مختصری درباره تئوری VPN
م?هوم اصلی VPN چیزی جز برقراری یک کانال ارتباطی خصوصی برای دسترسی کاربران راه دور به منابع شبکه نیست . در این کانال که بین دو نقطه برقرار میشود ، ممکن است که مسیرهای مختل?ی عبور کند اما کسی قادر به وارد شدن به این شبکه خصوصی شما نخواهد بود . گرچه میتوان از VPN در هر جایی است?اده نمود اما است?اده آن در خطوط Dialup و Leased کار غیر ضروری است (در ادامه بهدلیل آن پی خواهید برد).
در یک ارتباط VPN شبکه یا شبکهها میتوانند به هم متصل شوند و از این طریق کاربران از راه دور به شبکه به راحتی دسترسی پیدا میکنند. اگر این روش از ارائه دسترسی کاربران از راه دور را با روش خطوط اختصاصی ?یزیکی (Leased) مقایسه کنیم ، میبینید که ارائه یک ارتباط خصوصی از روی اینترنت به مراتب از هر روش دیگری ارزانتر تمام میشود .
از اصول دیگری که در یک شبکه VPN در نظر گر?ته شده بحث امنیت انتقال اطلاعات در این کانال مجازی میباشد . یک ارتباط VPN میتواند بین یک ایستگاه کاری و یک شبکه محلی و یا بین دو شبکه محلی صورت گیرد. در بین هر دو نقطه یک تونل ارتباطی برقرار میگردد و اطلاعات انتقال یا?ته در این کانال به صورت کد شده حرکت میکنند ، بنابراین حتی در صورت دسترسی مزاحمان و هکرها به این شبکه خصوصی نمیتوانند به اطلاعات رد و بدل شده در آن دسترسی پیدا کنند.
جهت برقراری یک ارتباط VPN ، میتوان به کمک نرما?زار یا سختا?زار و یا ترکیب هر دو ، آن را پیادهسازی نمود . به طور مثال اکثر دیوارههای آتش تجاری و روترها از VPN پشتیبانی میکنند . در زمینه نرما?زاری نیز از زمان ارائه ویندوز NT ویرایش 4 به بعد کلیه سیستم عاملها دارای چنین قابلیتی هستند .
در این مقاله پیادهسازی VPN بر مبنای ویندوز 2000 گ?ته خواهد شد .
پیاهسازی VPN
برای پیادهسازی VPN بر روی ویندوز 2000 کا?یست که از منوی Program/AdministrativeTools/ ، گزینه Routing and Remote Access را انتخاب کنید . از این پنجره گزینه VPN را انتخاب کنید . پس از زدن دکمه Next وارد پنجره دیگری میشوید که در آن کارتهای شبکه موجود بر روی سیستم لیست میشوند .
برای راهاندازی یک سرور VPN میبایست دو کارت شبکه نصب شده بر روی سیستم داشته باشید .
از یک کارت شبکه برای ارتباط با اینترنت و از کارت دیگر جهت برقراری ارتباط با شبکه محلی است?اده میشود. در اینجا بر روی هر کارت بهطور ثابت IP قرار داده شده اما میتوان این IPها را به صورت پویا بر روی کارتهای شبکه قرار داد .
در پنجره بعد نحوه آدرسدهی به سیستم راه دوری که قصد اتصال به سرور ما را دارد پرسیده میشود . هر ایستگاه کاری می تواند یک آدرس IP برای کار در شبکه محلی و یک IP برای اتصال VPN داشته باشد . در منوی بعد نحوه بازرسی کاربران پرسیده میشود که این بازرسی می تواند از روی کاربران تعری? شده در روی خود ویندوز باشد و یا آنکه از طریق یک سرویس دهنده RADIUS صورت گیرد در صورت داشتن چندین سرور VPN است?اده از RADIUS را به شما پیشنهاد میکنیم . با این روش کاربران ، بین تمام سرورهای VPN به اشتراک گذاشته شده و نیازی به تعری? کاربران در تمامی سرورها نمیباشد.
پروتکلهای است?اده شونده
عملیاتی که در بالا انجام گر?ت تنها پیکربندیهای لازم جهت راهاندازی یک سرور VPN میباشد .
اما (Remote Routing Access Service) RRAS دارای دو پروتکل جهت برقراری تونل ارتباطی VPN میباشد. سادهترین پروتکل آن PPTP (Point to Point Tunneling Protocol) است ، این پروتکل برگر?ته از PPP است که در سرویسهای Dialup مورد است?اده واقع میشود ، در واقع PPTP همانند PPP عمل میکند .
پروتکل PPTP در بسیاری از موارد کا?ی و مناسب است ، به کمک این پروتکل کاربران میتوانند به روشهای PAP (Password Authentication Protocol) و Chap (Challenge Handshake Authentication Protocol) بازرسی شوند. جهت کد کردن اطلاعات میتوان از روش کد سازی RSA است?اده نمود.
PPTP برای کاربردهای خانگی و د?اتر و ا?رادی که در امر شبکه حر?های نیستند مناسب است اما در جایگاه امنیتی دارای پایداری زیادی نیست . پروتکل دیگری به نام L2TP (Layer2 Forwarding) به وسیله شرکت CISCO ارائه شده که به لحاظ امنیتی بسیار قدرتمندتر است.
این پروتکل با است?اده از پروتکل انتقال اطلاعات UDP (User Datagram Protocol) بهجای است?اده از TCP به مزایای زیادی دست یا?ته است . این روش باعث بهینه و ملموستر شدن برای دیوارههای آتش شده است ، اما باز هم این پروتکل در واقع چیزی جز یک کانال ارتباطی نیست . جهت حل این مشکل و هر چه بالاتر ر?تن ضریب امنیتی در VPN شرکت مایکروسا?ت پروتکل دیگری را به نام IPSec (IP Security) مطرح نموده که پیکربندی VPN با آن کمی دچار پیچیدگی میگردد.
اما در صورتی که پروتکل PPTP را انتخاب کردهاید و با این پروتکل راحتتر هستید تنها کاری که باید در روی سرور انجام دهید ?عال کردن قابلیت دسترسی Dial in میباشد. این کار را میتوانید با کلیک بر روی Remote Access Polices در RRAS انجام دهید و با تغییر سیاست کاری آن ، آن را راهاندازی کنید (به طور کلی پیش?رض سیاست کاری ، رد کلیه درخواستها میباشد).
دسترسی ایستگاه کاری از طریق VPN
حالا که سرور VPN آماده سرویسدهی شده ، برای است?اده از آن باید بر روی ایستگاه کاری نیز پیکربندیهایی را انجام دهیم . سیستم عاملی که ما در اینجا است?اده میکنیم ویندوز XP میباشد و روش پیادهسازی VPN را بر روی آن خواهیم گ?ت اما انجام این کار بر روی ویندوز 2000 نیز به همین شکل صورت میگیرد . بر روی ویندوزهای 98 نیز میتوان ارتباط VPN را برقرار نمود ، اما روش کار کمی مت?اوت است و برای انجام آن بهتر است به آدرس زیر مراجعه کنید :
www.support.microsot.com
بر روی ویندوزهای XP ، یک نرما?زار جهت اتصال به VPN برای هر دو پروتکل PPTP و L2TP وجود دارد. در صورت انتخاب هر کدام ، نحوه پیکربندی با پروتکل دیگر ت?اوتی ندارد . راهاندازی VPN کار بسیار سادهای است ، کا?یست که بر روی Network Connection کلیک نموده و از آن اتصال به شبکه خصوصی از طریق اینترنت (Private Network Through Internet) را انتخاب کنید .
در انجام مرحله بالا از شما یک اسم پرسیده میشود . در همین مرحله خواسته میشود که برای اتصال به اینترنت یک ارتباط تل?نی (Dialup) تعری? نمایید ، پس از انجام این مرحله نام و یا آدرس سرور VPN پرسیده میشود .
مراحل بالا تنها مراحلی است که نیاز برای پیکربندی یک ارتباط VPN بر روی ایستگاههای کاری میباشد . کلیه عملیات لازمه برای VPN به صورت خودکار انجام میگیرد و نیازی به انجام هیچ عملی نیست . برای برقراری ارتباط کا?یست که بر روی آیکونی که بر روی میز کاری ایجاد شده دو بار کلیک کنید پس از وارد کردن کد کاربری و کلمه عبور چندین پیام را مشاهده خواهید کرد که نشاندهنده روند انجام برقراری ارتباط VPN است .
اگر همه چیز به خوبی پیش ر?ته باشد میتوانید به منابع موجود بر روی سرور VPN دسترسی پیدا کنید این دسترسی مانند آن است که بر روی خود سرور قرار گر?ته باشید .
ارتباط سایت به سایت (Site-to-Site VPN)
در صورتی که بخواهید دو شبکه را از طریق یک سرور VPN دومی به یکدیگر وصل کنید علاوه بر مراحل بالا باید چند کار اضا?هتر دیگری را نیز انجام دهید .
جزئیات کار به پروتکلی که مورد است?اده قرار میگیرد . جهت این کار باید سرور را در پنجره RRAS انتخاب کرده و منوی خاص (Properties) آن را بیاورید .
در قسمت General مطمئن شوید که گزینههای LAN و Demand Dial انتخاب شده باشند (به طور پیش گزیده انتخاب شده هستند). همچنین اطمینان حاصل کنید که پروتکل را که قصد روت (Route) کردن آن را دارید ?عال است .
پس از مراحل بالا نیاز به ایجاد یک Demand Dial دارید ، این کار را میتوانید با یک کلیک راست بر روی واسط روت (Routing Interface) انجام دهید .
در پنجره بعدی که ظاهر میشود باید برای این ارتباط VPN خود یک نام تعیین کنید این نام باید همان اسمی باشد که در طر? دیگر کاربران با آن به اینترنت متصل میشوند در صورتی که این مطلب را رعایت نکنید ارتباط VPN شما برقرار نخواهد شد .
پس از این مرحله باید آدرس IP و یا نام دامنه آن را مشخص کنید و پس از آن نوع پروتکل ارتباطی را تعیین نمود .
اما مرحله نهایی تعری? یک مسیر (Route) بر روی سرور دیگر میباشد بدین منظور بر روی آن سرور در قسمت RRAS ، Demand Dial را انتخاب کنید و آدرس IP و سابنت را در آن وارد کنید و مطمئن شوید که قسمت
Use This to Initate Demand
انتخاب شده باشد . پس از انجام مرحله بالا کار راهاندازی این نوع VPN به پایان میرسد .
پایان
همانطور که دیدید راهاندازی یک سرور VPN بر روی ویندوز 2000 تحت پروتکل PPTP کار سادهای بود اما اگر بخواهید از پروتکل L2TP/IPSec است?اده کنید کمی کار پیچیده خواهد شد . به خاطر بسپارید که راهاندازی VPN بار زیادی را بر روی پردازنده سرور میگذارد و هرچه تعداد ارتباطات VPNبیشتر باشد بار زیادتری بر روی سرور است که میتوانید از یک وسیله سختا?زاری مانند روتر جهت پیادهسازی VPN کمک بگیرد .