vpn networking

[zaraoustra]

قراردادهای كاربردگراي VPN
قراردادهای:SSH
کاربرد اصلي قرارداد SSH، امن نمودن خدمت ارتباط از راه دور است. اين قرارداد در لايه‌ي كاربرد و بالاتر از قرارداد TCP/IP كار مي‏كند. SSH قابليت هويت‏شناسي كاربران ورمزنگاري اطلاعات را دارد. قرارداد SSH داراي سه لايه‌ي اصلي انتقال، هويت‌شناسي كاربر و اتصال مي‏باشد. لايه‌ي انتقال، وظيفه‏ي فراهم آوردن امنيت و هويت‌شناسي كارگزار را به‌عهده دارد. به علت قرار گرفتن اين لايه بر روي لايه‏ي TCP و همچنين وجود حفره‌ي امنيتي در لايه‏‌هاي TCP و IP، امنيت در ارتباط بين دو كامپيوتر از بين خواهد رفت، كه مي‏توان با قرار دادن ديواره‌ي آتش بر روي آن، اين مشكل را به نوعي حل نمود. لايه‏ي هويت‌شناسي كاربر، وظيفه‏ي شناساندن كارفرما به كارگزار را به عهده دارد. لايه‏ي اتصال وظيفه‏ي تسهيم و ايجاد كانال‌هاي امن لايه‎هاي انتقال و هويت‏شناسي را بر عهده دارد. از قرارداد SSH مي‏توان براي پياده‌‏سازي شبكه‏‌هاي خصوصي كه حالت خاصي از VPNها هستند، استفاده نمود.

قرار داد SOCKS :
قرارداد SOCKS در مدل لايه‏بندي شبكه OSI درلايه‌ي پنجم بصورت كارفرما و كارگزار پياده‌‏سازي شده است اين قرارداد داراي امكان رمزنگاري اطلاعات نيست ولي بدليل داشتن امكان هويت‏شناسي چند سطحي و امكان مذاكره بين كارفرما وكارگزار SOCKS(Negotiate Capability)، مي‏توان از آن براي پياده‌‏سازي قراردادهاي رمزنگاري موجود، از آن استفاده نمود. SOCKS، به صورت Circuit-Level Proxy پياده سازی شده است. يعني، كارفرما و كارگزار SOCKS در دروازه‏‌هاي دو شبكه محلي، اعمال هويت‏شناسي و مذاكره‏‌هاي لازم را انجام مي‏دهند و سپس ارتباطات ميزبان‏هاي دو شبكه‏ محلي با يكديگر انجام مي‏شود. چون كارفرماي SOCKS مثل يك Proxy عمل مي‏نمايد، مي‏توان براي امنيت بيشتر، به ميزبان‏هاي شبكه‌ي محلي، آدرس‌هاي نامعتبر اختصاص داد و با ترجمه آدرس شبكه (NAT) كه در كارگزار SOCKS انجام مي‏شود، اين آدرس‌هاي نامعتبر را به آدرس معتبر و بالعكس تبديل نمود. با اين روش مي‌توان شبكه محلي را از يك شبكه عمومي مخفي نمود.

[zaraoustra]

قراردادهای رده‏ي بسته‏گرايvpn
VPNSimple Key Management for Internet Protocol SKIP:
يك قرارداد مديريت كليد است ولي با توجه به اينكه اين قرارداد امكانات تونل‌‏كشي را نيز ارائه مي‏دهد، مي‏توان آن‌را به عنوان يك قرارداد پياده‌‏سازي VPN در نظر گرفت. اين قرارداد در سطح لايه‏ي سوم OSI كار مي‏كند.
Layer 2 Tunneling Protocol L2TP:
يك مكانيزم تونل‌‏كشي است كه از تركيب مكانيزم‏هاي PPTP وL2F به منظور بهره‌وري از محاسن هر دو قرارداد به‏ وجود آمده است و از قرارداد PPP براي بسته‏بندي اطلاعات استفاده مي‌كند.
از پروتكل فوق بمنظور ايجاد تونل بين موارد زير استفاده مي گردد :
● سرويس گيرنده و روتر
● NAS و روتر
● روتر و روتر

Layer Two Filtering L2F:
اين قرارداد مانند PPTP يك قرارداد تونل‌‏كشي در لايه‏ي دوم است كه توسط شركت Cisco ارائه شده و بوسيله‏ي بعضي از شركت‏ها نظير Telecom حمايت مي‌شود.

Point to Point Tunneling Protocol PPTP:
يك مكانيزم تونل‌‏كشي نقطه‌ به نقطه است كه براي دسترسي راه دور به كارگزار سخت‏افزاري Ascend و ويندوز NT طراحي شده است.در اين قراداد، امكان رمزنگاري و هويت‏شناسي پيش‏بيني نشده و ازقرارداد PPPبراي بسته‏بندي اطلاعات استفاده مي‏شود.قراردادPPP ارتباط تلفني يك ميزبان به شبكه‏‏‌ي محلي را فراهم مي‏آورد و وظيفه‏ي لايه‏ي پيوند داده و لايه‌ي فيزيكي را هنگام ارتباط تلفني ميزبان به فراهم آورنده‏‏‏ي سرويس اينترنت(ISP)، انجام مي‏دهد قراردادPPTP در كاربردهاي كوچك و كاربردهايي كه نياز به امنيت خيلي بالايي ندارند، استفاده مي‏شود.راه‌‏اندازيVPN با استفاده از قرارداد PPTP در اين محيط‏ها كم‏هزينه و مقرون بصرفه است. قرارداد PPTP داراي قابليت پياده‌‏سازيVPN شبكه‏‏‏ي ‏محلي-به‏شبكه‏‏‌ي محلي نيز ميباشد
اين پروتكل امكان رمزنگاري 40 بيتي و 128 بيتي را دارا بوده و از مدل هاي تعيين اعتبار كاربر كه توسط PPP حمايت شده اند ، استفاده مي نمايد.

Ipsec IP Security protocol:
Ipsec برخلافPPTP و L2TP روي لايه شبكه يعني لايه سوم كار مي كند . اين پروتكل داده هايي كه بايد فرستاده شود را همراه با همه اطلاعات جانبي مانند گيرنده و پيغام هاي وضعيت رمز گذاري كرده و به آن يك IP Header معمولي اضافه كرده و به آن سوي تونل مي فرستد .
كامپيوتري كه در آن سو قرار دارد IP Header را جدا كرده ، داده ها را رمز گشايي كرده و آن را به كامپيوتر مقصد مي فرستد .Ipsec را مي توان با دو شيوه Tunneling پيكر بندي كرد . در اين شيوه انتخاب اختياري تونل ، سرويس گيرنده نخست يك ارتباط معمولي با اينترنت برقرار مي كند و سپس از اين مسير براي ايجاد اتصال مجازي به كامپيوتر مقصد استفاده مي كند . براي اين منظور ، بايد روي كامپيوتر سرويس گيرنده پروتكل تونل نصب شده باشد . معمولا” كاربر اينترنت است كه به اينترنت وصل مي شود . اما كامپيوترهاي درون LAN هم مي توانند يك ارتباط VPN برقرا كنند . از آنجا كه ارتباط IP از پيش موجود است تنها برقرار كردن ارتباط VPN كافي است . در شيوه تونل اجباري ، سرويس گيرنده نبايد تونل را ايجاد كند بلكه اين كار ار به عهده فراهم ساز (Service provider ) است . سرويس گيرنده تنها بايد به ISP وصل شود . تونل به طور خودكار از فراهم ساز تا ايستگاه مقصد وجود دارد . البته براي اين كار بايد همانگي هاي لازم با ISP انجام بگيرد .ٍ

[zaraoustra]

ويژگي هاي امنيتي در IPsec
Ipsec از طريق (Authentication Header) AH مطمئن مي شود كه Packet هاي دريافتي از سوي فرستنده واقعي ( و نه از سوي يك نفوذ كننده كه قصد رخنه دارد ) رسيده و محتويات شان تغيير نكرده . AH اطلاعات مربوط به تعيين اعتبار و يك شماره توالي (Sequence Number) در خود دارد تا از حملات Replay جلوگيري كند. اما AH رمز گذاري نمي شود . رمز گذاري از طريق Encapsulation) Security Header) ESH انجام مي گيرد . در اين شيوه داده هاي اصلي رمز گذاري شده و VPN اطلاعاتي را از طريق ESH ارسال مي كند .
ESH همچنين كاركرد هايي براي تعيين اعتبار و خطايابي دارد. به اين ترتيب ديگر به AH نيازي نيست . براي رمز گذاري و تعيين اعتبار روش مشخص و ثابتي وجود ندارد اما با اين همه ، IEEE براي حفظ سازگاري ميان محصولات مختلف ، الگوريتم هاي اجباري براي پياده سازي Ipsec تدارك ديده . براي نمونه مي توان به MD5 ، DES يا Secure Hash Algorithm اشاره كرد . مهمترين استانداردها و روش هايي كه در Ipsec به كار مي روند عبارتند از :
Daffier - Hellmann براي مبادله كليد ها ميان ايستگاه هاي دو سر ارتباط .
رمز گذاري Public Key براي ثبت و اطمينان از كليدهاي مبادله شده و همچنين اطمينان از هويت ايستگاه هاي سهيم در ارتباط .
الگوريتم هاي رمز گذاري مانند DES براي اطمينان از درستي داده هاي انتقالي .
الگوريتم هاي درهم ريزي ( Hash ) براي تعيين اعتبار تك تك Packet ها .
امضاهاي ديجيتال براي تعيين اعتبارهاي ديجيتالي .

جريان يك ارتباط Ipsec
بيش از آن كه دو كامپيوتر بتوانند از طريق Ipsec داده ها را ميان خود جابجا كنند بايد يكسري كارها انجام شود:
o نخست بايد ايمني برقرار شود . براي اين منظور ، كامپيوترها براي يكديگر مشخص مي كنند كه آيا رمز گذاري ، تعيين اعتبار و تشخيص خطا يا هر سه آنها بايد انجام بگيرد يا نه .
o سپس الگوريتم را مشخص مي كنند ، مثلا” DEC براي رمزگذاري و MD5 براي خطايابي.
o در گام بعدي ، كليدها را ميان خود مبادله مي كنند.
Ipsec براي حفظ ايمني ارتباط از(Security Association) SA استفاده مي كند.SA چگونگي ارتباط ميان دو يا چند ايستگاه و سرويس هاي ايمني را مشخص مي كند
SA ها از سوي SPI (Security parameter Index ) شناسايي مي شوند . SPI از يك عدد تصادفي و آدرس مقصد تشكيل مي شود . اين به آن معني است كه همواره ميان دو كامپيوتر دو SPI وجود دارد :
يكي براي ارتباط A و B و يكي براي ارتباط B به A . اگر يكي از كامپيوترها بخواهد در حالت محافظت شده داده ها را منتقل كند نخست شيوه رمز گذاري مورد توافق با كامپيوتر ديگر را بررسي كرده و آن شيوه را روي داده ها اعمال مي كند . سپس SPI را در Header نوشته و Packet را به سوي مقصد مي فرستد .
مديريت كليدهاي رمز در Ipsec
اگر چه Ipsec فرض را بر اين مي گذارد كه توافقي براي ايمني داده ها وجود دارد اما خودش براي ايجاد اين توافق نمي تواند كاري انجام بدهد .
Ipsec در اين كار به (IKE) Internet Key Exchange تكيه مي كند براي ايجاد SA هر دو كامپيوتر بايد نخست تعيين اعتبار شوند. در حال حاضر براي اين كار از راه هاي زير استفاده مي شود :
oاPre shared keys: روي هر دو كامپيوتر يك كليد نصب مي شود كه IKE از روي آن يك عدد Hash ساخته و آن را به سوي كامپيوتر مقصد مي فرستد . اگر هر دو كامپيوتر بتوانند اين عدد را بسازند پس هر دو اين كليد دارند و به اين ترتيب تعيين هويت انجام مي گيرد .
o رمز گذاري Public Key : هر كامپيوتر يك عدد تصادفي ساخته و پس از رمز گذاري آن با كليد عمومي كامپيوتر مقابل ، آن را به كامپيوتر مقابل مي فرستد .اگر كامپيوتر مقابل بتواند با كليد شخصي خود اين عدد را رمز گشايي كرده و باز پس بفرستد برا ي ارتباط مجاز است . در حال حاضر تنها از روش RSA براي اين كار پيشنهاد مي شود .
o امضاء ديجيتال: در اين شيوه،هركامپيوتر يك رشته داده را علامت گذاري(امضاء)كرده و به كامپيوتر مقصد مي فرستد. درحال حاضر براي اين كار از روش هاي RSA و(DSS ( Digital Signature Standard استفاده مي شود . براي امنيت بخشيدن به تبادل داده ها بايد هر دو سر ارتبا طنخست بر سر يك يك كليد به توافق مي رسند كه براي تبادل داده ها به كار مي رود . برا ي اين منظور مي توان همان كليد به دست آمده از طريق Daffier Hellmann را به كاربرد كه سريع تر است يا يك كليد ديگر ساخت كه مطمئن تر است

[zaraoustra]

شبکه محلی مجازی ( VLAN )
جدیدا یک نوعی از شبکه های محلی به نام Virtual LAN یا همون VLAN خیلی مورد استفاده قرار میگره . VLAN در حقیقت گروهی از Station ها هستند که بر اساس یک شرط خاصی در یک شبکه محلی قرار می گیرند . از نظر فیزیکی یک VLAN می تواند قسمتی یا حلقه ای ( RING ) از یک شبکه محلی بزرگ باشد و یا حتی تعداد خاصی از Station های یک شبکه محلی معمولی باشد . دلایلی که باعث محبوب شدن و استفاده روزافزون از VLAN ها میشه به شرح زیر هستند :
1- به وسیله VLAN به راحتی می توان نیازهای شبکه ای یک سازمان مجازی را برطرف کرد . استفاده از Switch هایی که قابلیت تعریف VLAN را دارند باعث می شود که مدیریت شبکه های مختلف توسط یک Switch به راحتی انجام شود و تغییرات و تحرکات به راحتی قابل کنترل باشد .
2- با استفاده از VLAN پهنای باند به صورت بهینه مصرف می شود ، به این معنا که Frame ها و یا Packet هایی که توسط یک Station در یک VLAN خاص ، فقط برای Station های اعضای آن VLAN ارسال می شوند و دیگر VLAN های دیگر ، مشغول به دریافت Packet های مربوط به آن VLAN نمی شوند . همچنین روشهایی برای محدود سازی پهنای باند برای هر VLAN پس از تعریف VLAN وجود دارد .
3- به وسیله VLAN امنیت شبکه بالا می رود . به این معنا که افرادی که در یک VLAN خاص قرار دارند مطمئن خواهند بود که افراد دیگری که به VLAN های دیگر در آن شبکه متصل هستند نمی توانند از آدرسهای آنها و منابع آن VLAN برای دسترسی به اطلاعات آنها استفاده کنند . همچنین ابزاری مانند Sniffer ها و امثال آنها دیگر مورد استفاده ای در VLAN های دیگر برای دسترسی به اطلاعات بقیه Station ها نخواهند داشت.
روشهایی که سازندگان Switch برای تعریف VLAN از آنها استفاده می کنند از قرار زیر است :
1- PORT-BASED VLANs
2- MAC-BASED VLANs
3- LAYER 3-BASED VLANs
4- RULES BASED VLANs
برای استفاده از Port Based ها باید Switch قایل مدیریت داشته باشید تا بتوانید برای هر Port تعریف خاصی داشته باشید و باید دقت کنید که هر Station به Port مناسبی که برای آن برنامه ریزی کرده اید متصل شود . این یکی از نقطه ضعفهای این روش است که برای تغییر محل Port یک Station باید تنظیمات Switch را نیز عوض کنید .
در Mac Based دیگر مشکل عوض شدن محل Port وجود ندارد و در ضمن نیازی به Switch های قابل برنامه ریزی نیز نمی باشد . همه تنظیمات بر روی Router بر اساس آدرس سخت افزاری Device های اتصال به شبکه انجام می شود . مشکل این روش این است که در تعداد بالایی Station در یک VLAN شرط بسیار بزرگی برای یک VLAN باید توسط Router بررسی شود که خود این محدودیت ایجاد می کند .
در Layer 3-Based باید از Switch ها و Router های گران قیمت Layer 3 استفاده کنید و بر اساس VLAN ها می توانید Routing و ... انجام دهید .
در Rule Based شما می توانید بر اسال آدرسها و Subnet ها تصمیم بگیرید که هر Station در کدام VLAN باید قرار داشته باشد. این روش استفاده های خاص خود را دارد و در همه جا نمی توان از آن استفاده کرد .
در زمینه VLAN ها یک استانداردی توسط IEEE تهیه شده است به نام IEEE 802.1q که در آن روشی برای ایجاد VLAN و تشخیص آنها برای Switch ها و Router ها پیشنهاد شده است که امروزه اکثر Switch ها و Router های استاندارد از آن به عنوان استاندارد VLAN پشتیبانی می کنند .

[zaraoustra]

نتيجه گيري :
يك شبكه اختصاصي مجازي (vpn) از رمزنگاري سطح بالا براي ايجاد ارتباط امن بين ابزار دور از يكديگر، مانند لپ تاپ ها و شبكه مقصد استفاده مي كند. Vpn اساساً يك تونل رمزشده تقريباً با امنيت و محرمانگي يك شبكه اختصاصي اما از ميان اينترنت ايجاد مي كند. اين تونل Vpn مي تواند در يك مسيرياب برپايه Vpn، فايروال يا يك سرور در ناحيه Dmz پايان پذيرد. برقراري ارتباطات Vpn براي تمام بخش هاي دور و بي سيم شبكه يك عمل مهم است كه نسبتاً آسان و ارزان پياده سازي مي شود.
تبادل داده ها روي اينرنت چندان ايمن نيست . تقريبا” هر كسي كه در جاي مناسب قرار داشته باشد مي تواند جريان داده ها را زير نظر گرفته و از آنها سوء استفاده كند . اگرچه Vpn رمزنگاري مؤثري ارائه مي كندو كار نفوذ را برا ي خرابكاران خيلي سخت مي كند ، اما كار اجرايي بيشتري را برروي كارمندان It تحميل مي كنند، چرا كه كليدهاي رمزنگاري و گروه هاي كاربري بايد بصورت مداوم مديريت شوند.

[zaraoustra]

آشنایی با چند اصطلاح اینترتی
آدرسي كه به يك صفحه Web يا هر منبعي بر روي وب جهاني و به طور كلي اينترنت اشاره ميكند URL ناميده ميشود . URL ساختاري دارد كه بيان ميكند چگونه ميتوان به يك منبع خاص دسترسي پيدا كرد و در واقع اين اطلاعات حاوي اطلاعاتي درباره نام كامپيوتر ميزان و راه دسترسي به آن است .
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL به يك سرويسگر وب اشاره ميكند زيرا http در اول آن آماده بر روي اين سرويسگر وب كه [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] نام دارد فايلي به نام Types.html كه در يك دايركتوري به نام /tr/html4 قرار گرفته ، [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] اين URL به دايركتوري pub بر روي يك ميزبان با نام ftp.w3c.org اشاره ميكند كه با استفاده از پروتكل ftp به آن دسترسي پيدا ميكنيم .
2. HTML : مخفف كلمه Hyper Text Markup Language يك زبان برنامه نويسي Coding كه ميتواند Multimedia ( صورت و تصوير و عكس ) را به زبان Coding ارســــال كند و يك Browser مي تــواند اين كدها را به شكل صفحه عادي نمايش دهد .
3. Image Map : يك تصوير است كه هر قسمت از آن به قسمتهاي مختلف Link ميشود .
4. IP : مخفف كلمه Internet protocol ، يك شماره است كه جهــــت اتصال ما به اينترنت داشتن آن الزامي است اين شماره از 4 ترم تشكيل شده (كه در قبل توضيح داده شد و بعدا نيز به شرح مفصل آن مي پردازيم. )
5. Domain Name : يك اسم است كه در نقش آدرس اينترنتي ما استفاده ميشود و شكل مجازي IP يك سايت اينترنتي محسوب ميشود.
6. Submit : گزينه اي است كه در فرمهاي اينترنتي ظاهر ميشود و پس از پر كردن فرم جهت تقاضاي عضويت، توسط صاحب فرم ارسال ميشود تا در سايت بطور خودکار توسط نرم افزار CGI تحليل شود و پاسخ آن به ما داده شود.
7. Cookie : در مباحث وب, Cookie شامل يکسري اطلاعات بوده که Server, مربوطه براي اولين بار با browser کاربر ارتباط برقرار کرده و سپس براي هربار اتصال مجدد, اطلاعات آن استفاده ميکند. اين اطلاعات به اصطلاح Cookie هم در Server و هم در browser به صورت فايل Plain text ذخيره ميشوند. مثلا در صورتيکه سايت نيازمند ثبت نام اشخاص باشد, ميتوان از Cookie ها در نگهداري name user و Password بر روي درايوهايشان استفاده نمود تا از وارد کردن مجدد آنها در هربار اتصال خودداري شود.
همچنين بدين صورت ميتوان, تعداد دفعات استفاده از سايتها را در Cookie ها ذخيره نمود.مشخصات خاص Cookieها:
1. از آنها نميتوان براي بررسي محتويات هارد کاربر استفاده نمود.
2. توسط Cookieها ويروسها, انتقال نمي يابند. بطور خلاصه, يک Cookie تنها يک فايل ساده متني بر روي هارد ديسک کاربر بوده که برنامه نويس JavaScript بعضي از اطلاعات را در آن نگهداري ميسازد.
در Cookie همچنين آدرس مربوط به Server نيز نگهداري ميشود. بطور کلي ميتوان اساس پيدايش آنرا "Identification" ناميد. بخاطر داشته باشيد که بدين صورت تنها کامپيوتر متصل شده, تعيين هويت ميگردد, يعني مشخصات کاربرها و يا سايتهاي مورد استفاده, مشخص نخواهد شد.

[zaraoustra]

ادامه بده.
البته اگر بهمراه تصوير و شماتيك باشه چه بهتر.

ببخشيد دير شد.
اين مربوط به تونل كشي.

[zaraoustra]

[zaraoustra]

[zaraoustra]