در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008 – قسمت اول

در این مقاله بر تکنولوژی های پیشرفته فناوری VPN و ارائه توضیحاتی در خصوص پروتکل های VPN و همچنین پیاده سازی جدیدترین پروتکل VPN به نام SSTP خواهیم پرداخت . یکی از بهترین امکاناتی که شبکه ها در اختیار ما قرار می دهند امکان دسترسی از راه دور یا Remote Access است که دیگر می توان به عنوان یکی از مهمترین ابزارهای کاربردی افراد از آن نام برد . همانطور که نیاز به دسترسی از راه دور به منابع داخل شبکه و سرویس ها داخل شبکه آن گسترش می یابد امکان دسترسی نیز به مراتب از اهمیت ویژه ای برخوردار می شود و افراد به این مورد نیاز دارند که بتوانند از هر جا در دنیا به این منابع دسترسی پیدا کنند . بزودی زمانی را خواهید دید که این جمله زیاد شنیده می شود : به محض اینکه به کامپیوترم دسترسی پیدا کنم اطلاعات مورد نیاز شما را به شما ارائه خواهم داد . در دنیای امروزی سرعت دسترسی به اطلاعات از اهمیت بسیار زیادی برخوردار است و شما بایستی بتوانید اطلاعات را به محض اینکه از شما درخواست می شود در هر محیطی در اختیار کارکنانتان قرار دهید .

در عهد پارینه سنگی و غارنشینی یکی از روش های دسترسی پیدا کردن به اطلاعات از راه دور استفاده از خطور Dial-Up بود . سرویسی که برای برقراری اینگونه ارتباطات مورد استفاده قرار می گرفت از بستر POTS یه سرویس تلفن قدیمی استفاده می کرد که نهایتا می توانست سرعت 56 کیلو بیت بر ثانیه را به شما ارائه دهد ( در محیط آزمایشگاه ) . سرعت یکی از مهمترین معضلات اصلی این روش اتصال از راه دور بود اما مشکل مهمتر مدت زمانی بود که خطوط تلفن اشغال می شدند و هزینه ای بود که بابت سرویس تلف مخابرات می بایست پرداخت می شد.با معرفی شدن و گسترش سرویس های اینترنت دیگر تا حد زیادی استفاده از ارتباطات Dial-Up منسوخ شد و کمتر مورد اسفاده قرار می گرفت. دلیل اصلی این موضع هم معرفی سرویسی به نام Virtual Private Network یا شبکه خصوصی مجازی بود . سرویس های VPN همان قابلیت سرویس های Dial-Up را به ما می دادند با این تفاوت که می توانستند این امکان را امنیت ، سرعت و هزینه کمتری انجام دهند ، سرعت VPN می تواند برابر با سرعت ارتباط اینترنتی باشد که شرکت دارد و شما به غیر از هزینه اینترنت هزینه دیگری را نخواهید داشت.

شبکه خصوصی مجازی چیست ؟


یک ارتباط VPN به کامپیوتر این امکان را می دهد که بتواند یک ارتباط ایمن و خصوصی و البته مجازی را بر روی شبکه اینترنت به سمت شبکه مقصد ایجاد کند . این ارتباط مجازی است ، به این دلیل که زمانی که کامپیوتر با استفاده از VPN به مقصد مرتبط می شود به عنوان یک Node از شبکه داخلی آن شرکت ، یا بهتر بگوییم به عنوان یک کلاینت که با کابل اترنت به شبکه داخلی شرکت متصل شده است شناخته می شود و به گونه ای به ظاهر کاملا درون شبکه مقصد قرار دارد ، در حالی که اینطور نیست . یک کاربر می تواند به تمامی منابع شبکه ای که بصورت عادی و در صورت حضور فیزیکی در شبکه مقصد در اختیار دارد دسترسی پیدا کند . اما دلیل دیگر بر مجازی بودن این ارتباط این است که ارتباطی که از VPN Client به VPN Server انجام می شود یک ارتباط شبکه واقعی نیست و لینک ارتباطی شما اینترنت است نه کابل اترنت شبکه داخلی. ارتباطی که برقرار می شود خصوصی نیز می باشد ، دلیل این خصوصی بودن این است که اطلاعات منتقل شده در این مسیر بصورت رمزنگاری شده در می آیند و هیچ کسی که در این میان قرار دارد در صورت دریافت اطلاعات قادر به کشف اطلاعات درون آن نمی باشد و به همین دلیل اطلاعات محرمانه و خصوص باقی می مانند .

سیستم عامل های شرکت مایکروسافت از زمانی که ویندوز NT و ویندوز 95 به بازار ارائه داده شدند از پروتکل های VPN پشتیبانی می کردند .همانطور که سیستم عامل ها از این پروتکل ها پشتیبانی می کردند ، این پروتکل ها نیز روز به روز پیشرفت و گسترش پیدا کردند . ویندوز سرور 2008 و ویندوز ویستا سرویس پک یک به بالا از سه نوع پروتکل VPN پشتیبانی می کنند که به شرح ذیل می باشند :

  • PPTP یا Point To Point Tunneling Protocol
  • L2TP یا Layer Two Tunneling Protocol
  • SSTP یا Secure Socket Tunneling Protocol

PPTP ساده ترین و آسانترین پروتکل برقراری ارتباط VPN است اما در عین سادگی نسبت به پروتکل های دیگر VPN از امنیت کمتری برخوردار است. دلیل اینکه این پروتکل PPTP نسبت با سایر پروتکل ها از امنیت کمتری برخوردار است این است که مشخصات کاربری بر روی یک لینک ایمن تبادل نمی شوند . در واقع رمزنگاری داده ها پس از انتقال مشخصات کاربران انجام می شود . البته رمز و مشخصات احراز هویت کاربر بصورت متن ساده رد و بدل نمی شوند و در قالب یک فایل Hash شده منتقل می شوند اما در این میان یک مهاجم می تواند این Hash را پیدا کرده و بر اساس آن رمز عبور کاربر را پیدا کند و سرور VPN رو مورد حمله قرار دهید .

نمونه ایمن تر از پروتکل های VPN پروتکل L2TP//IPSec است . L2TP//IPSec یک طراحی مشترک از مایکرسافت و سیسکو بود . L2TP//IPSec بسیار بسیار از PPTP ایمن تر بود به دلیل اینکه قبل از اینکه مشخصات کاربری را تحت شبکه منتقل کند با استفاده از پروتکل IPSec نشست بین کاربر و سرور را ایمن سازی می کند و سپس مشخصات را در شبکه بصورت رمزنگاری شده ارسال می کند . در این روش دیگر هکر ها قادر نخواهند بود در میان خط بنشینند و اطلاعات را شنود کنند . یکی دیگر از قابلیت های L2TP//IPSec به نام Mutual Authentication میباشد که امکان احراز هویت دو طرفه را به ما می دهد به این معنا که ضمن اینکه سرور مشخصات کاربر را احراز هویت می کند ، کاربر نیز سرور را احراز هویت می کند و همین امر به سرور این امکان را می دهد که به درخواست های ارتباط VPN از نوع L2TP//IPSec به هر کسی جواب ندهد . IPSec به ما سرویس های احراز هویت ، صحت داده ها ، محرمانگی داده و انکار ناپذیری را ارائه می دهد . L2TP از مکانیزم های احرازهویت کاربرPPP و EAP پشتیبانی می کند که به ما امکانات گسترده ای در زمینه احراز هویت کاربران و سرور ها را ارائه می دهد .

در ویندوز ویستا سرویس پک یک و ویندوز سرور 2008 و بعد از آن ، پروتکل جدیدی به نام SSTP توسط مایکروسافت معرفی شد . SSTP از پروتکل SSL برای رمزنگاری کردن ارتباطات HTTP برای برقرار ارتباط با VPN Gateway استفاده می کند . SSTP پروتکل بسیار ایمنی است به دلیل اینکه تا قبل از اینکه یک ارتباط SSL ایمن بین کلاینت و سرور برقرار نشود مشخصات کاربری را در شبکه ارسال نمی کند ، به SSTP برخی اوقات PPP بر روی SSL نیز گفته می شود ، این بدین معناست که مکانیزم های PPP و SSL با یکدیگر ترکیب می شوند و در نهایت باعث ایجاد SSTP می شوند .

پنهان شدن امنیت نیست


همنجا باید به یک نکته اشاره کنم که ارتباطات VPN بیشتز اینکه باعث ایجاد امنیت باشند ، شما را مخفی نگه می دارند . هرچند که مخفی ماندن در محیط اینترنت به نوعی بخشی از امنیت محسوب می شود اما خود VPN به تنهایی امنیت را ایجاد نمی کند .تکنولوژی VPN باعث می شود که دیگران در اینترنت نتوانند اطلاعات شما را مشاهده و آنرا بخوانند ، آنها نمی توانند محتویات ارتباط شما را مشاهده کنند . این تکنولوژی از اینکه کاربران مجاز به منابع مورد نظرشان دسترسی پیدا کنند ساخته شده است و کاربران را احراز هویت می کند . اما همیشه به یاد داشته باشیم که مخفی ماندن ، احراز هویت و تعیین سطوح دسترسی یک راهکار جامع امنیتی همیشگی نیست .فرض کنید که شما به یک کارمند اجازه دسترسی به شبکه را از طریق VPN داده اید ، با توجه به اینکه ویندوز سرور 2008 شما از پروتکل EAP پشتیبانی میکند ، شما تصمیم میگیرید که از کارت های هوشمند برای احراز هویت کاربران با استفاده از پروتکل L2TP//IPSec را استفاده کنید. استفاده همزمان از L2TP//IPSec و کارت هوشمند درصد امنیتی بسیار خوبی را برای احراز هویت ایجاد میکند . خوب این ساختار شما به درستی کار کرده و همگی خوشحال هستند .

همه چیز حوب پیش می رود تا زمانیکه یک کاربر به SQL Server شما متصل شده و اطلاعات مربوط به قسمت مالی را دریافت و آنها را بین دوستانش به اشتارک می گذارد . خوب چه اتفاقی افتاد ؟ آیا ارتباط VPN امنیت نداشته ؟ در واقع VPN امنیت را به درستی برقرار کرده است به گونه ای که مخفی سازی ، احراز هویت و سطح مجاز دسترسی را تعیین کرده است ، اما چیزی که در اینجا پیاده سازی نشده بود کنترل های دسترسی بود ، و در مبحث کامپیوتر کنترل های دسترسی اصلی ترین قسمت در امنیت اطلاعات محسوب می شوند . در واقع میتوان اینطور برداشت که در صورتیکه کنترل های دسترسی در ساختار های امنیتی وجود نداشته باشند ، هیچ پارامتر امنیتی به درستی کار نخواهد کرد .

اگر می خواهید ارتباط VPN شما واقعا ایمن باشد ، بایستی VPN Gateway شما این قابلیت را داشته باشد که بر اساس نام کاربری و گروه های کاربری سطوح دسترسی را بر اساس قانون کمترین سطح دسترسی ممکن یا Least Privilege تعیین کند . VPN Gateway های پیشرفته مانند ISA server و TMG این قابلیت را دارند که می توانند سطوح دسترسی را بر اساس نام کاربری و گروه ها تعیین کنند . علاوه بر این اینگونه ابزارهای میتوانند یک کنترل بسیار مناسب امنیتی را بر روی بسته های اطلاعاتی انجام داده و ارتباطات VPN را واکاوی کنند . اما داشتن فایروالی مثل ISA Server که این قابلیت را داشته باشد نیازمند هزینه برای خریداری این نرم افزار است و ویندوز سرور 2008 هم بصورت پیشفرض نمی تواند این امکان را به کاربران بدهد ، البته ما در ایران هستیم و این دغدغه ها برای ما وجود ندارد اما خوب کمی هم ایده آل فکر کردیم . اما می تواند در ویندوز سرور 2008 تمهیداتی را قائل شد که بتوان این امکان را ایجاد کرد و دیگر نیازی به استفاده از فایروال هایی که گفتیم را نخواهید داشت . در این مقاله بیشتر در خصوص اجزای تشکیل دهنده VPN و چگونگی راه اندازی آن در ویندوز سرور 2008 صحبت خواهیم کرد ، اگر سئوال در خصوص راه اندازی VPN در آیزا سرور دارید میتوانید در قسمت تالار گفتمان سئوالات خود را مطرح کنید .

دلایل معرفی پروتکل جدید VPN


مایکروسافت دو نوع پروتکل برای استفاده در ساختار های VPN خود دارد ، پس چه نیازی به معرفی و استفاده از یک پروتکل جدید است ؟ SSTP یک پروتکل بسیار پیشرفته VPN است که این امکان را به کاربران VPN می دهد که بدون وجود مشکلاتی که پروتکل های PPTP و L2TP در برخورد با فایروال ها و ساختارهای NAT وجود داشت بتوانند ارتباطات را برقرار کنند . برای برقراری ارتباط PPTP در پشت یک NAT نیاز به این می باشد که نرم افزار NAT از قابلیت PPTP در NAT Editor را پشتیبانی کند . اگر NAT Editor در دستگاه NAT وجود نداشته باشد ، ارتباط PPTP برقرار نخواهد شد .

پروتکل L2TP//IPSec هم با دستگاه های NAT و فایروال ها تا حدی مشکل دارد ، برای اینکه این سرویس بتواند به درستی فعالیت کند شما بایستی پورت های شماره 1701 UDP خروجی ، پورت IPSec IKE خروجی به شماره 500 UDP و همچنین پورت 4500 UDP خروجی برای قابلیت NAT Traversal را باز کنیم . بیشتر فایروال هایی که در مکان های عمومی مثل هتل ها ، سالن های کنفرانس و امثال اینها قرار دارند تعداد پروت های محدودی را باز نگه می دارند ، مثلا پورت 80 برای HTTP و پورت 443 برای HTTPS را باز نگه داشته و مابقی را بلوکه می کنند . خوب در این حالت شما نمی توانید از ارتباطات VPN استفاده کنید ، زیرا پورت های متناظر با آنها در فایروال بسته شده اند .

در مقابل سرویس SSTP این قابلیت را به ما می دهد که بتوانیم ترافیک خود را از درون پروتکل دیگری مثل SSL که از پورت 443 عبور می کند عبور داده و Tunnel خود را بر روی SSL قرار بدهیم . به دلیل اینکه اکثر فایروال ها پورت 443 را بر روی خود باز نگه می دارند دیگر مشکلی در برقراری ارتباط به VPN Server خود نخواهید داشت ، زیرا دیگر نیازی به تعریف پورت جدید در فایروال نخواهید داشت . خوب اضافه شدن این قابلیت به ویندوز سرور 2008 این امکان را به ما می دهد که دیگر بدون دغدغه بسته بودن پورت ها بر روی فایروال در تمامی مکان هایی که صرفا پورت 443 آنها باز هستند ارتباط VPN خود را برقرار کنیم .

فرآیند برقراری اتصال از نوع SSTP


فرآیندی که در برقراری و ایجاد یک ارتباط از نوع SSTP انجام می شود به شرح مراحل زیر است :

  1. SSTP VPN Client یک ارتباط بر روی یک پورت تصادفی TCP با VPN Gateway را برقرار می کند ، این پورت بر روی پورت 443 مربوط به VPN Gateway منتقل می شود.
  2. SSTP VPN Client پیام SSL Client-Hello به سمت سرور ارسال می کند که به معنی این است که Client قصد برقراری ارتباط از نوع SSL با استفاده از SSTP را دارد ، می باشد .
  3. SSTP VPN Gateway در ادامه Certificate مربوط به کامپیوتر خود را به سمت SSTP VPN Client ارسال میکند.
  4. در ادامه ابتدا SSTP VPN Client در قسمت Trusted Root Certification Authorities به دنبال CA مربوط به SSTP Gateway می گردد تا صحت آن را بررسی کند . پس از بررسی و دریافت صحت CA ، SSTP VPN Client با استفاده از CA یا بهتر بگوییم Public Key مربوط به SSTP VPN Gateway کلیه داده های ارتباطی خود را با استفاده از SSL رمز نگاری کرده و به وسیله SSTP به سمت SSTP VPN Gateway ارسال می کند
  5. SSTP VPN Gateway کلید Session ایجاد شده را با استفاده از Private Key خود رمزگشایی می کند. تمامی ادامه ارتباطی که بین VPN Client و VPN Gateway انجام می شود بصورت رمزنگاری شده به وسیله کلید رمزی است که بین ایندو رد و بدل شده است.
  6. SSTP VPN Client یک درخواست HHTP over SSL یا همان HTTPS را برای SSTP VPN Gateway ارسال می کند.
  7. SSTP VPN Client یک Tunnel از نوع SSTP در بین VPN Client و VPN Gateway ایجاد می کند.
  8. SSTP VPN Client با SSTP Server در خصوص استفاده از PPP بر روی ارتباط ها وارد مذاکره می شود . این مذاکرات شامل شیوه احراز هویت کاربر با استفاده از روش های احزار هویت PPP مانند EAP و غیره می باشد ، و همچنین در خصوص استفاده از IPv4 و یا IPv6 نیز با یکدیگر مذاکره می کنند .
  9. SSTP VPN Client در نهایت شروع به ارسال و دریافت ترافیک بر روی لینک PPP با استفاده از IPV4 یا IPV6 می کند .

برای دوستانی که قصد دارند از واقعیت و زیر و بم اینگونه ارتباط مطلع بشوند شکل شماره الف را در پایین قرار داده ام که میتوانید این روند را بصورت تمام و کمال در آن مشاهده کنید . به این نکته توجه داشته باشید که SSTP یک Header اضافی مشابه Header ای که در بسته های پروتکل های دیگر VPN استفاده می شود را در خود دارد . این Header به دلیل وجود Encapsulation اضافی است که در Header خود SSTP و HTTPS وجود دارد . L2TP و PPTP دارای Header های لایه کاربردی یا هفتم برای Encapsulation داده ها نیستند .

آموزش راه اندازی SSTP

در ادامه ما برای اینکه روش کار SSTP را بهتر برای شما تشریح کنیم از یک مدل با سه کامپیوتر استفاده می کنیم ، نام و ویژگیهای هر ماشین به شکل زیر هستند :

ویندوز ویستا در نقش کلاینت

  • نسخه Business و سرویس پک یک
  • عدم عضویت در دامین

ویندوز سرور 2008 2008RC0-VPNGW در نقش VPN GAteway

  • نسخه Enterprise
  • دارای دو کارت شبکه داخلی و خارجی
  • عضو دامین

ویندوز سرور 2008 در نقش دامین کنترلر

  • دامین کنترلر دامین MSFIREWALL.ORG
  • DHCP سرور
  • DNS سرور
  • Certificate Server

دقت کنید که حداقل بایستی از ویندوز ویستا سرویس پک 1 به عنوان کلاینت استفاده کنید . با اینکه ویندوز XP سرویس پک 3 از پروتکل SSTP پشتیبانی می کند ام ادر برخی اوقات مشکلاتی را به وجود می آورد . در هر صورت به شما پیشنهاد می کنم که برای استفاده از SSTP حتما ویندوز Seven یا سرویس پک 1 ویندوز ویستا را به عنوان کلاینت استفاده کنید . تنظیمات پیشرفته سناریویی که مطرح کردیم را می توانید در شکل زیر مشاهده کنید :

آموزش راه اندازی SSTP سرور

خلاصه


در این مقاله بصورت خلاصه به بررسی برخی از روش ها دسترسی از راه دور یا Remote Access در شبکه پرداختیم ، پروتکل های مهمی که در برقراری ارتباطات VPN به ما کمک می کنند را که در ویندوز های سرور و کلاینت مورد استفاده قرار می گیرند را معرفی کردیم ، و سپس به مسائل امنیتی مربوط به پروتکل های VPN اشاره کردیم . در ادامه مشاهده کردیم که SSTP چگونه توانست محدودیت های امنیتی و مشکلاتی که در سایر پروتکل های VPN مانند PPTP و L2TP وجود داشت را پوشش دهد . در نهایت به معرفی یک سناریو پرداختیم که در مقاله بعدی به روش های پیاده سازی آن بصورت کاملا عملی و کاربردی خواهیم پرداخت . خوب منتظر مقاله بعدی باشید که بزودی در وب سایت قرار خواهد گرفت.ITPRO باشید

نویسنده : تام شیندر

مترجم : محمد نصیری

منبع : جزیره سرویس های شبکه وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی میباشد

#آموزش_قدم_به_قدم_راه_اندازی_VPN #آموزش_راه_اندازی_VPN_Server #آموزش_راه_اندازی_SSTP_سرور #تفاوت_SSTP_یا_L2TP #آموزش_راه_اندازی_سرور_VPN #آموزش_راه_اندازی_VPN_در_سرور_2008 #تفاوت_SSTP_با_PPTP
عنوان
1 آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008 – قسمت اول رایگان
2 آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008 – قسمت دوم رایگان
3 آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008 – قسمت سوم رایگان
زمان و قیمت کل 0″ 0
3 نظر
امیر دنیایی

اگه یکی اس اس ال داشته باشه باز نیاز به دوتا سرور داره یا نه

بزار کمی بیشتر بازکنم من گواهی اس اس ال رو از سایت comodo می گیرم باز نیاز به سرور دوم دارم یا نه

اگه یه اموزشی هم با سایت کومودو که تریال 90 روزه میده بزارید عالی میشه

محمد نصیری

سناریوهای مختلفی در این خصوص وجود داره ، ما در اینجا فرض رو بر این گرفتیم که CA یا همون مرکز صدور گواهی رو نداریم ، حالا اگر وجود داشته باشه میتونید از اون استفاده کنید ، فقط مهم اینه که هم کلاینت و هم هر دوی سرورها با این CA اعتماد یا Trust داشته باشند ... همین

امیر دنیایی

درسته

اگه داشته باشیم اونوقت چطور باید عمل کنیم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....