انجمن انفورماتیک ایران انجمن انفورماتیک ایران انجمن انفورماتیک ایران
گزارش کامپیوتر شماره 234, ویژه مرداد و شهریور ماه 96 منتشر شد. يکشنبه  ٢٨/٠٨/١٣٩٦ ساعت ١٣:٣٦
 

  مقدمه‌ای بر شبکه‌های خصوصی مجازی

مهدی امیدواری
دانشجوی کارشناسی ارشد، دانشگاه آزاد اسلامی، واحد علوم و تحقیقات قزوین، قزوین، ایران
پست الکترونیکی: omidvari.mehdi@yahoo.com
هدیه ساجدی
استادیار گروه علوم کامپیوتر، دانشکده ریاضی، آمار و علوم کامپیوتر، پردیس علوم، دانشگاه تهران
پست الکترونیکی: hhsajedi@ut.ac.ir


 

خلاصه
در جامعه­ نوین، دستگاه­های همراه، عمومیت دارند و هرروز تعداد افرادی که با دستگاه­های همراه کار می­کنند بیشتر می­شود. سازمان­ها نیز از مزیت دستگاه­های همراه برای پیشبرد کاری و ارتباط با شرکای تجاری خود بهره می­برند. در این میان مدیران فناوری اطلاعات نیز برای برقراری و پایداری ارتباطات و حفاظت اطلاعات درجریان بین عاملان تجارت و همکاران سازمانی نقش بسزایی دارند. شبکه­ خصوصی مجازی یکی از فناوری­هایی است که برای ایجاد ارتباط ایمن بخصوص برای سازمان­ها می­تواند به خوبی پاسخگو باشد. شناخت کلی این نوع شبکه‌های خصوصی مجازی می­تواند رهنمودی در انتخاب و  استفاده از این نوع شبکه­ها با توجه به سیاست­ها و نیازهای ما باشد.

  1. مقدمه
  2. امروزه تمایل به ارتباط در شبکه­های داخلی از مکان­های دور افزایش پیدا کرده است. کاربران اغلب نیاز به اتصال به شبکه­های خصوصی داخلی بر روی اینترنت (که طبیعتاً ناامن است) از مکان­های مختلف مانند منزل، هتل، فرودگاه یا از شبکه­های خارجی دیگر را دارند. هنگامی­که کارمندان یا شرکای تجاری از مکان­های خارجی ناامن نیاز به دسترسی به شبکه­های داخلی دارند، اهمیت امنیت این ارتباطات افزایش پیدا می­کند. از سوی دیگر بسیاری از سازمان‌ها به دلایل اقتصادی و یا راهبردی در نقاط مختلف یک شهر یا کشور مستقر شده‌اند. تبادل اطلاعات محرمانه میان این نقاط توزیع شده، خطرات بسیاری را برای محرمانگی و صحت اطلاعات در بردارد . یکی از راه حل‌های کارآمد جهت تامین امنیت لازم برای تبادل اطلاعات میان بخش‌های مختلف این گونه سازمان ها استفاده از سرویس شبکه خصوصی مجازی می‌باشد .
    فناوری شبکه خصوصی مجازی، یک مسیر حفاظت‌ شده‌ برای جابجایی اطلاعات بر روی اینترنت ارائه کرده است. این روش به کاربر اجازه­ می­دهد تا یک تونل خصوصی مجازی برای ورود امن در شبکه­ داخلی، دسترسی به منابع داده و ارتباط در میان یک شبکه­ ناامن مانند اینترنت ایجاد کند. به طور خلاصه، با فناوری شبکه­ خصوصی مجازی، ما قادر به ارسال داده بین رایانه­ها درمیان شبکه­های اشتراکی یا عمومی همانند یک ارتباط خصوصی نقطه به نقطه هستیم.
    در این مقاله ابتدا به تعریف کلی از شبکه­های خصوصی مجازی می­پردازیم و مزایای این نوع شبکه­ها را تشریح می­کنیم. در ادامه، امنیت، معماری و انواع دسته­بندی­های عمومی شبکه­های خصوصی مجازی را مورد بررسی قرار می­دهیم.

  3. شبکه خصوصی مجازی چیست؟
  4. شبکه خصوصی مجازی یک اصطلاح برای تشریح یک شبکه ارتباطی است که در آن کاربران از هر ترکیب فناوری برای ایمن ساختن یک تونل ارتباطی در بین شبکه­های ناامن یا شبکه­های نامطمئن استفاده می­کنند. در شبکه خصوصی مجازی به­جای استفاده از ارتباطات اختصاصی مانند خطوط اجاره­ای، یک ارتباط مجازی بین مکان­های جغرافیایی متفاوت کاربران و شبکه­ها بر روی یک شبکه­ عمومی یا اشتراکی مانند اینترنت ایجاد می­شود و داده­ها از آن طریق جابجا می­شود [1] .
    شبکه خصوصی مجازی انتقال داده را با استفاده از ایجاد تونل انجام می­دهد. قبل از انتقال بسته ، بسته در یک بستۀ­ جدید با یک سرآیند جدید، بسته‌بندی می­شود. این سرآیند اطلاعات مسیریابی را ارائه می­کند. بنابراین بسته می­تواند در یک شبکه­ عمومی یا اشتراکی قبل از رسیدن به مقصد، به نقطه­ پایانی تونل برسد. این مسیر منطقی که بسته­ها طی می­کنند را تونل گویند. زمانی که هر بسته به نقطه­ پایانی تونل می­رسد، از بسته‌بندی جدید خارج می­شود و به مقصد نهایی ارسال می­شود. لازم است که هر دو نقطه‌ پایانی تونل از قرارداد یکسانی برای ایجاد تونل پشتیبانی کنند [1] . قرارداد­های ایجاد تونل در لایه‌ دو OSI (data-link layer) یا در لایه‌ سه OSI (network layer) و به‌صورت خاص در لایه هفت (application layer) OSI به‌کار گرفته می­شوند. لایه سه برای انجام رمزنگاری مناسب است وVPN های لایه هفت برای كار با برنامه‌های كاربردی خاص ایجاد شده اند. VPN های مبتنی برSSL   از مثال های خوب برای این نوع ازVPN هستند. معمول­ترین قرارداد­های ایجاد تونل­ شامل موارد ذیل هستند [1,2,3] :

    1. Point-to-Point Tunneling Protocol (PPTP)
    2. Level 2 Tunneling Protocol (L2TP)
    3. Internet Protocol Security (IPsec)
    4. Multi-Protocol Label Switching (MPLS)
    5. SOCKS v5 and SSL
    6. Generic Route Encapsulation (GRE)

    یک بسته‌بندی با یک نشانی IP خصوصی می­تواند در کنار یک بسته با نشانی IP منحصربه‌فرد جهانی ارسال شود، که به موجب آن یک شبکه خصوصی می­تواند بر روی اینترنت نیز توسعه یابد. در شکل 1 نمونه­ای ساده از ساختار یک شبکه­ خصوصی مجازی نشان داده شده است. شبکه­ A یک شبکه­ خصوصی مجازی (با رنگ خاکستری تیره در شکل مشخص شده است) بر روی ساختار ارائه‌دهنده‌ سرویس ایجاد کرده است، در حالی که شبکه­ B هیچ اطلاعی درباره این شبکه­ خصوصی مجازی ندارد. هر دو شبکه­ A و B در یک ساختار باهم کار می­کنند [4] .


    ­­شکل 1: ساختار یک شبکه خصوصی مجازی [4]

    مزایای شبکه‌های خصوصی مجازی  شامل موارد زیر هستند [2,5] :

    • انعطاف‌پذیری
      • توسعه شبکه برای کنترل کاربران
      • فعال‌سازی شبکه برون نت برای همکاران تجاری
      • توانایی تنظیم و بازسازماندهی سریع شبکه‌ها
    • هزینه‌ شبکه
      • صرفه‌جویی پهنای باند اختصاص داده‌شده
      • کاهش هزینه‌های زیرساخت WAN شماره‌گیری
    • مقیاس‌پذیری
      • به کار بردن و توسعه‌ WAN کلاسیک برای کنترل بیشتر کاربران خارجی
      • توسعه‌ پوشش جغرافیایی
      • سادگی عملکرد WAN
  5. امنیت در شبکه‌های خصوصی مجازی
  6. شبکه خصوصی مجازی از رمزنگاری برای محرمانگی داده‌ها استفاده می­کند. در اولین ارتباط، از سازوکار ایجاد تونل برای بسته‌بندی داده­ رمزنگاری شده در یک تونل ایمن با سرآیند آشکار استفاده می­شود تا بتواند در یک شبکه­ عمومی عبور کند. بسته­ها در یک شبکه عمومی عبور می­کنند و در این راه بدون داشتن کلید رمزگشایی قابل خواندن نیستند. بنابراین، این اطمینان وجود دارد که داده در طول مسیر انتقال، باز یا دستکاری نمی­شود [1] .
    شبکه­ خصوصی مجازی همچنین صحت داده را فراهم می­کند. این کار با استفاده از خلاصه­ پیام برای اطمینان از این که داده در طول انتقال دستکاری نشود، صورت می­پذیرد.
    به صورت پیش‌فرض، شبکه­ خصوصی مجازی شناسایی قوی کاربر را فراهم و یا اجبار نمی­کند. کاربران می­توانند با واردکردن یک شناسه کاربری و رمز عبور، از خانه و یا شبکه­های ناامن دیگر به یک شبکه داخلی خصوصی دسترسی پیدا کنند. با این حال، شبکه­ خصوصی مجازی از سازوکارهای شناسایی مانند کارت­های هوشمند، توکن­ها و سرویس احراز هویت کاربر دور پشتیبانی می­کند [1] .

  7. معماری  شبکه‌های خصوصی مجازی
  8. شبکه­های خصوصی مجازی بر اساس دو معماری آغاز از سوی کاربر و آغاز از سوی کارساز دسترسی شبکه طراحی شده‌اند .[1, 5]
    4-1. شبکه‌های خصوصی مجازی با معماری «آغاز از سوی کاربر»
    با تقاضای مشتری از ارائه‌دهنده سرویس اینترنت، یک تونل بر روی شبکه اشتراک‌گذاری ایجاد می­شود. نرم­افزاری که توسط آن تونل ایجاد شده است توسط مشتری مدیریت می­شود. به بیان دیگر مشتری زمان شروع و خاتمه­ ارتباط تونل را تعیین می­کند. مزیت اصلی شبکه­های خصوصی مجازی «آغاز از سوی کاربر» این است که تونل‌ها ارتباط بین مشتری و ارائه‌دهنده‌ سرویس اینترنت را ایمن می‌کنند. همچنین، شبکه­های خصوصی مجازی «آغاز از سوی کاربر» مقیاس‌پذیر نیستند و پیچیده­تر از  شبکه­های خصوصی مجازی «آغاز از سوی کارساز دسترسی شبکه» هستند [1,5] .
    4-2. شبکه‌های خصوصی مجازی با معماری «آغاز از سوی کارساز دسترسی شبکه»
    کاربران به کارساز دسترسی شبکه‌ سرویس‌دهنده‌ اینترنت شماره‌گیری می‌کنند، که یک تونل برای شبکه خصوصی ایجاد می‌کند. در این حالت زمان شروع و پایان ارتباط توسط کارساز تعیین می­شود. شبکه­های خصوصی مجازی آغاز از سوی کارساز دسترسی شبکه بسیار مقاوم‌تر از شبکه­های خصوصی مجازی آغاز از سوی کاربر هستند و نیازی به کاربر برای پشتیبانی نرم‌افزار ایجاد تونل ندارند. شبکه­های خصوصی مجازی با معماری «آغاز از سوی کارساز دسترسی شبکه» ارتباط بین کاربر و سرویس ارائه‌دهنده اینترنت را رمزنگاری نمی‌کند، اما این مسئله برای اکثر مشتریان نگران‌کننده نیست زیرا شبکه‌ سوئیچ عمومی تلفن بسیار ایمن‌تر از اینترنت است [1,5] .

  9. گسترش شبکه­های خصوصی مجازی
  10. شبکه­ خصوصی مجازی اساساً توسط سازمان­ها و تشکیلات اقتصادی با توجه به اهداف مختلفی که دارند به صورت‌های مختلفی مورد استفاده قرار می­گیرد. در شکل 2 ساختار کلی استفاده از شبکه خصوصی مجازی توسط سازمان­ها قابل مشاهده است.


    شکل 2: ساختار پایه استفاده از شبکه خصوصی مجازی توسط سازمان­ها [5]

    موارد استفاده­ از شبکه­ خصوصی مجازی را می­توان بر اساس گسترش شبکه خصوصی مورد نظر به صورت­ زیر دسته‌بندی کرد [1,3] .

    1. شبکه خصوصی مجازی با دسترسی از راه دور
    2. این نوع ارتباط یک ارتباط کاربر-به-شبکه است. برای یک خانه یا برای یک کاربرِ همراه که نیاز به ارتباط با یک شبکه­ خصوصی شرکتی از یک مکان دور دارد، مناسب می­باشد. این نوع شبکه­ خصوصی مجازی قابلیت یک ارتباطات ایمن و رمزنگاری شده بین یک شبکه­ خصوصی شرکتی و کاربران دور را فراهم می­کند.

    3. شبکه خصوصی مجازی درون نت
    4. در اینجا یک شبکه­ خصوصی مجازی برای ایجاد ارتباطات بین مکان­های مشخص مانند شعبه­های دفتری سازمان مورد استفاده قرار می­گیرد. این نوع از ارتباطِ شبکه­ خصوصی مجازی شبکه-به-شبکه، چند مکان دور را به یک شبکه­ خصوصی واحد متصل می­کند.

    5. شبکه خصوصی برون نت
    6. یک شبکه­ خصوصی مجازی برای ارتباط شرکای تجاری مورد استفاده قرار می­گیرد، مانند تأمین‌کنندگان و مشتریان باهم، بنابراین به بخش­های مختلف اجازه می­دهد تا با داده­های ایمن در یک محیط اشتراکی کار کنند.

    7. شبکه گسترده جایگزین
    8. این نوع از شبکه خصوصی مجازی برای زمانی است که یک جایگزین برای شبکه­ گسترده پیشنهاد می­شود. پشتیبانی یک شبکه­ گسترده می­تواند بسیار هزینه­بر باشد، مخصوصاً زمانی که شبکه­ها از نظر جغرافیایی پراکنده باشند. شبکه­های خصوصی مجازی اغلب هزینه و سربار مدیریتی کمتری نیاز دارند و نسبت به شبکه­های خصوصی که از خطوط اجاره­ای استفاده می­کردند، مقیاس‌پذیری بالاتری دارند. با این حال، قابلیت اطمینان و عملکرد شبکه به ویژه زمانی که داده و ارتباطات در اینترنت تونل شده باشند ممکن است چالش زا باشد.

    9. انواع شبکه­ خصوصی مجازی بر پایه­ محصولات

    شبکه­های خصوصی مجازی بر پایه­ محصولات به کار رفته را می­توان به صورت زیر دسته‌بندی کرد [1] :

    1. شبکه­های خصوصی مجازی بر پایه باروبندی
    2. شبکه خصوصی که به بارو و قابلیت­های شبکه­ خصوصی مجازی مجهز شده باشد. این نمونه از شبکه­ خصوصی مجازی از سازوکارهای امنیتی در باروها برای جلوگیری از دسترسی به یک شبکه­ داخلی استفاده می­کند. ویژگی­هایی که ارائه می­شوند شامل ترجمه نشانی شبکه ، شناسایی کاربر، هشدارهای در زمان ورود به سیستم گسترده می­باشد. ترجمه نشانی شبکه، نشانی IP بسته های شبکه ها را تغییر می دهد.

    3. شبکه خصوصی مجازی بر پایه‌ سخت‌افزار
    4. توان عملیاتی بالا، عملکرد بهتر و قابلیت اطمینان بیشتری را زمانی­که هیچ سربار پردازنده­ای وجود ندارد پیشنهاد می­کند. با این حال، این نوع شبکه خصوصی مجازی گران‌تر است.

    5. شبکه خصوصی مجازی بر پایه‌ نرم‌افزار
    6. بیشترین انعطاف‌پذیری در چگونگی مدیریت ترافیک را فراهم می­کند. این نوع شبکه خصوصی مجازی زمانی مناسب است که نقطه­ پایانی شبکه­ خصوصی مجازی توسط یک طرف همسان کنترل نشده باشد و همچنین جایی که باروها و مسیریاب­های متفاوتی استفاده‌ شده باشد. این نوع شبکه­ خصوصی مجازی می­تواند به همراه یک شتاب‌دهنده‌ سخت‌افزاری رمزنگاری برای دستیابی به کارایی بهتر مورد استفاده قرار گیرد.

    7. شبکه­ خصوصی مجازی بر پایه لایه‌ سوکت­های ایمن

    به کاربران امکان می­دهد تا با استفاده از مرورگر وب به دستگاه­های شبکه­ی خصوصی مجازی متصل شوند. قرارداد لایه‌ سوکت­های ایمن و یا امنیت لایه­ انتقال برای رمزنگاری ترافیک بین مرورگر وب و دستگاه شبکه خصوصی مجازی لایه‌ سوکت­های ایمن استفاده می­شود. یکی از مزیت­های استفاده از شبکه­های خصوصی مجازی لایه سوکت­های ایمن، سهولت در استفاده است، زیرا تمام مرورگرهای استاندارد وب از قرارداد لایه سوکت­های ایمن پشتیبانی می­کنند، بنابراین کاربران نیاز به نصب هیچ‌گونه نرم‌افزار یا پیکربندی خاصی ندارند.
    طبق گزارشی در سال 2014 [6] ، عرضه و استفاده از این نوع شبکه­ های خصوصی مجازی نسبت به شبکه های خصوصی مجازی مبتنی بر قرارداد IPsec پیشی گرفته است. برخی از مهمترین شرکت های تولید کننده شبکه­های خصوصی مجازی بر پایه لایه‌ سوکت­های ایمن عبارتند از:Array Networks و F5 ، Cisco ، Juniper Networks ، Citrix.
    در خرید یک شبکه خصوصی مجازی بر پایه لایه‌ سوکت­های ایمن، علاوه بر هزینه سهولت استفاده از آن‌را نیز باید در نظر گرفت. این شبکه ها بر روی هر مرورگر وب موجود در رایانه‌های سیار و غیر سیار و گوشی‌های هوشمند قابل استفاده هستند.

  11. نتیجه­گیری

در این مقاله به معرفی اجمالی شبکه­های خصوصی مجازی و مفهوم ایجاد تونل پرداختیم. مزایا، کاربردها، دسته‌بندی‌های اصلی و امنیت این نوع شبکه­ها را مطرح کرده و مورد بررسی قرار دادیم. هدف از تهیه این مقاله ترویج و شناخت صحیح از مفهوم شبکه­ خصوصی مجازی بوده است.
مراجع

  1. VPN SECURITY, The Government of the Hong Kong Special Administrative Region, Cisco, 2008.
  2. IP Tunneling and VPNs, Cisco Systems, Inc., Copyright 2001.
  3. Manuel Günter, Virtual Private Networks over the Internet, 1998.
  4. Paul Ferguson, Geoff Huston, What is a VPN? Cisco Systems, Tech. Rep., 1998.
  5. http://www.csun.edu/~vcact00f/311/termProjects/330class/VPNpresentation.ppt, access date January 2014.
  6. http://www.jazdtech.com/techdirect/leaf/Enterprise-Communications-and-Networking/Network-Security-Systems/SSL-VPN.htm, access date June 2014.