همه چیز در مورد VPN – قسمت اول

VPN

(VPN (Virtual Private Network یک شبکه خصوصی مجازی است که ارتباطات کپسوله‌شده (Encapsulated)، رمزنگاری‌شده (Encrypted) و تصدیق‌شده (Authenticated) را با استفاده از سیستم مسیریابی زیرساخت شبکه از طریق یک شبکه عمومی مانند اینترنت ایجاد و مدیریت می‌کند. این ارتباط می‌تواند بین دو سیستم عادی برقرار شده و یا برای ارتباط امن سرور یک سازمان با شعب آن در سراسر جهان به‌کار رود. VPN برای کاربران تجاری بیش از یک ضرورت و بلکه نعمتی است که راهی مطمئن، امن و در عین حال ارزان برای دسترسی به فایل‌هایشان در شبکه محل کار خود (وقتی که آن‌ها در مسافرت، خانه و یا در راه هستند) در اختیار می‌گذارد. کاربران در حالت عادی برای تماس به‌صورت Remote (راه دور) با سرور نیاز دارند که به‌صورت مستقیم و توسط یک ارتباط DialUp به سرور RAS متصل شوند ، اما این‌کار دو اشکال اساسی دارد … لطفاً ادامه مقاله را بخوانید.

استفاده از RAS سرور و خط تلفن‌ برای برقراری ارتباط دو مشکل عمده دارد که عبارتند از:
۱) در صورتی‌که RAS سرور و سیستم تماس‌گیرنده در یک استان قرار نداشته باشند، علاوه بر لزوم پرداخت هزینه زیاد، سرعت ارتباط نیز پایین خواهد آمد و این مسأله وقتی بیشتر نمود پیدا می کند که کاربر نیاز به ارتباطی با سرعت مناسب داشته باشد.

۲) در صورتی‌که تعداد اتصالات راه دور در یک لحظه بیش از یک مورد باشد، RAS سرور به چندین خط تلفن و مودم احتیاج خواهد داشت که باز هم مسأله هزینه مطرح می گردد.

اما با ارتباط VPN مشکلات مذکور به‌طور کامل حل می‌شود و کاربر با اتصال به ISP محلی به اینترنت متصل شده و VPN بین کامپیوتر کاربر و سرور سازمان از طریق اینترنت ایجاد می‌گردد. ارتباط مذکور می تواند از طریق خط DialUpو یا خط اختصاصی مانند Leased Line برقرار شود.

به‌هر حال اکنون مسأله این نیست که طریقه استفاده از VPN چیست، بلکه مسأله این است که کدامیک از تکنولوژی‌های VPN باید مورد استفاده قرار گیرند. پنج نوع پروتکل در VPN مورد استفاده قرار می گیرد که هرکدام مزایا و معایبی دارند . در این مقاله ما قصد داریم در مورد هرکدام از این پروتکل‌ها بحث کرده و آنها را مقایسه کنیم . البته نتیجه گیری نهایی به هدف شما در استفاده از VPN بستگی دارد.

ارتباط سیستم‌ها در یک اینترانت 
در برخی سازمان‌ها، اطلاعات یک دپارتمان خاص به‌دلیل حساسیت بالا، به‌طور فیزیکی از شبکه اصلی داخلی آن سازمان جدا گردیده است. این مسأله علیرغم محافظت از اطلاعات آن دپارتمان، مشکلات خاصی را نیز از بابت دسترسی کاربران دپارتمان مذکور به شبکه‌های خارجی به‌وجود می‌آورد.

VPN اجازه می دهد که شبکه دپارتمان مذکور به‌صورت فیزیکی به شبکه مقصد مورد نظر متصل گردد، اما به‌صورتی‌که توسط VPN سرور، جدا شده است (با قرار گرفتن VPN سرور بین دو شبکه).

البته لازم به یادآوری است که نیازی نیست VPN سرور به‌صورت یک Router مسیریاب بین دو شبکه عمل نماید، بلکه کاربران شبکه مورد نظر علاوه بر این‌که خصوصیات و Subnet شبکه خاص خود را دارا هستند به VPN سرور متصل شده و به اطلاعات مورد نظر در شبکه مقصد دست می یابند.

علاوه بر این تمام ارتباطات برقرار شده از طریق VPN، می‌توانند به منظور محرمانه ماندن رمزنگاری شوند. برای کاربرانی که دارای اعتبارنامه مجاز نیستند، اطلاعات مقصد به‌صورت خودکار غیر قابل رویت خواهند بود .

مبانی Tunneling 
Tunneling یا سیستم ایجاد تونل ارتباطی با نام کپسوله کردن (Encapsulation) نیز شناخته می‌شود که روشی است برای استفاده از زیرساخت یک شبکه عمومی جهت انتقال اطلاعات. این اطلاعات ممکن است از پروتکل‌های دیگری باشد. اطلاعات به‌جای این‌که به‌صورت اصلی و Original فرستاده شوند، با اضافه کردن یک Header (سرایند) کپسوله می‌شوند.

این سرایند اضافی که به پکت متصل می‌شود، اطلاعات مسیریابی را برای پکت فراهم می کند تا اطلاعات به‌صورت صحیح، سریع و فوری به مقصد برسند. هنگامی که پکت‌های کپسوله شده به مقصد رسیدند، سرایندها از روی پکت برداشته شده و اطلاعات به‌صورت اصلی خود تبدیل می‌شوند. این عملیات را از ابتدا تا اتمام کار Tunneling می‌نامند.

نگهداری تونل 
مجموعه عملیات متشکل از پروتکل نگهداری تونل و پروتکل تبادل اطلاعات تونل به‌نام پروتکل Tunneling شناخته می‌شوند . برای این‌که این تونل برقرار شود، هم کلاینت و هم سرور می‌بایست پروتکل Tunneling یکسانی را مورد استفاده قرار دهند. از جمله پروتکل‌هایی که برای عملیات Tunneling مورد استفاده قرار می‌گیرند PPTP و L2TP هستند که در ادامه مورد بررسی قرار خواهند گرفت.

پروتکل نگهداری تونل 
پروتکل نگهداری تونل به‌عنوان مکانیسمی برای مدیریت تونل استفاده می‌شود. برای برخی از تکنولوژی‌هایTunneling مانند PPTP و L2TP یک تونل مانند یک Session می‌باشد، یعنی هر دو نقطه انتهایی تونل علاوه بر این‌که باید با نوع تونل منطبق باشند، می‌بایست از برقرار شدن آن نیز مطلع شوند.

هرچند بر خلاف یک Session، یک تونل دریافت اطلاعات را به‌صورتی قابل اطمینان گارانتی نمی‌کند و اطلاعات ارسالی معمولاً به‌وسیله پروتکلی بر مبنای دیتاگرام مانندUDP هنگام استفاده از L2TP یا TCP برای مدیریت تونل و یک پروتکل کپسوله کردن مسیریابی عمومی اصلاح شده به‌نام GRE برای وقتی که PPTP استفاده می گردد، پیکربندی و ارسال می‌شوند.

ساخته شدن تونل 
یک تونل باید قبل از این‌که تبادل اطلاعات انجام شود، ساخته شود. عملیات ساخته شدن تونل به‌وسیله یک طرف تونل یعنی کلاینت آغاز می‌شود و طرف دیگر تونل یعنی سرور، تقاضای ارتباط Tunneling را دریافت می‌کند. برای ساخت تونل یک عملیات ارتباطی مانند PPP انجام می‌شود.

سرور تقاضا می‌کند که کلاینت خودش را معرفی کرده و معیارهای تصدیق هویت خود را ارائه نماید. هنگامی که قانونی بودن و معتبر بودن کلاینت مورد تأیید قرار گرفت، ارتباط تونل مجاز شناخته شده و پیغام ساخته شدن تونل توسط کلاینت به سرور ارسال می‌گردد و سپس انتقال اطلاعات از طریق تونل شروع خواهد شد.

برای روشن شدن مطلب، مثالی می‌زنیم. اگر محیط عمومی را، که غالبا نیز همین‌گونه است، اینترنت فرض کنیم، کلاینت پیغام ساخته شدن تونل را از آدرس IP کارت شبکه خود به‌عنوان مبدا به آدرس IP مقصد یعنی سرور ارسال می‌کند. حال اگر ارتباط اینترنت به‌صورت DialUp از جانب کلاینت ایجاد شده باشد، کلاینت به‌جای آدرس NIC خود، آدرس IP را که ISP به آن اختصاص داده به‌عنوان مبدا استفاده خواهد نمود.

نگهداری تونل 
در برخی از تکنولوژی‌های Tunneling مانند L2TP و PPTP، تونل ساخته شده باید نگهداری و مراقبت شود . هر دو انتهای تونل باید از وضعیت طرف دیگر تونل باخبر باشند. نگهداری یک تونل معمولا از طریق عملیاتی به‌نام نگهداری فعال (KA) اجرا می‌گردد که طی این پروسه به‌صورت دوره زمانی مداوم از انتهای دیگر تونل آمارگیری می‌شود. این‌کار هنگامی که اطلاعاتی در حال تبادل نیست، انجام می پذیرد.

پروتکل تبادل اطلاعات تونل 
زمانی که یک تونل برقرار می‌شود، اطلاعات می‌توانند از طریق آن ارسال گردند. پروتکل تبادل اطلاعات تونل، اطلاعات را کپسوله کرده تا قابل عبور از تونل باشند. وقتی که تونل کلاینت قصد ارسال اطلاعات را به تونل سرور دارد، یک سرایند (مخصوص پروتکل تبادل اطلاعات) را بر روی پکت اضافه می‌کند. نتیجه این‌کار این است که اطلاعات از طریق شبکه عمومی قابل ارسال شده و تا تونل سرور مسیریابی می‌شوند.

تونل سرور پکت‌ها را دریافت کرده و سرایند اضافه شده را از روی اطلاعات برداشته و سپس اطلاعات را به‌صورت اصلی درمی آورد.

انواع تونل 
تونل‌ها به دو نوع اصلی تقسیم می‌گردند: اختیاری و اجباری.