انواع Tunnel
می توانند به طرق مختلفی ایجاد شوند: ها Tunnel
1. تونلهاى اختیاری (tunnels Voluntary)
یک کاربر یا کامپیوتر کلاینت می تواند برای شکل دادن و ایجاد یک تونل اختیاری، درخواست VPN صادر بکند. در این صورت، کامپیوتر کاربر یک نقطه پایان تونلى است و مثل کلاینت تونل رفتار می کند.
۲/ تونلهاى اجبارى (Compulsory tunnels)
یک سرور دسترسى از طریق شمارهگیرى ( (dial-up access server شبکه خصوصى مجازى یک تونل اجبارى را شکل داده و به وجود می آورد. در یک تونل اجبارى، کامپیوتر کاربر یک نقطه پایان تونلى نیست. وسیله دیگر، یعنی سرور دسترسى از طریق شمارهگیرى، بین کامپیوتر کاربر وسرور تونل نقطه پایان تونل است و مثل کلاینت تونل رفتار می کند.
در طول زمان، ثابت شده که تونلهاى اختیاری عامه پسندترند.
ویژگیهای امنیتی پیشرفته VPN
براى اینکه اینترنت ایجاد اتصالات شبکه خصوصى مجازى را از هر جایى آسان می کند، شبکهها به ویژگی های امنیتی قوى احتیاج دارند تا از دسترسى ناخواسته به شبکههاى خصوصى جلوگیری کنند و از اطلاعات خصوصى که در شبکه عمومی منتقل می شوند محافظت کنند. اهراز هویت کاربر و رمزنگاری دادهها قبلا مطرحشده بودهاند. این بخش یک دید کلی از ویژگیهای امنیتی پیشرفته که می توانند با اتصالات VPNویندوز سرور ۲۰۰۳ و ویندوزXP استفاده شوند ارائه می دهد.
۱/ EAP-TLS و اهراز هویت مبنی بر گواهینامه
رمزگذاری متقارن (قراردادى)، یا کلید خصوصی ، مبنى بر یک کلید محرمانه که است به وسیله طرفین ارتباط به اشتراک گذاشته می شود.بخش فرستنده با استفاده از کلید محرمانه و با یک سری عملیات ریاضى متن ساده را به متن رمزگذاری شده تبدیل می کند. گیرنده همان کلید محرمانه را برای رمزگشایى متن رمزنگاری شده به متن ساده استفاده می کند. نمونه ای از رمزگذاری متقارن الگوریتم RSA RC4 می باشد که مبنای رمزگذاری نقطه به نقطه میکروسافت۱۱(MPPE)و رمزگذاری استاندارد داده (DES)12 می باشد که برای رمزگذاری IPSec استفاده می شود.
رمزگذاری نامتقارن یا کلید عمومی، دو کلید متفاوت براى هر کاربر استفاده می کند:یک کلید خصوصى که فقط برای یک کاربر شناخته شده است؛ دیگرى یک کلید عمومى یکسان است، که برای هر کسى قابل دسترسى است.کلیدهاى خصوصى و عمومى به وسیله الگوریتم رمزگذاری به طور ریاضى به یکدیگر مربوط هستند. بسته به طبیعت انجام سرویس ارتباط ، یک کلید براى رمزگذاری و دیگرى براى رمزگشایى به کاررفته می رود.
به علاوه، تکنولوژیهاى رمزگذاری کلید عمومى به امضاهاى دیجیتالی اجازه می دهند تا روى پیغامها قرار گیرند. یک امضاى دیجیتال از کلید خصوصى فرستنده برای رمزگذاری بعضی از قسمت های پیغام استفاده می کند. وقتى که پیغام می رسد، گیرنده از کلید عمومى فرستنده برای رمزگشایی امضاى دیجیتال و اهراز هویت فرستنده استفاده می کند.
۱-۱/ گواهینامههاى دیجیتالی (Digital Certificates)
با رمزگذاری متقارن، هم فرستنده و هم گیرنده یک کلید محرمانه اشتراکى دارند. توزیع کلید محرمانه باید پیش از هر ارتباط رمزگذاری شده انجام شود (با حفاظت کافى) .اما، در رمزنگاری نامتقارن، فرستنده یک کلید خصوصى برای رمزنگاری پیغامها یا امضاء دیجیتالی استفاده می کند، مادامیکه گیرنده یک کلید عمومى برای رمزگشایی این پیغامها استفاده می کند. کلید عمومی به صورت آزادانه برای هر کسى که نیاز به دریافت پیغامهای رمزگذاری شده یا به صورت دیجیتالی امضاء شده دارد، توزیع می شود. فرستنده فقط به کلید خصوصى احتیاج دارد که به دقت محافظت می شود.
برای تامین درستى کلید عمومی ، این کلید با یک گواهینامه منتشر شده است. گواهینامه یک ساختمان داده است که به وسیله یک مرجع صلاحیتدار (۱۳(CA به صورت دیجیتالی امضا شده است ؛ یک مرجع صلاحیتدار که کاربران می توانند اعتماد بکنند. گواهینامه شامل یک سرى ارزشها است، از قبیل نام گواهینامه و کاربرد، اطلاعاتی برای تشخیص هویت صاحب کلید عمومی، خود کلید عمومی ، یک تاریخ انقضا و نام منبع موثق گواهینامه. CA از کلید خصوصى خود برای امضاء و تایید گواهینامه استفاده می کنند.
اگر گیرنده ، کلید عمومی مرجع صلاحیتدار گواهینامه را بشناسد، گیرنده می تواند تأیید بکند که گواهینامه قطعاً از CA مطمئن است و، بنابراین، شامل اطلاعات موثق و یک کلید عمومى معتبر می باشد. گواهینامهها می توانند به صورت الکترونیکى قابل توزیع باشند (ازطریق وب یا ایمیل)،یا روى کارتهاى هوشمند و یا روى فلاپی دیسکها.
به طور خلاصه، کلید عمومى، یک روش قابل اعتماد راحت براى تأیید هویت یک فرستنده فراهم می کند. IPSecمی تواند این روش را به طور اختیارى براى تصدیق هویت سطح گره (peer-level) استفاده کند. سرورهای دستیابی از راه دور می توانند از کلید عمومی بصورتیکه جلوتر شرح داده خواهد شد استفاده کنند.
۲-۱/ پروتکل تصدیق قابل توسعه۱۴(EAP)
همانطوریکه قبلا شرح داده شد، بسیاری از اجراهاى پروتکل نقطه به نقطه ( PPP ) روشهاى اهراز هویت خیلى محدودی را فراهم می کنند. EAP یک استاندارد IETF برای استاندارد PPP است که برای اعتبارسنجی اتصالات PPP مکانیزم های اهراز هویت اختیاری فراهم می کند.EAP برای این طراحی شده است که به ماژولهای plug-in اهراز هویت اجازه دهد در دو نقطه انتهایی یک اتصال یعنی سرور و کلاینت ، به صورت خودکار اضافه شوند. این به فروشندگان اجازه می دهد در هر زمان یک طرح تصدیق جدید فراهم کنند. EAP بیشترین انعطاف پذیرى را در یکتایى و تغییر اهراز هویت فراهم می کند.
EAP در RFC 2284 مستند است و در ویندوز سرور ۲۰۰۳ و ویندوز XP پشتیبانی شده است.
۳-۱/ امنیت سطح انتقالEAP (EAP-TLS) 15
EAP-TLS یک استاندارد IETF (RFC 2716) براى یک روش اهراز هویت قوى مبنى بر کلید عمومى است. با EAP-TLS، یک کلاینت یک گواهینامه کاربر را به سرور dial-in ارائه میدهد و سرور یک گواهی نامه به کلاینت ارائه می دهد. اولا یک تصدیق هویت کاربر قوى برای سرور فراهم می کند؛ ثانیا اطمینان می دهد که کاربری که منتظر است، به سرور دسترسی یابد. هر دو سیستم به یک زنجیر تصدیق هویت مطمئن برای رسیدگی به اعتبار گواهینامه های پیشنهاد شده متکی هستند.
گواهینامه کاربرمی تواند روى کامپیوترکلاینت VPN یا در یک کارت هوشمند خارجى ذخیره شود . در هر حال، گواهینامه نمی تواند بدون بعضی از فرم های تشخیص هویت کاربر ( شماره پین یا نام و پسورد) بین کاربر و کامپیوتر کلاینت قابل دسترسی باشد. این روش دستیابى بعضی از ضوابط و معیارهایی که شما باید بدانید و داشته باشید که توسط بسیاری از متخصصین امنیت توصیه می شوند، تامین می کند.
EAP-TLS در ویندوز سرور ۲۰۰۳ و ویندوزXP پشتیبانى شده است.EAP-TLS مانند MS-CHAP و MS-CHAP v2 یک کلید رمزگذاری برمی گرداند که رمزگذارى داده های بعدی را توسط MPPE ممکن می سازد.
۲/ کنترل قرنطینه دسترسی شبکه
کنترل قرنطینه دسترسی شبکه، یک ویژگى جدید در خانواده ویندوز سرور ۲۰۰۳ است که دسترسی از راه دور نرمال به یک شبکه خصوصى را تا زمانیکه پیکربندى کامپیوتر دستیابى از دور به وسیله اسکریپت تهیه شده توسط مدیر ، امتحان واعتبارسنجی نشده به تاخیر می اندازد. هنگامیکه یک کامپیوتر دستیابى از دور یک ارتباط با یک سرور دسترسى از راه دور راه می اندازد، کاربر اهراز هویت شده و به کامپیوتر دستیابى از دوریک آدرسIP تخصیص داده می شود.با این وجود، ارتباطی که در حالت قرنطینه قرار داده شده است، از هر گونه دسترسى به شبکه محدود شده است. اسکریپت تهیه شده توسط مدیرروی کامپیوتر دستیابى از دور اجرا می شود. وقتى که اسکریپت با موفقیت کامل مى شود، یک مؤلفه را اجراء می کند که اطلاع می دهد کامپیوتر دستیابى از دور رویههاى امنیتی شبکه جارى را تامین می کند. سرور دسترسى از راه دور حالت قرنطینه را بر می دارد و کامپیوتر دستیابى از دور دستیابى از دورنرمال را تصدیق می کند.
کنترل قرنطینه دسترسی شبکه ترکیبی از موارد زیر است:
یک سرور دسترسى از راه دور ویندوز سرور ۲۰۰۳ و یک سرویس شنونده اطلاع دهنده قرنطینه را اجرا می کند.
یک سرور RADIUS ویندوز سرور ۲۰۰۳ و سرویس شناسایى اینترنت (IAS) 16 را اجراء می کند که یک رویه دستیابى از دور قرنطینه پیکرهبندى شده و تنظیمات قرنطینه را نشان می دهد.
یک پروفایل مدیر ارتباط توسط کیت اداره مدیریت ارتباط ویندوز سرور ۲۰۰۳ ایجاد شده که شامل اسکریپت تامین سیاست و خط مشی شبکه و یک مولفه اخطار دهنده می باشد.
یک کلاینت دستیابى از دور که ویندوز سرور ۲۰۰۳ ، ویندوز XP، ویندوز ۲۰۰۰، ویندوز Millennium یا ویندوز ۹۸ ویرایش دوم را اجراء می کند.
خرید آسان و آسوده
سایت های مورد نیاز شما
اگر نیاز به اطلاعات مختلفی دارید به سایتهای زیر رجوع کنید.
۱۳۸۷ خرداد ۱۲, یکشنبه
اشتراک در:
نظرات پیام (Atom)
هیچ نظری موجود نیست:
ارسال یک نظر