گزارش کارآموزی شبکه های اختصاصی مجازی (VPN) Virtual Private Network در سایت کامپیوتر دانشگاه آزاد اسلامی ایذه

چکیده:

-------------

 شبکه جهانی اینترنت بخش حیاتی و غیرقابل تفکیک جامعه جهانی است. در واقع شبکه اینترنت ستون فقرات ارتباطات کامپیوتری جهانی در دهه 1990 است زیرا اساسا به تدریج بیشتر شبکه ها را به هم متصل کرده است.در حال حاضر رفته رفته تفکرات منطقه ای و محلی حاکم بر فعالیت های تجاری جای خود را به تفکرات جهانی و سراسری داده اند. امروزه با سازمانهای زیادی برخورد می نمائیم که در سطح یک کشور دارای دفاتر فعال و حتی در سطح دنیا دارای دفاتر متفاوتی می باشند . تمام سازمانهای فوق قبل از هر چیز بدنبال یک اصل بسیار مهم می باشند : یک روش سریع ، ایمن و قابل اعتماد بمنظور برقراری ارتباط با دفاتر و نمایندگی در اقصی نقاط یک کشور و یا در سطح دنیا
بدین منظوربایستی یک شبکه‏‏‌ی گسترده‏ی خصوصی بین شعب این شرکت ایجاد گردد. شبکه‏‌های اینترنت که فقط محدود به یک سازمان یا یک شرکت می‏باشند، به دلیل محدودیت‌های گسترشی نمی‏توانند چندین سازمان یا شرکت را تحت پوشش قرار دهند. شبکه‏‌های گسترده  نیز که با خطوط استیجاری راه‌‏اندازی می‏شوند، در واقع شبکه‏‌های گسترده‏ی امنی هستند که بین مراکز سازمان‌ها ایجاد می‏شوند. پیاده‌‏سازی این شبکه‏‌ها  نیاز به هزینه‌ زیادی دارد راه‌ حل غلبه بر این مشکلات، راه‌اندازی یک VPN است. 

کلیدواژه‌ها:   شبکه های مجازی – VPN – تونل کشی-رمز نگاری
مقدمه

------------
VPN در یک تعریف کوتاه شبکه‌ای از مدارهای مجازی برای انتقال ترافیک شخصی است. در واقع پیاده‌‏سازی شبکه‌ی خصوصی یک شرکت یا سازمان را روی یک شبکه عمومی، VPN گویند.
شبکه‏‌های رایانه‏ای به شکل گسترده‏ای در سازمان‏ها و شرکت‏های اداری و تجاری مورد استفاده قرار می‏گیرند.

اگر یک شرکت از نظر جغرافیایی در یک نقطه متمرکز باشد، ارتباطات بین بخش‏های مختلف آن‌را می‌توان با

یک شبکه‏‏‌ی محلی برقرار کرد. اما برای یک شرکت بزرگ که دارای شعب مختلف در نقاط مختلف یک کشور و یا در نقاط مختلف دنیا است و این شعب نیاز دارند که با هم ارتباطاتِ اطلاعاتیِ امن داشته‏ باشند، بایستی یک شبکه‏‏‌ی گسترده‏ی خصوصی بین شعب این شرکت ایجاد گردد. شبکه‏‌های اینترانت که فقط محدود به یک سازمان یا یک شرکت می‏باشند، به دلیل محدودیت‌های گسترشی نمی‏توانند چندین سازمان یا شرکت را تحت پوشش قرار دهند. شبکه‏‌های گسترده نیز که با خطوط استیجاری راه‌‏اندازی می‏شوند، در واقع شبکه‏‌های گسترده‏ی امنی هستند که بین مراکز سازمان‌ها ایجاد می‏شوند. پیاده‌‏سازی این شبکه‏‌ها علی‏رغم درصد پایین بهره‌وری، نیاز به هزینه‌ زیادی دارد. زیرا، این‏ شبکه‏‌ها به دلیل عدم اشتراک منابع با دیگران، هزینه‏ مواقع عدم استفاده از منابع را نیز بایستی پرداخت کنند. راه‌حل غلبه بر این مشکلات، راه‌اندازی یک VPN است. 
 فرستادن حجم زیادی از داده از یک کامپیوتر به کامپیوتر دیگر مثلا” در به هنگام رسانی بانک اطلاعاتی یک مشکل شناخته شده و قدیمی است . انجام این کار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است .استفاده از FTP هم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد که اصلا” قابل اطمینان نیست .
یکی از راه حل های اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم ، پیکر بندی کامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود . از این گذشته ، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است . اما اگر دو کامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراک گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل کرد . در این حالت ، کاربران می توانند به سخت دیسک کامپیوترهای دیگر همچون سخت دیسک کامپیوتر خود دسترسی داشته باشند . به این ترتیب بسیاری از راه های خرابکاری برای نفوذ کنندگان بسته می شود .
شبکه های شخصی مجازی یا( VPN ( Virtual private Networkها اینگونه مشکلات را حل میکند . VPN به کمک رمز گذاری روی داده ها ، درون یک شبکه کوچک می سازد و تنها کسی که آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبکه وارد شود . مدیران شبکه ای که بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبکه محلی هم پیاده کنند . اگر چه نفوذ کنندگان می توانند به کمک برنامه های Packet snifter جریان داده ها را دنبال کنند اما بدون داشتن کلید رمز نمی توانند آنها را بخوانند.
                                                                          

 یک  مثال :
فرض نمائید درجزیره ای در اقیانوسی بزرگ، زندگی می کنید. هزاران جزیره در اطراف جزیره شما وجود دارد. برخی از جزایر نزدیک و برخی دیگر دارای مسافت طولانی با جزیره شما میباشند متداولترین روش بمنظور مسافرت به جزیره دیگر، استفاده از یک کشتی مسافربری است مسافرت با کشتی مسافربری ، بمنزله عدم وجود امنیت است . در این راستا هر کاری را که شما انجام دهید،توسط سایر مسافرین قابل مشاهده خواهد بود.فرض کنید هر یک از جزایر مورد نظر به مشابه یک شبکه محلی(LAN) و اقیانوس مانند اینترنت باشند. مسافرت با یک کشتی مسافربری مشابه برقراری ارتباط با یک سرویس دهنده وب و یا سایر دستگاه‌های موجود در اینترنت است.شما دارای هیچگونه کنترلی بر روی کابل ها و روترهای موجود در اینترنت نمیباشید.(مشابه عدم کنترل شما بعنوان مسافر کشتی مسافربری بر روی سایر مسافرین حاضر در کشتی ) .در صورتیکه تمایل به ارتباط بین دو شبکه اختصاصی از طریق منابع عمومی وجود داشته باشد، اولین مسئله ای که با چالش های جدی برخورد خواهد کرد، امنیت خواهد بود.
فرض کنید، جزیره شما قصد ایجاد یک پل ارتباطی با جزیره مورد نظر را داشته باشد .مسیر ایجاد شده یک روش ایمن ، ساده و مستقیم برای مسافرت ساکنین جزیره شما به جزیره دیگر را فراهم می آورد. اما ایجاد و نگهداری یک پل ارتباطی بین دو جزیره مستلزم صرف هزینه های بالائی خواهد بود.(حتی اگر جزایر در مجاورت یکدیگر باشند).با توجه به ضرورت و حساسیت مربوط به داشتن یک مسیر ایمن و مطمئن ، تصمیم به ایجاد پل ارتباطی بین دو جزیره گرفته شده است. در صورتیکه جزیره شما قصد ایجاد یک پل ارتباطی با جزیره دیگر را داشته باشد که در مسافت بسیار طولانی نسبت به جزیره شما واقع است ، هزینه های مربوط بمراتب بیشتر خواهد بود. وضعیت فوق ، نظیر استفاده از یک اختصاصی Leased است. ماهیت پل های ارتباطی(خطوط اختصاصی) از اقیانوس (اینترنت) متفاوت بوده و کماکان قادر به ارتباط جزایر شبکه های( LAN) خواهند بود. سازمانها و موسسات متعددی از رویکرد فوق ( استفاده از خطوط اختصاصی) استفاده می نمایند. مهمترین عامل در این زمینه وجود امنیت و اطمینان برای برقراری ارتباط هر یک سازمانهای مورد نظر با یکدیگر است . در صورتیکه مسافت ادارات و یا شعب یک سازمان از یکدیگر بسیار دور باشد ، هزینه مربوط به برقرای ارتباط نیز

افزایش خواهد یافت                                       
با توجه به موارد گفته شده ، چه ضرورتی بمنظور استفاده از VPN وجود داشته و VPN تامین کننده ، کدامیک از اهداف و خواسته های مورد نظر است ؟ با توجه به مقایسه انجام شده در مثال فرضی ، می توان گفت که با استفاده از VPN به هریک از ساکنین جزیره یک زیردریائی داده می شود. زیردریائی فوق دارای خصایص متفاوت نظیر :
- دارای سرعت بالا است .
-  هدایت آن ساده است .
-  قادر به استتار( مخفی نمودن) شما از سایر زیردریا ئیها و کشتی ها است .
-  قابل اعتماد است .
-  پس از تامین اولین زیردریائی ، افزودن امکانات جانبی و حتی یک زیردریائی دیگرمقرون به صرفه خواهد بود
- در مدل فوق ، با وجود ترافیک در اقیانوس ، هر یک از ساکنین دو جزیره قادر به تردد در طول مسیر در زمان دلخواه خود با رعایت مسایل ایمنی می‌باشند
 مثال فوق دقیقا" بیانگر تحوه عملکرد VPN است . هر یک از کاربران از راه دور شبکه قادربه برقراری ارتباطی امن و مطمئن با استفاده از یک محیط انتقال عمومی ( نظیر اینترنت ) با شبکه محلی (LAN) موجود در سازمان خود خواهند بود. توسعه یک VPN  افزایش تعداد کاربران از راه دور و یا افزایش مکان های مورد نظر ) بمراتب آسانتر از شبکه هائی است که از خطوط اختصاصی استفاده می نمایند. قابلیت توسعه فراگیر از مهمترین ویژگی های یک VPN نسبت به خطوط اختصاصی است .
معایب ومزایا

---------------
با توجه به اینکه در یک  شبکه VPN به عوامل متفاوتی نظیر : امنیت ، اعتمادپذیری ، مدیریت شبکه و سیاست ها نیاز خواهد بود. استفاده از VPN برای یک سازمان دارای مزایای متعددی مانند :
● گسترش محدوه جغرافیائی ارتباطی
● بهبود وضعیت امنیت
●  کاهش هزینه های عملیاتی در مقایسه با روش های سنتی نظیر WAN
●  کاهش زمان ارسال و حمل اطلاعات برای کاربران از راه دور

●  بهبود بهره وری
●  توپولوژی آسان ،... است .
برخی از جوانب منفی شبکه سازی اینترنتی به این شرح است :
●  شک نسبت به اطلاعات دریافت شده
●  استفاده از منابع غیرموثق
●  تفسیر بد از اطلاعات رسیده
●  سرقت ایده ها
●  نبود مهارتهای حرفه ای در کار با اطلاعات
●  فروش اطلاعات یا استفاده نابجای از اطلاعات
●  عدم اطمینان از کارایی سرویس و تأخیر در ارتباطات
VPN نسبت به شبکه‏‌های پیاده‌‏سازی شده با خطوط استیجاری، در پیاده‌‏سازی و استفاده، هزینه کمتری صرف می‏کند. اضافه وکم کردن گره‌ها  یا شبکه‌های محلی به VPN، به خاطر ساختار آن، با هزینه‌ کمتری امکان‏پذیر است. در صورت نیاز به تغییر همبندی شبکه‌ی خصوصی، نیازی به راه‌‏اندازی مجدد فیزیکی شبکه نیست و به صورت نرم‏افزاری، همبندی شبکه قابل تغییر است.
تونل  کشی

--------------
مجازی بودن در VPN به این معناست که شبکه‏‌های محلی و میزبان‏های  متعلق به عناصر اطلاعاتی یک شرکت که در نقاط مختلف از نظر جغرافیایی قرار دارند، همدیگر را ببینند و این فاصله‏‌ها را حس نکنند. VPNها برای پیاده‌‏سازی این خصوصیت از مفهومی به نام تونل‌‏کشی(tunneling)استفاده می‏کنند. در تونل‌‏کشی، بین تمامی عناصر مختلف یک VPN، تونل ‏زده می‏شود. از طریق این تونل، عناصر به صورت شفاف همدیگر را می‏بینند
در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته و از طریق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی خارجی ( پوسته ) توسط شبکه و دو نفطه (ورود و خروج بسته اطلاعاتی )قابل فهم                                                           

میباشد. دو نقطه فوق را "اینترفیس های تونل " می گویند.

 روش فوق مستلزم استفاده از سه پروتکل است :
●  پروتکل حمل کننده : از پروتکل فوق شبکه حامل اطلاعات استفاده می نماید.
●  پروتکل کپسوله سازی: از پروتکل هائی نظیر: IPSec,L2F,PPTP,L2TP,GRE استفاده میگردد.
پروتکل مسافر: از پروتکل هائی نظیر IPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود.  
مفهوم تونل کشی در VPN

---------------------------- 

برای تونل‌‏کشی بین عناصر یک VPN از مفهومی به نام Encapsulation لفافه‏بندی بسته‏‌های اطلاعاتی استفاده می‏شود. تمام عناصر یک VPN دارای آدرس‏های اختصاصی هستند. همه این عناصر از آدرس‏های اختصاصی یکدیگر مطلعند و هنگام ارسال داده بین یکدیگر از این آدرس‏ها استفاده می‏کنند. این وظیفه‏ی یک VPN است که بسته‏‌های اطلاعاتی را در بسته‏‌های انتقالی روی شبکه عمومی لفافه‏بندی کند و پس از انتقال امن از محیط ارتباط عمومی، آن بسته‏‌ها را از حالت لفافه‏بندی خارج نموده و با توجه به آدرس قبل از لفافه‏بندی، بسته‏‌ها را به عنصر گیرنده برساند. به این‌ ترتیب ایجاد VPN بر روی یک شبکه‏‏‌ی عمومی، با

پیاده‌‏سازی دو جنبه‏ی خصوصی‏گری و مجازی‏گری امکان‏پذیر است.
عملکرد Tunneling مشابه حمل یک کامپیوتر توسط یک کامیون است . فروشنده ، پس از بسته بندی کامپیوتر ( پروتکل مسافر ) درون یک جعبه ( پروتکل کپسوله سازی ) آن را توسط یک کامیون ( پروتکل حمل کننده ) از انبار خود ( ایترفیس ورودی تونل ) برای متقاضی ارسال می دارد. کامیون ( پروتکل حمل کننده ) از طریق بزرگراه ( اینترنت ) مسیر خود را طی ، تا به منزل شما ( اینترفیش خروجی تونل ) برسد. شما در منزل جعبه ( پروتکل کپسول سازی ) را باز و کامپیوتر ( پروتکل مسافر) را از آن خارج می نمائید.
با استفاده از روش Tunneling می توان عملیات جالبی را انجام داد. مثلا" می توان از بسته ای اطلاعاتی که پروتکل اینترنت را حمایت نمی کندنظیر (NetBeui) درون یک بسته اطلاعاتی IP استفاده و آن را از طریق اینترنت ارسال نمود و یا می‌توان یک بسته اطلاعاتی را که از یک آدرس IP غیر قابل رویت ( اختصاصی ) استفاده می نماید ، درون یک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طریق اینترنت ارسال نمود.
امنیت در VPN

---------------
خصوصی بودن یک VPN بدین معناست که بسته‏‌ها به صورت امن از یک شبکه‏‏‌ی عمومی مثل اینترنت عبور نمایند. برای محقق شدن این امر در محیط واقعی از:
هویت‏شناسی بسته‏‌ها، برای اطمینان از ارسال بسته‏‌ها به ‏وسیله یک فرستنده‌ی مجاز استفاده می‏شود.
فایروال . فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان و اینترنت ایجاد می نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد بسته های اطلاعاتی و ... نمونه هائی از عملیاتی است که می توان با استفاده از یک فایروال

انجام داد.
رمزنگاری : فرآیندی است که با استفاده از آن کامپیوتر مبداء اطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید. سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده ، دریافت کنندگان، قبل از استفاده از اطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم می گردد :

●  رمزنگاری کلید متقارن
●   رمزنگاری کلید عمومی
در رمز نگاری " کلید متقارن " هر یک از کامپیوترها دارای یک کلید Secret (کد) بوده که با استفاده از آن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپیوتر دیگر می باشند. در روش فوق می بایست در ابتدا نسبت به کامپیوترهائی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند ، آگاهی کامل شرکت کننده وجود داشته باشد. هر یک از کامپیوترهای در مبادله اطلاعاتی می بایست دارای کلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند.

بمنظور رمزنگاری اطلاعات ارسالی نیز از کلید فوق استفاده خواهد شد. فرض کنید قصد ارسال یک پیام رمز شده برای یکی از دوستان خود را داشته باشید. بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد.(حرف A به حرف C ، حرف B به حرف( D  پس از رمزنمودن پیام و ارسال آن، میبایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام لرسال شده ، هر حرف به دو حرق قبل از خود می بایست تبدیل گردد.
 در چنین حالتی می بایست به دوست امین خود ، واقعیت فوق ( کلید رمز ) گفته شود. در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از کلید ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود.

در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می شود. کلید خصوصی صرفا" برای کامپیوتر شما ( ارسال کننده) قابل شناسائی و استفاده است . کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود. بمنظور رمزگشائی یک پیام رمز شده ، یک کامپیوتر می بایست با استفاده از کلید عمومی ( ارائه شده توسط کامپیوتر ارسال کننده ) ، کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید . با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.در جدول ذیل می توان این مراحل را بررسی نمود:

معماری‌های VPN

----------------
شبکه‏‏‌ی محلی-به-شبکه‌ی محلی:  تبادل اطلاعات به صورت امن، بین دو شعبه‏ی مختلف از یک سازمان می‏تواند از طریق شبکه عمومی و به صورت مجازی، به فرم شبکه‏‏‌ی محلی-به-شبکه‌ی محلی صورت گیرد. هدف از این نوع معماری، این است که تمامی رایانه‏‌های متصل به شبکه‏‌های محلیِ مختلفِ موجود در یک سازمان، که ممکن است از نظر مسافت بسیار از هم دور باشند، به صورت مجازی، به صورت یک شبکه محلی دیده شوند و تمامی رایانه‏‌های موجود در این شبکه‏‏‌ی محلی مجازی بتوانند به تمامی اطلاعات و کارگزارها دسترسی داشته باشند و از امکانات یکدیگر استفاده نمایند. در این معماری، هر رایانه تمامی رایانه‏‌های موجود در شبکه‏‏‌ی محلی مجازی را به صورت شفاف مشاهده می‏‏نماید و قادر است از آنها استفاده‏ی عملیاتی و اطلاعاتی نماید. تمامی میزبان‏های این شبکه‏‏‌ی مجازی دارای آدرسی مشابه میزبان‏های یک شبکه‏‏‌ی محلی واقعی هستند.