سرویس vpn چیست؟ این که آیا کاربر کارمند شرکت است

فناوری ایجاد یک شبکه منطقی در یک شبکه دیگر، مخفف «VPN» را دریافت کرده است که به معنای واقعی کلمه مخفف «شبکه خصوصی مجازی» در انگلیسی است. به زبان ساده، VPN شامل روش‌های مختلف ارتباط بین دستگاه‌های داخل شبکه دیگر است و امکان اعمال روش‌های حفاظتی مختلف را فراهم می‌کند که امنیت اطلاعات تبادل شده بین رایانه‌ها را به میزان قابل توجهی افزایش می‌دهد.

و این در دنیای مدرن بسیار مهم است، به عنوان مثال، برای شبکه های شرکت های بزرگ تجاری و، البته، بانک ها. در زیر راهنماهای دقیقی در مورد نحوه ایجاد VPN، دستورالعمل هایی در مورد روش ایجاد اتصال VPN و نحوه پیکربندی صحیح اتصال VPN ایجاد شده وجود دارد.

تعریف

برای اینکه راحت تر بفهمید VPN چیست، فقط باید بدانید که چه کاری می تواند انجام دهد. اتصال VPN بخش خاصی را در شبکه موجود اختصاص می دهد و کلیه کامپیوترها و تجهیزات دیجیتالی واقع در آن در ارتباط دائمی با یکدیگر هستند. اما مهمترین چیز این است که این بخش برای تمام دستگاه های دیگر در شبکه بزرگ کاملاً بسته و محافظت می شود.

نحوه اتصال VPN

علیرغم پیچیدگی ظاهری اولیه تعریف VPN، ایجاد آن بر روی رایانه های ویندوز و حتی خود راه اندازی VPN در صورت وجود راهنمای دقیق، مشکل چندانی ایجاد نخواهد کرد. شرط اصلی این است که به طور دقیق دنباله ای دقیق از مراحل زیر را دنبال کنید:

علاوه بر این، راه اندازی VPN با در نظر گرفتن تفاوت های ظریف مختلف انجام می شود.

چگونه یک VPN راه اندازی کنم؟

پیکربندی آن با در نظر گرفتن ویژگی های فردی نه تنها سیستم عامل، بلکه اپراتور ارائه دهنده خدمات ارتباطی نیز ضروری است.

ویندوز XP

برای اینکه VPN در سیستم عامل Windows XP با موفقیت کار خود را انجام دهد، مراحل متوالی زیر مورد نیاز است:

سپس، هنگام کار در محیط ایجاد شده، می توانید از برخی عملکردهای راحت استفاده کنید. برای این کار باید موارد زیر را انجام دهید:

توجه: پارامترها همیشه متفاوت وارد می شوند، زیرا نه تنها به سرور، بلکه به ارائه دهنده خدمات نیز بستگی دارند.

ویندوز 8

در این سیستم عامل، نحوه راه اندازی VPN نباید مشکل خاصی ایجاد کند، زیرا در اینجا تقریباً خودکار است.

توالی اقدامات شامل مراحل زیر است:

در مرحله بعد، باید گزینه های شبکه را مشخص کنید. برای این منظور، اقدامات زیر را انجام دهید:

توجه: وارد کردن تنظیمات بسته به پیکربندی شبکه می تواند به میزان قابل توجهی متفاوت باشد.

ویندوز 7

فرآیند انجام تنظیمات در ویندوز 7 حتی برای کاربران کم تجربه کامپیوتر نیز ساده و قابل دسترس است.

برای تولید آنها، یک کاربر ویندوز 7 باید مراحل متوالی زیر را انجام دهد:

توجه: برای درست کار کردن، یک انتخاب دقیق فردی از تمام پارامترها مورد نیاز است.

اندروید

برای پیکربندی عملکرد عادی یک گجت اندروید در محیط VPN، باید چند مرحله را انجام دهید:

ویژگی های اتصال

این فناوری شامل انواع مختلفی از تاخیر در فرآیندهای انتقال داده است. تاخیر به دلیل عوامل زیر رخ می دهد:

1. ایجاد یک ارتباط مدتی طول می کشد.
2. یک فرآیند ثابت برای رمزگذاری اطلاعات ارسال شده وجود دارد.
3. بلوک های اطلاعات منتقل شده

مهم ترین تفاوت ها در خود فناوری وجود دارد، به عنوان مثال، برای VPN شما نیازی به روتر و خطوط جداگانه ندارید. برای عملکرد مؤثر، فقط به شبکه جهانی وب و برنامه هایی نیاز دارید که رمزگذاری اطلاعات را ارائه می دهند.

توسعه فناوری های اینترنت موبایل امکان استفاده کامل از تلفن ها و تبلت ها را برای وب گردی فراهم کرده است. ابزارهای تلفن همراه با کمک آنها نه تنها برای یافتن اطلاعات لازم مورد استفاده قرار می گیرند: آنها در جوامع اجتماعی ارتباط برقرار می کنند، خرید می کنند، تراکنش های مالی انجام می دهند و در شبکه های شرکتی کار می کنند.

اما یک اتصال اینترنتی مطمئن، امن و ناشناس چطور؟ پاسخ ساده است - برای مثال از VPN استفاده کنید https://colander.pro/servers.

VPN چیست و چرا به آن در گوشی خود نیاز دارید

فن آوری هایی که اجازه ایجاد یک شبکه منطقی با یک یا چند اتصال را می دهند، مجموعاً شبکه خصوصی مجازی (مخفف VPN) نامیده می شوند. به معنای واقعی کلمه، این عبارت شبیه یک شبکه خصوصی مجازی به نظر می رسد.

ماهیت آن ایجاد یک اتصال ایمن (نوعی تونل) روی یا داخل شبکه دیگری است که از طریق آن، به لطف برنامه نصب شده روی ابزار، مشتری می تواند به سرور VPN دسترسی داشته باشد. در چنین اتصالی، تغییر، رمزگذاری و حفاظت از کلیه داده های ارسال شده انجام می شود.

چرا سرویس هایی که امکان استفاده از چنین شبکه های مجازی را فراهم می کنند تا این حد محبوب شده اند و آیا واقعاً وجود آنها در تبلت یا تلفن هوشمند ضروری است؟

در سفرهای توریستی و کاری، اغلب استفاده از اینترنت ضروری است: ورود به دفتر تلفن همراه، مکاتبات تجاری، سفارش و پرداخت بلیط و ارتباط از طریق اسکایپ و غیره. بررسی نامه ها، تجزیه و تحلیل نقل قول ها، مطالعه اخبار با کمک دستگاهی که در دست دارید راحت است. اما برای این کار باید به خدمات Wi-Fi متوسل شوید که اکنون در بسیاری از ایستگاه های قطار، فرودگاه ها، کافه ها و هتل ها رایگان است.

البته امکان دسترسی به اینترنت در هر مکانی یک چیز مفید و راحت است، اما چقدر امن است. کارشناسان امنیت اطلاعات استدلال می کنند که از طریق یک اتصال Wi-Fi ناامن، می توانید به راحتی و بدون مشکل زیاد به تمام داده های موجود در این ابزار دسترسی پیدا کنید.

در این صورت انتخاب سرویس های VPN بهترین راه برای محافظت از کاربر در برابر سرقت اطلاعات محرمانه وی خواهد بود. با این حال، این شبکه های مجازی را می توان برای چیزی بیش از امنیت استفاده کرد. استفاده از آنها به شما این امکان را می دهد که به یک منبع وب که در منطقه خاصی در دسترس نیست بروید، محدودیت شبکه شرکتی را دور بزنید و غیره.

ویژگی های فناوری های موبایل

برای اینکه صاحبان ابزارهای تلفن همراه از این فناوری های ابری استفاده کنند، بسیاری از سرورهای VPN برای کار با چنین دستگاه هایی سازگار شده اند. کانال های ارتباطی که توسط تلفن های هوشمند و تبلت ها برای دسترسی به شبکه استفاده می شود اغلب تغییر می کند، می تواند Wi-Fi و سپس اتصال 3G یا 4G باشد. این توانایی یک سرور VPN معمولی برای حفظ یک اتصال پایدار در یک کانال اختصاصی را بسیار پیچیده می کند.

این به این دلیل است که او گجت هایی را می بیند که از زیرشبکه ها و آدرس های IP مختلف به او دسترسی دارند، که منجر به از بین رفتن اتصال فعال برنامه های نصب شده روی دستگاه ها می شود. برای جلوگیری از این امر در سرورهای ویژه سازگار با فناوری VPN، آنها شروع به استفاده از روش های مجوز ویژه کردند. که امکان انتقال دو طرفه داده از سرور به ابزارهای پوشیدنی را فراهم می کند، جایی که دستگاه به طور دوره ای تنظیمات شبکه را تغییر می دهد.

نحوه استفاده صحیح از ویژگی های VPN در تلفن خود

خدمات سرور VPN پولی و همتایان رایگان آنها وجود دارد. انتخاب بهتر به هر کاربر به صورت جداگانه بستگی دارد. اگر موفق به تصمیم گیری در مورد انتخاب یک سرویس و یک سرور شدید، باید به راه اندازی ادامه دهید. در حال حاضر محبوب ترین گجت های تلفن همراه دستگاه های آیفون و اندروید هستند.

فعال سازی VPN در آیفون

دو روش وجود دارد که می توانید آیفون خود را برای استفاده از این فناوری ها پیکربندی کنید. اولین مورد این است که مناسب ترین برنامه را از اپ استور انتخاب کرده و آن را نصب کنید. سپس اقدامات زیر را انجام دهید:

• به بخش تنظیمات مراجعه کنید.
• تب VPN را باز کرده و با اسلایدر آن را فعال کنید.
• سپس سرویس نصب شده را انتخاب کنید.

دوم این است که به صورت دستی VPN را پیکربندی کنید. برای انجام این کار، باید دستکاری های زیر را انجام دهید:

• پس از ورود به قسمت تنظیمات دستگاه، VPN را فعال کرده و بر روی آیکون «افزودن تنظیمات» کلیک کنید.
• سپس نوع حفاظت را انتخاب کنید: L2TP، IPSec یا IKEv2 و پیکربندی مورد نیاز را فعال کنید.
• پس از آن، باید اطلاعات مربوط به تنظیمات شبکه خصوصی را پر کنید: شرح شناسه راه دور، سرور و اطلاعات مورد نیاز برای ثبت نام - نام مستعار، رمز عبور را پر کنید.
• اگر یک سرور پروکسی دارید، باید بر اساس ترجیحات خود، استفاده از آن را انتخاب کنید: خودکار یا دستی.
• با کلیک بر روی دکمه "پایان" و جابجایی نوار لغزنده وضعیت به موقعیت مورد نظر، می توانید گشت و گذار در اینترنت را شروع کنید.

اکنون تمام ترافیک آیفون از طریق VPN خواهد رفت.

راه اندازی VPN در اندروید

در اینجا اتصال سرویس VPN انتخاب شده برای این مورد نیاز بسیار ساده تر است:

• بخش "تنظیمات" را فعال کنید، جایی که در خط "شبکه های بی سیم" روی کتیبه کلیک کنید: "پیشرفته".
• پس از باز کردن زیربخش «VPN» و کلیک بر روی علامت +، داده‌های مربوط به پروتکل‌های اتصال موجود برای اینگونه خدمات ارائه می‌شود.
• پس از انتخاب و ذخیره اتصال مورد نیاز، تنها وارد کردن و ایجاد اعتبار لازم برای کار است: ورود و رمز عبور.

البته ممکن است محل ساخت گوشی های هوشمند مختلف متفاوت باشد، اما مراحل اولیه بسیار شبیه به هم هستند.

نتیجه

به سختی می توان استدلال کرد که استفاده از VPN در دستگاه های تلفن همراه در حال تبدیل شدن به یک سرویس محبوب است. به لطف چنین خدماتی، فرصت های زیادی برای کاربران باز می شود: هنگام رفتن به سفر، آنها این فرصت را دارند که از روند کار جدا نشوند، زیرا می دانند که تمام داده های او دائماً محافظت می شود، در منطقه ای متفاوت برای دسترسی به آنها حضور دارند. به منابع لازم و سایر ترجیحات.

اخیراً علاقه به شبکه خصوصی مجازی (VPN) در دنیای مخابرات افزایش یافته است. این امر به دلیل نیاز به کاهش هزینه های نگهداری شبکه های شرکتی به دلیل اتصال ارزان تر دفاتر راه دور و کاربران از راه دور از طریق اینترنت است. در واقع، هنگام مقایسه هزینه اتصال چندین شبکه از طریق اینترنت، به عنوان مثال، با شبکه های Frame Relay، می توان تفاوت قابل توجهی در هزینه مشاهده کرد. با این حال، باید توجه داشت که هنگام اتصال شبکه ها از طریق اینترنت، بلافاصله این سوال در مورد امنیت انتقال داده ها مطرح می شود، بنابراین، ایجاد مکانیسم هایی برای اطمینان از محرمانه بودن و یکپارچگی اطلاعات ارسال شده ضروری شد. شبکه هایی که بر اساس چنین مکانیزم هایی ساخته شده اند VPN نامیده می شوند.

علاوه بر این، اغلب یک فرد مدرن، در حال توسعه کسب و کار خود، مجبور است زیاد سفر کند. اینها می تواند سفر به نقاط دورافتاده کشورمان یا کشورهای خارجی باشد. اغلب افراد نیاز به دسترسی به اطلاعات ذخیره شده در رایانه خانگی خود یا رایانه شرکت دارند. این مشکل را می توان با سازماندهی دسترسی از راه دور به آن با استفاده از یک مودم و یک خط حل کرد. استفاده از خط تلفن ویژگی های خاص خود را دارد. عیب این راه حل این است که تماس از یک کشور دیگر هزینه زیادی دارد. همچنین راه حل دیگری به نام VPN وجود دارد. از مزایای فناوری VPN این است که سازماندهی دسترسی از راه دور نه از طریق خط تلفن، بلکه از طریق اینترنت انجام می شود که بسیار ارزان تر و بهتر است. به نظر من تکنولوژی VPN چشم انداز پذیرش گسترده در سراسر جهان را دارد.

1. مفهوم و طبقه بندی شبکه های VPN، ساخت آنها

1.1 VPN چیست

VPN(شبکه خصوصی مجازی انگلیسی - شبکه خصوصی مجازی) - یک شبکه منطقی که در بالای شبکه دیگری مانند اینترنت ایجاد می شود. علیرغم این واقعیت که ارتباطات از طریق شبکه های عمومی با استفاده از پروتکل های ناامن انجام می شود، رمزگذاری کانال های تبادل اطلاعات را ایجاد می کند که از خارج بسته می شود. VPN به شما این امکان را می دهد که به عنوان مثال چندین دفتر یک سازمان را با استفاده از کانال های کنترل نشده برای ارتباط بین آنها در یک شبکه واحد ترکیب کنید.

در هسته خود، VPN بسیاری از ویژگی های یک خط اجاره ای را دارد، اما برای مثال در یک شبکه عمومی مستقر است. با تکنیک تونل زنی، بسته های داده از طریق شبکه عمومی پخش می شوند که گویی از طریق یک اتصال نقطه به نقطه معمولی هستند. نوعی تونل بین هر جفت "فرستنده- گیرنده داده" ایجاد می شود - یک اتصال منطقی امن که به شما امکان می دهد داده های یک پروتکل را در بسته های پروتکل دیگری کپسوله کنید. اجزای اصلی تونل عبارتند از:

• آغازگر؛
• شبکه مسیریابی؛
• سوئیچ تونل؛
• یک یا چند ترمیناتور تونل

VPN به خودی خود با فناوری ها و پروتکل های شبکه اصلی در تضاد نیست. به عنوان مثال، هنگام برقراری یک اتصال شماره گیری، مشتری جریانی از بسته های PPP را به سرور ارسال می کند. در مورد سازماندهی خطوط مجازی اجاره ای بین شبکه های محلی، روترهای آنها نیز بسته های PPP را مبادله می کنند. با این حال، اساساً جدید، ارسال بسته ها از طریق یک تونل امن است که در شبکه عمومی سازماندهی شده است.

تونل سازی به شما امکان می دهد تا انتقال بسته های یک بسته را سازماندهی کنید پروتکل در یک محیط منطقی با استفاده از پروتکل متفاوت. در نتیجه، حل مشکلات تعامل چندین نوع مختلف شبکه امکان پذیر می شود، که از نیاز به اطمینان از یکپارچگی و محرمانه بودن داده های ارسال شده شروع می شود و با غلبه بر تناقضات در پروتکل های خارجی یا طرح های آدرس دهی پایان می یابد.

زیرساخت شبکه موجود یک شرکت را می توان با استفاده از نرم افزار یا سخت افزار برای VPN تهیه کرد. ایجاد یک VPN مانند گذاشتن کابل روی یک شبکه WAN است. به طور معمول، یک ارتباط مستقیم بین کاربر راه دور و نقطه پایانی تونل با استفاده از PPP برقرار می شود.

رایج ترین روش برای ایجاد تونل های VPN، کپسوله کردن پروتکل های شبکه (IP، IPX، AppleTalk و غیره) در PPP و سپس کپسوله کردن بسته های حاصل در یک پروتکل تونل سازی است. به طور معمول، دومی IP یا (بسیار کمتر) ATM و Frame Relay است. این رویکرد لایه 2 تونل نامیده می شود، زیرا "مسافر" در اینجا پروتکل لایه 2 است.

یک رویکرد جایگزین برای کپسوله کردن بسته های پروتکل شبکه به طور مستقیم در یک پروتکل تونل زنی (مانند VTP) تونل زنی لایه 3 نامیده می شود.

مهم نیست که چه پروتکل هایی استفاده می شود یا چه هدفی هنگام سازماندهی یک تونل دنبال می شوند، تکنیک اصلی باقی می ماندعملا بدون تغییر به طور معمول، یک پروتکل برای برقراری ارتباط با یک سایت راه دور استفاده می شود، و دیگری برای محصور کردن داده ها و اطلاعات سرویس برای انتقال از طریق تونل استفاده می شود.

1.2 طبقه بندی شبکه های VPN

راه حل های VPN را می توان بر اساس چندین پارامتر اصلی طبقه بندی کرد:

1. بر اساس نوع محیط مورد استفاده:

• شبکه های VPN ایمن رایج ترین نوع شبکه های خصوصی خصوصی. با کمک آن می توان یک زیرشبکه قابل اعتماد و مطمئن بر اساس یک شبکه غیرقابل اعتماد، معمولاً اینترنت، ایجاد کرد. نمونه هایی از VPN های امن عبارتند از: IPSec، OpenVPN، و PPTP.
• شبکه های VPN قابل اعتماد آنها در مواردی استفاده می شوند که رسانه انتقال را می توان قابل اعتماد در نظر گرفت و فقط برای حل مشکل ایجاد یک زیرشبکه مجازی در یک شبکه بزرگتر ضروری است. مسائل امنیتی در حال بی ربط شدن هستند. نمونه هایی از چنین راه حل های VPN عبارتند از: MPLS و L2TP. درست تر است که بگوییم این پروتکل ها وظیفه تضمین امنیت را به دیگران منتقل می کنند، به عنوان مثال L2TP، به عنوان یک قاعده، در ارتباط با IPSec استفاده می شود.

2. نحوه اجرا:

• شبکه های VPN در قالب نرم افزار و سخت افزار خاص. شبکه VPN با استفاده از مجموعه نرم افزاری و سخت افزاری خاصی پیاده سازی می شود. این پیاده سازی عملکرد بالا و به عنوان یک قاعده، درجه بالایی از امنیت را ارائه می دهد.
• شبکه های VPN به عنوان یک راه حل نرم افزاری. برای ارائه عملکرد VPN از یک رایانه شخصی با نرم افزار ویژه استفاده کنید.
• شبکه های VPN با یک راه حل یکپارچه. عملکرد VPN مجموعه ای را فراهم می کند که مشکلات فیلتر کردن ترافیک شبکه، سازماندهی دیوار آتش و تضمین کیفیت خدمات را نیز حل می کند.

3. با تعیین وقت قبلی:

• VPN اینترانت. آنها برای ترکیب چندین شعبه توزیع شده یک سازمان در یک شبکه امن واحد، تبادل داده ها از طریق کانال های ارتباطی باز استفاده می شوند.
• VPN دسترسی از راه دور. آنها برای ایجاد یک کانال امن بین بخشی از یک شبکه شرکتی (دفتر مرکزی یا شعبه) و یک کاربر استفاده می‌شوند که در حین کار از خانه، از طریق رایانه خانگی به منابع شرکت متصل می‌شود یا در یک سفر کاری به آن متصل می‌شود. منابع شرکتی با استفاده از لپ تاپ
• VPN اکسترانت. برای شبکه هایی استفاده می شود که کاربران خارجی (مانند مشتریان یا مشتریان) به آنها متصل می شوند. سطح اعتماد به آنها بسیار کمتر از کارمندان شرکت است، بنابراین، لازم است "خطوط" حفاظتی ویژه ای ارائه شود، از دسترسی آنها به اطلاعات با ارزش و محرمانه جلوگیری یا محدود شود.

4. بر اساس نوع پروتکل:

• پیاده سازی شبکه های خصوصی مجازی برای TCP / IP، IPX و AppleTalk وجود دارد. اما امروزه تمایل به انتقال کلی به پروتکل TCP / IP وجود دارد و اکثریت قریب به اتفاق راه حل های VPN از آن پشتیبانی می کنند.

5. بر اساس سطح پروتکل شبکه:

• توسط لایه پروتکل شبکه بر اساس نگاشت به لایه های مدل مرجع شبکه ISO / OSI.

1.3. ساخت VPN

گزینه های مختلفی برای ساخت VPN وجود دارد. هنگام انتخاب راه حل، باید عوامل عملکرد سازنده VPN خود را در نظر بگیرید. به عنوان مثال، اگر روتر در حال حاضر با حداکثر ظرفیت خود کار می کند، اضافه کردن تونل های VPN و اعمال رمزگذاری / رمزگشایی اطلاعات می تواند عملکرد کل شبکه را متوقف کند، زیرا این روتر قادر به مقابله با ترافیک ساده نیست. چه رسد به VPN. تجربه نشان می دهد که بهترین کار استفاده از تجهیزات تخصصی برای ساخت VPN است، اما اگر ابزار محدودی وجود دارد، می توانید به یک راه حل صرفا نرم افزاری توجه کنید. بیایید چند گزینه برای ساخت VPN در نظر بگیریم.

• VPN بر اساس فایروال ها. فایروال اکثر سازندگان از تونل سازی و رمزگذاری داده ها پشتیبانی می کنند. همه چنین محصولاتی بر اساس این واقعیت است که ترافیک عبوری از فایروال رمزگذاری شده است. یک ماژول رمزگذاری به نرم افزار فایروال واقعی اضافه می شود. نقطه ضعف این روش این است که عملکرد به سخت افزاری که فایروال را اجرا می کند بستگی دارد. هنگام استفاده از فایروال های مبتنی بر رایانه شخصی، به خاطر داشته باشید که این راه حل فقط برای شبکه های کوچک با ترافیک کم قابل استفاده است.
• VPN مبتنی بر روترها. راه دیگر برای ساخت VPN استفاده از روترها برای ایجاد کانال های امن است. از آنجایی که تمام اطلاعات خروجی از شبکه محلی از طریق روتر عبور می کند، توصیه می شود وظایف رمزگذاری را به این روتر اختصاص دهید.نمونه ای از تجهیزات ساخت VPN روی روترها تجهیزات سیسکو سیستمز است. با شروع IOS Software Release 11.3، روترهای سیسکو از L2TP و IPSec پشتیبانی می کنند. سیسکو علاوه بر رمزگذاری ساده اطلاعات ارسالی، از سایر عملکردهای VPN مانند احراز هویت هنگام برقراری اتصال تونل و تبادل کلید نیز پشتیبانی می کند.یک ماژول رمزگذاری اختیاری ESA می تواند برای بهبود عملکرد روتر استفاده شود. علاوه بر این، سیسکو سیستم یک دستگاه اختصاصی VPN به نام Cisco 1720 VPN Access Router را برای مشاغل کوچک و متوسط ​​و دفاتر شعب بزرگ منتشر کرده است.
• مبتنی بر نرم افزار VPN رویکرد بعدی برای ساخت VPN راه حل های صرفا نرم افزاری است. هنگام اجرای چنین راه حلی، از نرم افزار تخصصی استفاده می شود که بر روی یک کامپیوتر اختصاصی اجرا می شود و در بیشتر موارد به عنوان یک سرور پروکسی عمل می کند. رایانه ای با چنین نرم افزاری می تواند در پشت فایروال قرار گیرد.
• VPN مبتنی بر سیستم عامل شبکه.ما راه حل هایی را بر اساس سیستم عامل شبکه با استفاده از مثال سیستم عامل ویندوز مایکروسافت در نظر خواهیم گرفت. برای ایجاد VPN، مایکروسافت از PPTP استفاده می کند که در سیستم ویندوز ادغام شده است. این راه حل برای سازمان هایی که از ویندوز به عنوان سیستم عامل شرکتی خود استفاده می کنند بسیار جذاب است. لازم به ذکر است که هزینه چنین راه حلی به طور قابل توجهی کمتر از هزینه راه حل های دیگر است. VPN مبتنی بر ویندوز از یک پایگاه کاربر ذخیره شده در کنترل کننده دامنه اصلی (PDC) استفاده می کند. هنگام اتصال به سرور PPTP، کاربر با استفاده از PAP، CHAP یا MS-CHAP احراز هویت می شود. بسته های ارسال شده در بسته های GRE / PPTP کپسوله می شوند. برای رمزگذاری بسته ها، یک پروتکل غیر استاندارد رمزگذاری نقطه به نقطه مایکروسافت با یک کلید 40 یا 128 بیتی که در زمان برقراری اتصال به دست می آید، استفاده می شود. از معایب این سیستم می توان به عدم بررسی یکپارچگی داده ها و عدم امکان تعویض کلیدها در حین اتصال اشاره کرد. نکات مثبت آن سهولت ادغام با ویندوز و هزینه کم است.
• VPN بر اساس سخت افزار. گزینه ساخت VPN بر روی دستگاه های خاص را می توان در شبکه هایی که به کارایی بالا نیاز دارند استفاده کرد. نمونه ای از چنین راه حلی محصول IPro-VPN Radguard است. این محصول از رمزگذاری سخت افزاری اطلاعات ارسالی استفاده می کند که قادر به انتقال جریانی با سرعت 100 مگابیت بر ثانیه است. IPro-VPN از پروتکل IPSec و مکانیسم مدیریت کلید ISAKMP / Oakley پشتیبانی می کند. از جمله این که این دستگاه از ابزار ترجمه آدرس های شبکه پشتیبانی می کند و می توان آن را با کارت مخصوصی که عملکردهای فایروال را اضافه می کند تکمیل کرد.

2. پروتکل های VPN

VPN ها با استفاده از پروتکل هایی برای تونل زنی داده ها از طریق اینترنت عمومی ساخته می شوند، با پروتکل های تونل زنی، داده ها را رمزگذاری می کنند و آن ها را بین کاربران انتقال می دهند. به عنوان یک قاعده، امروزه از پروتکل های سطوح زیر برای ساخت شبکه های VPN استفاده می شود:

• لایه پیوند
• لایه شبکه
• لایه حمل و نقل

2.1 لایه پیوند

در لایه پیوند داده می توان از پروتکل های تونل زنی L2TP و PPTP استفاده کرد که از مجوز و احراز هویت استفاده می کنند.

PPTP.

در حال حاضر، رایج ترین پروتکل VPN، پروتکل تونل نقطه به نقطه - PPTP است. این توسط 3Com و مایکروسافت با هدف ارائه دسترسی ایمن از راه دور به شبکه های شرکتی از طریق اینترنت توسعه یافته است. PPTP از استانداردهای باز موجود TCP/IP استفاده می کند و به شدت به پروتکل نقطه به نقطه PPP قدیمی متکی است. در عمل، PPP پروتکل ارتباطی جلسه اتصال PPTP باقی می ماند. PPTP یک تونل از طریق شبکه به سرور NT گیرنده ایجاد می کند و بسته های PPP کاربر راه دور را از طریق آن ارسال می کند. سرور و ایستگاه کاری از VPN استفاده می کنند و از اینکه شبکه WAN بین آنها چقدر ایمن یا قابل دسترسی است غافل هستند. خاتمه یک جلسه اتصال توسط سرور، بر خلاف سرورهای تخصصی دسترسی از راه دور، به مدیران شبکه محلی اجازه می دهد تا کاربران راه دور را از سیستم امنیتی ویندوز سرور دور نگه دارند.

در حالی که پروتکل PPTP فقط به دستگاه‌های دارای ویندوز تعمیم می‌یابد، اما این امکان را برای شرکت‌ها فراهم می‌کند تا با زیرساخت‌های شبکه موجود بدون به خطر انداختن سیستم‌های امنیتی خود کار کنند. به این ترتیب، یک کاربر راه دور می تواند با یک ISP محلی از طریق یک خط تلفن آنالوگ یا ISDN به اینترنت متصل شود و با سرور NT ارتباط برقرار کند. در عین حال، شرکت مجبور نیست مبالغ زیادی را برای سازماندهی و نگهداری مجموعه ای از مودم هایی که خدمات دسترسی از راه دور را ارائه می دهند، خرج کند.

علاوه بر این، کار RRTP در نظر گرفته شده است. PPTP بسته های IP را برای انتقال از طریق شبکه IP محصور می کند. مشتریان PPTP از پورت مقصد برای ایجاد یک اتصال کنترل تونل استفاده می کنند. این فرآیند در لایه انتقال مدل OSI انجام می شود. پس از ایجاد تونل، کامپیوتر مشتری و سرور شروع به تبادل بسته های خدماتی می کنند. علاوه بر اتصال کنترل PPTP برای زنده نگه داشتن پیوند، یک اتصال ارسال تونل داده ایجاد می شود. کپسوله سازی داده ها قبل از ارسال از طریق تونل اندکی با انتقال عادی متفاوت است. کپسوله کردن داده ها قبل از ارسال به تونل شامل دو مرحله است:

1. ابتدا قسمت اطلاعات PPP ایجاد می شود. داده ها از بالا به پایین، از لایه برنامه OSI به لایه پیوند داده جریان می یابد.
2. سپس داده های دریافتی به مدل OSI ارسال می شود و توسط پروتکل های لایه بالایی محصور می شود.

بنابراین، در طی پاس دوم، داده ها به لایه انتقال می رسند. با این حال، اطلاعات را نمی توان به مقصد خود ارسال کرد، زیرا لایه پیوند داده OSI مسئول این امر است. بنابراین، PPTP فیلد بار بسته را رمزگذاری می کند و عملکردهای لایه دوم را که معمولاً متعلق به PPP است، بر عهده می گیرد. یک هدر PPP و دنباله به بسته PPTP اضافه می کند. این کار ایجاد قاب لایه پیوند را کامل می کند.

در مرحله بعد، PPTP فریم PPP را در یک بسته Generic Routing Encapsulation (GRE) کپسوله می کند که به لایه شبکه تعلق دارد. GRE پروتکل های لایه شبکه مانند IPX، AppleTalk، DECnet را محصور می کند تا آنها را قادر سازد از طریق شبکه های IP منتقل شوند. با این حال، GRE توانایی ایجاد جلسات و محافظت از داده ها در برابر نفوذگران را ندارد. از توانایی PPTP برای ایجاد یک اتصال برای مدیریت تونل استفاده می کند. استفاده از GRE به عنوان یک روش کپسوله سازی، میدان عمل PPTP را فقط به شبکه های IP محدود می کند.

پس از اینکه فریم PPP در یک قاب هدر GRE کپسوله شد، در یک قاب هدر IP محصور می شود. هدر IP حاوی آدرس فرستنده و گیرنده بسته است. در نهایت، PPTP یک هدر PPP و پایان اضافه می کند.

سیستم فرستنده داده ها را از طریق تونل ارسال می کند. سیستم دریافت کننده تمام هدرهای سربار را حذف می کند و فقط داده های PPP باقی می ماند.

L2TP

در آینده نزدیک، افزایش تعداد VPN های مستقر بر اساس پروتکل جدید تونل سازی لایه 2 - L2TP - انتظار می رود.

L2TP نتیجه ترکیب پروتکل های PPTP و L2F (Layer 2 Forwarding) است. PPTP به شما امکان می دهد بسته های PPP و بسته های L2F SLIP و PPP را تونل کنید. برای جلوگیری از سردرگمی و مسائل مربوط به قابلیت همکاری در بازار ارتباطات راه دور، کارگروه مهندسی اینترنت (IETF) توصیه کرد که سیستم‌های سیسکو PPTP و L2F را ادغام کنند. با همه حساب ها، L2TP بهترین ویژگی های PPTP و L2F را در خود جای داده است. مزیت اصلی L2TP این است که این پروتکل به شما امکان می دهد نه تنها در شبکه های IP، بلکه در شبکه هایی مانند ATM، X.25 و Frame Relay نیز یک تونل ایجاد کنید. متأسفانه پیاده سازی Windows 2000 L2TP فقط از IP پشتیبانی می کند.

L2TP از UDP به عنوان انتقال خود استفاده می کند و از همان قالب پیام برای مدیریت تونل و انتقال داده استفاده می کند. L2TP در پیاده سازی مایکروسافت از بسته های UDP حاوی بسته های PPP رمزگذاری شده به عنوان پیام های کنترلی استفاده می کند. قابلیت اطمینان تحویل با کنترل توالی بسته ها تضمین می شود.

عملکرد PPTP و L2TP متفاوت است. L2TP نه تنها در شبکه های IP قابل استفاده است، بلکه پیام های سرویس از همان فرمت و پروتکل ها برای ایجاد یک تونل و ارسال داده از طریق آن استفاده می کنند. PPTP فقط در شبکه های IP قابل استفاده است و برای ایجاد و استفاده از تونل به یک اتصال TCP جداگانه نیاز دارد. L2TP از طریق IPSec لایه های امنیتی بیشتری نسبت به PPTP ارائه می دهد و می تواند تقریباً 100 درصد امنیت را برای داده های حیاتی تجاری تضمین کند. ویژگی های L2TP آن را به یک پروتکل بسیار امیدوارکننده برای ساخت شبکه های مجازی تبدیل می کند.

L2TP و PPTP از جهات مختلفی با پروتکل های تونل زنی لایه 3 متفاوت هستند:

1. به شرکت‌ها این امکان را می‌دهد که به طور مستقل نحوه احراز هویت کاربران و تأیید اعتبار آنها را - در "قلمرو" خودشان یا با یک ارائه‌دهنده خدمات اینترنتی، انتخاب کنند. با پردازش بسته‌های PPP تونل‌شده، سرورهای شبکه شرکتی تمام اطلاعات مورد نیاز برای شناسایی کاربران را به دست می‌آورند.
2. پشتیبانی سوئیچینگ تونل - پایان دادن به یک تونل و راه اندازی تونل دیگر به یکی از بسیاری از پایانه های بالقوه. سوئیچینگ تونل، همانطور که بود، اجازه می دهد تا اتصال PPP را به نقطه پایانی مورد نیاز گسترش دهید.
3. به مدیران سیستم شبکه شرکتی اجازه دهید تا استراتژی‌هایی را برای تخصیص حقوق دسترسی به کاربران مستقیماً در فایروال و سرورهای بک‌اند اجرا کنند. از آنجایی که پایانه‌های تونل بسته‌های PPP حاوی اطلاعات کاربر را دریافت می‌کنند، می‌توانند خط‌مشی‌های امنیتی فرموله‌شده توسط مدیران را برای ترافیک تک تک کاربران اعمال کنند. (تونل زنی لایه 3 بین بسته های ارسال شده از ارائه دهنده تمایز قائل نمی شود، بنابراین فیلترهای سیاست امنیتی باید در ایستگاه های کاری انتهایی و دستگاه های شبکه اعمال شوند.) علاوه بر این، در مورد استفاده از سوئیچ تونل، سازماندهی "ادامه" ممکن می شود. "از تونل سطح دوم برای پخش مستقیم ترافیک افرادکاربران به سرورهای داخلی مربوطه. چنین سرورهایی ممکن است وظیفه فیلتر کردن بسته های اضافی را داشته باشند.

MPLS

همچنین، در لایه پیوند داده، برای سازماندهی تونل ها، فناوری MPLS (از زبان انگلیسی Multiprotocol Label Switching - Multi-Protocol Label Switching - مکانیزم انتقال داده که ویژگی های مختلف شبکه های سوئیچ مدار را بر روی شبکه های سوئیچ بسته ای شبیه سازی می کند. MPLS در لایه ای عمل می کند که می تواند بین لایه پیوند و لایه شبکه سوم مدل OSI قرار گیرد و بنابراین معمولاً به عنوان پروتکل لایه پیوند شبکه شناخته می شود. این برای ارائه یک سرویس داده جهانی برای مشتریان سوئیچ مدار و سوئیچ بسته طراحی شده است. MPLS می تواند طیف گسترده ای از ترافیک مانند بسته های IP، ATM، SONET و فریم های اترنت را حمل کند.

راه حل های VPN در سطح پیوند، دامنه نسبتاً محدودی دارند، معمولاً در دامنه ارائه دهنده.

2.2 لایه شبکه

لایه شبکه (لایه IP). پروتکل IPSec استفاده می شود که رمزگذاری و محرمانه بودن داده ها و همچنین احراز هویت مشترکین را پیاده سازی می کند. استفاده از پروتکل IPSec امکان دسترسی با امکانات کامل معادل اتصال فیزیکی به شبکه شرکت را فراهم می کند. برای ایجاد یک VPN، هر شرکت کننده باید پارامترهای IPSec خاصی را پیکربندی کند، به عنوان مثال. هر مشتری باید نرم افزاری داشته باشد که IPSec را پیاده سازی کند.

IPSec

به طور طبیعی، هیچ شرکتی مایل به انتقال آشکار به آن نیست اطلاعات مالی اینترنتی یا سایر اطلاعات محرمانه. کانال های VPN توسط الگوریتم های رمزگذاری قدرتمندی که در استانداردهای پروتکل امنیتی IPsec تعبیه شده محافظت می شوند. IPSec یا امنیت پروتکل اینترنت - استاندارد انتخاب شده توسط جامعه بین المللی، گروه IETF - گروه وظیفه مهندسی اینترنت، پایه ای برای امنیت پروتکل اینترنت ایجاد می کند (پروتکل IP / IPSec امنیت را در لایه شبکه فراهم می کند و فقط از طریق برقراری ارتباط نیاز به پشتیبانی IPSec دارد. دستگاه های موجود در هر دو همه دستگاه های دیگر در این بین به سادگی ترافیک بسته IP را ارائه می دهند.

روش تعامل بین افرادی که از فناوری IPSec استفاده می کنند معمولاً با عبارت "ارتباط امن" - Security Association (SA) تعریف می شود. یک انجمن ایمن بر اساس توافق بین طرفینی که از IPSec برای محافظت از اطلاعات ارسال شده به یکدیگر استفاده می کنند، عمل می کند. این توافقنامه چندین پارامتر را کنترل می کند: آدرس های IP فرستنده و گیرنده، الگوریتم رمزنگاری، سفارش تعویض کلید، اندازه کلید، طول عمر کلید، الگوریتم احراز هویت.

IPSec مجموعه ای سازگار از استانداردهای باز با یک هسته است که می تواند به راحتی با ویژگی ها و پروتکل های جدید گسترش یابد. هسته IPSec از سه پروتکل تشکیل شده است:

· ANیا Authentication Header - یک هدر احراز هویت - یکپارچگی و صحت داده ها را تضمین می کند. هدف اصلی پروتکل AN این است که به طرف گیرنده اجازه می دهد مطمئن شود که:

• بسته توسط طرفی ارسال شد که با آن یک انجمن امن ایجاد شد.
• محتویات بسته در طول انتقال آن از طریق شبکه دستکاری نشده است.
• بسته تکراری از بسته ای نیست که قبلاً دریافت شده است.

دو عملکرد اول برای پروتکل AH اجباری هستند و آخرین مورد در هنگام ایجاد یک انجمن اختیاری است. پروتکل AN از یک هدر ویژه برای انجام این توابع استفاده می کند. ساختار آن به شرح زیر در نظر گرفته می شود:

1. فیلد هدر بعدی کد پروتکل لایه بالاتر را نشان می دهد، یعنی پروتکلی که پیام آن در قسمت داده بسته IP قرار می گیرد.
2. فیلد طول بار شامل طول هدر AH است.
3. شاخص پارامترهای امنیتی (SPI) برای مرتبط کردن یک بسته با ارتباط امن آن استفاده می شود.
4. فیلد Sequence Number (SN) شماره توالی یک بسته را نشان می‌دهد و برای محافظت در برابر بازپخش نادرست (زمانی که شخص ثالث سعی می‌کند از بسته‌های امن ضبط‌شده‌ای که توسط یک فرستنده واقعی احراز هویت شده است، دوباره استفاده کند) استفاده می‌شود.
5. فیلد داده‌های احراز هویت، که حاوی به اصطلاح ارزش بررسی یکپارچگی (ICV) است، برای احراز هویت و بررسی یکپارچگی بسته استفاده می‌شود. این مقدار که خلاصه نامیده می شود، با استفاده از یکی از دو تابع محاسباتی برگشت ناپذیر MD5 یا SAH-1 محاسبه می شود که AH باید پشتیبانی کند، اما هر تابع دیگری را می توان استفاده کرد.

· ESP یا Encapsulating Security Payload- کپسوله سازی داده های رمزگذاری شده - داده های ارسال شده را رمزگذاری می کند و از محرمانه بودن اطمینان می دهد، همچنین می تواند از احراز هویت و یکپارچگی داده ها پشتیبانی کند.

پروتکل ESP دو گروه از مشکلات را حل می کند.

1. اولین مورد شامل وظایف مشابه پروتکل AN است - اطمینان از احراز هویت و یکپارچگی داده ها بر اساس خلاصه،
2. دوم - داده های منتقل شده با رمزگذاری آنها از مشاهده غیرمجاز.

هدر به دو قسمت تقسیم می شود که با یک فیلد داده از هم جدا می شوند.

1. قسمت اول که خود سرآیند ESP نامیده می شود توسط دو فیلد (SPI و SN) که هدف آن مشابه فیلدهای همنام در پروتکل AH است تشکیل شده و قبل از فیلد داده قرار می گیرد.
2. بقیه قسمت های سرویس پروتکل ESP که ESP trailer نامیده می شوند در انتهای بسته قرار دارند.

دو قسمت تریلر - هدر بعدی و داده های احراز هویت - مشابه فیلدهای سرصفحه AH هستند. اگر انجمن امنیتی طوری تنظیم شده باشد که از قابلیت‌های یکپارچگی ESP استفاده نکند، قسمت Authentication Data وجود ندارد. علاوه بر این فیلدها، تریلر دارای دو فیلد اضافی است - یک مکان نگهدار و یک طول نگهدارنده.

پروتکل های AH و ESP می توانند از داده ها در دو حالت محافظت کنند:

1. در حمل و نقل - انتقال با هدرهای IP اصلی انجام می شود.
2. در تونل - بسته اصلی در یک بسته IP جدید قرار می گیرد و انتقال با هدرهای جدید انجام می شود.

استفاده از این یا آن حالت به الزامات حفاظت از داده ها و همچنین به نقشی که گره ای که کانال امن را خاتمه می دهد در شبکه ایفا می کند. به عنوان مثال، یک گره می تواند یک میزبان (گره پایانی) یا یک دروازه (گره میانی) باشد.

بر این اساس، سه طرح برای استفاده از پروتکل IPSec وجود دارد:

1. میزبان میزبان؛
2. دروازه-دروازه;
3. دروازه میزبان

قابلیت‌های پروتکل‌های AH و ESP تا حدی همپوشانی دارند: پروتکل AH فقط وظیفه اطمینان از یکپارچگی و احراز هویت داده‌ها را بر عهده دارد، پروتکل ESP می‌تواند داده‌ها را رمزگذاری کند و علاوه بر این، عملکردهای پروتکل AH (به شکل کوتاه شده) را انجام دهد. . ESP می تواند توابع رمزگذاری و احراز هویت / یکپارچگی را در هر ترکیبی پشتیبانی کند، یعنی یا کل گروه توابع، یا فقط احراز هویت / یکپارچگی، یا فقط رمزگذاری.

· IKE یا Internet Key Exchange - تبادل کلید اینترنتی - مشکل کمکی ارائه خودکار نقاط پایانی با کانال امن کلیدهای مخفی لازم برای عملکرد پروتکل های احراز هویت و رمزگذاری داده ها را حل می کند.

2.3 لایه حمل و نقل

لایه انتقال از SSL / TLS یا Secure Socket Layer / Transport Layer Security استفاده می کند که رمزگذاری و احراز هویت را بین لایه های انتقال گیرنده و فرستنده اجرا می کند. SSL / TLS می تواند برای محافظت از ترافیک TCP استفاده شود، نمی توان از آن برای محافظت از ترافیک UDP استفاده کرد. برای عملکرد VPN مبتنی بر SSL / TLS، نیازی به پیاده سازی نرم افزار خاصی نیست، زیرا هر مرورگر و سرویس گیرنده ایمیل به این پروتکل ها مجهز است. از آنجایی که SSL/TLS در لایه انتقال پیاده‌سازی می‌شود، یک اتصال امن سرتاسر برقرار می‌شود.

پروتکل TLS مبتنی بر پروتکل Netscape SSL نسخه 3.0 است و از دو بخش تشکیل شده است - پروتکل ضبط TLS و پروتکل TLS Handshake. تفاوت بین SSL 3.0 و TLS 1.0 جزئی است.

SSL / TLS دارای سه فاز اصلی است:

1. گفتگو بین طرفین که هدف آن انتخاب یک الگوریتم رمزگذاری است.
2. مبادله کلید بر اساس سیستم های رمزنگاری کلید عمومی یا احراز هویت مبتنی بر گواهی؛
3. انتقال داده های رمزگذاری شده با استفاده از الگوریتم های رمزگذاری متقارن.

2.4 پیاده سازی VPN: IPSec یا SSL / TLS؟

اغلب، روسای بخش های فناوری اطلاعات با این سوال مواجه می شوند: کدام یک از پروتکل ها را برای ساخت VPN شرکتی انتخاب کنیم؟ پاسخ واضح نیست، زیرا هر رویکرد دارای مزایا و معایب است. ما سعی خواهیم کرد انجام و شناسایی کنیم که چه زمانی لازم است از IPSec استفاده کنیم و چه زمانی SSL / TLS. همانطور که از تجزیه و تحلیل ویژگی های این پروتکل ها مشاهده می شود، آنها قابل تعویض نیستند و می توانند به طور جداگانه و موازی عمل کنند و ویژگی های عملکردی هر یک از VPN های پیاده سازی شده را مشخص کنند.

انتخاب یک پروتکل برای ساخت شبکه VPN شرکتی می تواند با توجه به معیارهای زیر انجام شود:

· نوع دسترسی مورد نیاز برای کاربران VPN.

1. اتصال دائمی با امکانات کامل به شبکه شرکتی. انتخاب پیشنهادی IPSec است.
2. اتصال موقت، به عنوان مثال، یک کاربر تلفن همراه یا کاربری که از یک رایانه عمومی استفاده می کند، به منظور دسترسی به برخی خدمات، مانند ایمیل یا پایگاه داده. انتخاب پیشنهادی SSL / TLS است که به شما امکان می دهد برای هر سرویس جداگانه یک VPN راه اندازی کنید.

· آیا کاربر کارمند شرکت است.

1. اگر کاربر کارمند شرکت باشد، دستگاهی که برای دسترسی به شبکه شرکت از طریق IPSec VPN استفاده می‌کند، می‌تواند به روش خاصی پیکربندی شود.
2. اگر کاربر کارمند شرکتی نیست که به شبکه شرکتی دسترسی دارد، توصیه می شود از SSL / TLS استفاده کنید. این امر دسترسی مهمان را فقط به برخی خدمات محدود می کند.

· سطح امنیتی شبکه شرکتی چقدر است.

1. بالا انتخاب پیشنهادی IPSec است. در واقع، سطح امنیتی ارائه شده توسط IPSec به دلیل استفاده از نرم افزار قابل تنظیم در سمت کاربر و یک دروازه امنیتی در سمت شرکت، بسیار بالاتر از سطح امنیتی ارائه شده توسط پروتکل SSL / TLS است.
2. میانگین. انتخاب پیشنهادی SSL / TLS است که امکان دسترسی از هر ترمینال را فراهم می کند.

· سطح امنیت داده های ارسال شده توسط کاربر.

1. بالا، به عنوان مثال، مدیریت شرکت. انتخاب پیشنهادی IPSec است.
2. متوسط، مانند شریک. انتخاب پیشنهادی SSL / TLS است.

متوسط ​​به بالا بسته به خدمات. انتخاب پیشنهادی ترکیبی از IPSec (برای خدماتی که به سطح بالایی از امنیت نیاز دارند) و SSL / TLS (برای خدماتی که به سطح امنیتی متوسط ​​نیاز دارند) است.

· مهمتر از آن، استقرار سریع VPN یا مقیاس پذیری آینده است.

1. استقرار سریع VPN با حداقل هزینه. انتخاب پیشنهادی SSL / TLS است. در این حالت مانند IPSec نیازی به پیاده سازی نرم افزار خاصی در سمت کاربر نیست.
2. مقیاس پذیری VPN - اضافه کردن دسترسی به خدمات مختلف. انتخاب پیشنهادی پروتکل IPSec است که امکان دسترسی به تمام خدمات و منابع شبکه شرکتی را فراهم می کند.
3. استقرار سریع و مقیاس پذیری. انتخاب پیشنهادی ترکیبی از IPSec و SSL / TLS است: استفاده از SSL / TLS به عنوان اولین گام برای دسترسی به خدمات مورد نیاز و سپس پیاده سازی IPSec.

3. روش های پیاده سازی شبکه های VPN

VPN بر اساس سه روش پیاده سازی است:

· تونل سازی.

· رمزگذاری؛

· احراز هویت.

3.1 تونل زنی

تونل سازی انتقال داده را بین دو نقطه - انتهای تونل - فراهم می کند، به گونه ای که کل زیرساخت شبکه که بین آنها قرار دارد برای منبع و گیرنده داده پنهان می شود.

رسانه انتقال تونل مانند بخار، بسته های پروتکل شبکه مورد استفاده را در ورودی تونل برداشته و بدون تغییر به خروجی می رساند. تونل سازی برای اتصال دو گره شبکه کافی است به طوری که از نظر نرم افزاری که روی آنها اجرا می شود، به نظر می رسد که به یک شبکه (محلی) متصل هستند. با این حال، ما نباید فراموش کنیم که در واقع "بخار" با داده از بسیاری از گره های میانی (روترها) شبکه عمومی باز عبور می کند.

این وضعیت مملو از دو مشکل است. اولین مورد این است که اطلاعات منتقل شده از طریق تونل می تواند توسط متجاوزان رهگیری شود. اگر محرمانه باشد (شماره کارت بانکی، صورت های مالی، اطلاعات شخصی)، پس تهدید به خطر افتادن آن کاملاً واقعی است، که به خودی خود ناخوشایند است. بدتر از آن، مهاجمان این توانایی را دارند که داده های ارسال شده از طریق تونل را تغییر دهند تا گیرنده نتواند اعتبار آن را تأیید کند. عواقب آن می تواند وخیم باشد. با توجه به موارد فوق، به این نتیجه می رسیم که تونل به شکل خالص خود تنها برای برخی از انواع بازی های رایانه ای تحت شبکه مناسب است و نمی تواند وانمود کند که کاربرد جدی تری دارد. هر دو مشکل با ابزار مدرن حفاظت از اطلاعات رمزنگاری حل شده است. برای جلوگیری از تغییرات غیرمجاز بسته داده در مسیر عبور از تونل، از روش امضای دیجیتال الکترونیکی () استفاده می شود. ماهیت روش این است که هر بسته ارسال شده با یک بلوک اطلاعات اضافی عرضه می شود که مطابق با یک الگوریتم رمزنگاری نامتقارن تولید می شود و برای محتویات بسته و کلید مخفی EDS فرستنده منحصر به فرد است. این بلوک اطلاعات، EDS بسته است و به شما امکان می دهد تا داده ها را توسط گیرنده، که کلید عمومی EDS فرستنده را می شناسد، احراز هویت کنید. حفاظت از داده های منتقل شده از طریق تونل در برابر مشاهده غیرمجاز با استفاده از الگوریتم های رمزگذاری قوی به دست می آید.

3.2 احراز هویت

امنیت یک تابع اصلی VPN است. تمام داده های رایانه های مشتری از طریق اینترنت به سرور VPN منتقل می شود. چنین سروری می تواند در فاصله بسیار زیادی از رایانه مشتری قرار گیرد و داده های موجود در مسیر شبکه سازمان از تجهیزات بسیاری از ارائه دهندگان عبور می کند. چگونه مطمئن شویم که داده ها خوانده یا تغییر نکرده اند؟ برای این کار از روش های مختلف احراز هویت و رمزگذاری استفاده می شود.

PPTP می تواند از هر یک از پروتکل های PPP برای احراز هویت کاربران استفاده کند

• EAP یا پروتکل تأیید اعتبار توسعه پذیر؛
• پروتکل احراز هویت MSCHAP یا Microsoft Challenge Handshake (نسخه های 1 و 2)؛
• CHAP یا Challenge Handshake Authentication Protocol.
• پروتکل احراز هویت SPAP یا Shiva Password.
• پروتکل PAP یا رمز عبور.

بهترین پروتکل ها MSCHAP نسخه 2 و امنیت لایه حمل و نقل (EAP-TLS) هستند زیرا احراز هویت متقابل را ارائه می دهند. سرور VPN و مشتری یکدیگر را شناسایی می کنند. در تمام پروتکل های دیگر، فقط سرور کلاینت ها را احراز هویت می کند.

اگرچه PPTP درجه معقولی از امنیت را فراهم می کند، L2TP از طریق IPSec قابل اعتمادتر است. L2TP از طریق IPSec احراز هویت در سطح کاربر و رایانه و همچنین احراز هویت و رمزگذاری داده ها را فراهم می کند.

احراز هویت یا توسط یک تست باز (رمز عبور متنی پاک) یا با یک طرح چالش / پاسخ انجام می شود. با متن مستقیم همه چیز مشخص است. کلاینت رمز عبور را به سرور ارسال می کند. سرور این را با یک معیار مقایسه می کند و یا دسترسی را رد می کند یا می گوید "خوش آمدید". احراز هویت باز به ندرت دیده می شود.

طرح درخواست / پاسخ بسیار پیشرفته تر است. به طور کلی، به نظر می رسد این است:

• مشتری درخواستی را برای احراز هویت به سرور ارسال می کند.
• سرور یک پاسخ تصادفی (چالش) را برمی گرداند.
• کلاینت یک هش را از رمز عبور خود حذف می کند (هش نتیجه یک تابع هش است که یک آرایه داده ورودی با طول دلخواه را به یک رشته بیت خروجی با طول ثابت تبدیل می کند)، پاسخ را با آن رمزگذاری کرده و به سرور ارسال می کند.
• سرور نیز همین کار را انجام می دهد و نتیجه دریافتی را با پاسخ مشتری مقایسه می کند.
• اگر پاسخ رمزگذاری شده مطابقت داشته باشد، احراز هویت موفقیت آمیز است.

در مرحله اول احراز هویت مشتریان و سرورهای VPN، L2TP از طریق IPSec از گواهینامه های محلی دریافت شده از مرجع گواهی استفاده می کند. مشتری و سرور گواهی‌ها را مبادله می‌کنند و یک ESP SA (اتحادیه امنیتی) امن ایجاد می‌کنند. پس از اینکه L2TP (از طریق IPSec) فرآیند احراز هویت رایانه را کامل کرد، احراز هویت در سطح کاربر انجام می شود. از هر پروتکلی می توان برای احراز هویت استفاده کرد، حتی PAP که نام کاربری و رمز عبور را به صورت متنی واضح ارسال می کند. این کاملاً ایمن است زیرا L2TP از طریق IPSec کل جلسه را رمزگذاری می کند. با این حال، احراز هویت کاربر با MSCHAP، که از کلیدهای رمزگذاری مختلف برای احراز هویت رایانه و کاربر استفاده می کند، می تواند امنیت را افزایش دهد.

3.3. رمزگذاری

رمزگذاری PPTP تضمین می کند که هیچ کس نمی تواند به داده ها هنگام ارسال از طریق اینترنت دسترسی پیدا کند. دو روش رمزگذاری در حال حاضر پشتیبانی می شود:

• پروتکل رمزگذاری MPPE یا Microsoft Point-to-Point Encryption فقط با MSCHAP (نسخه های 1 و 2) سازگار است.
• EAP-TLS و قادر است به طور خودکار طول کلید رمزگذاری را هنگام مذاکره پارامترها بین مشتری و سرور انتخاب کند.

MPPE از کلیدهای 40، 56 یا 128 بیتی پشتیبانی می کند. سیستم عامل های قدیمی ویندوز فقط از رمزگذاری طول کلید 40 بیتی پشتیبانی می کنند، بنابراین در یک محیط ترکیبی ویندوز، حداقل طول کلید را انتخاب کنید.

PPTP مقدار کلید رمزگذاری را بعد از هر بسته دریافتی تغییر می دهد. MMPE برای پیوندهای نقطه به نقطه طراحی شده است که در آنها بسته ها به صورت متوالی ارسال می شوند و از دست دادن داده بسیار کمی وجود دارد. در این شرایط، مقدار کلید برای بسته بعدی به نتایج رمزگشایی بسته قبلی بستگی دارد. هنگام ساخت شبکه های مجازی از طریق شبکه های دسترسی عمومی، نمی توان این شرایط را رعایت کرد، زیرا بسته های داده اغلب در ترتیب اشتباهی که در آن ارسال شده اند به گیرنده می رسند. بنابراین، PPTP از شماره های توالی بسته برای تغییر کلید رمزگذاری استفاده می کند. این اجازه می دهد تا رمزگشایی مستقل از بسته های دریافتی قبلی انجام شود.

هر دو پروتکل هم در مایکروسافت ویندوز و هم در خارج از آن (به عنوان مثال، در BSD) پیاده سازی می شوند؛ الگوریتم های VPN می توانند به طور قابل توجهی متفاوت باشند.

بنابراین، بسته "تونل سازی + احراز هویت + رمزگذاری" به شما امکان می دهد داده ها را بین دو نقطه از طریق یک شبکه عمومی انتقال دهید و عملکرد یک شبکه خصوصی (محلی) را شبیه سازی کنید. به عبارت دیگر، ابزارهای در نظر گرفته شده به شما امکان ساخت یک شبکه خصوصی مجازی را می دهند.

یک اثر دلپذیر اضافی از اتصال VPN، توانایی (و حتی نیاز) به استفاده از سیستم آدرس دهی اتخاذ شده در شبکه محلی است.

پیاده سازی شبکه خصوصی مجازی در عمل به شرح زیر است. یک سرور VPN در شبکه محلی دفتر شرکت نصب شده است. کاربر راه دور (یا روتر، در صورت اتصال دو دفتر) با استفاده از نرم افزار سرویس گیرنده VPN، اتصال به سرور را آغاز می کند. احراز هویت کاربر انجام می شود - مرحله اول ایجاد اتصال VPN. در مورد تأیید مجوز، مرحله دوم آغاز می شود - بین مشتری و سرور، جزئیات اطمینان از امنیت اتصال مذاکره می شود. پس از آن، یک اتصال VPN سازماندهی می شود، که تبادل اطلاعات بین مشتری و سرور را به شکل تضمین می کند، زمانی که هر بسته با داده از مراحل رمزگذاری / رمزگشایی و بررسی یکپارچگی - احراز هویت داده می گذرد.

مشکل اصلی VPN ها فقدان استانداردهای تثبیت شده برای احراز هویت و تبادل اطلاعات رمزگذاری شده است. این استانداردها هنوز در حال توسعه هستند و بنابراین محصولات تولید کنندگان مختلف نمی توانند اتصالات VPN را برقرار کنند و به طور خودکار کلیدها را مبادله کنند. این مشکل به کاهش سرعت گسترش VPN منجر می شود، زیرا مجبور کردن شرکت های مختلف به استفاده از محصولات همان سازنده دشوار است و بنابراین فرآیند ترکیب شبکه های شرکت های همکار در به اصطلاح شبکه های اکسترانت دشوار است.

از مزایای فناوری VPN این است که سازماندهی دسترسی از راه دور نه از طریق خط تلفن، بلکه از طریق اینترنت انجام می شود که بسیار ارزان تر و بهتر است. نقطه ضعف فناوری VPN این است که ابزارهای ساخت VPN ابزار کاملی برای شناسایی و مسدود کردن حملات نیستند. آنها می توانند از تعدادی از اقدامات غیرمجاز جلوگیری کنند، اما نه همه قابلیت هایی که می توان از آنها برای نفوذ به یک شبکه شرکتی استفاده کرد. اما، با وجود همه اینها، فناوری VPN چشم اندازهایی برای توسعه بیشتر دارد.

بنابراین از نظر توسعه فناوری VPN در آینده چه انتظاری می توانید داشته باشید؟ بدون شک استاندارد واحدی برای ساخت چنین شبکه هایی تدوین و تصویب خواهد شد. به احتمال زیاد، اساس این استاندارد پروتکل IPSec قبلاً اثبات شده خواهد بود. در مرحله بعد، فروشندگان بر روی بهبود عملکرد محصولات خود و ایجاد کنترل های VPN کاربر پسند تمرکز خواهند کرد. به احتمال زیاد، توسعه ابزارهای ساخت VPN در جهت VPN مبتنی بر روترها خواهد بود، زیرا این راه حل عملکرد نسبتاً بالا، ادغام VPN و مسیریابی را در یک دستگاه ترکیب می کند. با این حال، راه حل های کم هزینه برای سازمان های کوچک نیز تکامل خواهد یافت. در خاتمه باید گفت که اگرچه فناوری VPN هنوز بسیار جوان است، اما آینده بسیار خوبی در پیش رو دارد.

نظر خود را بگذارید

VPN (شبکه خصوصی مجازی) یک شبکه خصوصی مجازی است.

به طور کلی، VPN یک کانال کاملا امن است که دستگاه شما را با دسترسی به اینترنت به هر شبکه دیگری در شبکه جهانی متصل می کند. اگر حتی ساده‌تر باشد، می‌توانید آن را به صورت مجازی‌تر تصور کنید: بدون اتصال به یک سرویس VPN، رایانه شما (لپ‌تاپ، تلفن، تلویزیون یا هر دستگاه دیگری) وقتی آنلاین می‌شود مانند یک خانه خصوصی است که در آن حصارکشی نشده است. در هر زمان، همه می توانند عمدا یا سهوا درختان را بشکنند، تخت های باغ شما را زیر پا بگذارند. با استفاده از VPN، خانه شما به یک قلعه تسخیرناپذیر تبدیل می شود که شکستن آن به سادگی غیرممکن خواهد بود.

چگونه کار می کند؟

اصل عملکرد VPN برای کاربر نهایی ساده و شفاف است. در لحظه ای که آنلاین می شوید، یک "تونل" مجازی بین دستگاه شما و بقیه اینترنت ایجاد می شود که هرگونه تلاش از خارج برای ورود به داخل را مسدود می کند. عملیات VPN برای شما کاملاً شفاف و نامرئی باقی می ماند. مکالمات شخصی، تجاری، اسکایپ یا مکالمات تلفنی شما به هیچ وجه قابل شنود یا شنود نیست. تمام داده های شما با استفاده از یک الگوریتم رمزگذاری خاص رمزگذاری می شوند که شکستن آن تقریبا غیرممکن است.

علاوه بر محافظت در برابر نفوذ از خارج، VPN این امکان را فراهم می کند تا به طور مجازی به هر کشوری در جهان سفر کنید و از منابع شبکه این کشورها استفاده کنید، کانال های تلویزیونی را که قبلاً در دسترس نبودند تماشا کنید. VPN آدرس IP شما را با هر آدرس دیگری جایگزین می کند. برای انجام این کار، فقط باید یک کشور را از لیست پیشنهادی انتخاب کنید، به عنوان مثال هلند و تمام سایت‌ها و سرویس‌هایی که به آن‌ها می‌روید به طور خودکار «فکر می‌کنند» که شما در این کشور خاص هستید.

چرا ناشناس یا پروکسی نیست؟

این سوال مطرح می شود: چرا فقط از نوعی ناشناس یا سرور پروکسی در شبکه استفاده نمی کنیم، زیرا آنها آدرس IP را نیز جعل می کنند؟ بله، همه چیز بسیار ساده است - هیچ یک از خدمات فوق محافظت نمی کند، شما هنوز برای مهاجمان "قابل مشاهده" هستید و بنابراین تمام داده هایی که در اینترنت مبادله می کنید. و علاوه بر این، کار با سرورهای پروکسی به مهارت خاصی از شما برای تنظیم تنظیمات دقیق نیاز دارد. VPN طبق اصل زیر عمل می کند: "اتصال و کار"، نیازی به تنظیمات اضافی ندارد. کل فرآیند اتصال چند دقیقه طول می کشد و بسیار ساده است.

درباره VPN های رایگان

هنگام انتخاب، به خاطر داشته باشید که VPN های رایگان تقریباً همیشه محدودیت هایی در میزان ترافیک و سرعت انتقال داده دارند. این بدان معنی است که ممکن است شرایطی وجود داشته باشد که به سادگی نتوانید به استفاده از VPN رایگان ادامه دهید. فراموش نکنید که VPN های رایگان همیشه پایدار نیستند و اغلب بارگذاری می شوند. حتی اگر از حد شما تجاوز نکنید، به دلیل بار زیاد روی سرور VPN، انتقال داده می تواند برای مدت طولانی به تعویق بیفتد. خدمات VPN پولی با پهنای باند بالا، بدون محدودیت در ترافیک و سرعت متمایز می شوند و سطح امنیت بالاتر از موارد رایگان است.

از کجا شروع کنیم؟

اکثر خدمات VPN فرصتی را برای آزمایش کیفیت به صورت رایگان برای مدت کوتاهی فراهم می کنند. دوره آزمایش می تواند از چند ساعت تا چند روز باشد. در طول آزمایش، شما معمولاً به تمام عملکردهای سرویس VPN دسترسی کامل دارید. خدمات ما امکان یافتن چنین خدمات VPN را از طریق پیوند: