بخشی از مقاله
امنيت و صرفه جويي با شبكه هاي خصوصي مجازي
) VPN(Virtual Private Network
در اقتصاد جديد امروز، تجارت هاي كوچكي كه با تجارتهاي منطقه اي و محلي سرور كار دارند بايد بازارهاي جهاني و منطقه اي را مد نظر قرار دهند. بسياري از شركتها داراي امكانات و لوازمي هستند كه در اطراف كشور و يا دنيا پراكنده مي باشند. در همان لحظه ملاحظات امنيتي و حفاظت شبكه ها ازدسترسي هكرها و حملات Dos و ارسال اطلاعات بر روي اينترنت بسيار شايع و متداول است بر طبق آنكه شركتها فعاليت محلي، ملي يا جهاني داشته باشند آنها همگي يك چيز را احتياج دارند، راهي براي نگهداري سريع، مطمئن و قابل اعتماد در ارتباطات در محلي كه دفاتر و كارگران در آنجا مستقر هستند.
تاكنون چنين ارتباطي تنها از طريق استفاده از خطوط اجاره اي تلفني و استفاده از شبكه با گسترده زياد (WAN) قابل اجرا بود. خطوط اجاره اي شركتها را قادر ميسازد كه شبكه هاي خصوصي را در گسترده هاي جغرافيايي مختلف توسعه و گسترش دهيد. علاوه بر اين شبكه WAN مزاياي زيادي را بر روي شبكه هاي عمومي مانند اينترنت فراهم مي كند و مي توان اطمينان، بازده و امنيت را در اين نوع شبكه ها به ارمغان بياورد. متاسفانه خطوط اجاره اي براي نگهداري گران قيمت هستند زيرا هزينه هاي بالايي در زمينه فاصله ميان شركتها دارند.
همانگونه كه محبوبيت اينترنت افزايش مي يابد تجارتها به سمت آن متمايل مي شوند و بعنوان يك راه مقروه به صرفه از آن شبكه هاي خود را توسعه مي دهند. اين محبوبيت مداوم اينترنت به سير تكاملي شبكه هاي خصوصي مجازي سوق داده مي شود.
يك VPN اتصالي است كه اجازه مي دهد داده هاي خصوصي بطور محرمانه اي از طريق يك شبكه مشترك و يا عمومي ارسال شوند همانند اينترنت. در حقيقت يكي از نيروهاي جلو برنده و حامي VPN اينترنت و حضور جهاني آن مي باشد. باوجود VPN ها لينكهاي ارتباطي ميان كاربران و سايتها مي تواند به سرعت در دسترس باشد در حالي كه ارزان و ايمن در سراسر دنيا وجود دارد. بدين ترتيب VPN ها سازمانهايي را براي گسترش خدمات شبكه اي خود به ادارات زير شاخه و كاربران از راه دور در اختيار قرار مي دهند. مانند كارمندان در حال سفر، ارتباطات از راه دور شركاء استراتژيك- كه اين كارتوسط ايجاد يك WAN خصوصي از طريق اينترنت مي باشد.
با تمامي اين مزايا تجارتهاي كوچك اغلب مشتاق هستند تا سودهاي بوجود آمده از طريق VPN ها را بدست آورند. بهر حال آنها مشتاق هستند تا در ابتدا بيشتر ياد بگيرند .
VPN چيست ؟
مفهوم اصلی VPN چیزی جز برقراری یک کانال ارتباطی خصوصی برای دسترسی کاربران راه دوربه منابع شبکه نیست . در این کانال که بین دو نقطه بر قرار می شود ، ممکن است که مسیرهای مختلفی عبور کند اما کسی قادر به وارد شدن به این شبکه خصوصی شما نخواهد بود .
در یک ارتباط VPN شبکه یا شبکه ها می توانند به هم متصل شوند و از طریق کار بران از راه دور به شبکه به راحتی دسترسی پیدا می کنند . اگر این روش از ارائه دسترسی کاربران از راه دور باروش خطوط اختصاصی فیزیکی مقایسه کنیم ، می بینیم که ارائه یک ارتباط خصوصی از روی اینترنت به مراتب از هر روش دیگری ارزانتر تمام می شود.
يك VPN تركيبي از سخت افزار و نرم افزاري است كه به كارمندان بسيار، ارتباطات از راه دور شركاء تجاري و سايتهاي از راه دور اجاز مي دهد تا يك واسط غير امنيتي يا عمومي مانند اينترنت را بكار گيرد تا به يك اتصال خصوصي و امن بوسيله يك شبكه ميزبان دسترسي پيدا كنند. با گسترش VPN از طريق اينترنت اتصالات خصوصي مجازي مي توانند از تقريباً هر جايي در جهان در دسترس باشند.
از منظر يك كاربر، يك اتصال VPN يك اتصال نقطه به نقطه ميان كامپيوتر كاربران و سرور شركت مي باشد. طبيعت شبكه هاي داخلي مياني با كاربر نا همخوان است زيرا بنظر مي آيد كه داده ها در حال ارسال از طريق يك لينگ اختصاصي ويژه مي باشد. بنابراين اتصال امن از طريق شبكه هاي مياني براي كاربر تحت عنوان يك ارتباط شبكه خصوصي امن به نظر مي رسد عليرغم اين حقيقت كه اين ارتباط از طريق شبكه مياني عمومي در حال اتفاق افتادن است از اين رو آنرا شبكه خصوصي مجازي نام نهاده اند.
شكل 1 يك مثال از VPN را نشان مي دهد.
امنيت VPN
از آنجا كه اينترنت ايجاد VPN ها را از هر نقطه اي تسهيل نموده است، شبكه ها احتياج به امكانات امنيتي قوي براي جلوگيري از دسترسي غيرمجاز به شبكه هاي خصوصي دارند تا اطلاعات خصوصي را در هنگام گردش در شبكه هاي عمومي حفاظت كنند. در نتيجه شركتهايي كه انتظاراتي در خصوصي سازي بر روي شبكه هاي خود دارند انتظارات مشابهي در خصوص اينترنت نيز دارند متاسفانه در هنگامي كه داده در بين كاربر و دفتر متحرك آن در حال حركت و جابجايي است ممكن است از تعداد 25 يا بيشتري سرور در اطراف دنيا عبور كند قبل از اين كه بتواند به مقصد نهايي خود برسد با وجود اين تعداد بالقوه از چشم هاي كاوشگر داده را بايد از طريق يك سري علائم رمزگذار شده بطور امن مبادله كرد.
رمزگذاري
يك عنصر كليدي در راه حلهاي VPN تهيه و تدارك خصوصي سازي داده مي باشد بدون يك شيوه روشن براي خصوصي كردن داده ها، اطلاعات عبوري در كانالهاي ناامن مانند اينترنت بصورت متنهاي واضح نقل و انتقال مي يابند.
داده هايي كه بصورت متنهاي واضح منتقل مي شوند مي توانند ديده شوند و يا دزديده شوند كه اين امر از طريق برنامه هاي استراق سمع يا وسايلي كه نقل و انتقال داده را رصد مي كنند صورت مي گيرد ابزارهايي مانند آناليز كننده هاي پروتكل يا ابزارهاي رفع اشكال شبكه ها در سيستم عاملهاي امروزي مي توانند به آساني اطلاعات واضح را در هنگام نقل وانتقال ببينند.
شركتها همچنين نگران اين مطلب هستند كه برخي اطلاعات خصوصي ممكن است قبل از كدگذاري بوسيله VPN منتقل شوند و بر روي شبكه هاي عمومي قرار گيرند. هدرهاي IP براي مثال مي توانند حاوي آدرس هاي IP هر دو مورد Client و سرور باشند. هكرها مي توانند آدرسها را بدست آورده و مقصد را براي حملات آينده شناسايي و انتخاب كنند.
براي اطمينان از خصوصي سازي داده و حفاظت از داده هاي منتقل شده در مقابل حملات تكنيكهاي كدگذاري براي كدگذاري متن هاي واضح به متن هاي رمزگذاري شده لازم هستند. كدگذاري يك پيام را به متن هاي كد شده تبديل مي كنند. سپس متن كد شده به سوي گيرنده ارسال مي شود كه در آن جا يكبار ديگر متن كد شده به متن واضح تبديل مي شود. اين كارهاي كدگذاري واز كد بيرون آوردن در قسمتهاي فروشنده و گيرنده پيام يك سيستم رمزي را تشكيل مي دهند. دو نوع سيستم كد وجود دارد : كليد خصوصي (در زير توضيح داده شده است) و كليد عمومي
سيستم هاي كدگذاري با كليد خصوصي (متقارن)
يك سيستم كد گذاري با كليد خصوصي از شبكه هاي بيتي محرمانه و يك اندازه اي براي كدگذاري و از كد درآوردن استفاده مي كند. براي داشتن يك لينگ محرمانه داده بصورت كدگذاري شده جهت محرمانه بودن ارسال مي شود. داده هايي كه در شبكه هاي عمومي و يا مشترك استراق سمع مي شوند بدون داشتن كليد محرمانه غير قابل كشف مي باشند.
شكل 2 نشان مي دهد كه چگونه يك داده از طريق سيستم هاي رمز گذاري با كليد خصوصي ارسال و دريافت مي شود. در اين مثال صادركننده پيام، پيام خود را كه "abc" مي باشد بوسيله كليد خصوصي رمز گذاري مي كند و آنرا به "!&#" را گرفته و آنرا به پيام اصلي كه "abc" مي باشد تبديل كند .
برخي از الگوريتم هاي اصلي در زمينه رمزنگاري متقارن بشرح ذيل مي باشند:
● استادندارد در رمزگذار داده DES- (DES) :
از يك بلوك 64 بيتي داده و يك كليد 56 بيتي استفاده كرده و يك بلوك 64 بيتي از داده رمزگذار ي شده توليد مي كند.
● Rc4 :
يك جايگزين براي استاندارد DES مي باشد كه ازهمان روش كدگذاري و بيرون آوردن از كد براي رمزگذاري استفاده مي كند. Rc4 مي تواند از روشهاي كدگذاري 40 يا 128 بيتي نيز استفاده كند و تقريباً 10 برابر سريعتر از روش DES مي باشد.
● DES سه گانه (3- DES) :
يك روش بسيار پيچيده و غير طبيعي در رمزنگاري مي باشد كه از 3 كليد بجاي يك كليد بهره مي برند بنابراين امنيت بسيار بيشتري نسبت به روش DES دارد.
تمام اين الگوريتم ها از نظر طول بيتها با يكديگر متفاوت هستند (و يا توان). نيروي هر الگوريتم بيانگر ميزان تلاشهايي است كه لازم است تا يك سيستم را بتوان شكست داد. هر چه طول بيت بلندتر باشد الگوريتم قويتر خواهد بود و تلاشهاي بيشتري براي شكستن رمز لازم خواهد بود.
روش رمزگذاري كليد خصوصي از اشكالات زير رنج مي برد :
- از آنجا كه كليد خصوصي در هر دو سيستم رمزگذار و از كد درآوردن داده مورد استفاده قرار مي گيرد هر كسي كه اين كليد را به سرقت ببرد مي تواند داده هايي كه در حال حاضر و يا قبلاً به رمز درآورده شده اند را به سرقت ببرد و تمام ارتباطات حال حاضر و يا گذشته را بوسيله كليد مشترك بدست آورد.
- بخاطر اين خطر، كليدها بايد در شرايط حفاظت شده قرار داشته باشند و در آن شرايط مبادله شوند مانند گفتگوهاي دو نفره يا مبادلات و گفتگوهاي تلفني .
- از آنجا كه محرمانه بودن تمام ارتباطات داده اي بر مبناي درستي كليد محرمانه مي باشد لازم است كه كليد را بصورت زمانهاي متوالي تغيير دهيم. تعويض كليد در فواصل زماني مختلف موجب مي شود كه هكرها اميد بسيار كمي براي دستيابي به سيستم داشته باشند و نتيجتاً امنيت بالاتري را ايجاد مي كند.
سيستم هاي رمزگذاري با كليد عمومي (غيرمتقارن)
يك سيستم رمزگذاري با كليد عمومي از دو كليد به شرح ذيل استفاده مي كند :
● يك كليد خصوصي كه بعنوان رمز سيستم شناخته مي شود.
● يك كليد عمومي كه مي تواند براي عموم شناخته شده باشد.
از آنجا كه يكي از دو المان- كليد عمومي- مي تواند از طريق عموم مورد شناسايي قرار گيرد. مرحله ابتداي ايجاد و مبادله " كليد سري مشترك" كه براي امنيت بخشيدن به ارتباطات لازم است مي تواند بسيار آسانتر از سيستم هاي رمزگذاري با كليد خصوصي انجام گيرد. دو سيستم رمزگذاري كليد عمومي كه بطور عمده توسط راه حلهاي VPN امروزي مورد استفاده قرار مي گيرند عبارتند از :
(RSA) Rivest shamir Adlemen, (DH) Diffic- Hellmen
شكل 3 يك مثال از سيستم هاي كد گذاي با كليد خصوصي (متقارن) را نشان ميدهد.
* تاييد كاربر و كنترل دسترسي :
تا به اين مرحله مقاله در مورد مباحث كدگذاري در VPN ها بود. اين مسئله كه كاربران چه كسي هستند و آيا همان افرادي كه ادعا مي كنند هستند يا خير نيز بهمان اندازه مهم است. قسمتهاي زير مراحل لازم براي ثابت كردن و امنيت بخشيدن از نظر اين نگراني ها مي باشند.
* امنيت پروتكل اينترنت :
امنيت پروتكل اينترنت (IPSec) يك ساختار از يك استادارد باز هستند كه بوسيله نيروي عملياتي مهندسي اينترنت (IETF) توسعه داده شده اند تا از خصوصي بودن داده تاييديه داده و تاييديه كاربر بر روي شبكه هاي عمومي اطمينان حاصل شود اين يك استاندارد نيرومند است كه مرورهاي زيادي روي آن انجام گرفته است و بعنوان استاندارد صنعتي واضح و روشن براي VPN ها در اينترنت مطرح گرديده است.
يكي از مزاياي IPSec آن است كه در لايه هاي شبكه فعاليت مي كند در حالي كه ساير دسترسي ها نيازمند امنيت در لايه كاربر مي باشند. فايده امنيت در لايه شبكه اين است كه مي تواند بصورت مستقل بدون در نظر گرفتن كاربردهايي كه در حال اجرا بر روي لايه هاي شبكه هستند عمل كند. اين بدان معني است كه سازمانها مي توانند امنيت را در شبكه هاي خود برقرار سازند بدون آنكه لازم باشد براي هر كاربر بصورت جداگانه امنيت را برقرار كنند.
* تاييديه داده و كاربر :
روشهاي تائيد داده مي تواند مورد استفاده قرار گيرد تا اطمينان حاصل شود كه ارتباطات در هنگام نقل و انتقال تغيير داده نشده اند.
بوسيله تائيديه كاربر، هويت كاربران متحرك بايد مورد تائيد قرارگيرد قبل از آنكه اجازه ورود و دسترسي به شبكه به آنها داده شود.
بوسيله اين روش افراد غيرمجاز توانائي دسترسي به شبكه را پيدا نمي كنند. اين روال را مي توان با اهميت ترين بحث در زميه راه حلهاي VPN قلمداد كرد.
چندين روش براي تائيد كاربران وجود دارد. كه شامل موارد زير است :
● رمزهاي از قبل به اشتراك گذارده شده :
رمزهاي از قبل به اشتراك گذارده شده شامل پسوردهائيPastword هستند كه در ميان كاربران توزيع شده است و يا استفاده كنندگان تكنولوژي VPN بايد آنرا داشته باشند اين روش باعث مي شود كه بتوان به سرعت VPN ها را در ميان تعداد محدودي از كاربران گسترش داد. گرچه رمزهاي به اشتراك گذارده شده يك روش مفيد قوي براي محيط هايي با تعداد كاربران بالا نمي باشد.
● گواهينامه هاي ديجيتال :
گواهينامه هاي ديجيتال، اعتبارنامه هاي الكترونيكي هستند كه براي تشخيص هويت كاربر استفاده مي شوند. اين گواهي ها مي توانند بر روي كامپيوترهاي سيار و يا وسايلي كه توسط كاربران جابجا مي شود ذخيره شوند. مديريت گواهي هاي ديجيتالي شامل توزيع و يا ابطال آنها، بصورت اتوماتيك از طريق يك ساختار كليد عمومي انجام مي گيرد PKI. (PKI) ها داراي قدرت بيشتر و قابل انعطاف تري از رمزهاي به اشتراك گذاشته شده مي باشند اما بسيار گرانتر و پيچيده تر نيز مي باشند.
* تائيديه چندگانه
تائيديه چندگانه به سازمانهاي اين اجازه را مي دهد كه موارد مربوط به تائيديه خود را مجتمع نموده و باعث هماهنگي ميان VPN, RADIUS, TACACS + , Secure ID مي باشند. بدون استفاده از تائيديه چندگانه اين كار را بايد با رمزهاي به اشتراك گذاشته شده و يا گواهي هاي ديجيتالي جايگزين كرد كه مي توانند پيچيده و هزينه زا باشند.
* اهداف و انواع VPNها
VPN به دنبال اين سه هدف مي باشد :
- مي تواند براي كارمندان در حال سفر و يا متحرك و يا دور دست امكان دسترسي به منابع شبكه مركزي را فراهم كند.
- مي تواند بطور امن دفاتر را بوسيله ماهواره بهم متصل كند تا شبكه محلي شركت را فراهم نمايد.
- مي تواند شركاء تامين كنندگان و مشتريان را با حفظ دسترسي كنترل شده سرويس دهد.
از نظر تاريخي دسترسي از راه دور بعنوان قويترين هدف و اصلي ترين هدف در جهت مقبوليت VPN مطرح است اما اين وضعيت در حال تغيير است در حالي كه دسترسي از راه دور همچنان در بالاي ليست قرار دارد، هدف ديگري در زمينه ايجاد شبكه هاي محلي در حال پديدار شدن است. امروزه درصد برابري از مديران شبكه در حال برقراري شبكه ها بر مبناي VPN و دسترسي از راه دور مي باشند و هدف متصل كردن دفاتر به يكديگر نيز در حال شكل گيري است.
براي بدست آوردن اين اهداف VPN ها به تقسيم بندي هاي زير گروه بندي شده اند :
- VPN ها با دسترسي از راه دور :
به كارمندان سيار و استفاده كنندگان ازراه دور اجاره مي دهد كه به منابع اطلاعاتي سازمان مركزي متصل شوند در حاليكه اين كار ارزان است و با استفاده از اينترنت و يا ساختار يك فراهم كننده خدمات اينترنتي صورت مي گيرد.
- VPN ها بر پايه اينترنت :
يك شبكه داخلي بر پايه/ IP Tcp و محافظت شده با پسورد كه شركتها براي به اشتراك گذاشتن اطلاعات با كارمندان و ساير افراد مورد تائيد از آن استفاده مي كنند.
- VPN بر پايه اكسترانت :
يك شبكه كه اجازه دسترسي كنترل شده را از شبكه هاي بيروني مي دهد كه اين شبكه ها مي توانند شامل شبكه هاي مشتريان،شركاء تجاري، تامين كنندگان و ساير موارد ديگر مي باشد. زماني كه يك شركت رابطه نزديكي با شركتهاي ديگر داشته باشد ممكن است تصميم بگيرد كه يك شبكه اكسترانت بر پايه VPN ايجاد نمايد و LAN خود را به LAN ساير شركتها متصل نمايد.
نقطه كليدي راه حل VPN آن است كه يك ساختار شبكه مشابه مي تواند تمام 3 نوع VPN ذكر شده را پشتيباني كند. يك VPN به تنهايي مي تواند كاربران از راه دور، شبكه هاي اينترانت و اكسترانت ها را پشتيباني كند. قسمتهاي آينده توضيحي در قبال انواع VPN خواهد بود و شكل 3 آنها را توضيح خواهد داد.