شبكه خصوصي مجازي شبكه خصوصي مجازي .

شبكه خصوصي مجازي

وي‌پي‌ان (VPN) چيست؟ و چگونه كار مي‌كند؟

توضيح كاربرد وي‌پي‌ان (VPN)، نحوه كار آن‌ها، انواع VPNها، امنيت آن‌ها و پروتكل‌هاي رايجشان و خطراتي كه خريد VPN هاي فيلتر شكن ممكن است شما را تهديد كند.

 

 

با رشد بيزينس و كسب و كار، اغلب محل انجام كارهاي يك شركت به بيش از يك فروشگاه يا اداره گسترش پيدا مي‌كند كه ممكن است در مكان‌هاي بسيار دور از يكديگر باشند. براي ادامه فعاليت شركت، شعبه‌ها و كاركنانشان و همچنين كاركناني كه از راه دور فعاليت مي‌كنند، به يك راه ارتباطي سريع، امن و قابل اتكا نياز دارند تا بين اين شبكه‌ها اطلاعات رد و بدل كنند.

 

VPN چيست؟

اغلب ما حداقل يك بار كلمه وي‌پي‌ان را شنيده ايم حداقل در مسائل مربوط به فيلترينگ (كه در بند آخر توضيح داده شده). VPN مخفف عبارت Virtual Private Network به معني "شبكه مجازي خصوصي" است.

VPN يك شبكه خصوصي را از طريق شبكه‌هاي عمومي مانند اينترنت گسترش مي‌دهد. مثلاً فرض كنيد كه شبكه خصوصي شركتي در داخل ساختمان آن شركت محدود شده و براي دسترسي به آن بايد به داخل ساختمان برويم. اما در مواقعي ما دسترسي فيزيكي به آن مكان را نداريم ولي بايد به شبكه خصوصي آن جا وصل شده و با آن كار كنيم. مثلاً زماني كه شما در مسافرت هستيد و اتفاقي مي‌افتد كه سريعاً بايد به شبكه وصل شويد يا امروزه كه اصطلاح كار از راه دور مطرح است، كاربران با استفاده از اتصالات VPN به شبكه وصل شده و كار خود را انجام مي‌دهند. اتصالات وي‌پي‌ان كاملاً امن بوده و غيرقابل شنود و رمزگشايي هستند.

در گذشته براي گسترش داده شبكه‌هاي خصوصي از اينترانت (Interanet) استفاده مي‌شد. اينترانت نوعي شبكه است كه براي ارتباط و تبادل داده از اينترنت استفاده نكرده و يك شبكه كاملاً اختصاصي بين شركت‌ها است. اينترانت‌ها بدون واسط اكسترانت هيچ ارتباطي با شبكه اينترنت ندارند. يعني مي‌توان اينترانت را مانند يك اينترنت شخصي براي شركت‌ها تعريف كرد كه از پروتكل و استانداردهاي اينترنت استفاده مي‌كند اما بسيار محدود تر و دسترسي به آن تنها براي افراد تاييد شده امكان پذير است. مثلاً شبكه بانك‌ها، دانشگاه‌ها و ... اغلب از نوع اينترانت هستند.

راه اندازي اينترانت بسيار پر هزينه بوده و براي اغلب شركت‌ها امكان پذير نيست. از طرفي امنيت آن و امكان دسترسي افراد غير مجاز هميشه تهديدي بزرگ براي شبكه‌هاي اينترانت به حساب مي‌آيد. به همين دليل روش ارتباط وي‌پي‌ان مطرح شد كه كم هزينه تر، امن تر، قابل انعطاف تر و فرايند خطايابي آن نيز سريع تر است.

 

VPNهاي شركتي چگونه كار مي‌كند؟

نكته: همه اصطلاحات اين بند در ادامه مطلب توضيح داده شده است.

گفتيم كه وي‌پي‌ان ها از طريق اينترنت بستري امن را براي كاربر فراهم مي‌كنند كه با مقصد در ارتباط باشد. با ايجاد يك تونل بين كاربر و سرور كه اغلب به صورت مستقيم به شبكه اينترانت شركت وصل است و رمزگذاري داده‌هاي رد و بدل شده، يك فضاي كاملاً امن را در اختيار كاربر قرار مي‌دهد. مانند تصوير زير:

نحوه كار VPN

نحوه كار يك VPN شركتي يا سازماني

 

با اين حال يك نوع ديگر وي‌پي‌ان وجود دارد كه بهتر است آن را بصورت جداگانه در بند بعدي توضيح دهم.

 

VPNهاي فيلتر شكن و خطرات آن‌ها

در بند بالا نحوه كار وي‌پي‌ان هاي سازماني را توضيح داديم. اين بند درباره وي‌پي‌ان هايي است كه اغلب به عنوان فيلتر شكن مطرح مي‌شوند. ممكن است شما نيز از اين فيلترشكن‌ها استفاده كرده باشيد و خب نيازتان هم برطرف شده باشد اما اغلب افراد متاسفانه اهميتي به امنيت اطلاعاتشان نداده و فكر مي‌كنند كه اين فيلترشكن‌ها و وي‌پي‌ان ها خطري برايشان به حساب نمي‌آيد.

وي‌پي‌ان هايي كه به عنوان فيلتر شكن عمل مي‌كنند، با ايجاد يك تونل بين شما و سرور خريداري شده (يا رايگان) و رمزگذاري اطلاعات، باعث مي‌شوند كه درخواست‌هاي ما براي فيلترهاي مخابرات و شركت‌هاي ارائه دهنده خدمات اينترنتي (ISP) غيرقابل فهم بوده و بدون مشكل از آن‌ها رد شود. سپس اين درخواست را كه دريافت كرده اند، به صورت عادي به وبسايت يا سرويس مورد درخواست شما ارسال مي‌كنند. آن سرويس يا وبسايت هم پاسخ را براي سرور وي‌پي‌ان مي‌فرستد (چون آن را به عنوان درخواست دهنده مي‌شناسد) و سرور وي‌پي‌ان پاسخ را رمزگذاري كرده و باز هم با استفاده از تونلي، فيلترهاي مخابرات و ISP را دور زده و در سمت كلاينت شما رمزگشايي مي‌شود و به اين ترتيب شما از وبسايت يا سرويس مورد نظر استفاده مي‌كنيد. مثل تصوير زير:

خطرات وي پي ان VPN

نحوه كار يك فيلتر شكن بر پايه VPN

 

اگر به تصوير بالا دقت كنيد، خيلي راحت همه چيز دستتان مي‌آيد. اگر سرور وي‌پي‌ان توسط يك هكر كنترل شود، وي بدون مشكلي به ارتباط بين شما و وبسايت مورد نظر دسترسي خواهد داشت. يعني اگر درخواست ورود به حساب كاربري‌اي را بدهيد، چون رمز و نام كاربري همراه با درخواست ارسال مي‌شوند، به راحتي مي‌تواند آن‌ها را مشاهده كند! توجه به اين نكته ضروري است كه اگر نگوييم همه سرورهاي فيلتر شكن، بســــــــــــــــــياري از آن‌ها از اين طريق اطلاعات شناسايي - هويتي (تنها وبسايت است كه هويت شما را نشناخته و سرور وي‌پي‌ان را به عنوان طرف مقابل مي‌شناسد اين درحالي است كه خود سرور وي‌پي‌ان بدون هيچ مشكلي شما را مي‌شناسد!) و ساير اطلاعات حساس مثل رمزهاي عبور، كوكي مرورگرتان، اطلاعات بانكي و ... استفاده كنندگان را مي‌دزدند.

از طرفي چون اين سرويس‌ها غيرقانوني هستند و مكانيزم كارشان به صورتي است كه هويت صاحبشان مخفي است، امكان شكايت از آن‌ها نيز اغلب وجود نخواهد داشت يعني مثلاً اگر رمزتان دزديده شد، ديگر دزديده شده است و كار نه از دست پليس و نه از دست خودتان بر نخواهد آمد. در اين گونه مواقع بهتر است رمزتان را سريعاً عوض كنيد.

براي اين كه درك بهتري از اين خطرات داشته باشيد يك مثال مي‌زنم: فرض كنيد فرد A نمي‌تواند به B به صورت مستقيم نامه بفرستد. بجاي ارتباط مستقيم، فرد A نامه را در يك مكان خاص گذاشته و به خانه اش مي‌رود. فرد سومي كه هيچ هويتي از آن نزد A معلوم نيست، نامه را برمي‌دارد. آن را مي‌خواند، ممكن است تغييرش هم دهد و سپس به فرد B مي‌رساند و در فرايند بازگشت پاسخ نيز همان كارها را انجام مي‌دهد.

 

توصيه

تا حد امكان از فيلترشكن‌ها استفاده نكنيد! اگر استفاده مي‌كنيد، به هيــــــــــــــچ وجه اطلاعات حساسي نظير شماره كارت بانكي، رمز اينترنتي آن و ... را حتي تايپ هم نكنيد چه برسد كه آن را ارسال كنيد. اگر مجبور هستيد، مطمئن شويد كه فقط به سايت‌هايي مي‌رويد كه از پروتكل HTTPS بجاي HTTP استفاده مي‌كنند. در اينگونه سايت‌ها اطلاعات بين شما و سايت رمزگذاري مي‌شود يعني حتي براي سرور وي‌پي‌ان و فيلترشكن هم غيرقابل فهم خواهد بود. در غير اين صورت، مطمئن باشيد كه اطلاعاتتان توسط شخصي خوانده مي‌شود!

 

از اينجا به بعد بحث ما فقط وي‌پي‌ان هاي سازماني/شركتي است و از بحث درباره وي‌پي‌ان هاي فيلتر شكن خارج مي‌شويم.

 

انواع VPN

دو نوع وي‌پي‌ان داريم كه براي كاربردهاي مختلف طراحي شده اند:

 

وي‌پي‌ان دسترسي از راه دور

نوع Remote Access VPN اجازه مي‌دهد كه افراد حقيقي (و نه شركت‌ها، شعبه‌ها و ...) به شبكه خصوصي يك شركت وصل شوند. اين كاربران مي‌توانند با اتصال به سرور VPN شركت، از منابع آن استفاده كنند. از جمله افرادي كه از اين نوع وي‌پي‌ان استفاده مي‌كنند كاركناني هستند كه از راه دور كار مي‌كنند.

براي ايجاد ارتباط در اين نوع وي‌پي‌ان به دو جزء اساسي نياز است:

۱- NAS: مخفف Network Access Server بوده و ارتباط را از سمت سرور كنترل مي‌كند. NAS ممكن است به عنوان يك سرور اختصاصي در سمت شبكه شركت فعاليت كند يا به عنوان يك نرم افزاري كه روي شبكه‌هاي اشتراكي كار مي‌كند، اطلاعات احراز هويت كاربر را گرفته و با بررسي آن‌ها به وي اجازه اتصال به شبكه شركت را مي‌دهد.

۲- برنامه سمت كاربر: كاربر براي اتصال به سرور وي‌پي‌ان بايد از نرم افزاري استفاده كند كه علاوه بر برقراري ارتباط و احراز هويت، داده‌هاي ارسالي را رمزگذاري كرده و داده‌هاي دريافتي را نيز رمزگشايي كند. اغلب سيستم عامل‌ها (از جمله ويندوز، گنو/لينوكس و ...) برنامه‌هاي تعبيه شده اي براي اتصال به سرور وي‌پي‌ان در اختيار كاربر قرار مي‌دهند.

 

وي‌پي‌ان مكان به مكان

نوع Site to site VPN اجازه مي‌دهد كه شعبه‌هايي از يك شركت با يكديگر در ارتباط باشند. اين نوع از وي‌پي‌ان زماني اهميت پيدا مي‌كند كه صدها فرد قصد ارتباط با سرور را داشته باشند. بجاي اين كه هر يك از نوع "وي‌پي‌ان دسترسي از راه دور" استفاده كنند، به گروه‌هايي تقسيم مي‌شوند كه به عنوان شعبه‌هايي از آن شركت، از طريق "وي‌پي‌ان مكان به مكان" به هم متصل شده و اجازه استفاده از منابع يكديگر را مي‌دهند. اجزاي مورد نياز براي راه اندازي اين نوع وي‌پي‌ان مانند نوع قبلي است با اين تفاوت كه اغلب، ديگر نيازي به داشتن كلاينت بر روي هر كامپيوتر نخواهد بود.

اين نوع از VPN خود به دو نوع ديگر تقسيم مي‌شود:

۱- بر پايه اينترنت: اگر شركت يك يا چند مكان دور داشته باشد كه بخواهند به يكديگر وصل شوند و شبكه محليشان را در اختيار يكديگر قرار دهند، از طريق وي‌پي‌ان بر پايه اينترنت استفاده مي‌كنند.

۲- بر پايه اكسترانت: اگر شركت‌ها يا سازمان‌هايي بخواهند با يكديگر در ارتباط باشند ولي نيازي به اينترنت نداشته باشند مي‌توانند شبكه اينترانت خود را با استفاده از وي‌پي‌ان بر پايه اكسترانت، به شبكه اينترانت ديگري وصل كنند. به اين ترتيب مي‌توانند با يكديگر كار كنند و از طرفي از شبكه اينترانت خود محافظت كنند.

 

امنيت VPN

همانطور كه گفته شد، وي‌پي‌ان ها از شبكه عمومي اينترنت استفاده مي‌كنند. اما شبكه اينترنت امن نيست. در ارتباطات وي‌پي‌اني دو عمل اصلي براي فراهم كردن امنيت انجام مي‌شود:

 

تونل زني

تونلينگ (Tunneling) كه تانلينگ نيز گفته مي‌شود، روشي است كه در آن مي‌توانيم از پروتكل‌هايي كه اغلب پشتيباني نمي‌شوند، استفاده كنيم. براي مثال با استفاده از تونل زني مي‌توانيم از پروتكل اينترنت (Internet Protocol يا IP) استفاده كنيم تا پروتكل ديگري را به عنوان بخش داده در بسته‌هاي IP ارسال كنيم.

براي درك بهتر بگذاريد يك مثال بزنم: فرض كنيد دو ترمينال باربري (پايانه) وجود دارد كه از يكي قصد ارسال ابزاري را داريم كه هم خروجي ترمينال مبدا و هم ورودي ترمينال مقصد جلوي آن را مي‌گيرد. در اين ترمينال‌ها فقط بسته‌هايي به شكل مربع، مستطيل و لوزي قابل شناسايي بوده و مجوز خروج/ورود را دارند. حال كافيست ابزار مورد نظرمان را در داخل يك بسته مربع شكلي قرار دهيم تا از ترمينال مبدا ارسال شده و در ترمينال مقصد نيز بدون مشكل دريافت شود سپس در ترمينال مقصد فردي آن‌ها را تحويل گرفته و از بسته خارج مي‌كند.

 

رمزگذاري اطلاعات

داده‌هاي بين كلاينت و سرور همگي رمزگذاري مي‌شوند تا از درك و دسترسي محتواي اصلي توسط فرد سوم جلوگيري شود. علاوه بر اين، اطلاعات با چكسام‌هايي (امضا هاي ديجيتالي) علامت گذاري مي‌شوند تا اگر در اين بين اطلاعات توسط فرد سومي تغيير داده شوند، مقصد از آن مطلع شود. يعني به اطلاعات قابليت محرمانگي و يكپارچگي را مي‌دهد.

براي درك بهتر بگذاريد يك مثال بزنم: فرض كنيد فرد A به B از طريق تلفن ثابت زنگ زده است. اگر در اين ميان يك فرد باشد كه از سيم تلفن يك اتصال ديگر براي خودش بسازد، قادر خواهد بود كه صحبت‌هاي هر دو طرف را بشوند، برخي از آن‌ها را بلاك كند يا حتي تغييرشان دهد. حال ما ارتباط بين A و B را رمزگذاري مي‌كنيم بطوري كه فقط با استفاده از يك كليد خاص بشود آن‌ها را رمزگشايي كرد. حال حتي اگر فرد مياني به اطلاعات گوش دهد، چيزي نخواهد فهميد! از طرفي چون ارتباط با قراردادهاي خاصي امن شده، اگر آن‌ها را تغيير دهد، افراد از آن‌ها مطلع شده و خواهند فهميد كه اطلاعات را به درستي دريافت نكرده اند.

در VPN نيز اطلاعات بايد رمزگذاري شوند تا امكان Sniff و حملاتي مثل Man-in-the-middle وجود نداشته باشد.

 

پروتكل‌هاي امنيتي VPN

در ايجاد يك كانكشن VPN، از پروتكل‌هاي مختلفي مي‌توانيم استفاده كنيم كه مزايا و معايب متفاوتي دارند. اين پروتكل‌ها عبارت اند از:

 

پروتكل PPTP

يكي از رايج ترين و البته ضعيف ترين پروتكل‌هايي است كه در ارتباطات VPN استفاده مي‌شود. PPTP مخفف Point-to-Point Tunneling Protocol است كه براي تونلينگ استفاده شده و توسط پروتكل MPPE رمزگذاري مي‌شود.

اين پروتكل آسيب پذيري‌هاي امنيتي مختلفي دارد كه ارتباط و داده‌هاي ارسالي را در خطر لو رفتن قرار مي‌دهد ولي چون در اكثر سيستم عامل‌ها تعبيه مي‌شود و از طرفي استفاده از آن آسان است، به يكي از رايج ترين پروتكل‌ها تبديل شده. در يك كلام، از PPTP استفاده نكنيد!

 

پروتكل خريد OpenVPN

اوپن وي‌پي‌ان پروتكل امني است كه از OpenSSL و SSL/TLS براي رمزگذاري استفاده مي‌كند. اين پروتكل قابليت كانفيگ فراواني داشته و اگر از الگوريتم AES استفاده شود، يكي از قوي ترين پروتكل‌هاي VPN خواهد بود.

چون اين پروتكل بصورت تعبيه شده در سيستم عامل‌هاي رايج پشتيباني نمي‌شود، براي استفاده از آن بايد يك برنامه جانبي بر روي سيستم خود نصب كنيد. استفاده از اين پروتكل پيشنهاد مي‌شود ولي نسبت به SSTP كمي كم ثبات تر است.

 

پروتكل L2TP/IPSec

مخفف Internet Protocol Security بوده و پروتكلي براي امن كردن شبكه عمومي اينترنت است. اين پروتكل علاوه بر قابليت رمزگذاري، مي‌تواند تونل نيز بزند. اين پروتكل در دوحالت Transport Mode كه فقط اطلاعات موجود در قسمت داده بسته IP را رمزگذاري مي‌كند و حالت Tunnel Mode كه كل بسته IP (داده و سربرگ (هدر)) را رمزگذاري مي‌كند. اين پروتكل در كانكشن‌هاي VPN در كنار پروتكل  L2TP  كار مي‌كند.

L2TP  مخفف Layer 2 Tunneling بوده، براي تونلينگ استفاده مي‌شود، بر پايه PPP بوده و قابليت رمزگذاري ندارد. با اين حال در تركيب با IPSec مي‌تواند بسيار مناسب باشد.

تركيب پروتكل L2TP/IPSec در سيستم عامل‌هاي جديد بصورت تعبيه شده پشتيباني مي‌شود. يعني راه اندازي آن آسان بوده و از طرفي امنيت بالايي هم دارد. ولي چون قابليت كانفيگ يا پيكربندي زيادي ندارد نسبت به OpenVPN در رده پايين تري قرار مي‌گيرد.

 

پروتكل SSTP

مخفف Secure Socket Tunneling Protocol بوده و پروتكلي براي تونلينگ است با اينحال در كنار پروتكل SSL براي رمزگذاري، براي كانكشن‌هاي VPN بسيار مناسب است. SSTP از ويندوز ويستا سرويس پك ۱ به بعد بصورت تعبيه شده توسط اين سيستم عامل‌ها پشتيباني مي‌شود و به دليل همين پشتيباني اغلب بهتر از OpenVPN است. با كانفيگ كردن اين پروتكل براي استفاده از رمزگذاري AES يك كانكشن قوي خواهيد داشت. استفاده از SSTP بيشتر از ساير پروتكل‌ها پيشنهاد مي‌شود.


برچسب: ،
ادامه مطلب
امتیاز:
 
بازدید:
+ نوشته شده: ۲۲ آبان ۱۳۹۵ساعت: ۰۵:۵۳:۴۴ توسط:irsfe موضوع: