قدم 1 – قدم

VPNهای شرکتی چیجوری کار می‌کنه؟

نکته: همه اصطلاحات این بند در ادامه مطلب توضیح داده شده.

گفتیم که ایشون‌پی‌انا از راه اینترنت بستری امن رو واسه کاربر جفت و جور می‌کنن که با مقصد در رابطه باشه. با ایجاد یه تونل بین کاربر و سرور که بیشتر به صورت مستقیم به شبکه اینترانت شرکت وصله و رمزگذاری داده‌های رد و بدل شده، یه فضای به طور کاملً امن رو در اختیار کاربر قرار می‌دهد.

مانند تصویر زیر:

 

چگونگی کار یه VPN شرکتی یا سازمانی

چگونگی کار یه VPN شرکتی یا سازمانی

مقاله در رابطه :
چیجوری در HTML ماشین حساب بسازیم؟

VPNهای فیلتر شکن و خطرات اون‌ها

در بند بالا چگونگی کار ایشون‌پی‌انای سازمانی رو توضیح دادیم. این بند درباره ایشون‌پی‌ان هاییه که بیشتر به عنوان فیلتر شکن مطرح می‌شن.

ممکنه شما هم از این فیلترشکن‌ها استفاده کرده باشین و نیازتون هم برطرف شده باشه اما بیشتر افراد بدیش اینه اهمیتی به امنیت اطلاعاتشون نداده و فکر می‌کنن که این فیلترشکن‌ها و ایشون‌پی‌انا خطری براشون به حساب نمی‌آید.

ایشون‌پی‌انایی که به عنوان فیلتر شکن عمل می‌کنن، با ایجاد یه تونل بین شما و سرور خریداری شده (یا رایگان) و رمزگذاری اطلاعات، باعث می‌شن که درخواست‌های ما واسه فیلترهای مخابرات و شرکت‌های ارائه دهنده خدمات اینترنتی (ISP) غیرقابل فهم بوده و بدون مشکل از اون‌ها رد شه.

بعد این درخواست رو که گرفتن، به صورت عادی به سایت یا سرویس مورد درخواست شما ارسال می‌کنن.

اون سرویس یا سایت هم جواب رو واسه سرور ایشون‌پی‌ان می‌فرستد (چون اون رو به عنوان درخواست دهنده می‌شناسد) و سرور ایشون‌پی‌ان جواب رو رمزگذاری کرده و بازم با به کار گیری تونلی، فیلترهای مخابرات و ISP رو دور زده و در سمت کلاینت شما رمزگشایی می‌شه و اینطوری شما از سایت یا سرویس مورد نظر استفاده می‌کنین. مثل تصویر زیر:

 

 

اگه به تصویر بالا دقت کنین، خیلی راحت همه چیز دستتون میاد. اگه سرور ایشون‌پی‌ان به وسیله یه هکر کنترل شه، ایشون بدون مشکلی به رابطه بین شما و سایت مورد نظر دسترسی داره.

یعنی اگه درخواست ورود به حساب کاربری‌ای رو بدین، چون رمز و نام کاربری همراه با درخواست ارسال می‌شن، خیلی راحت می‌تونه اون‌ها رو مشاهده کنه!

توجه به این نکته لازمه که اگه نگیم همه سرورهای فیلتر شکن، بســــــــــــــــــیاری از اون‌ها از این روش اطلاعات شناسایی – هویتی (تنها وبسایته که هویت شما رو نشناخته و سرور ایشون‌پی‌ان رو به عنوان طرف مقابل می‌شناسد این درحالیه که خود سرور ایشون‌پی‌ان بدون هیچ مشکلی شما رو می‌شناسد!) و بقیه اطلاعات حساس مثل رمزهای عبور، کوکی مرورگرتان، اطلاعات بانکی و … استفاده کنندگان رو می‌دزدند.

از طرفی چون این سرویس‌ها غیرقانونی هستن و ساختار کارشون به صورتیه که هویت صاحبشان مخفیه، امکان شکایت از اون‌ها هم بیشتر وجود نخواد داشت یعنی مثلاً اگه رمزتان دزدیده شد، دیگه دزدیده شده و کار نه از دست پلیس و نه از دست خودتون بر نمیاد. در این جور مواقع بهتره رمزتان رو خیلی سریعً عوض کنین.

واسه این که درک بهتری از این خطرات داشته باشین یه مثال می‌زنم:

فرض کنین فرد A نمی‌تونه به B به صورت مستقیم نامه بفرستد. بجای رابطه مستقیم، فرد A نامه رو تو یه مکان خاص گذاشته و به خونه اش می‌رود.

فرد سومی که هیچ هویتی از اون پیش A معلوم نیس، نامه رو برمی‌داره. اون رو می‌خواند، ممکنه تغییرش هم دهد و بعد به فرد B می‌رساند و در روند برگشت جواب هم همون کارا رو انجام می‌دهد.

 

پیشنهاد

تا حد امکان از فیلترشکن‌ها استفاده نکنین! اگه استفاده می‌کنین، به هیــــــــــــــچ وجه اطلاعات حساسی مثل شماره کارت بانکی، رمز اینترنتی اون و … رو حتی تایپ هم نکنین چه برسه که اون رو بفرستین.

اگه مجبورین، مطمئن شید که فقط به سایت‌هایی می‌روید که از قرارداد HTTPS بجای HTTP استفاده می‌کنن. در این جوری سایت‌ها اطلاعات بین شما و سایت رمزگذاری می‌شه یعنی حتی واسه سرور ایشون‌پی‌ان و فیلترشکن هم غیرقابل فهم هستش. وگرنه، مطمئن باشین که اطلاعاتتون به وسیله شخصی خونده می‌شه!

 

از اینجا به بعد بحث ما فقط ایشون‌پی‌انای سازمانی/شرکتیه و از بحث درباره ایشون‌پی‌انای فیلتر شکن خارج می‌شیم.

 

 

 

شکل های جور واجور VPN

دو نوع ایشون‌پی‌ان داریم که واسه کاربردهای جور واجور طراحی شدن:

 

ایشون‌پی‌ان دسترسی از راه دور

نوع Remote Access VPN اجازه می‌دهد که افراد حقیقی (و نه شرکت‌ها، شعبه‌ها و …) به شبکه خصوصی یه شرکت وصل شن. این کاربران می‌تونن با اتصال به سرور VPN شرکت، از منابع اون استفاده کنن. از جمله آدمایی که از این نوع ایشون‌پی‌ان استفاده می‌کنن کارکنانی هستن که از راه دور کار می‌کنن.

واسه ایجاد رابطه در این نوع ایشون‌پی‌ان به دو جزء اساسی نیازه:

۱- NAS:

مخفف Network Access Server بوده و رابطه رو از سمت سرور کنترل می‌کنه. NAS ممکنه به عنوان یه سرور اختصاصی در سمت شبکه شرکت فعالیت کنه یا به عنوان یه نرم افزاری که روی شبکه‌های اشتراکی کار می‌کنه، اطلاعات گرفتن هویت کاربر رو گرفته و با بررسی اون‌ها به ایشون اجازه اتصال به شبکه شرکت رو می‌دهد.

۲- برنامه سمت کاربر:

کاربر واسه اتصال به سرور ایشون‌پی‌ان باید از نرم افزاری استفاده کنه که علاوه بر ایجاد رابطه و گرفتن هویت، داده‌های ارسالی رو رمزگذاری کرده و داده‌های دریافتی رو هم رمزگشایی کنه. بیشتر سیستم عامل‌ها (از جمله ویندوز، گنو/لینوکس و …) برنامه‌های تعبیه شده ای واسه اتصال به سرور ایشون‌پی‌ان در اختیار کاربر قرار میدن.

 

ایشون‌پی‌ان مکان به مکان

نوع Site to site VPN اجازه می‌دهد که شعبه‌هایی از یه شرکت با یکدیگر در رابطه باشن. این نوع از ایشون‌پی‌ان وقتی اهمیت پیدا می‌کنه که صدها فرد قصد رابطه با سرور رو داشته باشن.

بجای این که هر کدوم از نوع “ایشون‌پی‌ان دسترسی از راه دور” استفاده کنن، به گروه‌هایی تقسیم می‌شن که به عنوان شعبه‌هایی از اون شرکت، از راه “ایشون‌پی‌ان مکان به مکان” به هم وصل شده و اجازه به کار گیری منابع یکدیگر رو میدن. اجزای لازم واسه راه اندازی این نوع ایشون‌پی‌ان مانند نوع قبلیه فرقش اینه که بیشتر، دیگه احتیاجی به داشتن کلاینت روی هر کامپیوتر نخواد بود.

این نوع از VPN خود به دو نوع دیگه تقسیم می‌شه:

۱- براساس اینترنت: اگه شرکت یک یا چند مکان دور داشته باشه که بخوان به همدیگه وصل شن و شبکه محلیشون رو در اختیار یکدیگر بذارن، از راه ایشون‌پی‌ان براساس اینترنت استفاده می‌کنن.

۲- براساس اکسترانت: اگه شرکت‌ها یا سازمان‌هایی بخوان با یکدیگر در رابطه باشن ولی احتیاجی به اینترنت نداشته باشن می‌تونن شبکه اینترانت خود رو با به کار گیری ایشون‌پی‌ان براساس اکسترانت، به شبکه اینترانت دیگری وصل کنن. اینطوری می‌تونن با یکدیگر کار کنن و از طرفی از شبکه اینترانت خود مواظبت کنن.

امنیت VPN

همونطور که گفته شد، ایشون‌پی‌انا از شبکه عمومی اینترنت استفاده می‌کنن. اما شبکه اینترنت امن نیس. در ارتباطات ایشون‌پی‌انی دو عمل اصلی واسه جفت و جور کردن امنیت انجام می‌شه:

 

تونل زنی

تونلینگ (Tunneling) که تانلینگ هم گفته می‌شه، روشیه که در اون می تونیم از قرارداد‌هایی که بیشتر پشتیبانی نمی‌شن، استفاده کنیم. مثلا با به کار گیری تونل زنی می تونیم از قرارداد اینترنت (Internet Protocol یا IP) استفاده کنیم تا قرارداد دیگری رو به عنوان بخش داده در بسته‌های IP ارسال کنیم.

واسه درک بهتر بذارین یه مثال بزنم:

فرض کنین دو ترمینال باربری (پایانه) هست که از یکی قصد ارسال ابزاری رو داریم که هم خروجی ترمینال مبدا و هم ورودی ترمینال مقصد جلوی اون رو می‌گیرد.

در این ترمینال‌ها فقط بسته‌هایی به شکل مربع، مستطیل و لوزی قابل شناسایی بوده و مجوز خروج/ورود رو دارن. حال کافیه وسیله مورد نظرمون رو در داخل یه بسته مربع شکلی بذاریم تا از ترمینال مبدا فرستاده شده و در ترمینال مقصد هم بدون مشکل دریافت شه بعد در ترمینال مقصد فردی اون‌ها رو تحویل گرفته و از بسته خارج می‌کنه.

 

رمزگذاری اطلاعات

داده‌های بین کلاینت و سرور همه رمزگذاری می‌شن تا از درک و دسترسی محتوای اصلی به وسیله فرد سوم جلوگیری شه. علاوه بر این، اطلاعات با چکسام‌هایی (امضاای دیجیتالی) علامت گذاری می‌شن تا اگه این وسط اطلاعات به وسیله فرد سومی تغییر داده شن، مقصد از اون باخبر شه.

یعنی به اطلاعات توانایی محرمانگی و اتحاد رو می‌دهد.

واسه درک بهتر بذارین یه مثال بزنم:

فرض کنین فرد A به B از راه تلفن ثابت زنگ زده. اگه این وسط یه فرد باشه که از سیم تلفن یه اتصال دیگه واسه خودش بسازه، قادر هستش که صحبت‌های هر دو طرف رو بشن، بعضی از اون‌ها رو بلاک کنه یا حتی تغییرشون دهد.

حال ما رابطه بین A و B رو رمزگذاری می‌کنیم بطوری که فقط با به کار گیری یه کلید خاص بشه اون‌ها رو رمزگشایی کرد. حال حتی اگه فرد میانی به اطلاعات گوش دهد، چیزی نخواد فهمید! از طرفی چون رابطه با قراردادهای خاصی امن شده، اگه اون‌ها رو عوض کنه، ادما از اون‌ها باخبر شده و میفهمن که اطلاعات رو به درستی دریافت نکرده ان.

در VPN هم اطلاعات باید رمزگذاری شن تا امکان Sniff و حملاتی مثل Man-in-the-middle وجود نداشته باشه.

 

قرارداد‌های امنیتی VPN

در ایجاد یه کانکشن VPN، از قرارداد‌های مختلفی می تونیم استفاده کنیم که امتیازات و مشکلات متفاوتی دارن. این قرارداد‌ها عبارت ان از:

 

قرارداد PPTP

یکی از عادی ترین و البته ضعیف ترین قرارداد‌هاییه که در ارتباطات VPN استفاده می‌شه. PPTP مخفف Point-to-Point Tunneling Protocolه که واسه تونلینگ استفاده شده و به وسیله قرارداد MPPE رمزگذاری می‌شه.

این قرارداد آسیب پذیری‌های امنیتی مختلفی داره که رابطه و داده‌های ارسالی رو در خطر لو رفتن قرار می‌دهد ولی چون در بیشتر سیستم عامل‌ها تعبیه می‌شه و از طرفی به کار گیری اون آسونه، به یکی از عادی ترین قرارداد‌ها تبدیل شده. تو یه کلام، از PPTP استفاده نکنین!

 

قرارداد OpenVPN

اوپن ایشون‌پی‌ان قرارداد امنیه که از OpenSSL و SSL/TLS واسه رمزگذاری استفاده می‌کنه. این قرارداد توانایی کانفیگ زیادی داشته و اگه از الگوریتم AES استفاده شه، یکی از قوی ترین قرارداد‌های VPN هستش.

چون این قرارداد به شکل تعبیه شده در سیستم عامل‌های عادی پشتیبانی نمی‌شه، واسه به کار گیری اون باید یه برنامه جانبی روی سیستم خود نصب کنین. به کار گیری این قرارداد پیشنهاد می‌شه ولی نسبت به SSTP کمی کم ثبات تره.

 

قرارداد L2TP/IPSec

مخفف Internet Protocol Security بوده و پروتکلی واسه امن کردن شبکه عمومی اینترنته. این قرارداد علاوه بر توانایی رمزگذاری، می‌تونه تونل هم بزنه. این قرارداد در دوحالت Transport Mode که فقط اطلاعات موجود در قسمت داده بسته IP رو رمزگذاری می‌کنه و حالت Tunnel Mode که کل بسته IP (داده و سربرگ (هدر)) رو رمزگذاری می‌کنه. این قرارداد در کانکشن‌های VPN در کنار قرارداد L2TP کار می‌کنه.

L2TP مخفف Layer 2 Tunneling بوده، واسه تونلینگ استفاده می‌شه، براساس PPP بوده و توانایی رمزگذاری نداره. با این حال در ترکیب با IPSec می‌تونه بسیار مناسب باشه.

ترکیب قرارداد L2TP/IPSec در سیستم عامل‌های جدید به شکل تعبیه شده پشتیبانی می‌شه. یعنی راه اندازی اون آسون بوده و از طرفی امنیت بالایی هم داره. ولی چون توانایی کانفیگ یا پیکربندی زیادی نداره نسبت به OpenVPN در رده پایین تری قرار می‌گیرد.

 

قرارداد SSTP

مخفف Secure Socket Tunneling Protocol بوده و پروتکلی واسه تونلینگه با اینحال در کنار قرارداد SSL واسه رمزگذاری، واسه کانکشن‌های VPN بسیار مناسبه. SSTP از ویندوز ویستا سرویس پک ۱ به بعد به شکل تعبیه شده به وسیله این سیستم عامل‌ها پشتیبانی می‌شه و به دلیل همین پشتیبانی بیشتر بهتر از OpenVPNه.

با کانفیگ کردن این قرارداد واسه به کار گیری رمزگذاری AES یه کانکشن قوی دارید. به کار گیری SSTP بیشتر از بقیه قرارداد‌ها پیشنهاد می‌شه.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *