تونل سازی

Tunneling(تونل سازی)

اکثر #شبکه_های_VPN بمنظور ایجاد یک شبکه اختصاصی با قابلیت دستیابی از طریق #اینترنت از امکان “#Tunneling” استفاده می نمایند. در روش فوق تمام بسته اطلاعاتی در یک بسته دیگر قرار گرفته و از طریق شبکه ارسال خواهد شد. پروتکل مربوط به بسته اطلاعاتی خارجی (پوسته) توسط شبکه و دو نقطه (ورود و خروج بسته اطلاعاتی ) قابل فهم می باشد. دو نقطه فوق را “#اینترفیس_های_تونل” می گویند. روش فوق مستلزم استفاده از سه پروتکل است :

#پروتکل_حمل_کننده : از پروتکل فوق شبکه حامل اطلاعات استفاده می نماید.
#پروتکل_کپسوله_سازی: از پروتکل هائی نظیر: IPSec,L2F,PPTP,L2TP,GRE استفاده می گردد.
#پروتکل_مسافر : از پروتکل هائی نظیر IPX,IP,NetBeui بمنظور انتقال داده های اولیه استفاده می شود.

با استفاده از روش Tunneling می توان عملیات جالبی را انجام داد. مثلا” می توان از بسته ای اطلاعاتی که پروتکل اینترنت را حمایت نمی کند ( نظیر NetBeui) درون یک بسته اطلاعاتی IP استفاده و آن را از طریق اینترنت ارسال نمود و یا می توان یک بسته اطلاعاتی را که از یک #آدرس_IP غیر قابل روت ( اختصاصی ) استفاده می نماید، درون یک بسته اطلاعاتی که از آدرس های معتبر IP استفاده می کند ، مستقر و از طریق اینترنت ارسال نمود.
در شبکه های VPN از نوع ” سایت به سایت ” ، #GRE)generic_routing_encapsulation) بعنوان پروتکل کپسوله سازی استفاده می گردد. فرآیند فوق نحوه استقرار و بسته بندی ” پروتکل مسافر” از طریق پروتکل ” حمل کننده ” برای انتقال را تبین می نماید. ( پروتکل حمل کننده ، عموما” IP است ) . فرآیند فوق شامل اطلاعاتی در رابطه با نوع بست های اطلاعاتی برای کپسوله نمودن و اطلاعاتی در رابطه با ارتباط بین #سرویس_گیرنده و #سرویس_دهنده است . در برخی موارد از پروتکل IPSec (در حالت tunnel) برای کپسوله سازی استفاده می گردد. پروتکل IPSec، قابل استفاده در دو نوع شبکه VPN (سایت به سایت و دستیابی از راه دور) است. #اینترفیش های Tunnel می بایست دارای امکانات حمایتی از IPSec باشند.
در شبکه های VPN از نوع ” دستیابی از راه دور ” ، Tunneling با استفاده از PPP انجام می گیرد. PPP بعنوان حمل کننده سایر پروتکل های IP در زمان برقراری ارتباط بین یک سیستم میزبان و یک سیستم ازه دور ، مورد استفاده قرار می گیرد.
هر یک از پروتکل های زیر با استفاده از ساختار اولیه PPP ایجاد و توسط شبکه های VPN از نوع “دستیابی از راه دور” استفاده می گردند:
(L2F)Layer 2 Forwarding) : پروتکل فوق توسط سیسکو ایجاد شده است. در پروتکل فوق از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند، استفاده شده است .
PPTP) Point-to-Point Tunneling Protocol): پروتکل فوق توسط کنسرسیومی متشکل از شرکت های متفاوت ایجاد شده است . این پروتکل امکان رمزنگاری ۴۰ بیتی و ۱۲۸ بیتی را دارا بوده و از مدل های تعیین اعتبار کاربر که توسط PPP حمایت شده اند ، استفاده می نماید.
(L2TP): پروتکل فوق با همکاری چندین شرکت ایجاد شده است .پروتکل فوق از ویژگی های PPTP و L2F استفاده کرده است . پروتکل L2TP بصورت کامل IPSec را حمایت می کند. از پروتکل فوق بمنظور ایجاد تونل بین موارد زیر استفاده می گردد :
 سرویس گیرنده و روتر

 روتر و NAS

 روتر و روتر

عملکرد Tunneling مشابه حمل یک کامپیوتر توسط یک کامیون است . فروشنده ، پس از بسته بندی کامپیوتر ( پروتکل مسافر ) درون یک جعبه (پروتکل کپسوله سازی) آن را توسط یک کامیون (پروتکل حمل کننده) از انبار خود (ایترفیس ورودی تونل) برای متقاضی ارسال می دارد. کامیون (پروتکل حمل کننده) از طریق بزرگراه (اینترنت) مسیر خود را طی، تا به منزل شما (اینترفیش خروجی تونل) برسد. شما در منزل جعبه (پروتکل کپسول سازی) را باز و کامپیوتر (پروتکل مسافر) را از آن خارج می نمائید.

فايروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا" سفارشی نصب و پيکربندی کرد. در اين راستا امکان اضافه و يا حذف فيلترهای متعدد بر اساس شرايط متفاوت وجود خواهد داشت :

بهینه سازی استفاده از فایروال

فایروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا” سفارشی نصب و پیکربندی کرد. در این راستا امکان اضافه و یا حذف فیلترهای متعدد بر اساس شرایط متفاوت وجود خواهد داشت :

آدرس های IP

هر ماشین بر روی اینترنت دارای یک آدرس منحصر بفرد با نام IP است . IP یک عدد ۳۲ بیتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمایش داده می شود (Octet) . در صورتیکه یک آدرس IP خارج از شبکه، فایل های زیادی را از سرویس دهنده می خواند ( ترافیک و حجم عملیات سرویس دهنده را افزایش خواهد داد) فایروال می تواند #ترافیک از مبداء آدرس فوق و یا به مقصد آدرس فوق را بلاک نماید.

اسامی دامنه ها ( حوزه )

تمام سرویس دهندگان بر روی اینترنت دارای اسامی منحصر بفرد با نام ” #اسامی_حوزه” می باشند. یک سازمان می تواند با استفاده از فایروال، دستیابی به #سایت هائی را غیرممکن و یا صرفا” امکان استفاده از یک سایت خاص را برای پرسنل خود فراهم نماید.
– پروتکل ها . پروتکل نحوه گفتگوی بین سرویس دهنده و سرویس گیرنده را مشخص می نماید . پروتکل های متعدد با توجه به اهداف گوناگون در اینترنت استفاده می گردد. مثلا” http پروتکل وب و Ftp پروتکل مربوط به دریافت و یا ارسال فایل ها است . با استفاده از فایروال می توان، میدان فیلتر نمودن را بر روی #پروتکل ها متمرکز کرد. برخی از پروتکل های رایج که می توان بر روی آنها #فیلتر اعمال نمود بشرح زیر می باشند :
IP)(Internet Protocol)) پروتکل اصلی برای عرضه اطلاعات بر روی اینترنت است .
TCP)(Transport Control Protocol)) مسئولیت تقسیم یک بسته اطلاعاتی به بخش های کوچکتر را دارد.
(HTTP) ( Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه اطلاعات در وب است.
FTP)(File Transfer Protocol)). پروتکل فوق برای دریافت و ارسال فایل ها استفاده می گردد.
(UDP) (User Datagram protocol). از پروتکل فوق برای اطلاعاتی که به پاسخ نیاز ندارند استفاده می شود( پخش صوت و تصویر)
(ICMP)(Internet control Message Protocol ). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابین استفاده می شود.
SMTP)(Simple Mail Transfer Protocol)) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.
(SNMP)(Simple Network Management Protocol).از پروتکل فوق بمنظور اخذ اطلاعات از یک کامپیوتر راه دور استفاده میشود
Telnet . برای اجرای دستورات بر روی یک کامپیوتر از راه دور استفاده می گردد.

پورت ها

هر #سرویس_دهنده ، خدمات مورد نظر خود را با استفاده از #پورت های شماره گذاری شده بر روی #اینترنت ارائه می دهد. مثلا” سرویس دهنده #وب اغلب از پورت ۸۰ و سرویس دهنده Ftp از پورت ۲۱ استفاده می نماید. یک سازمان ممکن است با استفاده از #فایروال امکان دستیابی به پورت ۲۱ را بلاک نماید.

کلمات و عبارات خاص

می توان با استفاده از فایروال کلمات و یا عباراتی را مشخص نمود تا امکان کنترل #بسته_های_اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی که حاوی کلمات مشخص شده باشد توسط فایروال بلاک خواهد شد.
همانگونه که اشاره شد فایروال ها به دو صورت #نرم_افزاری و #سخت_افزاری استفاده می گردند.فایروال های نرم افزاری بر روی کامپیوتری نصب می گردند که خط اینترنت به آنها متصل است .کامپیوتر فوق بمنزله یک Gateway رفتار می نماید چون تنها نقطه قابل تماس، بمنظور ارتباط کامپیوتر و اینترنت است . زمانیکه فایروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود. امنیت فایروال های سخت افزاری بمراتب بیشتر از فایروال های نرم افزاری است .