بررسی شبكه بندی خصوصى مجازى

[WebRang]

بررسی شبكه بندی خصوصى مجازى - --- تحت ويندوز سرور 2003

اين مقاله یك ديد كلى از شبكه‌ بندى خصوصى مجازى و تكنولوژيهاي شبكه خصوصى مجازى1(---) که به وسيله ويندوز سرور 2003 و ويندوزXP پشتيبانى مي شوند ، ارائه مي دهد. پروتکل تونل کشی نقطه به نقطه و پروتکل تانالينگ لايه دو با امنيت پروتکل اينترنت به عنوان دو روش استاندارد براي اتصالات --- شرح داده شده است. همچنين در اين مقاله مجموعه ويژگيهایي که در ويندوز سرور 2003 و ويندوز XP تواناييهاى امنيتي پيشرفته و مديريت اتصالات شبكه خصوصى مجازى را ساده مي کند شرح داده شده است.

مقدمه
يك شبكه خصوصى مجازى بسط و توسعه يك شبكه خصوصى است كه اتصالات شبكه‌هاى اشتراكى يا عمومى مانند اينترنت را در بر مي گيرد. يك شبكه خصوصى مجازى شما را قادر مي كند اطلاعات را بين دو كامپيوتردر طول يك شبكه اشتراكى يا عمومى بفرستيد در حالتي كه با خصوصيات يك اتصال خصوصى نقطه به نقطه4 برابری بکند. شكل دادن و به وجود آوردن يك شبكه خصوصى مجازى را شبكه‌سازى خصوصى مجازی گویند.

براى رقابت و برابري با يك اتصال نقطه به نقطه، اطلاعات كپسوله يا پوشانده شده و به آن يك هدر5 اضافه می شودكه با فراهم كردن اطلاعات مسيريابى اجازه مي دهد تا داده مسير شبكه عمومي يا اشتراكي را پيموده و به نقطه پاياني6برسد. براى رقابت كردن و برابري با يك اتصال خصوصى، اطلاعات به صورت محرمانه رمزگذاري شده است. بسته‌هايي كه روى شبكه اشتراكى يا عمومي محافظت شده اند بدون كليدهاى رمز غيرقابل كشف هستند. بخشي از ارتباط كه داده هاي خصوصى در آن كپسوله شده است معروف به تونل7 است و بخشي از ارتباط كه داده هاي خصوصى در آن رمزنگاري شده است معروف به اتصال شبكه خصوصى مجازى است.

اتصالات شبكه خصوصى مجازى اجازه مي دهند استفاده‌كنندگان در خانه يا در جاده به سرور يك سازمان راه دور به يك شيوه محفوظ و امن از طريق اطلاعات مسيريابي شبكه عمومي (مانند اينترنت) وصل شده و كار كنند. از ديد استفاده‌كنندگان، ارتباط شبكه خصوصى مجازى يك اتصال نقطه به نقطه بين كامپيوتر كاربر و سرور يك سازمان راه دور است. كاربر چنين تصور مي كند كه داده ها از طريق يك اتصال كاملا اختصاصي فرستاده مي شوند.

مچنين تكنولوژى شبكه خصوصى مجازى به يك شركت اجازه مي دهد‏‏ ضمن حفظ كردن ارتباطات محرمانه به دفاتر شعبه هايش يا به كمپانيهاى ديگر روى يك شبكه عمومى از قبيل اينترنت وصل شود. ارتباط شبكه خصوصى مجازى از ميان اينترنت منطقاً به عنوان يك اتصال شبكه گسترده ميان سايت ها عمل مي كند.

در هردوى اين موارد، ارتباط محفوظ و امن از ميان شبكه براي استفاده‌كننده به عنوان يك ارتباط شبكه خصوصى به نظر می رسد - با وجود اينكه اين ارتباط روي يك شبكه عمومي اتفاق مي افتد - از اين رو، شبكه خصوصى مجازى نام گرفته است.

تكنولوژى شبكه خصوصى مجازى براي رساندن فعاليت هاي تجاري جاري به اين مرحله طراحي شده است كه آنها به صورت روزافزون تر از ارتباط راه دور و انتشار وسيع عمليات سراسري استفاده كنند‏؛ جايى كه شاغلين بايد قادر باشند به منابع مركزى وصل شده و قادر باشند با يكديگر ارتباط برقرار بكنند.

براى فراهم كردن امكان وصل شدن كارمندان به منابع محاسباتي سازمان صرف نظر از موقعيت جغرافيايی آنان يك شركت بايد يك راه‌حل دستيابى از دور مطمئن را گسترش دهد. به طور نمونه، شركت‌ها يا يك راه‌حل دپارتماني انتخاب مي كنند، يعني يك دپارتمان سيستمهاى اطلاعاتى داخلى، مسئوليت خريد و نصب‌ و نگهدارى مودم سازمان و زير سازي شبكه خصوصي را به عهده مي گيرد؛ يا اينكه آنها يك راه حل شبكه ارزش-افزوده8 را انتخاب مي كنند، يعني هزينه خريد‏‏‏‏‏‏‏‏‏ ، ‏نصب و نگهداري مودم ها و زير سازي ارتباط از راه دور را به يك كمپانى ديگر مي پردازند تا اين كمپاني تمام كارها را برايشان انجام دهد.

هيچ يك از اين راه‌حلها نياز هاي ضروري را به ازاى هزينه و اداره انعطاف‌پذير فراهم نمي كنند و نياز به اتصالات اضافي دارند. بنابراين، نياز به جايگزيني اين دو روش با يك روش با هزينه كمتر و مبتني بر تكنولوژي اينترنت احساس مي شود؛ بطوريكه شركت ها روي قابليت هاي اصلي خود تمركز كنند. با اين راه‌حل، تعداد كمي اتصال اينترنت ميان ISP ها و كامپيوترهاى سرور شبكه خصوصى مجازى مي توانند براي شبكه‌سازى راه دور براي صدها و حتي هزاران كلاينت يا شعبه راه دور بكار رود.

موارد استفاده متداول ---
در بخش زير انواع متداول --- شرح داده مي شود:
1. دستيابى از دور از طريق اينترنت

--- ها امكان دستيابى از دور به منابع سازمان را از طريق شبكه عمومي اينترنت با حفظ اختفاء اطلاعات فراهم مي كنند. تصوير زیر يك ارتباط --- را كه براي اتصال يك كلاينت راه دور به اينترانت يك سازمان بكار رفته است نشان مي دهد كه به آن اتصال --- دسترسي از راه دور گفته مي شود.

به جاى ايجاد يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (9(NAS، استفاده كننده مي تواند به ISPمحلي وصل شود. با استفاده از اتصال به ISP محلي، كلاينت --- يك اتصال --- بين كامپيوتر دسترسي راه دور و سرور --- سازمان روي شبكه اينترنت ايجاد مي كند.


2. اتصال شبكه‌ها از طريق اينترنت
دو روش براى استفاده از --- براي اتصال شبكه هاي محلي راه دور وجود دارد:

استفاده از خطوط اختصاصي براي اتصال شعبه هاي سازمان به شبكه LAN سازمان
براى مثال، به جاى اينكه يك مدار اختصاصي راه دور گران بين شعبه هاي سازمان و هاب شركت ایجاد شود، هر دوي آنها مي توانند از يك مدار اختصاصي و ISP محلي براي اتصال به اينترنت استفاده كنند. نرم‌افزار --- از ISP محلي و اينترنت براي ايجاد يك شبكه خصوصى مجازى بين شعبه هاي سازمان و هاب شركت استفاده مي كنند.

استفاده از يك خط dial-up براي اتصال شعبه هاي سازمان به اينترنت
به جاى اينكه مسيرياب (روتر) شعبه ی شركت، يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (NAS) برقرار كند، مي تواند به يك ISP محلي وصل شود. كلاينت --- از اتصال ISP محلي براي ايجاد يك ارتباط --- بين روتر شعبه سازمان و روتر شركت در طول اينترنت استفاده مي كند كه اين عمل به يك ارتباط شبكه خصوصى مجازى سايت به سايت‌ معروف است.

در هر دو حالت، امكانات و تسهيلاتي كه شعب شركت و خود شركت را به اينترنت وصل مي كند محلى هستند. مسيرياب شركت كه به عنوان يك سرور --- عمل مي كند بايد از طريق يك خط اختصاصي‌ به اينترنت وصل ‌شده باشد. اين سرويس‌دهنده شبكه خصوصى مجازى بايد 24 ساعته به ترافيك شبكه خصوصى مجازى واردشونده گوش دهد.

3. اتصال كامپيوترها روي يك اينترانت
در بعضي از شبكه بندي هاي سازماني، ممكن است داده هاي بخشي از سازمان خيلي حساس بوده و LAN آن بخش از سازمان به بقيه شبكه سازمان متصل نباشد. اگرچه اين امر داده هاي محرمانه سازمان را محافظت مي كند اما براي استفاده كنندگاني كه به طور فيزيكي به LAN جداگانه اي متصل نيستند در مورد دسترسي به اطلاعات مشكلاتي پيش مي آيد.

--- ها به LAN دپارتمان اجازه مي دهند تا به صورت فيزيكي به شبكه داخلي سازمان متصل باشند اما توسط يك سرور --- از شبكه تفكيك شوند. سرور --- به عنوان يك مسيرياب بين شبكه داخلي سازمان و LAN دپارتمان عمل نمي كند. يك مسيرياب كه دو شبكه را بهم وصل مي كند، به همه اجازه مي دهد تا به LAN حساس دسترسى پيدا كنند. با استفاده از يك سرور --- ، مدير شبكه مي تواند مطمئن باشد كه روى شبكه داخلي سازمان فقط آن استفاده‌كنندگان كه اعتبارنامه مناسب را دارند (مبنى بر سياست سازمان) مي توانند يك ارتباط --- با سرور --- برقرار بكند و به منابع حفاظت‌شده دپارتمان دستيابى پيدا كنند. علاوه بر اين تمام ارتباطات از ميان --- مي تواند براى حفاظت داده‌ها رمزنگاري شود. آن تعداد از استفاده‌كنندگان كه اعتبار مناسب نداشته باشند، نمي توانند به LAN دپارتمان دسترسي داشته باشند.

نيازمندی های اساسی ---
معمولا، هنگام مستقر كردن يك راه‌حل شبكه‌سازى راه دور، يك شرکت نیاز دارد دسترسي كنترل ‌شده به منابع سازمان و اطلاعات را تسهيل كند. راه‌حل بايد اجازه بدهدكلاينت هاي دور به LANمنابع وصل شوند. همچنين بايد اجازه دهد دفاتر دور به همديگر متصل شده و منابع و اطلاعات را با هم به اشتراك بگذارند. به علاوه، راه‌حل بايد از اختفا و درستي داده ها با گذر از اينترنت مطمئن باشد. همان نگرانيها در مورد موضوع انتقال داده هاي حساس در طول شبكه داخلي سازمان نيز وجود دارد.

بنابراين يك --- بايد حداقل تمام موارد زير را تامين كند:

شناسايى كاربر
راه‌حل بايد صحت هويت كلاينت --- را بررسي كرده و دسترسي به --- را به كاربران مجاز محدود كند. همچنين بايد اسناد بازبيني و حسابدارى را براي نشان دادن اينكه چه كساني و براي چه مدتي متصل هستند فراهم كند.

مديريت آدرس
راه‌حل بايد به يك كلاينت شبكه خصوصى مجازى يك آدرس روي اينترانت اختصاص دهد وتضمين كند آدرس هايي كه روى اينترانت استفاده مي شوند، به صورت اختصاصي محفوظ هستند.

رمزگذارى داده
داده‌هايي كه روي شبكه هاي عمومي حمل مي شوند بايد به صورت غيرقابل خواندن تغيير شكل يابند.

مديريت كليد
راه‌حل بايد براى داده‌هاى رمزنگاري شده كليد هاي رمزگذاري توليد و بازيابي كند.


يك --- مبتنى بر پروتكل PPTP يا پروتكل يا L2TP/IPSec تمام اين نيازمندي ها را برطرف مي كند و از قابليت هاي مفيد اينترنت استفاده مي كند. راه‌حلهاى ديگر، مانند حالت تونلى IPSec، فقط بعضى از اين ملزومات را برطرف مي كنند اما در موقعيت هاي مختلف سودمند خواهند بود.

مباني Tunneling
يك روش استفاده از زيرساختار يك شبكه براي انتقال داده‌هاى يك شبكه روى شبكه ديگر است. داده‌اي كه بايد انتقال‌يابد (payload) مي تواند فريم ( یا packet) يا پروتكل هاي ديگر باشد. به جاى فرستادن يك فريم كه توسط نود آغازي ايجاد شده‏ پروتكل tunneling فريم را با يك هدر اضافي كپسوله مي كند. هدر اضافي اطلاعات مسيريابي را فراهم مي كند به طوريكه داده كپسوله شده بتواند روي شبكه مياني منتقل شود.

سپس بسته‌هاى كپسوله شده بين نقاط پاياني تونل روي شبكه مسيريابي مي شوند. مسير منطقى كه بسته‌هاى كپسوله شده توسط آن روي شبكه منتقل مي شوند تونل (tunnel) ناميده مي شود. وقتى كه فريم هاي كپسوله شده به مقصدشان روى شبكه مي رسند، از حالت كپسوله خارج شده و به سوي مقصد نهایيشان فرستاده مي شوند. Tunneling تمام اين موارد را در بر مي گيرد (كپسوله كردن بسته ها‏، انتقال آنها و از حالت كپسوله درآوردن آنها).

شبكه انتقالی مي تواند هر شبكه اي باشد. اينترنت يك شبكه عمومى است و شناخته‌شده‌ترين مثال در اين مورد مي باشد. مثال هاي زيادي از تونلهايي كه عمل انتقال را روي شبكه سازمان انجام مي دهند وجود دارد.

تكنولوژى هاى Tunneling مدت زماني است که بوجود آمده اند، از قبيل SNA روي شبكه هاي IP. زمانيكه ترافيك 10SNA روي شبكه ی IP يك سازمان فرستاده مي شود فريم هاي SNA در هدر UDP و IP كپسوله مي شوند. تكنولوژيهاى tunneling جديدی در سالهاى اخير معرفي شده اند. اين تكنولوژيهاى جديد شامل موارد زير هستند:

Point-to-Point Tunneling Protocol (PPTP): PPTP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و سپس در يك هدر IP براي فرستادن روي شبكه IP سازمان يا شبكه IP عمومي مانند اينترنت كپسوله شود.

Layer Two Tunneling Protocol (L2TP): L2TP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و روي هر واسطي كه تحويل ديتاگرام نقطه به نقطه (point-to-point) را ساپورت مي كند فرستاده شود.

IPSec tunnel mode: حالت تونلى IPSec به بسته‌هاى IP اجازه ميدهد رمزنگاري شده و سپس براي فرستادن روي شبكه IP يك سازمان يا روي شبكه IP عمومي مثل اينترنت كپسوله شوند. حالت تونلى IPSec براي اتصال --- راه دور توصيه نمي شود زيرا روش هاي استانداردي براي اهراز هويت كاربر،تخصيص آدرس IP و تخصيص آدرس سرور نام (name server) ندارد. البته استفاده از حالت تونلى IPSec براي اتصالات site-to-site مربوط به --- با كامپيوتر هايي كه از ويندوز سرور2003 استفاده مي كنند امكان پذير است.

انواع Tunnel
مي توانند به طرق مختلفي ايجاد شوند: ها Tunnel
1. تونلهاى اختیاری (tunnels Voluntary)

يك کاربر يا كامپيوتر کلاينت مي تواند براي شکل دادن و ايجاد يک تونل اختياري، درخواست --- صادر بكند. در اين صورت، كامپيوتر کاربر يك نقطه پايان تونلى است و مثل کلاينت تونل رفتار مي كند.

2. تونلهاى اجبارى (Compulsory tunnels)
يك سرور دسترسى از طريق شماره‌گيرى ( (dial-up access server شبكه خصوصى مجازى يك تونل اجبارى را شكل داده و به وجود مي آورد. در يك تونل اجبارى، كامپيوتر کاربر يك نقطه پايان تونلى نيست. وسيله ديگر، يعني سرور دسترسى از طريق شماره‌گيرى، بين كامپيوتر کاربر وسرور تونل نقطه پايان تونل است و مثل کلاينت تونل رفتار مي كند.

در طول زمان، ثابت شده که تونلهاى اختیاری‌ عامه ‌پسندترند.

ويژگيهاي امنيتي پيشرفته ---
براى اينكه اينترنت ايجاد اتصالات شبكه خصوصى مجازى را از هر جايى آسان مي كند، شبكه‌ها به ويژگي هاي امنيتي قوى احتياج دارند تا از دسترسى ناخواسته به شبكه‌هاى خصوصى جلوگيري کنند و از اطلاعات خصوصى که در شبکه عمومي منتقل مي شوند محافظت كنند. اهراز هويت کاربر و رمزنگاري داده‌ها قبلا مطرح‌شده بوده‌اند. اين بخش يک ديد كلي از ويژگيهاي امنيتي پيشرفته که مي توانند با اتصالات VPNويندوز سرور 2003 و ويندوزXP استفاده شوند ارائه مي دهد.


1. EAP-TLS و اهراز هویت مبنی بر گواهینامه
رمزگذاري متقارن (قراردادى)، يا كليد خصوصي ، مبنى بر يك كليد محرمانه كه است به وسيله طرفين ارتباط به اشتراك گذاشته مي شود.بخش فرستنده با استفاده از كليد محرمانه و با يک سري عمليات رياضى متن ساده را به متن رمزگذاري شده تبديل می کند. گيرنده همان كليد محرمانه را براي رمزگشايى متن رمزنگاري شده به متن ساده استفاده مي کند. نمونه اي از رمزگذاري متقارن الگوريتم RSA RC4 مي باشد که مبناي رمزگذاري نقطه به نقطه ميكروسافت11(MPPE)و رمزگذاري استاندارد داده (DES)12 مي باشد که براي رمزگذاري IPSec استفاده مي شود.

رمزگذاري نامتقارن يا كليد عمومي، دو كليد متفاوت براى هر کاربر استفاده می كند:يك كليد خصوصى که فقط براي يک کاربر شناخته شده است؛ ديگرى يك كليد عمومى يکسان است، كه براي هر كسى قابل دسترسى است.كليدهاى خصوصى و عمومى به وسيله الگوريتم رمزگذاري به طور رياضى به يکديگر مربوط هستند. بسته به طبيعت انجام سرويس ارتباط ، يك كليد براى رمزگذاري و ديگرى براى رمزگشايى به كاررفته می رود.

به علاوه، تكنولوژيهاى رمزگذاري كليد عمومى به امضاهاى ديجيتالي اجازه مي دهند تا روى پيغام‌ها قرار گيرند. يك امضاى ديجيتال از كليد خصوصى فرستنده براي رمزگذاري بعضي از قسمت های پيغام استفاده مي كند. وقتى که پيغام مي رسد، گيرنده از كليد عمومى فرستنده براي رمزگشايي امضاى ديجيتال و اهراز هويت فرستنده استفاده مي كند.

1-1. گواهينامه‌هاى ديجيتالي (Digital Certificates)
با رمزگذاري متقارن، هم فرستنده و هم گيرنده يك كليد محرمانه اشتراكى دارند. توزيع كليد محرمانه بايد پيش از هر ارتباط رمزگذاري شده انجام شود (با حفاظت كافى) .اما، در رمزنگاري نامتقارن، فرستنده يك كليد خصوصى براي رمزنگاري پيغام‌ها يا امضاء ديجيتالي استفاده مي كند، ماداميكه گيرنده يك كليد عمومى براي رمزگشايي اين پيغام‌ها استفاده مي كند. كليد عمومي به صورت آزادانه براي هر كسى كه نياز به دريافت پيغام‌هاي رمزگذاري شده يا به صورت ديجيتالي امضاء شده دارد، توزيع مي شود. فرستنده فقط به كليد خصوصى احتياج دارد که به دقت محافظت مي شود.

براي تامين درستى کليد عمومي ، اين كليد با يك گواهينامه منتشر شده است. گواهينامه يك ساختمان داده‌ است که به وسيله يك مرجع صلاحيتدار (13(CA به صورت ديجيتالي امضا شده است ؛ يك مرجع صلاحيتدار كه کاربران مي توانند اعتماد بكنند. گواهينامه شامل يك سرى ارزشها است، از قبيل نام گواهينامه و كاربرد، اطلاعاتي براي تشخيص هويت صاحب كليد عمومي، خود كليد عمومي ، يك تاريخ انقضا و نام منبع موثق گواهينامه. CA از کليد خصوصى خود براي امضاء و تاييد گواهينامه استفاده مي كنند.

اگر گيرنده ، كليد عمومي مرجع صلاحيتدار گواهینامه را بشناسد، گيرنده مي تواند تأیيد بكند كه گواهينامه قطعاً از CA مطمئن است و، بنابراين، شامل اطلاعات موثق و يك كليد عمومى معتبر مي باشد. گواهينامه‌ها مي توانند به صورت الكترونيكى قابل توزيع باشند (ازطريق وب يا ايميل)،یا روى كارت‌هاى هوشمند و يا روى فلاپي ديسك‌ها.

به طور خلاصه، كليد عمومى، يك روش قابل‌ اعتماد راحت براى تأیيد هويت يك فرستنده فراهم مي كند. IPSecمي تواند اين روش را به طور اختيارى براى تصديق هويت سطح گره (peer-level) استفاده کند. سرورهاي دستيابي از راه دور مي توانند از کليد عمومي بصورتيکه جلوتر شرح داده خواهد شد استفاده کنند.

2-1. پروتکل تصديق قابل توسعه14(EAP)
همانطوريکه قبلا شرح داده شد، بسياري از اجرا‌هاى پروتكل نقطه به نقطه ( PPP ) روشهاى اهراز هويت خيلى محدودي را فراهم مي كنند. EAP يک استاندارد IETF براي استاندارد PPP است که براي اعتبارسنجي اتصالات PPP مکانيزم هاي اهراز هويت اختياري فراهم مي کند.EAP براي اين طراحي شده است که به ماژولهاي plug-in اهراز هويت اجازه دهد در دو نقطه انتهايي يک اتصال يعني سرور و کلاينت ، به صورت خودکار اضافه شوند. اين به فروشندگان اجازه مي دهد در هر زمان يك طرح تصديق جديد فراهم کنند. EAP بيشترين انعطاف ‌پذيرى را در يكتايى و تغيير اهراز هويت فراهم مي كند.

EAP در RFC 2284 مستند است و در ويندوز سرور 2003 و ويندوز XP پشتيباني شده است.

3-1. امنيت سطح انتقالEAP (EAP-TLS) 15
EAP-TLS يک استاندارد IETF (RFC 2716) براى يك روش اهراز هويت قوى مبنى بر كليد عمومى است. با EAP-TLS، يك کلاينت يك گواهينامه کاربر را به سرور dial-in ارائه ميدهد و سرور يک گواهي نامه به کلاينت ارائه مي دهد. اولا يک تصديق هويت کاربر قوى براي سرور فراهم مي کند؛ ثانيا اطمينان مي دهد كه كاربري که منتظر است، به سرور دسترسي يابد. هر دو سيستم به يك زنجير تصديق هويت مطمئن براي رسيدگي به اعتبار گواهينامه هاي پيشنهاد شده متکي هستند.

گواهينامه كاربرمي تواند روى كامپيوترکلاينت --- يا در يك كارت هوشمند خارجى ذخيره‌ شود . در هر حال، گواهينامه نمي تواند بدون بعضي از فرم هاي تشخيص هويت کاربر ( شماره‌ پين يا نام و پسورد) بين كاربر و كامپيوتر کلاينت قابل دسترسي باشد. اين روش دستيابى بعضي از ضوابط و معيارهايي که شما بايد بدانيد و داشته باشيد که توسط بسياري از متخصصين امنيت توصيه مي شوند، تامين مي کند.

EAP-TLS در ويندوز سرور 2003 و ويندوزXP پشتيبانى شده است.EAP-TLS مانند MS-CHAP و MS-CHAP v2 يك كليد رمزگذاري برمي گرداند که رمزگذارى داده هاي بعدي را توسط MPPE ممکن مي سازد.


2. کنترل قرنطينه دسترسي شبکه
کنترل قرنطينه دسترسي شبکه، يك ويژگى جديد در خانواده ويندوز سرور 2003 است که دسترسي از راه دور نرمال به يك شبكه خصوصى را تا زمانيکه پيكربندى كامپيوتر دستيابى از دور به وسيله اسكريپت تهيه شده توسط مدير ، امتحان واعتبارسنجي نشده به تاخير مي اندازد. هنگاميکه يك كامپيوتر دستيابى از دور يک ارتباط با يک سرور دسترسى از راه دور راه مي اندازد، كاربر اهراز هويت شده و به كامپيوتر دستيابى از دوريک آدرسIP تخصيص داده مي شود.با اين وجود، ارتباطي که در حالت قرنطينه قرار داده‌ شده است، از هر گونه دسترسى به شبكه‌ محدود شده است. اسكريپت تهيه شده توسط مديرروي كامپيوتر دستيابى از دور اجرا مي شود. وقتى كه اسكريپت با موفقيت كامل مى شود، يك مؤلفه را اجراء مي كند كه اطلاع مي دهد كامپيوتر دستيابى از دور رويه‌هاى امنيتي شبكه جارى را تامين مي كند. سرور دسترسى از راه دور حالت قرنطينه را بر مي دارد و كامپيوتر دستيابى از دور دستيابى از دورنرمال را تصديق مي کند.

کنترل قرنطينه دسترسي شبکه تركيبي از موارد زير است:
يك سرور دسترسى از راه دور ويندوز سرور 2003 و يك سرويس شنونده اطلاع دهنده قرنطينه را اجرا مي کند.
يك سرور RADIUS ويندوز سرور 2003 و سرويس شناسايى اينترنت (IAS) 16 را اجراء مي كند که يك رويه دستيابى از دور قرنطينه پيكره‌بندى شده و تنظيمات قرنطينه را نشان مي دهد.
يك پروفايل مدير ارتباط توسط كيت اداره مديريت ارتباط ويندوز سرور 2003 ايجاد شده که شامل اسکريپت تامین سياست و خط مشي شبکه و يك مولفه اخطار دهنده مي باشد.
يك کلاينت دستيابى از دور كه ويندوز سرور 2003 ، ويندوز XP، ويندوز 2000، ويندوز Millennium يا ويندوز 98 ويرايش دوم را اجراء مي كند.

3. ويژگي قفل حساب دستيابى از دور
ويژگي قفل حساب دستيابى از دور براي تعيين کردن اينکه يک تصديق دستيابي راه دور چند بار با يک حساب کاربر معتبر شکست خورده قبل از اينکه کاربر دستيابي راه دور را رد کند، بکار می رود. ويژگي قفل حساب دستيابى از دور مخصوصاً براى اتصالات دستيابى از دور --- از طريق اينترنت مهم است. روى اينترنت کاربران داراى سوء قصد مي توانند براي دسترسي به اينترانت يک سازمان با فرستادن اعتبار نامه (نام کاربري معتبر، پسورد حدسي) در طول پروسه تصديق ارتباط --- تلاش کنند. در طول يك حمله فرهنگ لغات، كاربر داراى سوء قصد صدها يا هزاران اعتبارنامه با استفاده از ليستي از كلمات عبور مبنى بر كلمات يا عبارات متداول مي فرستد. با فعال کردن قفل حساب دستيابى از دور ، يك حمله فرهنگ لغات پس از يك تعداد مشخص‌شده تلاش ناموفق خنثى مي شود.

ويژگي قفل حساب دستيابى از دور بين کاربري که به عنوان سوءقصد براي دسترسي به اينترانت شما تلاش مي کند و کاربر معتبري که سعي بر دستيابى از دور دارد ولي پسورد خود را فراموش کرده است فرقي قائل نمي شود.کاربراني كه پسوردشان را فراموش كرده اند معمولا با كلمات عبوري که به خاطر مي آورند سعي مي کنند وارد شوند و امكان دارد حسابشان قفل شود.

اگر ويژگي قفل حساب دستيابى از دور را فعال كنيد، يك كاربر داراى سوءقصد مي تواند به طور عمدي با چندين بارتلاش براي تصديق با حساب کاربر باعث قفل شدن حساب شود و در نتيجه از ورود کاربر معتبر جلوگيري شود.

ويژگي قفل حساب دستيابى از دور با عوض کردن تنظيماتي در رجيستري كامپيوتري كه شناسايى و تصديق را فراهم مي کند پيكره‌بندى مي شود. اگر سرور دسترسى از راه دور براى شناساي ويندوز پيكره‌بندى شده است، رجيستري كامپيوتر سرور دسترسى از راه دور را تغيير دهيد. اگر سرور دسترسى از راه دور براى شناسايى RADIUS پيكره‌بندى شده است و سرويس شناسايي اينترنت (IAS) در حال استفاده باشد، رجيسترس را روي کامپيوتر سرور IAS تغيير دهيد.

4. فيلترگذارى بسته‌اى پروفايل سیاست دستيابى از راه دور
رويه‌ها و خط مشي هاي دستيابى از دور که تصديق و محدوديت هاي ارتباط را تعريف مي کند،مي توانند براي معيين کردن مجموعه اي از فيلترهاي بسته IP که براي اتصالات دستيابي از راه دور بکار مي رود، استفاده شود. وقتى كه يک ارتباط پذيرفته مي شود، فيلترهاي بسته انواع ترافيک IP را که از کلاينت --- و به کلاينت --- مجاز هستند، تعريف مي کند.

اين ويژگى مي تواند براى اتصالات اکسترانت (شبکه ارتباطي داخلي- خارجي) به كاررود. يك اکسترانت بخشي از شبكه سازمان شماست كه براي کاربران بيرون از سازمان قابل دسترس مي باشد، از قبيل شرکاي تجاري و فروشندگان. با استفاده ازفيلترگذارى بسته‌اى پروفايل خط مشي دستيابى از راه دور شما مي توانيد رويه هاي دستيابي از راه دور جديدي ايجاد کنيد که اعضاي گروه شريکان که فقط مي توانند به وب سرورها در آدرس IP خاصي يا روي زير شبکه خاصي دسترسي داشته باشند مشخص شوند.

همچنين اين ويژگى مي تواند از فرستادن بسته هايي که اورجينال نيستنند توسط کلاينت دستيابى از راه دور --- جلوگيري کند. هنگاميکه كامپيوترکلاينت دستيابى از دور يک ارتباط --- ايجاد مي کند، به صورت پيش فرض يک مسير قراردادي و پيش فرض ايجاد مي کند بطوريکه تمام ترافيکي که روي مسير پيش فرض مچ مي شوند، روي اتصال --- فرستاده مي شوند. اگر كامپيوترهاى ديگر ترافيك را به کلاينت دستيابى از راه دور --- بفرستند، كامپيوتر کلاينت دستيابى از دور به عنوان يك مسيرياب عمل مي کند، سپس ترافيک از ميان ارتباط --- ارسال مي شود. اين يك مسئله امنيتي است چون سرورVPN، كامپيوتري که براي کلاينت دسترسي راه دور --- ترافيك مي فرستد ، تصديق نمي کند. كامپيوترى که براي کلاينت دسترسي راه دور --- ترافيك مي فرستد دسترسي به شبکه يکساني مثل کامپيوتر کلاينت --- دارد.

براى جلوگيري از اينکه سرور --- ترافيك از ميان ارتباط --- براى كامپيوترها و گذشته از آن كامپيوترهاى کلاينت دستيابى از دور --- تصديق ‌شده را دريافت کند،فيلترگذارى بسته‌اى خط مشي دستيابى از راه دور روي رويه دسترسي از راه دورکه براي اتصال --- شما استفاده مي شود، پيكره‌بندى کنيد. رويه دسترسي از راه دور پيش فرض براي ويندوز سرور 2003 ، اتصال به مسيريابي ودسترسي راه دور ميکروسافت ناميده‌ مي شود که همواره فيلترهاي بسته ورودي صحيح براى اين پيكربندى دارد.


مديريت ---
در انتخاب يك تكنولوژى شبكه خصوصى مجازى، مهم است که به موضوع مديريت رسيدگي شود. شبكه‌هاى بزرگ نياز دارند که اطلاعات راهنماي مربوط به هر كاربر را در يک منبع ذخيره متمرکز،ذخيره کنند، به طوريکه مديران و برنامه هاي كاربردي بتوانند اين اطلاعات را اضافه كنند، اصلاح كنند يا مورد پرس و جو قرار دهند. هر سرور دسترسى يا سرور تونل مي تواند پايگاه داده داخلي خود از مشخصات کاربران از قبيل نام‌ها، كلمات عبور و مجوز هاي دسترسي شماره گيري (dial-in ) را نگهداري کنند . اما، چون نگهداری حساب هاي کاربري متعدد روي سرورهاي متعدد و اداره کردن آنها گران است، بسياري از مديران يك پايگاه داده حساب را در سرور راهنما يا کنترلر اصلي دامنه يا روي يک سرور RADIUS نصب مي کنند.


حسابدارى، پيگيرى و هشدار دادن
براي مديريت صحيح يک سيستم VPN، مديران شبكه‌ بايد قادر باشند تا پيگيري کنند که چه اشخاصي از سيستم استفاده مي کنند، چه تعداد اتصال درست ‌شده است و نیز قادر باشند فعاليت غيرعادي،حالت خطا، و موقعيت هايي که ممکن است خرابي تجهيزات را نشان دهد، پيگيري کنند. اين اطلاعات می تواند براى صدور صورت‌حساب ، پيگيرى و هشدار در مورد خطا به كار روند.

براى مثال، يك مدير ممكن است احتياج داشته باشد كه بداند چه کسي و براي چه مدت به سيستم وصل‌ شده تا داده هاي صدور صورت حساب را طرح ريزي کند. فعاليت غيرمعمول ممكن است نشانگراستفاده نادرست از سيستم يا کسري منابع سيستم باشد. مانيتورينگ Real-time از تجهيزات (براى مثال، فعاليت زياد غيرعادي روى يك مودم و بيكارى روى ديگری) مي تواند مدير را از نقص يک مودم آگاه سازد. سرور تونل بايد همه اين اطلاعات را فراهم كند و سيستم بايد امکان ثبت وقايع ، گزارشها و يك مکان ذخيره سازي براي اداره مناسب داده ها را فراهم کند.

پروتکل RADIUS يك مجموعه از درخواست هاي مبتني بر مکالمه را تعريف مي كند که از درخواست هاي تصديق که در بالا بحث شد مستقل هستند. اين پيغام‌ها از NAS به سرور RADIUS تقاضاي ايجاد اسناد حسابدارى در شروع يك مکالمه، پايان مکالمه و در فواصل از پيش تعيين‌ شده در طول يك مکالمه را مي کند .سرويس مسيريابى و دستيابى از راه دور (RRAS)، كه عملكرد سرور شبكه خصوصى مجازى را در ويندوز سرور 2003 فراهم مي كند، مي تواند پيكره‌بندى شود تا درخواست هاي حسابرسيRADIUS را به صورت جداگانه از درخواست‌هاى ارتباط توليد کند ( كه مي تواند به كنترل ‌كننده دامنه يا به يك سرورRADIUS برود ). اين به يك مدير اجازه مي دهد تا يك سرور حسابدارى RADIUS را پيكره‌بندى بكند، چه RADIUS براى تصديق سنديت به كاررفته باشد و چه به کار نرفته باشد. بنابراين يك سرور حسابدارى مي تواند ركوردها را براى هر ارتباط شبكه خصوصى مجازى براي تحليل جمع‌آورى بكند.

IAS در ويندوز سرور 2003 يك سرور حسابرسي RADIUS است و ثبت اطلاعات حسابدارى ارتباط را در يك فايل log يا فرستادن مستقيم آن به يك پايگاه داده سرور SQL پشتيبانى مي كند.

در پایان
VPNها به کاربران يا شركت ‌ها اجازه مي دهد به سرورهاي راه دور، دفاتر شعبه‌ ها يا به كمپانيهاى ديگر روى يك شبکه عمومى تا وقتي که ارتباطات امن را پشتيباني مي کند، وصل شوند. در همه اين موارد، ارتباط امن براي كاربر به عنوان يك شبكه خصوصى به نظر مي رسد در حالیکه اين ارتباط روى يك شبکه عمومى اتفاق مي افتد. تكنولوژى شبكه خصوصى مجازى براي رساندن فعاليت هاي تجاري جاري به اين مرحله طراحي شده است كه آنها به صورت روزافزون تر از ارتباط راه دور و انتشار وسيع عمليات سراسري استفاده كنند‏؛ جايى كه شاغلين بايد قادر باشند به منابع مركزى وصل شده و قادر باشند با يكديگر ارتباط برقرار بكنند.

شبكه‌ سازى خصوصى مجازى با ويندوز سرور 2003 و ويندوز XP پروتكلهاي استاندارد PPTP وL2TP/IPSec ، ويژگي هاي امنيتي پيشرفته‌ از قبيل شناسايى مبنى بر گواهينامه‌ و کنترل قرنطينه دسترسي شبکه، و ويژگيهاي مديريت از قبيل شناسايى متمركز و حسابدارى با RADIUS و مديريت گسترش کلاينت --- با مدير اتصال را پشتيباني مي کند.

----------------------------
منبع: ICTIr