VPN چگونه امن می شود؟ بررسی امنیت در شبکه های VPN
در این مقاله و در ادامه مقاله قبلیم که در خصوص معرفی شبکه های خصوص مجازی یا همون VPN هست ، میخام راجع به امنیت در این نوع شبکه های صحبت کنم ، شاید اکثر شما دوستان فکر کنید که VPN که خودش برای امنیت ساخته شده ، مگه خودش ایمن نیست ؟ در دوره آموزش نتورک پلاس به خوبی و بصورت کامل هم در خصوص مفهوم VPN و هم پروتکل های کاربردی آن صحبت می کنیم. جوابش رو در این مثاله بهتون می دم ، هر سیستم امنیتی برحسب نوع پارامترهای امنیتی که در داخلش استفاده شده ممکن هست که مورد هجوم و در نهایت بهش نفوذ بشه و VPN هم از این قضیه خارج نیست .
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- فایروال ، دیوراه آتش یا Firewall
- Fire wall برای جلوگیری از حملاتی مثل:
- از راهکارهایی مثل:
- رمزنگاری (encryption)
- (AAA (Authentication Authorization Accounting چیست؟
- (IPSEC(Internet Protocol Security چیست؟
- (ESP (Encapsulated security payload چیست؟
- (AH (Authentication header چیست؟
- IP SEC میتونه داده های بین دستگاه های مختلف مثل:
- (SSL(Secure Socket Layer چیست؟
VPN هم برای خودش تنظیمات ویژه امنیتی داره که میتونه توانایی های حفظ محرمانگی و امنیت اطلاعات ما رو بالا ببره و کمتر بشه بهش نفوذ کرد .باید باور کنیم که این شبکه هم مثل شبکه های دیگه قابل نقود هست و ما تنها کاری که میتونیم انجام بدیم این هست که تا جای ممکن امنیتش رو بالا ببریم . در ادامه مطلب روش هایی رو که ما میتونیم از طریق اونها این شبکه رو ایمن سازی کنیم و تا حد زیادی امنیت اطلاعاتمون رو بالا ببریم رو عنوان میکنیم ، روش های اصلی به شکل زیر هستند :
فایروال ، دیوراه آتش یا Firewall
همونطور که از اسمش مشخص به معنی دیواره آتش.آتشی که جنبه ی محافظت داره و مانع نفوذ غیرمجاز میشه.وقتی تعداد سیستم های متصل به شبکه خصوصی زیاد میشه،به طبع محافظت از منابع سیستم هم مشکل میشه.firewall یک دیوار امنیتی بین شبکه ی اختصاصی و اینترنت ایجاد میکنه و با محدود کردن دسترسی افراد خارجی به سیستم امکان حمله به سیستم رو کم میکنه.همچنین دسترسی از داخل به خارج شبکه رو هم میتونیم با اون محدود کنیم،مثلا بعضی پورت ها رو ببندیم.دیوار آتش هم میتونه نرم افزاری باشه هم سخت افزاری. اگر دوست داشتین تو همین وب سایت تفاوت فایروال نرم افزاری و سخت افزاری رو می تونین مطالعه کنید.این هم لینک مطلبش :
Fire wall برای جلوگیری از حملاتی مثل:
- دسترسی غیرمجاز به منابع شبکه یا Unauthorized Access (که با نفوذ مداخله گر از طریق رایانه اتفاق می افته)
- عدم سرویس دهی و تقاضای بیش از حد سرویس ها یا DOS Attack(طوری که سرویس دهی به بقیه غیرممکن بشه)
- نقاب زدن یا Spoofing (جا زدن به جای یک فرد دیگه،مثلا تغییر آدرس فرستنده ی پست الکترونیکی)
از راهکارهایی مثل:
- محدود کردن دسترسی
- جلوگیری از استفاده ی بعضی سرویس ها
- و ارتباط بین بعضی سیستمها، استفاده میکنه
رمزنگاری (encryption)
رمزنگاری فرآیند حفظ امنیت داده هاست،کامپیوتر مبداء داده ها یا بسته رو رمزگذاری میکنه و به سمت مقصد میفرسته و کامپیوتری که مجاز به رمزگشایی هست وقتی بسته رو دریافت کرد اون رو رمزگشایی میکنه.دو نوع رمزنگاری داریم:
- رمزنگاری کلید متقارن (secret +key )
- رمزنگاری کلید عمومی (public +key )
توی رمزنگاری متقارن هر کدوم از کامپیوترها یک کلید(کد) دارن که برای رمزگذاری بسته ی اطلاعاتی از اون استفاده میکنن.کلید رمزگذاری بین فرستنده و گیرنده مشترک،فرستنده با استفاده از کلیدی که داره متن اصلی رو با الگوریتم مشخصی رمز و ارسال میکنه و گیرنده با الگوریتم رمزگشایی که عکس عمل رمزنگاری هست،داده ی دریافتی رو رمزگشایی میکنه به شرطی که با الگوریتم رمزگشایی آشنایی داشته باشه.اگه پیام یا بسته به دست نفوذگرها بیفته به دلیل اینکه از کلید آگاهی ندارن نمی تونن اون رو رمزگشایی کنن.
توی رمزنگاری کلید عمومی هر کاربر یک زوج کلید(کلیدخصوصی و کلیدعمومی) داره.کلید خصوصی برای کامپیوتر ارسال کننده قابل شناسایی و استفاده ست و کلید عمومی هر فرد به بقیه ارسال میشه یا توی یک جای عمومی ذخیره میشه تا کاربرهای دیگه بتونن از اون استفاده کنن.تو این روش هر کاربری که بخواد پیامی برای شخص دیگه ارسال کنه با کلید عمومی شخص گیرنده،پیام موردنظر رو ارسال میکنه و این پیام تنها به وسیله ی کلید خصوصی به کار رفته توی رمزنگاری،قابل رمزگشایی هست.
(AAA (Authentication Authorization Accounting چیست؟
این سه کار در واقع سه نوع سرویس هستند که معمولا هم بصورت نرم افزاری و هم بصورت سخت افزاری انجام میشن . به این سه تا در اصطلاح AAA یا تریپل A هم گفته میشه ، معمولا وقتی سه تا حرف کنار هم در انگلیسی میاد اینطوری خونده می شه مثلا IEEE خونده میشه آی تریپل E . بهر حال ما بحثمون چیز دیگه ای هست . این سروس ها برای حفظ امنیت در دسترسی های از راه دور استفاده می شن .وقتی به کاربری نام کاربری و رمز عبور میدین و یک Connection برای VPN به محض برقراری اتصال اول درخواستش به این سرویس منتقل می شه . بعد به شکل زیر هر کدوم از این A ها کار خودشون رو انجام میدن :
- شما چه کسی هستید؟(Authentication)
- شما مجاز به انجام چه کاری هستید؟(Authorization)
- چه کارهایی رو انجام داده اید؟(Accounting)
با این فرآیند بعد از مشخص شدن هویت کاربر،یجورایی برای کاربر مجاز محدوده ی استفاده رو مشخص کنه.
(IPSEC(Internet Protocol Security چیست؟
یکی از راه های ایجاد امنیت،به وجود آوردن امنیت در سطح IP هست.پروتکل IPSEC هم یکی از امکانات موجود برای برای ایجاد امنیت و ارسال اطلاعات در سطح پروتکل IP هست . بسته ها در شبکه ی LAN به صورت معمولی منتقل میشن،یعنی هر بسته یک بدنه ی IP و یکheader یا Header IP داره.ولی وقتی اون بسته میخواد از شبکه ی LAN به یک شبکه ی دیگه منتقل بشه,بسته ها تغییر میکنن و به اونا Header IP SEC اضافه میشه.IP SEC شامل دوتا Sub protocol هست که برای امن کردن بسته ها توی شبکه ی vpn به کار میره. در دوره آموزش MCSA ویندوز سرور شما با نحوه راه اندازی VPN سرور در ویندوز هم آشنا می شوید.
(ESP (Encapsulated security payload چیست؟
برای محرمانگی محتوای پیام و به صورت محدود برای محرمانگی جریان ترافیک استفاده میشه، کار ESP اینه که Payload بسته ای رو که در حال انتقال هست رو به وسیله ی کلید متقارن رمزگذاری کنه.
(AH (Authentication header چیست؟
سرآیه ی احراز اصالت AH برای حفظ تمامیت و احراز اصالت بسته های IP استفاده میشه.برای پنهان کردن اطلاعات بسته ها مثل(هویت ارسال کننده ها) قبل از اینکه به مقصد برسن رویheader بسته به کار میره تا امنیتش رو حفظ کنه.
IP SEC میتونه داده های بین دستگاه های مختلف مثل:
- Router به Router
- Firewall به Router
- Desktop به Router
- Desktop به Server
رو رمز نگاری کنه.
(SSL(Secure Socket Layer چیست؟
لایه ی سوکت امن اجازه میده که بین کاربر و سرور یک نشست ایجاد بشه و از این طریق هر تعداد اتصال امن امکانپذیر میشه.در واقع مجموعه ای از پارامترهای امنیتی رو تعریف میکنه،که به صورت اشتراکی توی اتصالات مربوط به این جلسه استفاده میشن.از نظر تئوری بین کاربر و سرور میتونه بیشتر از یک نشست وجود داشته باشه ولی در عمل فقط یک جلسه به وجود میاد.