اين كار ار به عهده فراهم ساز (Service provider ) است . سرويس گيرنده تنها بايد به ISP وصل شود . تونل به طور خودكار از فراهم ساز تا ايستگاه مقصد وجود دارد . البته براي اين كار بايد همانگي هاي لازم با ISP انجام بگيرد .ٍ
ويژگي هاي امنيتي در IPsec
ويژگي هاي امنيتي در IPsec
Ipsec از طريق (Authentication Header) AH مطمئن مي شود كه Packet هاي دريافتي از سوي فرستنده واقعي ( و نه از سوي يك نفوذ كننده كه قصد رخنه دارد ) رسيده و محتويات شان تغيير نكرده . AH اطلاعات مربوط به تعيين اعتبار و يك شماره توالي (Sequence Number) در خود دارد تا از حملات Replay جلوگيري كند. اما AH رمز گذاري نمي شود . رمز گذاري از طريق Encapsulation) Security Header) ESH انجام مي گيرد . در اين شيوه داده هاي اصلي رمز گذاري شده و VPN اطلاعاتي را از طريق ESH ارسال مي كند .
ESH همچنين كاركرد هايي براي تعيين اعتبار و خطايابي دارد. به اين ترتيب ديگر به AH نيازي نيست . براي رمز گذاري و تعيين اعتبار روش مشخص و ثابتي وجود ندارد اما با اين همه ، IEEE براي حفظ سازگاري ميان محصولات مختلف ، الگوريتم هاي اجباري براي پياده سازي Ipsec تدارك ديده . براي نمونه مي توان به MD5 ، DES يا Secure Hash Algorithm اشاره كرد . مهمترين استانداردها و روش هايي كه در Ipsec به كار مي روند عبارتند از :
Daffier - Hellmann براي مبادله كليد ها ميان ايستگاه هاي دو سر ارتباط .
رمز گذاري Public Key براي ثبت و اطمينان از كليدهاي مبادله شده و همچنين اطمينان از هويت ايستگاه هاي سهيم در ارتباط .
الگوريتم هاي رمز گذاري مانند DES براي اطمينان از درستي داده هاي انتقالي .
الگوريتم هاي درهم ريزي ( Hash ) براي تعيين اعتبار تك تك Packet ها .
امضاهاي ديجيتال براي تعيين اعتبارهاي ديجيتالي .
جريان يك ارتباط Ipsec
بيش از آن كه دو كامپيوتر بتوانند از طريق Ipsec داده ها را ميان خود جابجا كنند بايد يكسري كارها انجام شود:
o نخست بايد ايمني برقرار شود . براي اين منظور ، كامپيوترها براي يكديگر مشخص مي كنند كه آيا رمز گذاري ، تعيين اعتبار و تشخيص خطا يا هر سه آنها بايد انجام بگيرد يا نه .
o سپس الگوريتم را مشخص مي كنند ، مثلا” DEC براي رمزگذاري و MD5 براي خطايابي.
o در گام بعدي ، كليدها را ميان خود مبادله مي كنند.
Ipsec براي حفظ ايمني ارتباط از(Security Association) SA استفاده مي كند.SA چگونگي ارتباط ميان دو يا چند ايستگاه و سرويس هاي ايمني را مشخص مي كند
SA ها از سوي SPI (Security parameter Index ) شناسايي مي شوند . SPI از يك عدد تصادفي و آدرس مقصد تشكيل مي شود . اين به آن معني است كه همواره ميان دو كامپيوتر دو SPI وجود دارد :
يكي براي ارتباط A و B و يكي براي ارتباط B به A . اگر يكي از كامپيوترها بخواهد در حالت محافظت شده داده ها را منتقل كند نخست شيوه رمز گذاري مورد توافق با كامپيوتر ديگر را بررسي كرده و آن شيوه را روي داده ها اعمال مي كند . سپس SPI را در Header نوشته و Packet را به سوي مقصد مي فرستد .
مديريت كليدهاي رمز در Ipsec
اگر چه Ipsec فرض را بر اين مي گذارد كه توافقي براي ايمني داده ها وجود دارد اما خودش براي ايجاد اين توافق نمي تواند كاري انجام بدهد .
Ipsec در اين كار به (IKE) Internet Key Exchange تكيه مي كند براي ايجاد SA هر دو كامپيوتر بايد نخست تعيين اعتبار شوند. در حال حاضر براي اين كار از راه هاي زير استفاده مي شود :
oاPre shared keys: روي هر دو كامپيوتر يك كليد نصب مي شود كه IKE از روي آن يك عدد Hash ساخته و آن را به سوي كامپيوتر مقصد مي فرستد . اگر هر دو كامپيوتر بتوانند اين عدد را بسازند پس هر دو اين كليد دارند و به اين ترتيب تعيين هويت انجام مي گيرد .
o رمز گذاري Public Key : هر كامپيوتر يك عدد تصادفي ساخته و پس از رمز گذاري آن با كليد عمومي كامپيوتر مقابل ، آن را به كامپيوتر مقابل مي فرستد .اگر كامپيوتر مقابل بتواند با كليد شخصي خود اين عدد را رمز گشايي كرده و باز پس بفرستد برا ي ارتباط مجاز است . در حال حاضر تنها از روش RSA براي اين كار پيشنهاد مي شود .
o امضاء ديجيتال: در اين شيوه،هركامپيوتر يك رشته داده را علامت گذاري(امضاء)كرده و به كامپيوتر مقصد مي فرستد. درحال حاضر براي اين كار از روش هاي RSA و(DSS ( Digital Signature Standard استفاده مي شود . براي امنيت بخشيدن به تبادل داده ها بايد هر دو سر ارتبا طنخست بر سر يك يك كليد به توافق مي رسند كه براي تبادل داده ها به كار مي رود . برا ي اين منظور مي توان همان كليد به دست آمده از طريق Daffier Hellmann را به كاربرد كه سريع تر است يا يك كليد ديگر ساخت كه مطمئن تر است
آشنایی با چند اصطلاح اینترتی
آشنایی با چند اصطلاح اینترتی
آدرسي كه به يك صفحه Web يا هر منبعي بر روي وب جهاني و به طور كلي اينترنت اشاره ميكند URL ناميده ميشود . URL ساختاري دارد كه بيان ميكند چگونه ميتوان به يك منبع خاص دسترسي پيدا كرد و در واقع اين اطلاعات حاوي اطلاعاتي درباره نام كامپيوتر ميزان و راه دسترسي به آن است .
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
URL به يك سرويسگر وب اشاره ميكند زيرا http در اول آن آماده بر روي اين سرويسگر وب كه
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نام دارد فايلي به نام Types.html كه در يك دايركتوري به نام /tr/html4 قرار گرفته ،
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اين URL به دايركتوري pub بر روي يك ميزبان با نام ftp.w3c.org اشاره ميكند كه با استفاده از پروتكل ftp به آن دسترسي پيدا ميكنيم .
2. HTML : مخفف كلمه Hyper Text Markup Language يك زبان برنامه نويسي Coding كه ميتواند Multimedia ( صورت و تصوير و عكس ) را به زبان Coding ارســــال كند و يك Browser مي تــواند اين كدها را به شكل صفحه عادي نمايش دهد .
3. Image Map : يك تصوير است كه هر قسمت از آن به قسمتهاي مختلف Link ميشود .
4. IP : مخفف كلمه Internet protocol ، يك شماره است كه جهــــت اتصال ما به اينترنت داشتن آن الزامي است اين شماره از 4 ترم تشكيل شده (كه در قبل توضيح داده شد و بعدا نيز به شرح مفصل آن مي پردازيم. )
5. Domain Name : يك اسم است كه در نقش آدرس اينترنتي ما استفاده ميشود و شكل مجازي IP يك سايت اينترنتي محسوب ميشود.
6. Submit : گزينه اي است كه در فرمهاي اينترنتي ظاهر ميشود و پس از پر كردن فرم جهت تقاضاي عضويت، توسط صاحب فرم ارسال ميشود تا در سايت بطور خودکار توسط نرم افزار CGI تحليل شود و پاسخ آن به ما داده شود.
7. Cookie : در مباحث وب, Cookie شامل يکسري اطلاعات بوده که Server, مربوطه براي اولين بار با browser کاربر ارتباط برقرار کرده و سپس براي هربار اتصال مجدد, اطلاعات آن استفاده ميکند. اين اطلاعات به اصطلاح Cookie هم در Server و هم در browser به صورت فايل Plain text ذخيره ميشوند. مثلا در صورتيکه سايت نيازمند ثبت نام اشخاص باشد, ميتوان از Cookie ها در نگهداري name user و Password بر روي درايوهايشان استفاده نمود تا از وارد کردن مجدد آنها در هربار اتصال خودداري شود.
همچنين بدين صورت ميتوان, تعداد دفعات استفاده از سايتها را در Cookie ها ذخيره نمود.مشخصات خاص Cookieها:
1. از آنها نميتوان براي بررسي محتويات هارد کاربر استفاده نمود.
2. توسط Cookieها ويروسها, انتقال نمي يابند. بطور خلاصه, يک Cookie تنها يک فايل ساده متني بر روي هارد ديسک کاربر بوده که برنامه نويس JavaScript بعضي از اطلاعات را در آن نگهداري ميسازد.
در Cookie همچنين آدرس مربوط به Server نيز نگهداري ميشود. بطور کلي ميتوان اساس پيدايش آنرا "Identification" ناميد. بخاطر داشته باشيد که بدين صورت تنها کامپيوتر متصل شده, تعيين هويت ميگردد, يعني مشخصات کاربرها و يا سايتهاي مورد استفاده, مشخص نخواهد شد.