توضيح كاربرد ويپيان (اين نام مجاز نمي باشد)، نحوه كار آنها، انواع اين نام مجاز نمي باشدها، امنيت آنها و پروتكلهاي رايجشان و خطراتي كه اين نام مجاز نمي باشدهاي فيلتر شكن ممكن است شما را تهديد كند.
با رشد بيزينس و كسب و كار، اغلب محل انجام كارهاي يك شركت به بيش از يك فروشگاه يا اداره گسترش پيدا ميكند كه ممكن است در مكانهاي بسيار دور از يكديگر باشند. براي ادامه فعاليت شركت، شعبهها و كاركنانشان و همچنين كاركناني كه از راه دور فعاليت ميكنند، به يك راه ارتباطي سريع، امن و قابل اتكا نياز دارند تا بين اين شبكهها اطلاعات رد و بدل كنند.
اين نام مجاز نمي باشد چيست؟
اغلب ما حداقل يك بار كلمه ويپيان را شنيده ايم حداقل در مسائل مربوط به فيلترينگ (كه در بند آخر توضيح داده شده). اين نام مجاز نمي باشد مخفف عبارت Virtual Private Network به معني "شبكه مجازي خصوصي" است.
اين نام مجاز نمي باشد يك شبكه خصوصي را از طريق شبكههاي عمومي مانند اينترنت گسترش ميدهد. مثلاً فرض كنيد كه شبكه خصوصي شركتي در داخل ساختمان آن شركت محدود شده و براي دسترسي به آن بايد به داخل ساختمان برويم. اما در مواقعي ما دسترسي فيزيكي به آن مكان را نداريم ولي بايد به شبكه خصوصي آن جا وصل شده و با آن كار كنيم. مثلاً زماني كه شما در مسافرت هستيد و اتفاقي ميافتد كه سريعاً بايد به شبكه وصل شويد يا امروزه كه اصطلاح كار از راه دور مطرح است، كاربران با استفاده از اتصالات اين نام مجاز نمي باشد به شبكه وصل شده و كار خود را انجام ميدهند. اتصالات ويپيان كاملاً امن بوده و غيرقابل شنود و رمزگشايي هستند.
در گذشته براي گسترش داده شبكههاي خصوصي از اينترانت (Interanet) استفاده ميشد. اينترانت نوعي شبكه است كه براي ارتباط و تبادل داده از اينترنت استفاده نكرده و يك شبكه كاملاً اختصاصي بين شركتها است. اينترانتها بدون واسط اكسترانت هيچ ارتباطي با شبكه اينترنت ندارند. يعني ميتوان اينترانت را مانند يك اينترنت شخصي براي شركتها تعريف كرد كه از پروتكل و استانداردهاي اينترنت استفاده ميكند اما بسيار محدود تر و دسترسي به آن تنها براي افراد تاييد شده امكان پذير است. مثلاً شبكه بانكها، دانشگاهها و ... اغلب از نوع اينترانت هستند.
راه اندازي اينترانت بسيار پر هزينه بوده و براي اغلب شركتها امكان پذير نيست. از طرفي امنيت آن و امكان دسترسي افراد غير مجاز هميشه تهديدي بزرگ براي شبكههاي اينترانت به حساب ميآيد. به همين دليل روش ارتباط ويپيان مطرح شد كه كم هزينه تر، امن تر، قابل انعطاف تر و فرايند خطايابي آن نيز سريع تر است.
اين نام مجاز نمي باشدهاي شركتي چگونه كار ميكند؟
نكته: همه اصطلاحات اين بند در ادامه مطلب توضيح داده شده است.
گفتيم كه ويپيان ها از طريق اينترنت بستري امن را براي كاربر فراهم ميكنند كه با مقصد در ارتباط باشد. با ايجاد يك تونل بين كاربر و سرور كه اغلب به صورت مستقيم به شبكه اينترانت شركت وصل است و رمزگذاري دادههاي رد و بدل شده، يك فضاي كاملاً امن را در اختيار كاربر قرار ميدهد. مانند تصوير زير:
با اين حال يك نوع ديگر ويپيان وجود دارد كه بهتر است آن را بصورت جداگانه در بند بعدي توضيح دهم.
اين نام مجاز نمي باشدهاي فيلتر شكن و خطرات آنها
در بند بالا نحوه كار ويپيان هاي سازماني را توضيح داديم. اين بند درباره ويپيان هايي است كه اغلب به عنوان فيلتر شكن مطرح ميشوند. ممكن است شما نيز از اين فيلترشكنها استفاده كرده باشيد و خب نيازتان هم برطرف شده باشد اما اغلب افراد متاسفانه اهميتي به امنيت اطلاعاتشان نداده و فكر ميكنند كه اين فيلترشكنها و ويپيان ها خطري برايشان به حساب نميآيد.
ويپيان هايي كه به عنوان فيلتر شكن عمل ميكنند، با ايجاد يك تونل بين شما و سرور خريداري شده (يا رايگان) و رمزگذاري اطلاعات، باعث ميشوند كه درخواستهاي ما براي فيلترهاي مخابرات و شركتهاي ارائه دهنده خدمات اينترنتي (ISP) غيرقابل فهم بوده و بدون مشكل از آنها رد شود. سپس اين درخواست را كه دريافت كرده اند، به صورت عادي به وبسايت يا سرويس مورد درخواست شما ارسال ميكنند. آن سرويس يا وبسايت هم پاسخ را براي سرور ويپيان ميفرستد (چون آن را به عنوان درخواست دهنده ميشناسد) و سرور ويپيان پاسخ را رمزگذاري كرده و باز هم با استفاده از تونلي، فيلترهاي مخابرات و ISP را دور زده و در سمت كلاينت شما رمزگشايي ميشود و به اين ترتيب شما از وبسايت يا سرويس مورد نظر استفاده ميكنيد. مثل تصوير زير:
اگر به تصوير بالا دقت كنيد، خيلي راحت همه چيز دستتان ميآيد. اگر سرور ويپيان توسط يك هكر كنترل شود، وي بدون مشكلي به ارتباط بين شما و وبسايت مورد نظر دسترسي خواهد داشت. يعني اگر درخواست ورود به حساب كاربرياي را بدهيد، چون رمز و نام كاربري همراه با درخواست ارسال ميشوند، به راحتي ميتواند آنها را مشاهده كند! توجه به اين نكته ضروري است كه اگر نگوييم همه سرورهاي فيلتر شكن، بســــــــــــــــــياري از آنها از اين طريق اطلاعات شناسايي - هويتي (تنها وبسايت است كه هويت شما را نشناخته و سرور ويپيان را به عنوان طرف مقابل ميشناسد اين درحالي است كه خود سرور ويپيان بدون هيچ مشكلي شما را ميشناسد!) و ساير اطلاعات حساس مثل رمزهاي عبور، كوكي مرورگرتان، اطلاعات بانكي و ... استفاده كنندگان را ميدزدند.
از طرفي چون اين سرويسها غيرقانوني هستند و مكانيزم كارشان به صورتي است كه هويت صاحبشان مخفي است، امكان شكايت از آنها نيز اغلب وجود نخواهد داشت يعني مثلاً اگر رمزتان دزديده شد، ديگر دزديده شده است و كار نه از دست پليس و نه از دست خودتان بر نخواهد آمد. در اين گونه مواقع بهتر است رمزتان را سريعاً عوض كنيد.
براي اين كه درك بهتري از اين خطرات داشته باشيد يك مثال ميزنم: فرض كنيد فرد A نميتواند به B به صورت مستقيم نامه بفرستد. بجاي ارتباط مستقيم، فرد A نامه را در يك مكان خاص گذاشته و به خانه اش ميرود. فرد سومي كه هيچ هويتي از آن نزد A معلوم نيست، نامه را برميدارد. آن را ميخواند، ممكن است تغييرش هم دهد و سپس به فرد B ميرساند و در فرايند بازگشت پاسخ نيز همان كارها را انجام ميدهد.
توصيه
تا حد امكان از فيلترشكنها استفاده نكنيد! اگر استفاده ميكنيد، به هيــــــــــــــچ وجه اطلاعات حساسي نظير شماره كارت بانكي، رمز اينترنتي آن و ... را حتي تايپ هم نكنيد چه برسد كه آن را ارسال كنيد. اگر مجبور هستيد، مطمئن شويد كه فقط به سايتهايي ميرويد كه از پروتكل HTTPS بجاي HTTP استفاده ميكنند. در اينگونه سايتها اطلاعات بين شما و سايت رمزگذاري ميشود يعني حتي براي سرور ويپيان و فيلترشكن هم غيرقابل فهم خواهد بود. در غير اين صورت، مطمئن باشيد كه اطلاعاتتان توسط شخصي خوانده ميشود!
از اينجا به بعد بحث ما فقط ويپيان هاي سازماني/شركتي است و از بحث درباره ويپيان هاي فيلتر شكن خارج ميشويم.
انواع اين نام مجاز نمي باشد
دو نوع ويپيان داريم كه براي كاربردهاي مختلف طراحي شده اند:
ويپيان دسترسي از راه دور
نوع Remote Access اين نام مجاز نمي باشد اجازه ميدهد كه افراد حقيقي (و نه شركتها، شعبهها و ...) به شبكه خصوصي يك شركت وصل شوند. اين كاربران ميتوانند با اتصال به سرور اين نام مجاز نمي باشد شركت، از منابع آن استفاده كنند. از جمله افرادي كه از اين نوع ويپيان استفاده ميكنند كاركناني هستند كه از راه دور كار ميكنند.
براي ايجاد ارتباط در اين نوع ويپيان به دو جزء اساسي نياز است:
۱- NAS: مخفف Network Access Server بوده و ارتباط را از سمت سرور كنترل ميكند. NAS ممكن است به عنوان يك سرور اختصاصي در سمت شبكه شركت فعاليت كند يا به عنوان يك نرم افزاري كه روي شبكههاي اشتراكي كار ميكند، اطلاعات احراز هويت كاربر را گرفته و با بررسي آنها به وي اجازه اتصال به شبكه شركت را ميدهد.
۲- برنامه سمت كاربر: كاربر براي اتصال به سرور ويپيان بايد از نرم افزاري استفاده كند كه علاوه بر برقراري ارتباط و احراز هويت، دادههاي ارسالي را رمزگذاري كرده و دادههاي دريافتي را نيز رمزگشايي كند. اغلب سيستم عاملها (از جمله ويندوز، گنو/لينوكس و ...) برنامههاي تعبيه شده اي براي اتصال به سرور ويپيان در اختيار كاربر قرار ميدهند.
ويپيان مكان به مكان
نوع Site to site اين نام مجاز نمي باشد اجازه ميدهد كه شعبههايي از يك شركت با يكديگر در ارتباط باشند. اين نوع از ويپيان زماني اهميت پيدا ميكند كه صدها فرد قصد ارتباط با سرور را داشته باشند. بجاي اين كه هر يك از نوع "ويپيان دسترسي از راه دور" استفاده كنند، به گروههايي تقسيم ميشوند كه به عنوان شعبههايي از آن شركت، از طريق "ويپيان مكان به مكان" به هم متصل شده و اجازه استفاده از منابع يكديگر را ميدهند. اجزاي مورد نياز براي راه اندازي اين نوع ويپيان مانند نوع قبلي است با اين تفاوت كه اغلب، ديگر نيازي به داشتن كلاينت بر روي هر كامپيوتر نخواهد بود.
اين نوع از اين نام مجاز نمي باشد خود به دو نوع ديگر تقسيم ميشود:
۱- بر پايه اينترنت: اگر شركت يك يا چند مكان دور داشته باشد كه بخواهند به يكديگر وصل شوند و شبكه محليشان را در اختيار يكديگر قرار دهند، از طريق ويپيان بر پايه اينترنت استفاده ميكنند.
۲- بر پايه اكسترانت: اگر شركتها يا سازمانهايي بخواهند با يكديگر در ارتباط باشند ولي نيازي به اينترنت نداشته باشند ميتوانند شبكه اينترانت خود را با استفاده از ويپيان بر پايه اكسترانت، به شبكه اينترانت ديگري وصل كنند. به اين ترتيب ميتوانند با يكديگر كار كنند و از طرفي از شبكه اينترانت خود محافظت كنند.
امنيت اين نام مجاز نمي باشد
همانطور كه گفته شد، ويپيان ها از شبكه عمومي اينترنت استفاده ميكنند. اما شبكه اينترنت امن نيست. در ارتباطات ويپياني دو عمل اصلي براي فراهم كردن امنيت انجام ميشود:
تونل زني
تونلينگ (Tunneling) كه تانلينگ نيز گفته ميشود، روشي است كه در آن ميتوانيم از پروتكلهايي كه اغلب پشتيباني نميشوند، استفاده كنيم. براي مثال با استفاده از تونل زني ميتوانيم از پروتكل اينترنت (Internet Protocol يا IP) استفاده كنيم تا پروتكل ديگري را به عنوان بخش داده در بستههاي IP ارسال كنيم.
براي درك بهتر بگذاريد يك مثال بزنم: فرض كنيد دو ترمينال باربري (پايانه) وجود دارد كه از يكي قصد ارسال ابزاري را داريم كه هم خروجي ترمينال مبدا و هم ورودي ترمينال مقصد جلوي آن را ميگيرد. در اين ترمينالها فقط بستههايي به شكل مربع، مستطيل و لوزي قابل شناسايي بوده و مجوز خروج/ورود را دارند. حال كافيست ابزار مورد نظرمان را در داخل يك بسته مربع شكلي قرار دهيم تا از ترمينال مبدا ارسال شده و در ترمينال مقصد نيز بدون مشكل دريافت شود سپس در ترمينال مقصد فردي آنها را تحويل گرفته و از بسته خارج ميكند.
رمزگذاري اطلاعات
دادههاي بين كلاينت و سرور همگي رمزگذاري ميشوند تا از درك و دسترسي محتواي اصلي توسط فرد سوم جلوگيري شود. علاوه بر اين، اطلاعات با چكسامهايي (امضا هاي ديجيتالي) علامت گذاري ميشوند تا اگر در اين بين اطلاعات توسط فرد سومي تغيير داده شوند، مقصد از آن مطلع شود. يعني به اطلاعات قابليت محرمانگي و يكپارچگي را ميدهد.
براي درك بهتر بگذاريد يك مثال بزنم: فرض كنيد فرد A به B از طريق تلفن ثابت زنگ زده است. اگر در اين ميان يك فرد باشد كه از سيم تلفن يك اتصال ديگر براي خودش بسازد، قادر خواهد بود كه صحبتهاي هر دو طرف را بشوند، برخي از آنها را بلاك كند يا حتي تغييرشان دهد. حال ما ارتباط بين A و B را رمزگذاري ميكنيم بطوري كه فقط با استفاده از يك كليد خاص بشود آنها را رمزگشايي كرد. حال حتي اگر فرد مياني به اطلاعات گوش دهد، چيزي نخواهد فهميد! از طرفي چون ارتباط با قراردادهاي خاصي امن شده، اگر آنها را تغيير دهد، افراد از آنها مطلع شده و خواهند فهميد كه اطلاعات را به درستي دريافت نكرده اند.
در خريد اين نام مجاز نمي باشد نيز اطلاعات بايد رمزگذاري شوند تا امكان Sniff و حملاتي مثل Man-in-the-middle وجود نداشته باشد.
پروتكلهاي امنيتي اين نام مجاز نمي باشد
در ايجاد يك كانكشن خريد اين نام مجاز نمي باشد، از پروتكلهاي مختلفي ميتوانيم استفاده كنيم كه مزايا و معايب متفاوتي دارند. اين پروتكلها عبارت اند از:
پروتكل PPTP
يكي از رايج ترين و البته ضعيف ترين پروتكلهايي است كه در ارتباطات اين نام مجاز نمي باشد استفاده ميشود. PPTP مخفف Point-to-Point Tunneling Protocol است كه براي تونلينگ استفاده شده و توسط پروتكل MPPE رمزگذاري ميشود.
اين پروتكل آسيب پذيريهاي امنيتي مختلفي دارد كه ارتباط و دادههاي ارسالي را در خطر لو رفتن قرار ميدهد ولي چون در اكثر سيستم عاملها تعبيه ميشود و از طرفي استفاده از آن آسان است، به يكي از رايج ترين پروتكلها تبديل شده. در يك كلام، از PPTP استفاده نكنيد!
پروتكل Openاين نام مجاز نمي باشد
اوپن ويپيان پروتكل امني است كه از OpenSSL و SSL/TLS براي رمزگذاري استفاده ميكند. اين پروتكل قابليت كانفيگ فراواني داشته و اگر از الگوريتم AES استفاده شود، يكي از قوي ترين پروتكلهاي اين نام مجاز نمي باشد خواهد بود.
چون اين پروتكل بصورت تعبيه شده در سيستم عاملهاي رايج پشتيباني نميشود، براي استفاده از آن بايد يك برنامه جانبي بر روي سيستم خود نصب كنيد. استفاده از اين پروتكل پيشنهاد ميشود ولي نسبت به SSTP كمي كم ثبات تر است.
پروتكل L2TP/IPSec
مخفف Internet Protocol Security بوده و پروتكلي براي امن كردن شبكه عمومي اينترنت است. اين پروتكل علاوه بر قابليت رمزگذاري، ميتواند تونل نيز بزند. اين پروتكل در دوحالت Transport Mode كه فقط اطلاعات موجود در قسمت داده بسته IP را رمزگذاري ميكند و حالت Tunnel Mode كه كل بسته IP (داده و سربرگ (هدر)) را رمزگذاري ميكند. اين پروتكل در كانكشنهاي اين نام مجاز نمي باشد در كنار پروتكل L2TP كار ميكند.
L2TP مخفف Layer 2 Tunneling بوده، براي تونلينگ استفاده ميشود، بر پايه PPP بوده و قابليت رمزگذاري ندارد. با اين حال در تركيب با IPSec ميتواند بسيار مناسب باشد.
تركيب پروتكل L2TP/IPSec در سيستم عاملهاي جديد بصورت تعبيه شده پشتيباني ميشود. يعني راه اندازي آن آسان بوده و از طرفي امنيت بالايي هم دارد. ولي چون قابليت كانفيگ يا پيكربندي زيادي ندارد نسبت به Openاين نام مجاز نمي باشد در رده پايين تري قرار ميگيرد.
پروتكل SSTP
مخفف Secure Socket Tunneling Protocol بوده و پروتكلي براي تونلينگ است با اينحال در كنار پروتكل SSL براي رمزگذاري، براي كانكشنهاي اين نام مجاز نمي باشد بسيار مناسب است. SSTP از ويندوز ويستا سرويس پك ۱ به بعد بصورت تعبيه شده توسط اين سيستم عاملها پشتيباني ميشود و به دليل همين پشتيباني اغلب بهتر از Openاين نام مجاز نمي باشد است. با كانفيگ كردن اين پروتكل براي استفاده از رمزگذاري AES يك كانكشن قوي خواهيد داشت. استفاده از SSTP بيشتر از ساير پروتكلها پيشنهاد ميشود.