[ April 27, 2005 ] VPN چيست؟ (بخش چهارم)

iritn.com
منبع : از مجله رايانه شماره 127

VPN با لينوكس (2)
در بخش پيش بر پايه لينوكس 2.4 و Free S/WAN يك VPN Security Gateway راه انداختيم. با نصب patch هاي x.509 (www.strongsec.com/freewan/) Gateway را با تنامين اعتبار هاي مطمئن و رمز گذاري هاي قوي كامل كرديم. به اين ترتيب پيكر بندي سرويس دهنده به پايان مي رسد. اكنون بايد سرويس گيرنده ها را براي دسترسي به VPN تنظيم كنيم. فرض مي كنيم كه سيستم عامل مورد استفاده كاربران بيرون از شبكه ويندوز 2000 و xp است كه هر دوي آنها برنامه هاي لازم براي ايجاد و مديريت ارتباط هاي IPsec را در خود دارند.
البته بايد اين احتمال را نيز در نظر گرفت كه شايد برخي كاربران با سيستم ويندوز 9x/Me قصد استفاده از VPN را داشته باشند. در اين حالت به يك برنامه سرويس گيرنده IPsec نياز داريم. يكبار معروفترين اين برنامه ها كه براي كاربردهاي شخصي رايگان است PGPnet مي باشد. اين برنامه را مي توان حتي روي ويندوز هاي NT و 2000 هم بكار برد.

ويندوز 2000 و XP
ويندوز هاي 2000و XP با توجه به پشتيباني از IPsec براي استفاده به عنوان سرويس گيرنده IPsec بسيار مناسبند. اين دو سيستم عامل افزون بر سرويس هاي IPsec امكاناتي هم براي ايمني IP دارند. براي ساختن يك تونل VPN، كافي است كه به كاربر تنها سرويس IPsec را اجرا كرده و گزينه هاي لازم را در آن تنظيم كند.
البته فرض بر اين است كه تنظيمات امنيتي از پيش انجام شده باشد. انجام اين كار در ويندوز چندان ساده نيست. در ويندوز 2000 بايد برنامه IPsecPOL
http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp
را از ResourceKit نصب كنيد. در ويندوز XP بجاي آن به IPsecCmd نياز داريم. براي دستيابي به اين برنامه بايد Support Tools را در ويندوز XP به طور كامل نصب كنيد(فهرست \SUPPORT\TOOLS روي CD ويندوز XP).

تنظيم ipsec.conf
اكنون ipsec.conf را كه قبلا آماده كرده بوديم مطابق كاربردمان تنظيم كنيم. در conn %default ارتباط هاي تلفني(Dail up) كه بايد به طور خودكار فعال شوند مشخص مي شوند.
سپس بخشي قرار مي گيرد كه با conn آغاز مي شود و پارامترهاي ارتباط VPN را در خود دارد. آدرس هاي محلي كه به طور خودكار براي آدرس هاي سرويس گيرنده ها به كار مي روند با با left = %any مشخص مي شوند. در right آدرس IP مربوط به VPNGateway را واردكنيم. پارامترrightsubnet هم آدرس IP و ماسك شبكه اي كه ارتباط با آن برقرار مي شود را در خود دارد. در اينجا مي توانيد از هر دو شيوه نوشتن آدرس ها يعني 172.16.0.0/16 يا172.16.0.0/255.255.0.0 استفاده كنيد. Network مشخص مي كند كه ارتباط از طريق تماس تلفني (network = ras)، شبكه (network = lan) يا هر دو (network = both) برقرار شود.

پيكر بندي سرويس گيرنده
اكنون بايد فايل آرشيوي كه براي گواهينامه كاربر، رمز عبور،IPsec و ipsec.conf ساختيم را از يك راه مطمئن (مثلا Email رمز گذاري شده) به كامپيوتر سرويس گيرنده بفرستيم. پس از باز كردن اين فايل، بايد يكSnap in را همان طور كه در شكل مي بينيد اضافه كنيد . براي اين منظور در "Start,Run" ، mmc را وارد كنيد. سپس از طريق "File,Add/Remove Snap-in" يك Plug in از از جنس Certificate بسازيد. اين Plug in بايد از جنس Compeuter account براي Local computer باشد. پس از اتمام كار و زدن كليدهاي Finish ، Close وOk ،Plug in را در پنجره MMC خواهيد ديد.

خلاصه
لينوكس و Free S/WAN براي ساختن VPN راه حل هايي هستند كه در مقايسه با راه حل هاي سخت افزاري بسيار ساده تر و كم هزينه تر است. به ويژه سرويس گيرنده هاي ويندوز 2000 و XP با توجه به دسترس بودن برنامه هاي لازم بسيار ساده و سريع پيكربندي مي شوند. اما هنگام راه اندازي VPN نبايد يك نكته فراموش كرد. VPN اگر چه مطمئن است اما اين اطمينان تا وقتي است كه كامپيوترها در هماهنگي كامل با يكديگر باشند. اگر از VPN به درستي محافظت نشود بستر بسيار مناسبي براي ويروس ها، كرم ها، اسب هاي تروآيي و كاربران غير مجاز خواهد بود. بنابراين استفاده از برنامه هاي ضد ويروس و ديواره آتش را نبايد فراموش كنيد.