Quantcast
Channel: دانلود فایل رایگان
Viewing all articles
Browse latest Browse all 46175

مقاله شبکه خصوصي مجازي

$
0
0
 nx دارای 64 صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است فایل ورد nx  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد. این پروژه توسط مرکز nx2 آماده و تنظیم شده است توجه : در صورت  مشاهده  بهم ريختگي احتمالي در متون زير ،دليل ان کپي کردن اين مطالب از داخل فایل ورد مي باشد و در فايل اصلي nx،به هيچ وجه بهم ريختگي وجود ندارد بخشی از متن nx : شبکه خصوصی مجازی شبکه خصوصی مجازی یا Virtual Private Network که به اختصار VPN نامیده می شود، امکانی است برای انتقال ترافیک خصوصی بر روی شبکه عمومی. معمولا از VPN برای اتصال دو شبکه خصوصی از طریق یک شبکه عمومی مانند اینترنت استفاده می شود.منظور از یک شبکه خصوصی شبکه ای است که بطور آزاد در اختیار و دسترس عموم نیست. VPN به این دلیل مجازی نامیده می شود که از نظر دو شبکه خصوصی ، ارتباط از طریق یک ارتباط و شبکه خصوصی بین آنها برقرار است اما در واقع شبکه عمومی این کار را انجام می دهد. پیاده سازی VPN معمولا اتصال دو یا چند شبکه خصوصی از طریق یک تونل رمزشده انجام می شود. در واقع به این وسیله اطلاعات در حال تبادل بر روی شبکه عمومی از دید سایر کاربران محفوظ می ماند. VPN را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم کرد. فصل اول کلیات بحث دسته بندی VPN براساس رمزنگاری VPN را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم کرد:1- VPNرمزشده : VPN های رمز شده از انواع مکانیزمهای رمزنگاری برای انتقال امن اطلاعات بر روی شبکه عمومی استفاده می کنند. یک نمونه خوب از این VPN ها ، شبکه های خصوصی مجازی اجرا شده به کمک IPSec هستند. 2- VPN رمزنشده : این نوع از VPN برای اتصال دو یا چند شبکه خصوصی با هدف استفاده از منابع شبکه یکدیگر ایجاد می شود. اما امنیت اطلاعات در حال تبادل حائز اهمیت نیست یا این که این امنیت با روش دیگری غیر از رمزنگاری تامین می شود. یکی از این روشها تفکیک مسیریابی است. منظور از تفکیک مسیریابی آن است که تنها اطلاعات در حال تبادل بین دو شبکه خصوصی به هر یک از آنها مسیر دهی می شوند. (MPLS VPN) در این مواقع می توان در لایه های بالاتر از رمزنگاری مانند SSL استفاده کرد.هر دو روش ذکر شده می توانند با توجه به سیاست امنیتی مورد نظر ، امنیت مناسبی را برای مجموعه به ارمغان بیاورند، اما معمولا VPN های رمز شده برای ایجاد VPN امن به کار می روند. سایر انواع VPN مانند MPLS VPN بستگی به امنیت و جامعیت عملیات مسیریابی دارند. دسته بندی VPN براساس لایه پیاده سازیVPN بر اساس لایه مدل OSI که در آن پیاده سازی شده اند نیز قابل دسته بندی هستند. این موضوع از اهمیت خاصی برخوردار است. برای مثال در VPN های رمز شده ، لایه ای که در آن رمزنگاری انجام می شود در حجم ترافیک رمز شده تاثیر دارد. همچنین سطح شفافیت VPN برای کاربران آن نیز با توجه به لایه پیاده سازی مطرح می شود. 1- VPN لایه پیوند داده : با استفاده از VPN های لایه پیوند داده می توان دو شبکه خصوصی را در لایه 2 مدل OSI با استفاده از پروتکلهایی مانند ATM یا Frame Relay به هم متصل کرد.با وجودی که این مکانیزم راه حل مناسبی به نظر می رسد اما معمولا روش ارزنی نیست چون نیاز به یک مسیر اختصاصی لایه 2 دارد. پروتکلهای Frame Relay و ATM مکانیزمهای رمزنگاری را تامین نمی کنند. آنها فقط به ترافیک اجازه می دهند تا بسته به آن که به کدام اتصال لایه 2 تعلق دارد ، تفکیک شود. بنابراین اگر به امنیت بیشتری نیاز دارید باید مکانیزمهای رمزنگاری مناسبی را به کار بگیرید.2- VPN لایه شبکه : این سری از VPN ها با استفاده از tunneling لایه 3 و/یا تکنیکهای رمزنگاری استفاده می کنند. برای مثال می توان به IPSec Tunneling و پروتکل رمزنگاری برای ایجاد VPN اشاره کرد.مثالهای دیگر پروتکلهای GRE و L2TP هستند. جالب است اشاره کنیم که L2TP در ترافیک لایه 2 تونل می زند اما از لایه 3 برای این کار استفاده می کند. بنابراین در VPN های لایه شبکه قرار می گیرد. این لایه برای انجام رمزنگاری نیز بسیار مناسب است. در بخشهای بعدی این گزارش به این سری از VPN ها به طور مشروح خواهیم پرداخت. 3- VPN لایه کاربرد : این VPN ها برای کار با برنامه های کاربردی خاص ایجاد شده اند. VPN های مبتنی بر SSL از مثالهای خوب برای این نوع از VPN هستند. SSL رمزنگاری را بین مرورگر وب و سروری که SSL را اجرا می کند، تامین می کند.SSH مثال دیگری برای این نوع از VPN ها است.SSH به عنوان یک مکانیزم امن و رمز شده برای login به اجزای مختلف شبکه شناخته می شود. مشکل VPNها در این لایه آن است که هرچه خدمات و برنامه های جدیدی اضافه می شوند ، پشتیبانی آنها در VPN نیز باید اضافه شود. دسته بندی VPN براساس کارکرد تجاریVPN را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند. این اهداف تجاری تقسیم بندی جدیدی را برای VPN بنا می کنند .1- VPN اینترانتی : این سری از VPN ها دو یا چند شبکه خصوصی را در درون یک سازمان به هم متصل می کنند. این نوع از VPN زمانی معنا می کند که می خواهیم شعب یا دفاتر یک سازمان در نقاط دوردست را به مرکز آن متصل کنیم و یک شبکه امن بین آنها برقرار کنیم. VPN اکسترانتی : این سری از VPN ها برای اتصال دو یا چند شبکه خصوصی از دو یا چند سازمان به کار می روند. از این نوع VPN معمولا برای سناریوهای B2B که در آن دو شرکت می خواهند به ارتباطات تجاری با یکدیگر بپردازند، استفاده می شود. برقرار كردن امنیت برای یك شبكه درون یك ساختمان كار ساده ای است . اما هنگامی كه بخواهیم از نقاط دور رو ی داده های مشترك كار كنیم ایمنی به مشكل بزرگی تبدیل می شود . در این بخش به اصول و ساختمان یك VPN برای سرویس گیرنده های ویندوز و لینوكس می پردازیم . اصول VPN فرستادن حجم زیادی از داده از یك كامپیوتر به كامپیوتر دیگر مثلا” در به هنگام رسانی بانك اطلاعاتی یك مشكل شناخته شده و قدیمی است . انجام این كار از طریق Email به دلیل محدودیت گنجایش سرویس دهنده Mail نشدنی است . استفاده از FTP هم به سرویس دهنده مربوطه و همچنین ذخیره سازی موقت روی فضای اینترنت نیاز دارد كه اصلا” قابل اطمینان نیست . یكی از راه حل های اتصال مستقیم به كامپیوتر مقصد به كمك مودم است كه در اینجا هم علاوه بر مودم ، پیكر بندی كامپیوتر به عنوان سرویس دهنده RAS لازم خواهد بود . از این گذشته ، هزینه ارتباط تلفنی راه دور برای مودم هم قابل تامل است . اما اگر دو كامپیوتر در دو جای مختلف به اینترنت متصل باشند می توان از طریق سرویس به اشتراك گذاری فایل در ویندوز بسادگی فایل ها را رد و بدل كرد . در این حالت ، كاربران می توانند به سخت دیسك كامپیوترهای دیگر همچون سخت دیسك كامپیوتر خود دسترسی داشته باشند . به این ترتیب بسیاری از راه های خرابكاری برای نفوذ كنندگان بسته می شود . شبكه های شخصی مجاری یا VPN ( Virtual private Network ) ها اینگونه مشكلات را حل می كند . VPN به كمك رمز گذاری روی داده ها ، درون یك شبكه كوچك می سازد و تنها كسی كه آدرس های لازم و رمز عبور را در اختیار داشته باشد می تواند به این شبكه وارد شود . مدیران شبكه ای كه بیش از اندازه وسواس داشته و محتاط هستند می توانند VPN را حتی روی شبكه محلی هم پیاده كنند . اگر چه نفوذ كنندگان می توانند به كمك برنامه های Packet sniffer جریان داده ها را دنبال كنند اما بدون داشتن كلید رمز نمی توانند آنها را بخوانند . 411 VPN چیست ؟ VPN دو كامپیوتر یا دو شبكه را به كمك یك شبكه دیگر كه به عنوان مسیر انتقال به كار می گیرد به هم متصل می كند . برای نمونه می توان ب دو كامپیوتر یكی در تهران و دیگری در مشهد كه در فضای اینترنت به یك شبكه وصل شده اند اشاره كرد . VPN از نگاه كاربر كاملا” مانند یك شبكه محلی به نظر می رسد . برای پیاده سازی چنین چیزی ، VPN به هر كاربر یك ارتباط IP مجازی می دهد . داده هایی كه روی این ارتباط آمد و شد دارند را سرویس گیرنده نخست به رمز در آورده و در قالب بسته ها بسته بندی كرده و به سوی سرویس دهنده VPN می فرستد . اگر بستر این انتقال اینترنت باشد بسته ها همان بسته های IP خواهند بود . سرویس گیرنده VPN بسته ها را پس از دریافت رمز گشایی كرده و پردازش لازم را روی آن انجام می دهد . در آدرس http://www.WOWN.COM\W-baeten\gifani\vpnani.gif شكل بسیار جالبی وجود دارد كه چگونگی این كار را نشان می دهد . روشی كه شرح داده شد را اغلب Tunneling یا تونل زنی می نامند چون داده ها برای رسیدن به كامپیوتر مقصد از چیزی مانند تونل می گذرند . برای پیاده سازی VPN راه های گوناگونی وجود دارد كه پر كاربرد ترین آنها عبارتند از Point to point Tunneling protocol یا PPTP كه برای انتقال NetBEUI روی یك شبكه بر پایه IP مناسب است . Layer 2 Tunneling protocol یا L2TP كه برای انتقال IP ، IPX یا NetBEUI روی هر رسانه دلخواه كه توان انتقال Datagram های نقطه به نقطه ( Point to point ) را داشته باشد مناسب است . برای نمونه می توان به IP ، X.25 ، Frame Relay یا ATM اشاره كرد . IP Security protocol یا Ipsec كه برای انتقال داده های IP روی یك شبكه بر پایه IP مناسب است . 412 پروتكل های درون تونل Tunneling را می توان روی دو لایه از لایه های OSI پیاده كرد . PPTP و L2TP از لایه 2 یعنی پیوند داده استفاده كرده و داده ها را در قالب Frame های پروتكل نقطه به نقطه ( PPP ) بسته بندی می كنند . در این حالت می توان از ویژگی های PPP همچون تعیین اعتبار كاربر ، تخصیص آدرس پویا ( مانند DHCP ) ، فشرده سازی داده ها یا رمز گذاری داده ها بهره برد. با توجه به اهمیت ایمنی انتقال داده ها درVPN ، دراین میان تعیین اعتبار كاربر نقش بسیار مهمی دارد . برای این كار معمولا” از CHAP استفاده می شود كه مشخصات كاربر را در این حالت رمز گذاری شده جابه جا میكند . Call back هم دسترسی به سطح بعدی ایمنی را ممكن می سازد . در این روش پس از تعیین اعتبار موفقیت آمیز ، ارتباط قطع می شود . سپس سرویس دهنده برای برقرار كردن ارتباط جهت انتقال داده ها شماره گیری می كند . هنگام انتقال داده ها ، Packet های IP ، IP X یا NetBEUI در قالب Frame های PPP بسته بندی شده و فرستاده می شوند . PPTP هم Frame های PPP را پیش از ارسال روی شبكه بر پایه IP به سوی كامپیوتر مقصد ، در قالب Packet های IP بسته بندی می كند . این پروتكل در سال 1996 از سوی شركت هایی چون مایكرو سافت ، Ascend ، 3 com و Robotics US پایه گذاری شد . محدودیت PPTP در كار تنها روی شبكه های IP باعث ظهور ایده ای در سال 1998 شد .L2TP روی X.25 ،Frame Relay یا ATM هم كار می كند . برتری L2TP در برابر PPTP این است كه به طور مستقیم روی رسانه های گوناگون WAN قابل انتقال است . 413 – VPN-Ipsec فقط برای اینترنت Ipsec برخلافPPTP و L2TP روی لایه شبكه یعنی لایه سوم كار می كند . این پروتكل داده هایی كه باید فرستاده شود را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام های وضعیت رمز گذاری كرده و به آن یك IP Header معمولی اضافه كرده و به آن سوی تونل می فرستد . كامپیوتری كه در آن سو قرار دارد IP Header را جدا كرده ، داده ها را رمز گشایی كرده و آن را به كامپیوتر مقصد می فرستد .Ipsec را می توان با دو شیوه Tunneling پیكر بندی كرد . در این شیوه انتخاب اختیاری تونل ، سرویس گیرنده نخست یك ارتباط معمولی با اینترنت برقرار می كند و سپس از این مسیر برای ایجاد اتصال مجازی به كامپیوتر مقصد استفاده می كند . برای این منظور ، باید روی كامپیوتر سرویس گیرنده پروتكل تونل نصب شده باشد . معمولا” كاربر اینترنت است كه به اینترنت وصل می شود . اما كامپیوترهای درون LAN هم می توانند یك ارتباط VPN برقرا كنند . از آنجا كه ارتباط IP از پیش موجود است تنها برقرار كردن ارتباط VPN كافی است . در شیوه تونل اجباری ، سرویس گیرنده نباید تونل را ایجاد كند بلكه این كار ار به عهده فراهم ساز (Service provider ) است . سرویس گیرنده تنها باید به ISP وصل شود . تونل به طور خودكار از فراهم ساز تا ایستگاه مقصد وجود دارد . البته برای این كار باید همانگی های لازم با ISP انجام بگیرد .ٍ   ویژگی های امنیتی در IPsec Ipsec از طریق Authentication Header ( AH ) مطمئن می شود كه Packet های دریافتی از سوی فرستنده واقعی ( و نه از سوی یك نفوذ كننده كه قصد رخنه دارد ) رسیده و محتویات شان تغییر نكرده . AH اطلاعات مربوط به تعیین اعتبار و یك شماره توالی (Seguence Number ) در خود دارد تا از حملات Replay جلوگیری كند . اما AH رمز گذاری نمی شود . رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می گیرد . در این شیوه داده های اصلی رمز گذاری شده و VPN اطلاعاتی را از طریق ESH ارسال می كند . ESH همچنین كاركرد هایی برای تعیین اعتبار و خطایابی دارد . به این ترتیب دیگر به AH نیازی نیست . برای رمز گذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد اما با این همه ، IETF برای حفظ سازگاری میان محصولات مختلف ، الگوریتم های اجباری برای پیاده سازی Ipsec تدارك دیده . برای نمونه می توان به MD5 ، DES یا Secure Hash Algorithm اشاره كرد . مهمترین استانداردها و روش هایی كه در Ipsec به كار می روند عبارتند از : • Diffie-Hellman برای مبادله كلید ها میان ایستگاه های دو سر ارتباط . • رمز گذاری Public Key برای ثبت و اطمینان از كلیدهای مبادله شده و همچنین اطمینان از هویت ایستگاه های سهیم در ارتباط . • الگوریتم های رمز گذاری مانند DES برای اطمینان از درستی داده های انتقالی . • الگوریتم های درهم ریزی ( Hash ) برای تعیین اعتبار تك تك Packet ها . • امضاهای دیجیتال برای تعیین اعتبارهای دیجیتالی . 415 – Ipsec بدون تونل Ipsec در مقایسه با دیگر روش ها یك برتری دیگر هم دارد و آن اینست كه می تواند همچون یك پروتكل انتقال معمولی به كار برود . در این حالت برخلاف حالت Tunneling همه IP packet رمز گذاری و دوباره بسته بندی نمی شود . بجای آن ، تنها داده های اصلی رمزگذاری می شوند و Header همراه با آدرس های فرستنده و گیرنده باقی می ماند . این باعث می شود كه داده های سرباز ( Overhead ) كمتری جابجا شوند و بخشی از پهنای باند آزاد شود . اما روشن است كه در این وضعیت ، خرابكاران می توانند به مبدا و مقصد داده ها پی ببرند . از آنجا كه در مدل OSI داده ها از لایه 3 به بالا رمز گذاری می شوند خرابكاران متوجه نمی شوند كه این داده ها به ارتباط با سرویس دهنده Mail مربوط می شود یا به چیز دیگر .   416 – جریان یك ارتباط Ipsec بیش از آن كه دو كامپیوتر بتوانند از طریق Ipsec داده ها را میان خود جابجا كنند باید یكسری كارها انجام شود . • نخست باید ایمنی برقرار شود . برای این منظور ، كامپیوترها برای یكدیگر مشخص می كنند كه آیا رمز گذاری ، تعیین اعتبار و تشخیص خطا یا هر سه آنها باید انجام بگیرد یا نه . • سپس الگوریتم را مشخص می كنند ، مثلا” DEC برای رمزگذاری و MD5 برای خطایابی. • در گام بعدی ، كلیدها را میان خود مبادله می كنند . Ipsec برای حفظ ایمنی ارتباط از Security Association (SA ) استفاده می كند . SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس های ایمنی را مشخص می كند . SA ها از سوی SPI ( Security parameter Index ) شناسایی می شوند . SPI از یك عدد تصادفی و آدرس مقصد تشكیل می شود . این به آن معنی است كه همواره میان دو كامپیوتر دو SPI وجود دارد : یكی برای ارتباط A و B و یكی برای ارتباط B به A . اگر یكی از كامپیوترها بخواهد در حالت محافظت شده داده ها را منتقل كند نخست شیوه رمز گذاری مورد توافق با كامپیوتر دیگر را بررسی كرده و آن شیوه را روی داده ها اعمال می كند . سپس SPI را در Header نوشته و Packet را به سوی مقصد می فرستد . 417 – مدیریت كلیدهای رمز در Ipsec اگر چه Ipsec فرض را بر این می گذارد كه توافقی برای ایمنی داده ها وجود دارد اما خودش برای ایجاد این توافق نمی تواند كاری انجام بدهد . Ipsec در این كار به IKE ( Internet Key Exchange ) تكیه می كند كه كاركردی همچون IKMP ( Key Management Protocol ) دارد. برای ایجاد SA هر دو كامپیوتر باید نخست تعیین اعتبار شوند . در حال حاضر برای این كار از راه های زیر استفاده می شود : Pre shared keys : روی هر دو كامپیوتر یك كلید نصب می شود كه IKE از روی آن یك عدد Hash ساخته و آن را به سوی كامپیوتر مقصد می فرستد . اگر هر دو كامپیوتر بتوانند این عدد را بسازند پس هر دو این كلید دارند و به این ترتیب تعیین هویت انجام می گیرد . رمز گذاری Public Key : هر كامپیوتر یك عدد تصادفی ساخته و پس از رمز گذاری آن با كلید عمومی كامپیوتر مقابل ، آن را به كامپیوتر مقابل می فرستد .اگر كامپیوتر مقابل بتواند با كلید شخصی خود این عدد را رمز گشایی كرده و باز پس بفرستد برا ی ارتباط مجاز است . در حال حاضر تنها از روش RSA برای این كار پیشنهاد می شود . امضاء دیجیتال : در این شیوه ، هر كامپیوتر یك رشته داده را علامت گذاری ( امضاء ) كرده و به كامپیوتر مقصد می فرستد . در حال حاضر برای این كار از روش های RSA و DSS ( Digital Singature Standard ) استفاده می شود . برای امنیت بخشیدن به تبادل داده ها باید هر دو سر ارتبا طنخست بر سر یك یك كلید به توافق می رسند كه برای تبادل داده ها به كار می رود . برا ی این منظور می توان همان كلید به دست آمده از طریق Diffie Hellman را به كاربرد كه سریع تر است یا یك كلید دیگر ساخت كه مطمئن تر است . فصل دوم VPN با ویندوز VPN با ویندوز استفاده از اینترنت به عنوان بستر انتقال داده ها هر روزگسترش بیشتری پیدا می كند . باعث می شود تا مراجعه به سرویس دهندگان وب و سرویس های Email هر روز بیشتر شود . با كمی كار می توان حتی دو كامپیوتر را كه در دو قاره مختلف قرار دارند به هم مرتبط كرد . پس از برقراری این ارتباط ،‌هر كامپیوتر،كامپیوتر دیگر را طوری می بیند كه گویا در شبكه محلی خودش قرار دارد. از این رهگذر دیگر نیازی به ارسال داده ها از طریق سرویس هایی مانند Email نخواهند بود. تنها اشكال این كار این است كه در صورت عدم استفاده از كاركردهای امنیتی مناسب،‌كامپیوترها كاملا در اختیار خرابكارن قرار می گیرند. VPN ها مجموعه ای از سرویس های امنیتی ردر برابراین عملیات رافراهم می كنند. در بخش قبلی با چگونگی كار VPN ها آشنا شدید و در اینجا به شما نشان می دهیم كه چگونه می توان در ویندوز یك VPN شخصی راه انداخت. برای این كار به نرم افزار خاصی نیاز نیست چون مایكروسافت همه چیزهای لازم را در سیستم عامل گنجانده یا در پایگاه اینترنتی خود به رایگان در اختیار همه گذاشته. پیش نیازها برای اینكه دو كامپیوتر بر پایه ویندوز بتواند از طریق VPN به هم مرتبط شوند دست كم یكی از آنها باید به ویندوز NT یا 2000 كار كند تا نقش سرویس دهنده VPN را به عهده بگیرد. ویندوز های 9x یا Me تنها می توانند سرویس گیرنده VPN باشند. سرویس دهنده VPN باید یك IP ثابت داشته باشد. روشن است كه هر دو كامپیوتر باید به اینترنت متصل باشند. فرقی نمی كند كه این اتصال از طریق خط تلفن و مودم باشد یا شبكه محلی. IP در سرویس دهنده VPN باید مجاز (Valid) باشد تا سرویس گیرنده بتواند یك مستقیما آن را ببیند. در شبكه های محلی كه اغلب از IP های شخصی (192168x.x) استفاده می شود VPN را باید روی شبكه ایجاد كرد تا ایمنی ارتباط بین میان كامپیوترها تامین شود. اگر سرویس گیرنده VPN با ویندوز 95 كار می كند نخست باید Dial up Networking Upgrade 1.3 را از سایت مایكروسافت برداشت كرده و نصب كنید. این مجموعه برنامه راه اندازهای لازم برای VPN را در خود دارد . البته مایكروسافت پس از Upgrade 1.3 Networking Dial up نگارش های تازه تری نیز عرضه كرده كه بنا بر گفته خودش ایمنی و سرعت ارتباط VPN را بهبود بخشیده است . نصب سرویس دهنده VPN روی كامپیوتر بر پایه ویندوز NT نخست باید در بخش تنظیمات شبكه، راه انداز Point to Point Tunneling را نصب كنید. هنگام این كار، شمار ارتباط های همزمان VPN پرسیده می شود. در سرویس دهنده های NT این عدد می تواند حداكثر 256 باشد. در ایستگاه كاری NT،‌ این عدد باید 1 باشد چون این سیستم عامل تنها اجازه یك ارتباط RAS را می دهد. از آنجا كه ارتباط VPN در قالب Remote Access برقرار می شود ویندوز NT به طور خودكار پنجره پیكر بندی RAS را باز می كند. اگر RAS هنوز نصب نشده باشد ویندوز NT آن را نصب می كند. هنگام پیكربندی باید VPN Adapter را به پورت های شماره گیری اضافه كنید. اگر می خواهید كه چند ارتباط VPN داشته باشید باید این كار را برای هر یك از VPN Adapter ها انجام دهید .   پیكربندی سرویس دهنده RAS اكنون باید VPN Adapterرا به گونه ای پیكربندی كنید كه ارتباطات به سمت درون (incoming) اجازه بدهد. نخست باید پروتكل های مجاز برای این ارتباط را مشخص كنید . همچنین باید شیوه رمز گذاری را تعیین كرده و بگویید كه آیاسرویس دهنده تنها اجازه دسترسی به كامپیوترهای موجود در شبكه كامپیوتر ویندوز NT، در این وضیعت، سرویس دهنده VPN می تواند كار مسیر یابی را هم انجام دهد. برای بالاتر بردن ایمنی ارتباط، می توانید NetBEUI را فعال كرده و از طریق آن به كامپیوترهای دور اجازدسترسی به شبكه خود را بدهید. سرویس گیرنده، شبكه و سرویس های اینترنتی مربوط به سرویس دهنده VPN را نمی بینید . برای راه انداختن TCP/IP همراه با VPN چند تنظیم دیگر لازم است. اگر سرویس دهنده DHCP ندارید باید به طور دستی یك فضای آدرس(Adress Pool ) IP را مشخص كنید. به خاطر داشته باشید كه تنها باید از IP های شخصی (Private) استفاده كنید. این فضای آدرس باید دست كم 2 آدرس داشته باشد ،‌یكی برای سرویس دهنده VPN و دیگری برای سرویس گیرنده VPN . هر كار بر باید برای دسترسی به سرویس دهنده از طریق VPN مجوز داشته باشد. برای این منظور باید در User Manager در بخش Dialing اجازه دسترسی از دور را بدهید . به عنوان آخرین كار،Remote Access Server را اجرا كنید تا ارتباط VPN بتواند ایجاد شود. سرویس گیرنده VPN روی ویندوز NT نصب سرویس گیرنده VPN روی ویندوز NT شبیه راه اندازی سرویس دهنده VPN است بنابراین نخست باید 4 مرحله گفته شده برای راه اندازی سرویس دهنده VPN را انجام بدهید،‌ یعنی: . نصب PPTP . تعیین شمار ارتباط ها . اضافه كردن VPN به عنوان دستگاه شماره گیری . پیكر بندی VPN Adapter در RAS، تنها تفاوت در پیكر بندی VPN Adapter آن است كه باید به جای ارتباط های به سمت درون به ارتباط های به سمت بیرون (out going) اجاز ه بدهید . . سپس تنظیمات را ذخیره كرده و كامپیوتر را بوت كنید. در گام بعدی، در بخش Networking یك ارتباط(Connection) تلفنی بسازید . به عنوان دستگاه شماره گیر یا همان مودم باید VPN Adapter را انتخاب كرده و بجای شماره تلفن تماس، IP مربوط به سرویس دهنده VPN را وارد كنید. در اینجا پیكر بندی سرویس گیرنده VPN روی ویندوز NT به پایان می رسد و شبكه های شخصی مجازی ساخته می شود. سرویس گیرنده VPN روی ویندوز 2000 راه اندازی سرویس گیرنده VPN ساده تر و كم زحمت تر از سرویس دهنده آن است. در ویندوز 2000 به بخش مربوط به تنظیمات شبكه رفته یك Connection تازه بسازید. گام نخست : Assistant در ویندوز 2000 پیكر بندی VPN را بسیار ساده كرده. به طور معمول باید آدرس IP مربوط به سرویس دهنده VPN ر اداشته باشد. در اینجا باید همان IP معمولی را وارد كنید و نه IP مربوط به شبكه VPNرا، با این كار ، VPN پیكر بندی شده و ارتباط بر قرار می شود. برای تعیین صلاحیت، باید نام كاربری و رمز عبور را وارد كنید كه اجازه دسترسی از طریق Remote Access را داشته باشید. ویندوز 2000 بی درنگ ارتباط برقرار كرده و شبكه مجازی كامل می شود. گام دوم: كافی است آدرس IP مربوط به سرویس دهنده VPN را وارد كنید. گام سوم: در پایان فقط كافی است خود را معرفی كنید. سرویس گیرنده VPN روی ویندوز 9x نصب سرویس گیرنده VPN روی ویندوز های 95، 98 و SE 98 مانند هم است . نخست باید پشتیبانی از VPN فعال شود. در اینجا بر خلاف ویندوز NT به جای اضافه كردن پروتكل باید یك كارت شبكه نصب كنید. ویندوز x 9 همه عناصر لازم را نصب می كند. به این ترتیب كار نصب راه اندازاها را هم كامل می گردد. در قدم بعدی باید Dialup adapter یك Connection بسازید. به عنوان دستگاه شمار گیر باید VPN adapter را معرفی كنید. گام نخست: نصب VPN adapter گام دوم: یك Connection تازه روی VPN dapter در ویندوز x9، سیستم عامل IP مربوط به سرویس 90 دهنده VPN را در خواست می كند. گام سوم: آدرس IP مربوط به سرویس دهنده VPN را وارد كنید. پیكر بندی سرویس گیرنده VPN در اینجا پایان یافته و ارتباط می تواند برقرار شود. تنها كافی است كه نام كاربری و رمز عبور را وارد كنید. اكنون ویندوز به اینترنت وصل شده و تونل را می سازد و داده های خصوصی می تواند حركت خود را آغاز كنند. برنامه های كمكی اگر بخواهید برای نمونه از دفتر كار( سرویس گیرنده VPN) به كامپیوتر خود در خانه ( سرویس گیرنده VPN) وصل بشوید با دو مشكل روبرو خواهید شد. نخست اینكه كامپیوتری كه در خانه دارید پیوسته به اینترنت متصل نیست و دیگری اینكه سرویس گیرنده VPN به یك آدرس IP نیاز دارد. این IP را هنگامی كه از یك شركت فراهم ساز (ISP) سرویس می گیرید از پیش نمی دانید چون به صورت پویا(dynamic) به شما تخصیص داده می شود. Online Jack برنامه ای است كه برای هر دو مشكل راه حل دارد. Online Jack یك برنامه كوچك است كه باید روی كامپیوتر خانه نصب شود. از دفتر كار خود می توانید از طریق سایت Online Jack و با نام كاربری و رمز عبور به كامپیوتر خود در خانه متصل شوید. با این كار، IP كه شركت فراهم ساز به شما تخصیص داده مشخص می شود كه از روی آن، سرویس گیرنده VPN پیكر بندی شده و كار خود را آغاز می كند. از این دست برنامه های كمكی موارد زیادی وجود دارد كه با جستجو در اینترنت می توانید آنها را بیابید. فصل سوم VPN با لینوکس VPN با لینوكس یكی از توانایی های VPN امكان كاربران دور از شبكه(Remote) در دسترسی به آ ن است . IPsec در این میان نقش مهمی در فراهم كردن ایمنی لازم برای داده ها دارد . یكی از مناسب ترین و به صرفه ترین وسیله ها در پیاده سازی این امكانات لینوكس و Free S/WAN كه در این بخش به آن می پردازیم . IPsec و Free S/WAN اگر چه لینوكس هم به دلیل توانایی های خوبFirewall بستر بسیار مناسبی برای یك دروازه امنیتی(Security Gateway) برپایه IPsec است مال خودش به طور پیش فرض بخش های لازم برای IPsec را به همراه ندارد. این برنامه ها را می توانید در مجموعه Free S/WAN بیابید. Free S/WAN (www.fresswan.org) در اصل مجمعی متشكل از برنامه نویسان زبده و تامین كنندگان مالی است كه برنامه های ویژه لینوكس را فراهم می كنند. برنامه Free S/WAN از دو بخش اصلی تشكیل شده یكی KLIPS(Kernel IPsec ) است كه پروتكل های لازم را به Kernel اضافه می كند و دیگری Daemon كه وظیفهبرقراری ارتباط و رمز گذاری را بر عهده دارد. در این بخش می بینید كه IPsec چگونه كار می كند و چگونه باید آن را به كمك Free S/WAN در لینوكس برای VPN پیكر بندی كرد. در ادامه خواهیم گفت كه با X.509 چطور زیر ساخت های لازم برای یك شركت پیاده سازی می شود. نگاهی به IPsec IPsec در اصل مجموعه ای از پروتكل ها و روش هایی است كه به كمك آنها می توان روی اینترنت یك ارتباط مطمئن و ایمن ایجاد كرد. جزییات IPsec یا Internet Protocol Security در RFC های شماره 2401 تا 2410 آمده. IPsec برای اطمینان بخشیدن به ارتباط های اینترنتی از شیوه های تعیین اعتبار و رمز گذاری داده ها استفاده می كند. برای این منظور در لایه شبكه دو حالت انتقال و دو لایه ایمنی فراهم می كند.   Transport در مقایسه با Tunnel در حالت Transport دو میزبان به طور مستقیم روی اینترنت با هم گفتگو می كنند. در این حالت می توان IPsec را برای تعیین اعتبار و همچنین یكپارچگی و درستی داده ها به كار برد. به كمك IPsec نه تنها می توان از هویت طرف گفتگو مطمئن شدبلكه می توان نسبت به درستی و دست نخوردگی داده هاهم اطمینان حاصل كرد . به كمك عملكرد رمز گذاری می توان افزون بر آن خوانده شدن داده ها از سوی افراد غیر مجاز جلوگیری كرد. اما از آنجا كه در این شیوه،‌ دو كامپیوتر به طور مستقیم داده ها را مبادله میكنند نمی توان مبدا و مقصد داده ها را پنهان كرد. از حالت Tunnel هنگامی كه استفاده می شود كه دست كم یكی از كامپیوترها به عنوان Security Gateway به كار برود. در این وضعیت حداقل یكی از كامپیوترهایی كه در گفتگو شركت می كند در پشت Gateway قراردارد و در نتیجه ناشناس می ماند. حتی اگر دو شبكه از از طریق Security Gateway های خود با هم داده مبادله كنند نمی توان از بیرون فهمید كه دقیقا كدام كامپیوتر به تبادل داده مشغول است. در حالت Tunnel هم می توان از كاركردهای تعیین اعتبار ،كنترل درستی داده ها و رمز گذاری بهره برد. Authentication Header وظیفه Authentication Header IP آن است كه داده های در حال انتقال بدون اجازه از سوی شخص سوم مورد دسترسی و تغییر قرار نگیرد . برای این منظور از روی Header مربوط به IP و داده های اصلی یك عددHash به دست آمده و به همراه فیلدهای كنترلی دیگر به انتهای Header اضافه می شود. گیرنده با آزمایش این عدد می تواند به دستكاری های احتمالی در Header یا داده های اصلی پی ببرد. Authentication Header هم در حالت Transport و هم در حالت Tunnel كاربرد دارد. AH در حالت Transport میان Header مربوط به IP و داده های اصلی می نشیند . در مقابل، در حالت Tunneling ، Gateway كل Paket را همراه با Header مربوط به داده ها در یك IP Packet بسته بندی می كند. در این حالت، AH میان Header جدید و Packet اصلی قرار می گیرد. AH در هر دو حالت، اعتبار و سلامت داده ها را نشان می دهد اما دلیلی بر قابل اطمینان بودن آنها نیست چون عملكرد رمز گذاری ندارد. Encapsulated Security Payload Encapsulated Security Payload IP برای اطمینان از ایمنی داده ها به كار می رود . این پروتكل داده ها در قالب یك Header و یك Trailer رمز گذاری می كند. به طوری اختیاری می توان به انتهای Packet یك فیلدESP Auth اضافه كرد كه مانند AH اطلاعات لازم برای اطمینان از درستی داده ها رمز گذاری شده را در خود دارد. در حالت Transport، Header مربوط به ESP و Trailer تنها داده های اصلی IP از پوشش می دهند و Header مربوط به Packet بدون محافظ باقی می ماند. اما در حالت Tunneling همه Packet ارسالی از سوی فرستنده،‌ داده اصلی به شمار می رود و Security Gateway آن را در قالب یك Packet مربوط به IP به همراه آدرس های فرستنده و گیرنده رمز گذاری می كند. در نتیجه،ESP نه تنها اطمینان از داده ها بلكه اطمینان از ارتباط را هم تامین می كند . در هر دوحالت،‌ESP در تركیب با AH ما را از درستی بهترین داده های Header مربوط به IP مطمئن می كند. Security Association برای اینكه بتوانESP/AH را به كار برد باید الگوریتم های مربوط به درهم ریزی(Hashing)، تعیین اعتبار و رمز گذاری روی كامپیوترهای طرف گفتگو یكسان باشد. همچنین دو طرف گفتگو باید كلیدهای لازم و طول مدت اعتبار آنها را بدانند. هر دو سر ارتباط IPsec هر بار هنگام برقرار كردن ارتباط به این پارامترهای نیاز دارند. SA یا Security Association به عنوان یك شبه استاندارد در این بخش پذیرفته شده. برای بالا بردن امنیت، از طریق SA می توان كلیدها را تا زمانی كه ارتباط برقرار است عوض كرد. این كار را می توان در فاصله های زمانی مشخص یا پس از انتقال حجم مشخصی از داده ها انجام داد.   Internet Key Exchang پروتكل Internet Key Exchang یا IKE( RFC 2409 ) روند كار روی IPsec SA را تعریف می كند. این روش را Internet Security Association and Key Management Protocol یا ISAKMP نیز می نامند. این پروتكل مشكل ایجاد ارتباط میان دو كامپیوتر را كه هیچ چیز از هم نمی دانند و هیچ كلیدی ندارند حل می كند. در نخستین مرحله IKE(IKE Phase 1) كه به آن حالت اصلی(Main Mode) هم گفته می شود دو طرف گفتگو نخست بر سر پیكر بندی ممكن برای SA و الگوریتم های لازم برای درهم ریزی (Hashing)، تعیین اعتبار و رمزگذاری به توافق می رسند. آغاز كننده(Initiator) ارتباط به طرف مقابل(یا همان Responder) چند گزینه را پیشنهاد می كند. Responder هم مناسب ترین گزینه را انتخاب كرده و سپس هر دو طرف گفتگو، از طریق الگوریتم Diffie-Hellman یك كلید رمز(Secret Key) می سازند كه پایه همه رمز گذاری های بعدی است. به این ترتیب صلاحیت طرف مقابل برای برقراری ارتباط تایید می شود. اكنون مرحله دوم IKE(2 ) IKE Phase آغاز می گردد كه حالت سریع (Ouick Mode) هم نامیده می شود. این مرحله SA مربوط به IPsec را از روی پارامترهای مورد توافق برا ی ESP و AH می سازد. گواهینامه x.506 همانطور كه پیش از این گفتیم بهترین راه برای تبادل Public Key ها x.509 Certificate(RFC شماره 2495( است. یك چنین گواهینامه ای یك Public Key برای دارنده خود ایجاد می كند. این گواهینامه، داده هایی مربوط به الگوریتم به كار رفته برای امضاء ایجاد كننده، دارنده و مدت اعتبار در خود دارد كه در این میان، Public Keyمربوط به دارنده از بقیه مهمتر است. CA هم گواهینامه را با یك عدد ساخته شده از روی داده ها كه با Public Key خودش تركیب شده امضاء می كند. برای بررسی اعتبار یك گواهینامه موجود، گیرنده باید این امضاء را با Public Key مربوط به CA رمز گشایی كرده و سپس با عدد نخست مقایسه كند . نقطه ضعف این روش در طول مدت اعتبار گواهینامه و امكان دستكاری و افزایش آن است. اما استفاده از این گواهینامه ها در ارتباطهای VPN مشكل چندانی به همراه ندارد چون مدیر شبكه Security Gateway و همه ارتباط ها را زیر نظر دارد. IPsec یا FreeS/WAN همانطور كه گفتیم FreeS/WAN مجموعه كاملی برای راه اندازی IPsec روی لینكوس است . البته بیشتر نگارش های لینوكس برنامه های لازم برای این كار را با خود دارند. اما بر اساس تجربه بهتر است FreeS/WANرا به كار ببرید. در اینجا ما از RedHatLinux نگارش 2/7 با هسته 2418 وFreeS/WAN197 (ftp://ftp.xs4all.nl/pub/cryypto/freesean/ ) استفاده كرده ایم. درصورت لزوم می توان FreeS/WAN را با هسته هسته های خانواده 22 هم به كار برد. البته در این حالت دست كم به نگارش 2219 لینوكس نیاز دارید. این را هم باید در نظر داشته باشید كه راه انداختن VPN Gateway همراه با دیواره آتش سودمنداست و هسته نگارش 24 امكانات خوبی برای راه انداختن دیواره آتش دارد. نصب برای نصب باید هسته را در/usr/ser/linux و Free S/WAN را در /usr/scr/freeswan-versionnumber باز كنید. سپس با فرمان های make menuconfig و make xconfig پیكربندی هسته را انجام بدهید. گزینه های لازم برای تنظیمات اضافی را در Networking Options\IPsec Options می یابید كه معمولا نیازی به تغییر دادن تنظیمات پیش فرض آن نیست . برای راه انداختن x.509 patch باید بسته مربوطه را باز كرده و فایل freewan.diff را در فهرست Free S/WAN كپی كنید. پس از آن، فرمان patch-p1 < freewan.diff همه چیز را برایتان تنظیم می كند. در پایان باید هسته را كه اكنون تغییر كرده كامپایل كنید. این مار را با صادر كردن فرمان make kinstall وقتی در فهرست Free S/WAN هستید انجام بدهید. پس از اضافه كردن هسته تازه به مدیر بوت و راه اندازی كامپیوتر می توانید نتیجه كارهایی كه انجام دادید را ببینید. فرمان dmesg پیام های آغاز به كار KLIPS را نشان می دهد. لازم است كه روی Runlevel ها هم كارهایی انجام بدهید. از آنجا كه Free S/WAN بع رابط های eth0 و eth1، ipsec0 را اضافه می كند، سیستم نخست Networking سپس Free S/WAN و در پایان iptables را اجرا می كند. پیكر بندی ما قصد داریم كه Security Gateway خود را به گونه ای پیكربندی كنیم كه یك Firewall هم باشد. این دیواره آتش باید به هر كامپیوتر از فضای اینترنت با هر IP دلخواه اجازه ارتباط با شبكه داخلی(1721600/16) را بدهد . این كامپیوتر برای این كار دو رابط Ethernet(eth0 برای شبكه داخلی (1721600/16) و eth1 برای محیط بیرونی)‌دارد . باید میان این دو رابط عملكرد IP-Forwarding فعال باشد. نخست باید دیواره آتش را در این Security Gateway طوری تنظیم كنیم كه Packet های AH و ESP را بپذیرد. به همین دلیل روی رابط بیرونی(همان eth1) Packet های UDP را روی پورت 500(ESP) می فرستیم. تنظیمات FreeS/WAN در فایل /etc/ipsec.conf ثبت می شود . این تنظیمات به سه گروه تقسیم می شوند. Config setup به تنظیمات پایه ای مربوط می شود و conn%default تنظیمات مشترك برای همه ارتباط ها را در خود دارد. گروه سوم كه با لغت كلیدی conn و یك نام دلخواه مشخص می شود پارامترهای ارتباطی با همان نام را در خود دارد. در این مثال ما نام این بخش را Roadwarrior گذاشته ایم كه كاربرانی كه از بیرون با كامپیوترهای همراه به شبكه متصل می شوند مربوط می شود. /etc/ipsec.conf در بخش Config setup پیش از هر چیز باید رابطی كه درخواست ارتباط های IPsec روی آن می روند رامشخص كرد. برای این منظور، فرمان interfaces=%defaultroute كافی است كه البته می توانید بجای %defaultroute آدرس IP مربوط به كارت را هم وارد كنید. با تنظیم كردن kilpsdebug و plutodebug روی none حالت Debug را غیر فعال می كنیم . Plutoload و plutostart را روی %search تنظیم می كنیم تا ارتباط ها پس از درخواست از سمت مقابل ، ایجاد شوند. دربخشی conn %defqult فرمان keyingtries = 0 به Gateway می گوید كه در صورت تغییر كلیدهای رمز تا پیدایش آنها صبر كند. برای انتخاب این روش تعیین اعتبار فرمان authby = rsasig باعث می شود تا هر دو طرف گفتگو حتما میان خود گواهینامه مبادله كنند: leftrsasigkey = %cert rightsasigkey = %cert برای left هم دوباره %defaultroute را اعلام می كنیم كه به عنوان left subnet شبكه داخلی(1721600/16) به كار می رود. كمی بعد این بخش رابا leftid كامل می كنیم كه گواهینامه ما را برای Gateway مشخص می كند. در بخش conn Roadwarrior هم با فرمان right = %any به همه كسانی كه بتوانند گواهینامه ارائه كننداجازه دسترسی می دهیم. حالت ارتباط را هم با type = tunnel مشخص می كنیم كه در آن تبادل كلیدها از طریق IKE(key exchang = ike) با Perfect Forwarding Secrecy (pfc = yes) انجام می گیرد. Auto = add هم به Free S/WAN می گوید كه ارتباط در پی در خواست از سوی كاربران بیرون از شبكه برقرار شود. گواهینامه اكنون S/WAN Free برای برقرار كردن ارتباط با یك رمز گذاری قوی از طریق تبادل گواهینامه پیكربندی شده. گواهینامه لازم برای Gateway و كاربران بیرون از شبكه را خودمان می سازیم. برای این كار از توانایی های SSL open بهره می گیریم. نخست یك ساختار فهرست برای ایجاد گواهینامه می سازیم. برای نمونه فهرست /etc/fenrisCA را در نظر می گیریم. اینجا فهرست های certs و private key ها می سازیم. فهرست private به طور منطقی باید در دسترس root باشد. در فهرست/etc/fenrisCA به دو فایل index.txt و serial نیاز داریم. با touch، index.txt را خالی می كنیم. Open SSL بعدا در این فایل لیستی از گواهینامه های صادر شده ثبت می كند. اكنون در فایل OPENSSL.CNF (كه در /usr/ssl یا /usr/share/ssl قرار دارد) مسیر فهرست CA را به عنوان پارامتر dir وارد می كنیم. RootCA اكنون به سراغ RootCA می رویم . برای این كار نخست یك RSAPrivate به طول 2048 بیت می سازیم :openssl gersa –des3 –out private/caKey.pem2048 گزینه des3 باعث می شود كه از طریق روش Triple DES ساخته شود تا افراد غیر مجاز نتوانند گواهینامه را درستكاری كنند. البته اكنون گواهینامه را درستكاری كنند. البته اگر خودمان هم Passphrase را فراموش كنیم امكان انجام این كار را نخواهیم داشت. اكنون گواهینامه RootCA خودمان را ایجاد كرده و آن را به یك بازه زمانی محدوده می كنیم: Openssl req –new-x509 –days = 1825 – key private/cakey.pem out caCert.pem به عنوان passphrase از همان چیزی كه برای Private Key كار بردیم استفاده كرده ایم. سپس openssl تك تك عناصر مربوط به شناسایی دارنده گواهینامه می پرسد. در پایان گواهینامه Root CA را در /eht/ipsec.d/cacerts برای Free S/WAN كپی می كنیم. گواهینامه Gateway ساختن گواهینامه برای Gateway دقیقا همانند روشی است كه برای گواهینامه Root CA شرح دادیم. به كمك گواهینامه Gateway به كاربران بیرون از شبكه اجازه ارتباط و استفاده از آن ر امی دهیم . نخست به یك Private key نیاز داریم كه این بار طول آن 1024 بیت است: openssl gersa –des3 –out private/gwKey.pem1024 اكنون گام بعدی را بر می داریم: openssl req –new-key private/gwKey.pem –out geReq.pem اكنون Request را به عنوان Root CA امضاء می كنیم: Openssl ca –notext –in gwReq.pem –out gwCert.pem این گواهینامه را باید در قالب فایل /etc/x509cert.der به شكل باینر روی Gateway ذخیره كنیم . عمل تبدیل با فرمان زیر انجام می گیرد: openssl x509 –in gwcwert.pem –outform der –out /etc/x509cert.der Private key با نام gwkey.pem را برای Free S/WAN در /etc/ipsec.d/private كپی می كنیم. از این گذشته باید Passphrase مربوطه به طور واضح در فایل /etc/ipsec.secrets آمده باشد. اگر Passphrase به طور نمونه « asample Passphrase » باشد آن را در سطر زیر می نویسیم : « asample Passphrase » :RAS gwkey.pem روشن است كه تنها root باید به ipsec.secrets دسترسی داشته باشد. اكنون آخرین جای خالی را در /etc/ipsec.conf پر می كنیم. Leftid = “C = IR,ST = Tehran, L = Tehran, O = Rayaneh Magazine, OU = Editorial,CN = fashkain, Email = fashkain@rayanehmag.net” گواهینامه های كاربران اكنون باید عمل تعیین اعتبار را برای هر كاربر یكبار انجام بدهیم. در فرمان زیر كه برای ساختن Private key برای یك كاربر به كار می رود: openssl genrsa –des3 –out private/userkey.pem –out 1024 باید برای هر كاربر Passphrase جداگانه ای وارد كنید. در گام بعدی فرمان زیر را به كار ببرید: openssl req –new-key private/gwKey.pem –out geReq.pem اكنون باید گواهینامه ای را كه آن را در قالب Root CA امضاءخواهید كرد بسازید.-enddate در اینجا برای مشخص كردن مدت اعتبار به كار می رود: Openssl ca –notext –eddate 020931200z in gwReq.pem –out gwCert.pem در آخرین مرحله روی این گواهینامه یك فایل باینری با فرمت PKCS#12 می سازیم كهدر ادامه برای سرویس گیرنده های ویندوز xp /2000 لازم داریم. Openssl pkcs12 –export –inusercert.pem –inkey private/userkey.pem –certfile caCert.pem-out user.p12 چشم انداز پیكربندی Security Gateway را با موفقیت پشت سر گذاشتیم. در بخش بعدی به سرویس گیرنده های VPN در ویندوز می پردازیم. برای این كار از ابزارهای موجود در ویندوز 2000 و xp بهره خواهیم برد.در بخش پیش بر پایه لینوكس 24 و Free S/WAN یك VPN Security Gateway راه انداختیم. با نصب patch های x.509 (www.strongsec.com/freewan/) Gateway را با تنامین اعتبار های مطمئن و رمز گذاری های قوی كامل كردیم. به این ترتیب پیكر بندی سرویس دهنده به پایان می رسد. اكنون باید سرویس گیرنده ها را برای دسترسی به VPN تنظیم كنیم. فرض می كنیم كه سیستم عامل مورد استفاده كاربران بیرون از شبكه ویندوز 2000 و xp است كه هر دوی آنها برنامه های لازم برای ایجاد و مدیریت ارتباط های IPsec را در خود دارند. البته باید این احتمال را نیز در نظر گرفت كه شاید برخی كاربران با سیستم ویندوز 9x/Me قصد استفاده از VPN را داشته باشند. در این حالت به یك برنامه سرویس گیرنده IPsec نیاز داریم. یكبار معروفترین این برنامه ها كه برای كاربردهای شخصی رایگان است PGPnet می باشد. این برنامه را می توان حتی روی ویندوز های NT و 2000 هم بكار برد. ادامه خواندن مقاله شبکه خصوصي مجازي

نوشته مقاله شبکه خصوصي مجازي اولین بار در دانلود رایگان پدیدار شد.


Viewing all articles
Browse latest Browse all 46175

Trending Articles