VIRTUAL PRIVATE

NETWORKS

خصوصي هاي شبكهمجازي

Hamed AziziDecember 2010

مطالب مورد بررسي

مقدمهVPN تعريف

VPN انواع شبكه هاي VPN مزاياي

VPN امنيت VPN تكنولوژي هاي

تونل سازي

مقدمهكه به Virtual Private Networkشبكه خصوصي مجازي يا

اختصارVPN ناميده مي شود،امكاني است براي انتقال ترافيك خصوصي

برروي شبكه عمومي.

براي اتصال دو شبكه خصوصي از طريق يك شبكه VPN معموال از عمومي

مانند اينترنت استفاده مي شود . منظورازيك شبكه خصوصي شبكه اي است

كه به طورآزاد دردسترس عموم نيست. معموال از اتصال دوياچندشبكه خصوصي ازطريق VPNپياده سازي

يك تونل رمز شده انجام مي شود.

VPNتعريف

،شبكه اختصاصي بوده كه ازيك شبكه VPNيك عمومي،براي

ارتباط باسايت هاي ازراه دور وارتباط كاربران با يكديگر، استفاده

مي نمايد.:وجود داردVPNدونوع عمده شبكه ي

(دستيابي از راه دور Remote-Access)(سايت به سايت Site-to-Site)

(دستيابي ازراه دورRemote-Access)

VPDN)Virtual private dial-up به اين شبكه ها

network(

نيزگفته مي شود .دراين شبكه ها از مدل User-To-Lanارتباطي

)ارتباط كاربربه شبكه محلي( استفاده مي گردد.

سازمان هايي كه ازمدل فوق استفاده مي نمايند،به دنبال ايجادتسهيالت

الزم براي ارتباط پرسنل به شبكه سازمان مي باشند.

ECE 4112 - Internetwork Security

Remote-Access Example

Network A VPN EnabledGateway

VPN over Internet

Mobile User

Home User

( سايت به سايتSite-To-Site:)

دراين مدل يك سازمان با توجه به سياست هاي موجود، قادربه

اتصال چندين سايت ثابت ازطريق يك شبكه عمومي نظيراينترنت

است كه گونه هاي خاصي دراين زمينه مبتني براينترانت ومبتني براكسترانت مي باشد.

7ECE 4112 - Internetwork Security

Site-to-Site Example

Network A VPN EnabledGateway

VPN over Internet

Network BVPN EnabledGateway

براساس VPNدسته بندي رمزنگاري:

VPNرمزشده

VPNرمزنشده

VPNاينترانتي

VPNاكسترانتي

•VPNازانواع مكانيزم هاي رمزنگاري براي :رمزشدهانتقال امن

(IPSecاطالعات برروي شبكه عمومي استفاده مي كنند. )

•VPN:براي اتصال دويا چندشبكه خصوصي با رمزنشده هدف

استفاده ازمنابع شبكه يكديگرايجادمي شود .امنيت اطالعات اهميت

چنداني ندارد اين امنيت با روش ديگري تامين مي شود. مثل روش

كه تنهااطالعات درحال تبادل بين دوشبكه مسيريابيتفكيك خصوصي

به هريك ازآنهامسيردهي مي شوند.

•VPN:اين سري ازاينترانتي VPN هادوياچندشبكهخصوصي

رادرون يك سازمان به هم متصل مي كنندوزماني معنامي دهدكه

مي خواهيم شعب يادفاتريك سازمان درنقاط دوردست رابه مركز

آن متصل كنيم.

•VPN:اين سري ازاكسترانتي VPN ها براي اتصال دوياچند

شبكه خصوصي ازدوياچندسازمان به كارمي (B2B)سناريوهايروند

:VPNمزاياي شبكه هاي

گسترش محدوده جغرافيايي ارتباطي، بهبود وضعيت امنيت،

كاهش هزينه هاي عملياتي درمقايسه باروش هاي ، WANسنتي

كاهش زمان ارسال وحمل اطالعات براي كاربران ازراه دور،

بهبود بهره وري،توپولوژي آسان ،...است.

:VPNامنيت به منظورتامين امنيت ازروش هاي VPNشبكه هاي

متعدداستفاده مي نمايند:

فايروال

رمزنگاري

IPSec سرويس دهنده AAA

فايروال يك ديواره مجازي بين شبكه فايروال:اختصاصي يك

سازمان واينترنت ايجادمي نمايد.

ايجادمحدوديت درتعدادپورت هاي فعال،ايجادمحدوديت دررابطه

باپروتكل هاي خاص،ايجادمحدوديت درنوع بسته هاي اطالعاتي

و....نمونه هايي ازعملياتي است كه مي توان با استفاده از يك

فايروال انجام داد.

ازآن فرايندي است كه بااستفاده :رمزنگاري كامپيوترمبدا اطالعاتي

. مي نمايدرمزشده ر ابراي كامپيوترديگرارسال سايركامپيوترهاي مجاز

قادربه رمزگشايي اطالعات ارسالي خواهندبود.

سيستم هاي رمزنگاري به دوگروه عمده تقسيم مي شوند:

رمزنگاري كليدمتقارنرمزنگاري كليدعمومي

:هركامپيوترداراي يك رمزنگاري كليدمتقارن)كد(بودهScretكليد

كه بااستفاده ازآن قادربه رمزنگاري يك بسته اطالعاتي قبل از ارسال در

شبكه براي كامپيوترديگرمي باشند.

:ازتركيب يك كليد خصوصي و يك رمزنگاري كليدعموميكليد

عمومي استفاده مي شود.كليدخصوصي براي كامپيوتر ارسال كننده

قابل شناسايي است.كليد عمومي توسط ارسال كننده دراختيار ديگر

كامپيوترهاكه قصدارتباط باآن راداشته باشندگذاشته مي شود.) (PGP

IPSec: ( پروتكلInternet Protocol Securit يكي )ازامكانات موجود براي ايجادامنيت درارسال ودريافت

اطالعاتمي باشد.

Tunnel ، Transportداراي دوروش رمزنگاري است: وقادربه رمزنگاري اطالعات بين دستگاه هاي متفاوت است:

روتربه روترفايروال به روتر كامپيوتربه روتر كامپيوتربه سرويس دهنده

سرويس دهندهAAA :( Authentication،Accounting،

)Authorizationازنوع VPNبه منظورايجادامنيت باالدرمحيط هاي

دستيابي ازراه دور استفاده مي گردند.

(Authentication ،تاييدشماچه كسي هستيد؟)• ،مجوزشمامجازبه انجام چه كاري هستيد؟)•

(Authorization ،حسابداريچه كارهايي را انجام داده ايد؟)•

(Accounting

VPNتكنولوژي هاي ،به منظورايجادشبكه ازعناصرخاصي استفاده VPNباتوجه به نوع

مي گردد:

نرم افزارهاي مربوط به كاربران ازراه دورسخت افزارهاي اختصاصي:كانكتور VPNيا فايروالPIX سرويس دهنده اختصاص VPNهاي به منظورسرويس

Dial-up سرويس دهنده NAS كه توسط مركز ارائه خدمات

اينترنت به ازنوع دستيابي ازراه دوراستفاده VPNمنظوردستيابي به

مي شود. شبكهVPNومركزمديريت سياست ها

VPN Software

VPN Hardware

كانكتور VPN توسط شركت سيسكوطراحي وعرضه شدهاست.دربرخي از

كاربر ازراه دورودربرخي 100نمونه هاامكان فعاليت همزمان 10000ديگرتا

قادربه اتصال به شبكه خواهندبود.

روترمختص VPN توسط شركت سيسكوارائه شده است.اين روترداراي

قابليت هاي متعددبه منظوراستفاده درمحيط هاي گوناگون است.

فايروال PIX)Private Internet Exchange( قابليت هاي NATنظير

فيلترنمودن بسته هاي اطالعاتي و...رادريك سخت افزارفراهم نموده است.

VPN Hardware

Tunneling)تونل سازي(

به منظورايجاديك شبكه VPN اكثرشبكه هاياختصاصي باقابليت

استفاده Tunnelingدستيابي ازطريق اينترنت ازامكان مي نمايند.

در روش فوق تمام بسته اطالعاتي دريك بسته ديگر قرارگرفته و

ازطريق شبكه ارسال خواهدشد.

پروتكل مربوط به بسته اطالعاتي خارجي )پوسته(توسط شبكه

ودونقطه )ورودوخروج بسته اطالعاتي(قابل فهم مي باشد.دونقطه

“ مي گويند.اينترفيس هاي تونلفوق را“

مستلزم استفاده از سه Tunnelingروش پروتكل است:

شبكه به عنوان حامل اطالعات پروتكل حمل كننده.استفاده مي كند.

پروتكل كپسولهGRE،L2TP،PPTP،L2F،IPSecسازي.

.پروتكل مسافرNet Beui،IP،IPX براي انتقال دادههاي اوليه.

مشابه حمل يك كامپيوتر توسط Tunnelingعملكرد يك كاميون

است . فروشنده پس از بسته بندي كامپيوتر)پروتكل مسافر( درون يك

جعبه )پروتكل كپسوله سازي( آن را توسط يك كاميون )پروتكل حمل

كننده(ازانبارخود)اينترفيس ورودي تونل( براي متقاضي ارسال مي كند.

كاميون )پروتكل حمل كننده( ازطريق بزرگراه)اينترنت( مسيرخودراطي،

تابه منزل شما)اينترفيس هاي خروجي تونل( برسد.شمادرمنزل)پروتكل كپسوله

سازي(رابازوكامپيوتر)پروتكل مسافر( راازآن خارج مي نماييد.

ازتوجه و عنايت شما سپاسگذارم

نام دانشجو:حامد عزیزی

رشته:مهندسي نرم افزار واحد تهران شمال

درس مربوطه: مهندسی اینترنت