نمایش نتایج: از شماره 1 تا 8 از مجموع 8
سپاس ها 6سپاس
  • 1 توسط Hakimi
  • 2 توسط cy6er
  • 1 توسط 1qaz2wsx
  • 1 توسط Hakimi
  • 1 توسط Hakimi

موضوع: WebVPN - SSL VPN

  
  1. #1
    نام حقيقي: احسان

    عضو عادی
    تاریخ عضویت
    Mar 2013
    محل سکونت
    تهران
    نوشته
    352
    سپاسگزاری شده
    186
    سپاسگزاری کرده
    96

    WebVPN - SSL VPN

    سلام دوستان
    چند روز پیش داخل شرکت بحثی شد مبنی بر اینکه کاربران خارج از شرکت بدون استفاده از وی پی ان و مشکلات موجودش بتونند به شبکه داخلی شرکت دسترسی پیدا کنند ! یکی از مدیران هم رفت داخل اینترنت گشت و رسید به مفاهیمی که در عنوان تاپیک خوندید . از من خواسته تا در موردش اطلاعات جمع کنم . اینکه چه چیزایی نیاز داریم و اصلا چقدر شدنی هست و چه دردسرهایی برای ما و کلاینت داره .

    من هم یه مقداری گشتم اما نتیجه دندونگیری پیدا نکردم . بیشتر یک سری توضیحات داخل سایت سیسکو که در کل تمام کانفیگ سمت روترهای خودش رو توضیح داده بود . گفتنی هست که ما لب شبکه یک فروند روتر 3945 داریم .

    حالا نظر و دانش شما رو می خوام .

    آیا روتر نیاز به ماژول مجزا داره ؟
    سمت کلاینت چطور ؟
    در کل چه اتفاقاتی قرار هست بیوفته . یعنمی با مفهوم و ساختارش می خوام آشنا بشم . فکر می کنم این هم یه جوری مثل همون Web Proxy ماکروسافتی هست ! آره ؟ اما گمان نمی کنم سمت کلاینت پراکسی ست بشه . احتمالا کلاینت آی پی پابلیک روتر رو Browse می کنه و بعد باید آتنتیکیت بشه و ..... .
    اما برام گنگه که چه اتفاقی این بین واقعا میوفته و چه نیازهایی داریم . سمت کلاینت همین کاری که گفتم کافیه یا کار خاص دیگیری باید انجام بشه؟

    من دانشم از سیسکو CCNA هست و از ماکروسافت MCITP , TMG . اما این مفهوم فراتر از اونی هست که بخوام در موردش نظر کارشناسی بدم .







  2. #2
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,538
    سپاسگزاری شده
    6745
    سپاسگزاری کرده
    1029
    نوشته های وبلاگ
    4
    منظورتان از شبکه داخلی شرکت چیست؟ کاربران نیاز دارند از طریق اینترنت از چه سرویس‌هایی استفاده کنند؟


    bluray سپاسگزاری کرده است.
    محمد حکیمی
    hakimi [a t] gmail.com

  3. #3
    نام حقيقي: cy6er

    خواننده شناسه تصویری cy6er
    تاریخ عضویت
    Feb 2012
    محل سکونت
    نامشخص
    نوشته
    172
    سپاسگزاری شده
    188
    سپاسگزاری کرده
    9
    فرآیند برقراری اتصال از نوع SSTP

    فرآیندی که در برقراری و ایجاد یک ارتباط از نوع SSTP انجام می شود به شرح مراحل زیر است :

    1. SSTP VPN Client یک ارتباط بر روی یک پورت تصادفی TCP با VPN Gateway را برقرار می کند ، این پورت بر روی پورت 443 مربوط به VPN Gateway منتقل می شود.
    2. SSTP VPN Client پیام SSL Client-Hello به سمت سرور ارسال می کند که به معنی این است که Client قصد برقراری ارتباط از نوع SSL با استفاده از SSTP را دارد ، می باشد .
    3. SSTP VPN Gateway در ادامه Certificate مربوط به کامپیوتر خود را به سمت SSTP VPN Client ارسال میکند.
    4. در ادامه ابتدا SSTP VPN Client در قسمت Trusted Root Certification Authorities به دنبال CA مربوط به SSTP Gateway می گردد تا صحت آن را بررسی کند . پس از بررسی و دریافت صحت CA ، SSTP VPN Client با استفاده از CA یا بهتر بگوییم Public Key مربوط به SSTP VPN Gateway کلیه داده های ارتباطی خود را با استفاده از SSL رمز نگاری کرده و به وسیله SSTP به سمت SSTP VPN Gateway ارسال می کند
    5. SSTP VPN Gateway کلید Session ایجاد شده را با استفاده از Private Key خود رمزگشایی می کند. تمامی ادامه ارتباطی که بین VPN Client و VPN Gateway انجام می شود بصورت رمزنگاری شده به وسیله کلید رمزی است که بین ایندو رد و بدل شده است.
    6. SSTP VPN Client یک درخواست HHTP over SSL یا همان HTTPS را برای SSTP VPN Gateway ارسال می کند.
    7. SSTP VPN Client یک Tunnel از نوع SSTP در بین VPN Client و VPN Gateway ایجاد می کند.
    8. SSTP VPN Client با SSTP Server در خصوص استفاده از PPP بر روی ارتباط ها وارد مذاکره می شود . این مذاکرات شامل شیوه احراز هویت کاربر با استفاده از روش های احزار هویت PPP مانند EAP و غیره می باشد ، و همچنین در خصوص استفاده از IPv4 و یا IPv6 نیز با یکدیگر مذاکره می کنند .
    9. SSTP VPN Client در نهایت شروع به ارسال و دریافت ترافیک بر روی لینک PPP با استفاده از IPV4 یا IPV6 می کند .

    آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008


    alisc و bluray سپاسگزاری کرده‌اند.

  4. #4
    نام حقيقي: اشکان

    عضو عادی
    تاریخ عضویت
    Mar 2012
    محل سکونت
    تهران
    نوشته
    728
    سپاسگزاری شده
    434
    سپاسگزاری کرده
    152
    محدودیت های vpn روی gateway انجام میشه بنابراین اگر مسیریابی تون از کشور خارج نشه، بدون مشکل کاربرای داخلی میتونن به vpn server داخلی متصل شن.


    bluray سپاسگزاری کرده است.

  5. #5
    نام حقيقي: احسان

    عضو عادی
    تاریخ عضویت
    Mar 2013
    محل سکونت
    تهران
    نوشته
    352
    سپاسگزاری شده
    186
    سپاسگزاری کرده
    96
    نقل قول نوشته اصلی توسط Hakimi نمایش پست ها
    منظورتان از شبکه داخلی شرکت چیست؟ کاربران نیاز دارند از طریق اینترنت از چه سرویس‌هایی استفاده کنند؟
    یعنی LAN شرکت دیگه جناب حکیمی عزیز . قرار بر این هست تا سرویس وب بگیرند . یعنی با سامانه نرم افزاری تحت وب شرکت کار کنند .

    نقل قول نوشته اصلی توسط cy6er نمایش پست ها
    فرآیند برقراری اتصال از نوع SSTP

    فرآیندی که در برقراری و ایجاد یک ارتباط از نوع SSTP انجام می شود به شرح مراحل زیر است :

    1. SSTP VPN Client یک ارتباط بر روی یک پورت تصادفی TCP با VPN Gateway را برقرار می کند ، این پورت بر روی پورت 443 مربوط به VPN Gateway منتقل می شود.
    2. SSTP VPN Client پیام SSL Client-Hello به سمت سرور ارسال می کند که به معنی این است که Client قصد برقراری ارتباط از نوع SSL با استفاده از SSTP را دارد ، می باشد .
    3. SSTP VPN Gateway در ادامه Certificate مربوط به کامپیوتر خود را به سمت SSTP VPN Client ارسال میکند.
    4. در ادامه ابتدا SSTP VPN Client در قسمت Trusted Root Certification Authorities به دنبال CA مربوط به SSTP Gateway می گردد تا صحت آن را بررسی کند . پس از بررسی و دریافت صحت CA ، SSTP VPN Client با استفاده از CA یا بهتر بگوییم Public Key مربوط به SSTP VPN Gateway کلیه داده های ارتباطی خود را با استفاده از SSL رمز نگاری کرده و به وسیله SSTP به سمت SSTP VPN Gateway ارسال می کند
    5. SSTP VPN Gateway کلید Session ایجاد شده را با استفاده از Private Key خود رمزگشایی می کند. تمامی ادامه ارتباطی که بین VPN Client و VPN Gateway انجام می شود بصورت رمزنگاری شده به وسیله کلید رمزی است که بین ایندو رد و بدل شده است.
    6. SSTP VPN Client یک درخواست HHTP over SSL یا همان HTTPS را برای SSTP VPN Gateway ارسال می کند.
    7. SSTP VPN Client یک Tunnel از نوع SSTP در بین VPN Client و VPN Gateway ایجاد می کند.
    8. SSTP VPN Client با SSTP Server در خصوص استفاده از PPP بر روی ارتباط ها وارد مذاکره می شود . این مذاکرات شامل شیوه احراز هویت کاربر با استفاده از روش های احزار هویت PPP مانند EAP و غیره می باشد ، و همچنین در خصوص استفاده از IPv4 و یا IPv6 نیز با یکدیگر مذاکره می کنند .
    9. SSTP VPN Client در نهایت شروع به ارسال و دریافت ترافیک بر روی لینک PPP با استفاده از IPV4 یا IPV6 می کند .

    آموزش راه اندازی سرویس SSL VPN در ویندوز سرور 2008
    مرسی و خیلی متشکر از اطلاعاتی که فرمودید . با وی پی ان و پروتوکل های گوناگون آشنایی دارم اما مسئله اینجاست که در حال حاضر قرار بر استفاده از روتر سیسکو لب شبکه است . یعنی قرار هست اون وظیفه Gateway رو بازی کنه نه یک سرور ماکروسافتی (ای کاش ماکروسافتی بود تا خودم یه کاری می کردم :دی) .

    اینطور که من تحقیق کردم ، Cisco SSL VPN فرآیندی رو ایجاد می کنه که سمت کلاینت هیچ کانفیگی نیاز نیست . فقط مرور گر کلاینت باید SSL رو ساپورت کنه که خوب دیگه الان همه ساپورت می کنند . مدیر ما می گفت این فرآیند جوری هست که کلاینت بروزر رو باز میکنه و آی پی یا آدرس ما رو وارد می کنه ، میاد تصدیق هویت میشه(یوزر و پسورد) و بعد وارد شبکه میشه ! یعنی مکانیسم ایجاد VPN Connection و ... در کار نیست . به قول خودش میخواد کلا وی پی ان زدن و کانکشن ساختن و .... بگذاره کنار . من هم مواردی اینچنینی رو در سایت سیسکو خوندم و به نظرم رسید که این مبحث علیرغم شباهتش به SSTP VPN با اون فرق داره . حالا در این رابطه چیزی می دونید ؟ روی IIS شده بود که بخواد از Certificate که گرفته شده استفاده کنم(لابراتواری) ولی رو تجهیزات سیسکو نمیدونم چطوریه ! و اینکه اصلا ملزومات روش مد نظر مدیر ما چی هست .
    نقل قول نوشته اصلی توسط 1qaz2wsx نمایش پست ها
    محدودیت های vpn روی gateway انجام میشه بنابراین اگر مسیریابی تون از کشور خارج نشه، بدون مشکل کاربرای داخلی میتونن به vpn server داخلی متصل شن.
    ممنون . بله اما گاهی نمیدونم چرا همین داخلی هم مسئله ایجاد می کنند ! پدر ما که در اومده . با یوزر های زیادی سرو کله زدم که سرویس دهنده های مختلفی داشته اند . خود مخابرات از همه بدتر . هرچند بقیه هم از بستر خود مخابرات دست آخر استفاده می کنند .



  6. #6
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,538
    سپاسگزاری شده
    6745
    سپاسگزاری کرده
    1029
    نوشته های وبلاگ
    4
    نقل قول نوشته اصلی توسط bluray نمایش پست ها
    یعنی LAN شرکت دیگه جناب حکیمی عزیز . قرار بر این هست تا سرویس وب بگیرند . یعنی با سامانه نرم افزاری تحت وب شرکت کار کنند .
    در بستر شبکه داخلی صدها نوع سرویس مختلف می‌توان ارائه کرد. پس این که صرفا بگوییم دسترسی به شبکه داخلی یا LAN نمی‌تواند مشخص کننده نوع سرویس باشد. ولی اگر منظور تنها دسترسی به سامانه نرم افزاری تحت وب است، می‌توانید این سرویس خاص را روی اینترنت Publish کنید. برای تامین امنیت، این کار باید توسط یک Firewall انجام شود.

    ولی اگر Firewall در دسترس نیست و تنها می‌خواهید از طریق Router تان این کار را انجام دهید، ساده ترین راه اینست که با یک Reverse NAT دسترسی از طریق اینترنت به سامانه نرم افزاری تحت وب مورد نظر را فراهم کنید. البته دقت کنید که فرایندهای تایید هویت کاربران این نرم افزار به اندازه‌ای ایمن باشد که دارایی‌های اطلاعاتی مجموعه‌تان با مخاطرات مواجه نشود. همچنین پیشنهاد می‌کنم در صورتی که تصمیم به انجام این کار گرفتید، حتما سیستم تحت وب را تنظیم کنید که به صورت Secure و تحت SSL به سروبس‌دهی بپردازد.

    راه دیگر همانی است که خودتان به آن اشاره کردید. WebVPN یا SSL VPN تقریبا شبیه روش قبل است، با این تفاوت که یک لایه امنیتی بین Application و کاربر قرار می‌دهد و کنترل هویت کاربر ابتدا در سطح نقطه ارتباط بررسی می‌شود و در صورت تایید هویت، دسترسی به نرم افزار تحت وب فراهم می‌شود.
    در این روش (مدل Clientless)، کاربر آدرس مورد نظر را در مرورگر خود وارد می‌کند، صفحه ای برای تایید هویت به او نشان داده می‌شود:



    پس از تایید هویت، پنجره‌ای به کاربر نمایش داده می‌شود و کاربر می‌تواند آدرس وب نرم افزار مورد نظر را وارد کند و به آن نرم افزار دسترسی پیدا کند:




    EVERAL سپاسگزاری کرده است.
    محمد حکیمی
    hakimi [a t] gmail.com





  7. #7
    نام حقيقي: احسان

    عضو عادی
    تاریخ عضویت
    Mar 2013
    محل سکونت
    تهران
    نوشته
    352
    سپاسگزاری شده
    186
    سپاسگزاری کرده
    96
    نقل قول نوشته اصلی توسط Hakimi نمایش پست ها
    در بستر شبکه داخلی صدها نوع سرویس مختلف می‌توان ارائه کرد. پس این که صرفا بگوییم دسترسی به شبکه داخلی یا LAN نمی‌تواند مشخص کننده نوع سرویس باشد. ولی اگر منظور تنها دسترسی به سامانه نرم افزاری تحت وب است، می‌توانید این سرویس خاص را روی اینترنت Publish کنید. برای تامین امنیت، این کار باید توسط یک Firewall انجام شود.

    ولی اگر Firewall در دسترس نیست و تنها می‌خواهید از طریق Router تان این کار را انجام دهید، ساده ترین راه اینست که با یک Reverse NAT دسترسی از طریق اینترنت به سامانه نرم افزاری تحت وب مورد نظر را فراهم کنید. البته دقت کنید که فرایندهای تایید هویت کاربران این نرم افزار به اندازه‌ای ایمن باشد که دارایی‌های اطلاعاتی مجموعه‌تان با مخاطرات مواجه نشود. همچنین پیشنهاد می‌کنم در صورتی که تصمیم به انجام این کار گرفتید، حتما سیستم تحت وب را تنظیم کنید که به صورت Secure و تحت SSL به سروبس‌دهی بپردازد.

    راه دیگر همانی است که خودتان به آن اشاره کردید. WebVPN یا SSL VPN تقریبا شبیه روش قبل است، با این تفاوت که یک لایه امنیتی بین Application و کاربر قرار می‌دهد و کنترل هویت کاربر ابتدا در سطح نقطه ارتباط بررسی می‌شود و در صورت تایید هویت، دسترسی به نرم افزار تحت وب فراهم می‌شود.
    در این روش (مدل Clientless)، کاربر آدرس مورد نظر را در مرورگر خود وارد می‌کند، صفحه ای برای تایید هویت به او نشان داده می‌شود:



    پس از تایید هویت، پنجره‌ای به کاربر نمایش داده می‌شود و کاربر می‌تواند آدرس وب نرم افزار مورد نظر را وارد کند و به آن نرم افزار دسترسی پیدا کند:

    مرسی آقای حکیمی . برای من یه چیز دیگه ای مسئله بود . همین حالا هم امنیت لحاظ شده و کلاینت ها فقط از طرق VPN می توانند وارد بشوند . اون هم از جنس L2TP . اما هدف این بود که با حفظ امنیت دسترسی رو تسهیل کنیم . به هر تقدیر بنا به دلایلی پابلیش کردن سامانه مد نظرما نیست . SSL VPN راهکار خوبی هست اما علامت سوال های ذهن من چیز دیگری ست . یکی مسئله Certification هست که الان دقیقا نمیدونم چه کارش باید بکنیم .یعنی می خوام بدونم روتر خودش مکانیسمی برای جنریت کردن این واهی داره یا ما باید اقدام کنیم . نکته بعدی هم دسترسی به روتر از طریق آدرس هست که خب معمولا با HTPS همخوانی نداره . چون Certification برای یک آدرس یا Domain Name جنریت میشه نه یک IP Address . نکته بعد اینکه مناسب برای استفاده 300-400 تا یوزر هست یا نه ! شاید هم بیشتر .



  8. #8
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,538
    سپاسگزاری شده
    6745
    سپاسگزاری کرده
    1029
    نوشته های وبلاگ
    4
    Certificate را هم خود Router می‌توان Generate کند و هم می‌توانید از CA بگیرید و روی روتر قرار دهید.

    در مورد آدرس، نیازی نیست که الزاما با آدرس IP دسترسی داشته باشید. در DNS اینترنتی تان یک نام به این کار اختصاص دهید و به آدرس Valid تان اشاره کنید و با آن نام صفحه را Browse کنید.

    در مورد تعداد کاربر، بستگی به نوع Router تان دارد. البته تعداد کاربر همزمان را باید در نظر بگیرید.
    اطلاعات دقیق در مورد تعداد کاربر همزمان را در آدرس زیر می‌توانید ببینید:
    Cisco IOS SSL VPN: Router-Based Remote Access for Employees and Partners Data Sheet


    EVERAL سپاسگزاری کرده است.
    محمد حکیمی
    hakimi [a t] gmail.com

کلمات کلیدی در جستجوها:

ssl vpn چیست

موارد استفاده از vpn vlinet

روش راه اندازی clientless ssl vpn

client to gateway vpn چیست؟

کانفیگ سیسکو vpn

webvpn راه اندازی

تفاوت vpn با ssl

مشکلا ت ker vpn cilint

کانفینگ ssl vpn

sslvpn

وی پی ان های تحت شرکت سیسکو

ساده ترین کانفیگ vpn clinte

تفاوت ssl با vpn

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •