انواع Tunnel
می توانند به طرق مختلفی ایجاد شوند: ها Tunnel
1. تونلهاى اختیاری (tunnels Voluntary)

یك کاربر یا كامپیوتر کلاینت می تواند برای شکل دادن و ایجاد یک تونل اختیاری، درخواست VPN صادر بكند. در این صورت، كامپیوتر کاربر یك نقطه پایان تونلى است و مثل کلاینت تونل رفتار می كند.

2. تونلهاى اجبارى (Compulsory tunnels)
یك سرور دسترسى از طریق شماره‌گیرى ( (dial-up access server شبكه خصوصى مجازى یك تونل اجبارى را شكل داده و به وجود می آورد. در یك تونل اجبارى، كامپیوتر کاربر یك نقطه پایان تونلى نیست. وسیله دیگر، یعنی سرور دسترسى از طریق شماره‌گیرى، بین كامپیوتر کاربر وسرور تونل نقطه پایان تونل است و مثل کلاینت تونل رفتار می كند.

در طول زمان، ثابت شده که تونلهاى اختیاری‌ عامه ‌پسندترند.

ویژگیهای امنیتی پیشرفته VPN
براى اینكه اینترنت ایجاد اتصالات شبكه خصوصى مجازى را از هر جایى آسان می كند، شبكه‌ها به ویژگی های امنیتی قوى احتیاج دارند تا از دسترسى ناخواسته به شبكه‌هاى خصوصى جلوگیری کنند و از اطلاعات خصوصى که در شبکه عمومی منتقل می شوند محافظت كنند. اهراز هویت کاربر و رمزنگاری داده‌ها قبلا مطرح‌شده بوده‌اند. این بخش یک دید كلی از ویژگیهای امنیتی پیشرفته که می توانند با اتصالات VPNویندوز سرور 2003 و ویندوزXP استفاده شوند ارائه می دهد.

1. EAP-TLS و اهراز هویت مبنی بر گواهینامه
رمزگذاری متقارن (قراردادى)، یا كلید خصوصی ، مبنى بر یك كلید محرمانه كه است به وسیله طرفین ارتباط به اشتراك گذاشته می شود.بخش فرستنده با استفاده از كلید محرمانه و با یک سری عملیات ریاضى متن ساده را به متن رمزگذاری شده تبدیل می کند. گیرنده همان كلید محرمانه را برای رمزگشایى متن رمزنگاری شده به متن ساده استفاده می کند. نمونه ای از رمزگذاری متقارن الگوریتم RSA RC4 می باشد که مبنای رمزگذاری نقطه به نقطه میكروسافت11(MPPE)و رمزگذاری استاندارد داده (DES)12 می باشد که برای رمزگذاری IPSec استفاده می شود.

رمزگذاری نامتقارن یا كلید عمومی، دو كلید متفاوت براى هر کاربر استفاده می كند:یك كلید خصوصى که فقط برای یک کاربر شناخته شده است؛ دیگرى یك كلید عمومى یکسان است، كه برای هر كسى قابل دسترسى است.كلیدهاى خصوصى و عمومى به وسیله الگوریتم رمزگذاری به طور ریاضى به یکدیگر مربوط هستند. بسته به طبیعت انجام سرویس ارتباط ، یك كلید براى رمزگذاری و دیگرى براى رمزگشایى به كاررفته می رود.

به علاوه، تكنولوژیهاى رمزگذاری كلید عمومى به امضاهاى دیجیتالی اجازه می دهند تا روى پیغام‌ها قرار گیرند. یك امضاى دیجیتال از كلید خصوصى فرستنده برای رمزگذاری بعضی از قسمت های پیغام استفاده می كند. وقتى که پیغام می رسد، گیرنده از كلید عمومى فرستنده برای رمزگشایی امضاى دیجیتال و اهراز هویت فرستنده استفاده می كند.

1-1. گواهینامه‌هاى دیجیتالی (Digital Certificates)
با رمزگذاری متقارن، هم فرستنده و هم گیرنده یك كلید محرمانه اشتراكى دارند. توزیع كلید محرمانه باید پیش از هر ارتباط رمزگذاری شده انجام شود (با حفاظت كافى) .اما، در رمزنگاری نامتقارن، فرستنده یك كلید خصوصى برای رمزنگاری پیغام‌ها یا امضاء دیجیتالی استفاده می كند، مادامیكه گیرنده یك كلید عمومى برای رمزگشایی این پیغام‌ها استفاده می كند. كلید عمومی به صورت آزادانه برای هر كسى كه نیاز به دریافت پیغام‌های رمزگذاری شده یا به صورت دیجیتالی امضاء شده دارد، توزیع می شود. فرستنده فقط به كلید خصوصى احتیاج دارد که به دقت محافظت می شود.

برای تامین درستى کلید عمومی ، این كلید با یك گواهینامه منتشر شده است. گواهینامه یك ساختمان داده‌ است که به وسیله یك مرجع صلاحیتدار (13(CA به صورت دیجیتالی امضا شده است ؛ یك مرجع صلاحیتدار كه کاربران می توانند اعتماد بكنند. گواهینامه شامل یك سرى ارزشها است، از قبیل نام گواهینامه و كاربرد، اطلاعاتی برای تشخیص هویت صاحب كلید عمومی، خود كلید عمومی ، یك تاریخ انقضا و نام منبع موثق گواهینامه. CA از کلید خصوصى خود برای امضاء و تایید گواهینامه استفاده می كنند.

اگر گیرنده ، كلید عمومی مرجع صلاحیتدار گواهینامه را بشناسد، گیرنده می تواند تأیید بكند كه گواهینامه قطعاً از CA مطمئن است و، بنابراین، شامل اطلاعات موثق و یك كلید عمومى معتبر می باشد. گواهینامه‌ها می توانند به صورت الكترونیكى قابل توزیع باشند (ازطریق وب یا ایمیل)،یا روى كارت‌هاى هوشمند و یا روى فلاپی دیسك‌ها.

به طور خلاصه، كلید عمومى، یك روش قابل‌ اعتماد راحت براى تأیید هویت یك فرستنده فراهم می كند. IPSecمی تواند این روش را به طور اختیارى براى تصدیق هویت سطح گره (peer-level) استفاده کند. سرورهای دستیابی از راه دور می توانند از کلید عمومی بصورتیکه جلوتر شرح داده خواهد شد استفاده کنند.

2-1. پروتکل تصدیق قابل توسعه14(EAP)
همانطوریکه قبلا شرح داده شد، بسیاری از اجرا‌هاى پروتكل نقطه به نقطه ( PPP ) روشهاى اهراز هویت خیلى محدودی را فراهم می كنند. EAP یک استاندارد IETF برای استاندارد PPP است که برای اعتبارسنجی اتصالات PPP مکانیزم های اهراز هویت اختیاری فراهم می کند.EAP برای این طراحی شده است که به ماژولهای plug-in اهراز هویت اجازه دهد در دو نقطه انتهایی یک اتصال یعنی سرور و کلاینت ، به صورت خودکار اضافه شوند. این به فروشندگان اجازه می دهد در هر زمان یك طرح تصدیق جدید فراهم کنند. EAP بیشترین انعطاف ‌پذیرى را در یكتایى و تغییر اهراز هویت فراهم می كند.

EAP در RFC 2284 مستند است و در ویندوز سرور 2003 و ویندوز XP پشتیبانی شده است.

3-1. امنیت سطح انتقالEAP (EAP-TLS) 15
EAP-TLS یک استاندارد IETF (RFC 2716) براى یك روش اهراز هویت قوى مبنى بر كلید عمومى است. با EAP-TLS، یك کلاینت یك گواهینامه کاربر را به سرور dial-in ارائه میدهد و سرور یک گواهی نامه به کلاینت ارائه می دهد. اولا یک تصدیق هویت کاربر قوى برای سرور فراهم می کند؛ ثانیا اطمینان می دهد كه كاربری که منتظر است، به سرور دسترسی یابد. هر دو سیستم به یك زنجیر تصدیق هویت مطمئن برای رسیدگی به اعتبار گواهینامه های پیشنهاد شده متکی هستند.

گواهینامه كاربرمی تواند روى كامپیوترکلاینت VPN یا در یك كارت هوشمند خارجى ذخیره‌ شود . در هر حال، گواهینامه نمی تواند بدون بعضی از فرم های تشخیص هویت کاربر ( شماره‌ پین یا نام و پسورد) بین كاربر و كامپیوتر کلاینت قابل دسترسی باشد. این روش دستیابى بعضی از ضوابط و معیارهایی که شما باید بدانید و داشته باشید که توسط بسیاری از متخصصین امنیت توصیه می شوند، تامین می کند.

EAP-TLS در ویندوز سرور 2003 و ویندوزXP پشتیبانى شده است.EAP-TLS مانند MS-CHAP و MS-CHAP v2 یك كلید رمزگذاری برمی گرداند که رمزگذارى داده های بعدی را توسط MPPE ممکن می سازد.

2. کنترل قرنطینه دسترسی شبکه
کنترل قرنطینه دسترسی شبکه، یك ویژگى جدید در خانواده ویندوز سرور 2003 است که دسترسی از راه دور نرمال به یك شبكه خصوصى را تا زمانیکه پیكربندى كامپیوتر دستیابى از دور به وسیله اسكریپت تهیه شده توسط مدیر ، امتحان واعتبارسنجی نشده به تاخیر می اندازد. هنگامیکه یك كامپیوتر دستیابى از دور یک ارتباط با یک سرور دسترسى از راه دور راه می اندازد، كاربر اهراز هویت شده و به كامپیوتر دستیابى از دوریک آدرسIP تخصیص داده می شود.با این وجود، ارتباطی که در حالت قرنطینه قرار داده‌ شده است، از هر گونه دسترسى به شبكه‌ محدود شده است. اسكریپت تهیه شده توسط مدیرروی كامپیوتر دستیابى از دور اجرا می شود. وقتى كه اسكریپت با موفقیت كامل مى شود، یك مؤلفه را اجراء می كند كه اطلاع می دهد كامپیوتر دستیابى از دور رویه‌هاى امنیتی شبكه جارى را تامین می كند. سرور دسترسى از راه دور حالت قرنطینه را بر می دارد و كامپیوتر دستیابى از دور دستیابى از دورنرمال را تصدیق می کند.

کنترل قرنطینه دسترسی شبکه تركیبی از موارد زیر است:
یك سرور دسترسى از راه دور ویندوز سرور 2003 و یك سرویس شنونده اطلاع دهنده قرنطینه را اجرا می کند.
یك سرور RADIUS ویندوز سرور 2003 و سرویس شناسایى اینترنت (IAS) 16 را اجراء می كند که یك رویه دستیابى از دور قرنطینه پیكره‌بندى شده و تنظیمات قرنطینه را نشان می دهد.
یك پروفایل مدیر ارتباط توسط كیت اداره مدیریت ارتباط ویندوز سرور 2003 ایجاد شده که شامل اسکریپت تامین سیاست و خط مشی شبکه و یك مولفه اخطار دهنده می باشد.
یك کلاینت دستیابى از دور كه ویندوز سرور 2003 ، ویندوز XP، ویندوز 2000، ویندوز Millennium یا ویندوز 98 ویرایش دوم را اجراء می كند.

3. ویژگی قفل حساب دستیابى از دور
ویژگی قفل حساب دستیابى از دور برای تعیین کردن اینکه یک تصدیق دستیابی راه دور چند بار با یک حساب کاربر معتبر شکست خورده قبل از اینکه کاربر دستیابی راه دور را رد کند، بکار می رود. ویژگی قفل حساب دستیابى از دور مخصوصاً براى اتصالات دستیابى از دور VPN از طریق اینترنت مهم است. روى اینترنت کاربران داراى سوء قصد می توانند برای دسترسی به اینترانت یک سازمان با فرستادن اعتبار نامه (نام کاربری معتبر، پسورد حدسی) در طول پروسه تصدیق ارتباط VPN تلاش کنند. در طول یك حمله فرهنگ لغات، كاربر داراى سوء قصد صدها یا هزاران اعتبارنامه با استفاده از لیستی از كلمات عبور مبنى بر كلمات یا عبارات متداول می فرستد. با فعال کردن قفل حساب دستیابى از دور ، یك حمله فرهنگ لغات پس از یك تعداد مشخص‌شده تلاش ناموفق خنثى می شود.

ویژگی قفل حساب دستیابى از دور بین کاربری که به عنوان سوءقصد برای دسترسی به اینترانت شما تلاش می کند و کاربر معتبری که سعی بر دستیابى از دور دارد ولی پسورد خود را فراموش کرده است فرقی قائل نمی شود.کاربرانی كه پسوردشان را فراموش كرده اند معمولا با كلمات عبوری که به خاطر می آورند سعی می کنند وارد شوند و امكان دارد حسابشان قفل شود.

اگر ویژگی قفل حساب دستیابى از دور را فعال كنید، یك كاربر داراى سوءقصد می تواند به طور عمدی با چندین بارتلاش برای تصدیق با حساب کاربر باعث قفل شدن حساب شود و در نتیجه از ورود کاربر معتبر جلوگیری شود.

ویژگی قفل حساب دستیابى از دور با عوض کردن تنظیماتی در رجیستری كامپیوتری كه شناسایى و تصدیق را فراهم می کند پیكره‌بندى می شود. اگر سرور دسترسى از راه دور براى شناسای ویندوز پیكره‌بندى شده است، رجیستری كامپیوتر سرور دسترسى از راه دور را تغییر دهید. اگر سرور دسترسى از راه دور براى شناسایى RADIUS پیكره‌بندى شده است و سرویس شناسایی اینترنت (IAS) در حال استفاده باشد، رجیسترس را روی کامپیوتر سرور IAS تغییر دهید.

4. فیلترگذارى بسته‌اى پروفایل سیاست دستیابى از راه دور
رویه‌ها و خط مشی های دستیابى از دور که تصدیق و محدودیت های ارتباط را تعریف می کند،می توانند برای معیین کردن مجموعه ای از فیلترهای بسته IP که برای اتصالات دستیابی از راه دور بکار می رود، استفاده شود. وقتى كه یک ارتباط پذیرفته می شود، فیلترهای بسته انواع ترافیک IP را که از کلاینت VPN و به کلاینت VPN مجاز هستند، تعریف می کند.

این ویژگى می تواند براى اتصالات اکسترانت (شبکه ارتباطی داخلی- خارجی) به كاررود. یك اکسترانت بخشی از شبكه سازمان شماست كه برای کاربران بیرون از سازمان قابل دسترس می باشد، از قبیل شرکای تجاری و فروشندگان. با استفاده ازفیلترگذارى بسته‌اى پروفایل خط مشی دستیابى از راه دور شما می توانید رویه های دستیابی از راه دور جدیدی ایجاد کنید که اعضای گروه شریکان که فقط می توانند به وب سرورها در آدرس IP خاصی یا روی زیر شبکه خاصی دسترسی داشته باشند مشخص شوند.

همچنین این ویژگى می تواند از فرستادن بسته هایی که اورجینال نیستنند توسط کلاینت دستیابى از راه دور VPN جلوگیری کند. هنگامیکه كامپیوترکلاینت دستیابى از دور یک ارتباط VPN ایجاد می کند، به صورت پیش فرض یک مسیر قراردادی و پیش فرض ایجاد می کند بطوریکه تمام ترافیکی که روی مسیر پیش فرض مچ می شوند، روی اتصال VPN فرستاده می شوند. اگر كامپیوترهاى دیگر ترافیك را به کلاینت دستیابى از راه دور VPN بفرستند، كامپیوتر کلاینت دستیابى از دور به عنوان یك مسیریاب عمل می کند، سپس ترافیک از میان ارتباط VPN ارسال می شود. این یك مسئله امنیتی است چون سرورVPN، كامپیوتری که برای کلاینت دسترسی راه دور VPN ترافیك می فرستد ، تصدیق نمی کند. كامپیوترى که برای کلاینت دسترسی راه دور VPN ترافیك می فرستد دسترسی به شبکه یکسانی مثل کامپیوتر کلاینت VPN دارد.

براى جلوگیری از اینکه سرور VPN ترافیك از میان ارتباط VPN براى كامپیوترها و گذشته از آن كامپیوترهاى کلاینت دستیابى از دور VPN تصدیق ‌شده را دریافت کند،فیلترگذارى بسته‌اى خط مشی دستیابى از راه دور روی رویه دسترسی از راه دورکه برای اتصال VPN شما استفاده می شود، پیكره‌بندى کنید. رویه دسترسی از راه دور پیش فرض برای ویندوز سرور 2003 ، اتصال به مسیریابی ودسترسی راه دور میکروسافت نامیده‌ می شود که همواره فیلترهای بسته ورودی صحیح براى این پیكربندى دارد.

• مرجع: ICTIr.NET