بررسی شبکه بندی خصوصى مجازى - Vpn تحت ویندوز سرور ۲۰۰۳(قسمت دوم)

۳/ اتصال کامپیوترها روی یک اینترانت
در بعضی از شبکه بندی های سازمانی، ممکن است داده های بخشی از سازمان خیلی حساس بوده و LAN آن بخش از سازمان به بقیه شبکه سازمان متصل نباشد. اگرچه این امر داده های محرمانه سازمان را محافظت می کند اما برای استفاده کنندگانی که به طور فیزیکی به LAN جداگانه ای متصل نیستند در مورد دسترسی به اطلاعات مشکلاتی پیش می آید.
VPN ها به LAN دپارتمان اجازه می دهند تا به صورت فیزیکی به شبکه داخلی سازمان متصل باشند اما توسط یک سرور VPN از شبکه تفکیک شوند. سرور VPN به عنوان یک مسیریاب بین شبکه داخلی سازمان و LAN دپارتمان عمل نمی کند. یک مسیریاب که دو شبکه را بهم وصل می کند، به همه اجازه می دهد تا به LAN حساس دسترسى پیدا کنند. با استفاده از یک سرور VPN ، مدیر شبکه می تواند مطمئن باشد که روى شبکه داخلی سازمان فقط آن استفاده‌کنندگان که اعتبارنامه مناسب را دارند (مبنى بر سیاست سازمان) می توانند یک ارتباط VPN با سرور VPN برقرار بکند و به منابع حفاظت‌شده دپارتمان دستیابى پیدا کنند. علاوه بر این تمام ارتباطات از میان VPN می تواند براى حفاظت داده‌ها رمزنگاری شود. آن تعداد از استفاده‌کنندگان که اعتبار مناسب نداشته باشند، نمی توانند به LAN دپارتمان دسترسی داشته باشند.
نیازمندی های اساسی VPN
معمولا، هنگام مستقر کردن یک راه‌حل شبکه‌سازى راه دور، یک شرکت نیاز دارد دسترسی کنترل ‌شده به منابع سازمان و اطلاعات را تسهیل کند. راه‌حل باید اجازه بدهدکلاینت های دور به LANمنابع وصل شوند. همچنین باید اجازه دهد دفاتر دور به همدیگر متصل شده و منابع و اطلاعات را با هم به اشتراک بگذارند. به علاوه، راه‌حل باید از اختفا و درستی داده ها با گذر از اینترنت مطمئن باشد. همان نگرانیها در مورد موضوع انتقال داده های حساس در طول شبکه داخلی سازمان نیز وجود دارد.
بنابراین یک VPN باید حداقل تمام موارد زیر را تامین کند:
شناسایى کاربر
راه‌حل باید صحت هویت کلاینت VPN را بررسی کرده و دسترسی به VPN را به کاربران مجاز محدود کند. همچنین باید اسناد بازبینی و حسابدارى را برای نشان دادن اینکه چه کسانی و برای چه مدتی متصل هستند فراهم کند.
مدیریت آدرس
راه‌حل باید به یک کلاینت شبکه خصوصى مجازى یک آدرس روی اینترانت اختصاص دهد وتضمین کند آدرس هایی که روى اینترانت استفاده می شوند، به صورت اختصاصی محفوظ هستند.
رمزگذارى داده
داده‌هایی که روی شبکه های عمومی حمل می شوند باید به صورت غیرقابل خواندن تغییر شکل یابند.
مدیریت کلید
راه‌حل باید براى داده‌هاى رمزنگاری شده کلید های رمزگذاری تولید و بازیابی کند.
یک VPN مبتنى بر پروتکل PPTP یا پروتکل یا L2TP/IPSec تمام این نیازمندی ها را برطرف می کند و از قابلیت های مفید اینترنت استفاده می کند. راه‌حلهاى دیگر، مانند حالت تونلى IPSec، فقط بعضى از این ملزومات را برطرف می کنند اما در موقعیت های مختلف سودمند خواهند بود.
مبانی Tunneling
یک روش استفاده از زیرساختار یک شبکه برای انتقال داده‌هاى یک شبکه روى شبکه دیگر است. داده‌ای که باید انتقال‌یابد (payload) می تواند فریم ( یا packet) یا پروتکل های دیگر باشد. به جاى فرستادن یک فریم که توسط نود آغازی ایجاد شده‏ پروتکل tunneling فریم را با یک هدر اضافی کپسوله می کند. هدر اضافی اطلاعات مسیریابی را فراهم می کند به طوریکه داده کپسوله شده بتواند روی شبکه میانی منتقل شود.
سپس بسته‌هاى کپسوله شده بین نقاط پایانی تونل روی شبکه مسیریابی می شوند. مسیر منطقى که بسته‌هاى کپسوله شده توسط آن روی شبکه منتقل می شوند تونل (tunnel) نامیده می شود. وقتى که فریم های کپسوله شده به مقصدشان روى شبکه می رسند، از حالت کپسوله خارج شده و به سوی مقصد نهاییشان فرستاده می شوند. Tunneling تمام این موارد را در بر می گیرد (کپسوله کردن بسته ها‏، انتقال آنها و از حالت کپسوله درآوردن آنها).
شبکه انتقالی می تواند هر شبکه ای باشد. اینترنت یک شبکه عمومى است و شناخته‌شده‌ترین مثال در این مورد می باشد. مثال های زیادی از تونلهایی که عمل انتقال را روی شبکه سازمان انجام می دهند وجود دارد.
تکنولوژى هاى Tunneling مدت زمانی است که بوجود آمده اند، از قبیل SNA روی شبکه های IP. زمانیکه ترافیک ۱۰SNA روی شبکه ی IP یک سازمان فرستاده می شود فریم های SNA در هدر UDP و IP کپسوله می شوند. تکنولوژیهاى tunneling جدیدی در سالهاى اخیر معرفی شده اند. این تکنولوژیهاى جدید شامل موارد زیر هستند:
Point-to-Point Tunneling Protocol (PPTP): PPTP اجازه می دهد تا ترافیک چند پروتکلی، رمزنگاری شده و سپس در یک هدر IP برای فرستادن روی شبکه IP سازمان یا شبکه IP عمومی مانند اینترنت کپسوله شود.
Layer Two Tunneling Protocol (L2TP): L2TP اجازه می دهد تا ترافیک چند پروتکلی، رمزنگاری شده و روی هر واسطی که تحویل دیتاگرام نقطه به نقطه (point-to-point) را ساپورت می کند فرستاده شود.
IPSec tunnel mode: حالت تونلى IPSec به بسته‌هاى IP اجازه میدهد رمزنگاری شده و سپس برای فرستادن روی شبکه IP یک سازمان یا روی شبکه IP عمومی مثل اینترنت کپسوله شوند. حالت تونلى IPSec برای اتصال VPN راه دور توصیه نمی شود زیرا روش های استانداردی برای اهراز هویت کاربر،تخصیص آدرس IP و تخصیص آدرس سرور نام (name server) ندارد. البته استفاده از حالت تونلى IPSec برای اتصالات site-to-site مربوط به VPN با کامپیوتر هایی که از ویندوز سرور۲۰۰۳ استفاده می کنند امکان پذیر است.