VPN چيست؟

امروز می خواهم در مورد فناروی VPN با شما صحبت کنم.
فهرست :
۱- مقدمه
۲- چرا VPN؟
۳- بررسي انواع VPN
۴- بررسی امنيت در VPN
۵- سخن آخر

۱- مقدمه
فرض کنيد که شما مسؤول شبکه‌ی يک شرکت بزرگ هستيد و مدير شما خبر از تأسيس يک دفتر در نقطه‌يی ديگر از کشور را می‌دهد و به شما می‌گويد، می‌خواهد به صورت مستقيم به منابع و شبکه‌ی داخلي آن دفتر نيز دست‌رسی داشته باشد و شما موظف هستيد اين ارتباط را برقرار کنيد.
اولين راه حلی که به ذهن شما يا شايد ديگران برسد اين است که با يک خط مستقيم اجاره‌يی (lease lines) دفتر مرکزی را به دفتر تازه تأسيس متصل کنيد تا با تشکيل يک WAN (Wide Area Network امکانات بيشتر مانند کارايی بالاتر شبکه، امنيت در دسترسی به منابع و غيره را غراهم کنيد اما شبکه‌های WAN که اصولاً از شبکه‌های کوچک‌تر تشکيل می‌شوند نياز به يک پهناي باند مناسب مانند ISDN و OC12 دارند که هزينه‌های آن‌ها برای نقاطی با فاصله‌ی زياد جغرافيايی بسيار زياد است. (مثل اين‌که دفتر مر کزی شما در تهران باشد و دفتر ديگر در شيراز و يک دفتر هم در ترکيه و شما برای اتصال تمامی کامپيوترهای موجود در اين مراکز مجبور می‌شويد هزينه‌هاي بسياري را براي Lease line ها پرداخت کنيد!)
اما راه حل هاي ديگر هم وجود دارد به عنوان مثال شما مي‌توانيد با استفاده از اينترنت و قرار دادن اطلاعات مورد نياز بر روي يک Webserver و اعمال متودهاي ساده امنيتي مانند درخواست کلمه‌ی عبور و رمز عبور تا حد زيادي نيازي‌هاي شرکت و دفترهاي ديگر آن را بر آورده کنيد.
اما امروزه بيش‌تر شرکت‌ها مالک VPN هايی هستند که تا حد زيادي نيازهاي آن‌ها را جواب‌گو مي‌باشد. در واقع شبکه‌هاي خصوصي مجازي (Virtual Private Network) پلي هستند بين دو يا چند شبکه داخلي (LAN (Local Are Network با استفاده از اينترنت يعني ديگر هزينه هاي زيادي را لازم نيست پرداخت کنيد تا دفترهاي مورد نظر در نقاطي دور از هم با خطوط پر سرعت به يک‌ديگر متصل کنيد تنها کافي است در هر دفتر يک ماشين وجود داشته باشد که از يک طرف به شبکه داخلي و از يک طرف به اينترنت متصل باشد. البته VPN قابليت استفاده در شبکه‌هاي Intranet را هم دارد.

۲- چرا VPN؟
همان‌طور که اشاره کرديم VPN تنها يک سرويس اينترنتي است که به شما امکانات زير را می‌دهد :
- امنيت بالا:
تمامي اطلاعاتي که بين يک VPN و Client آن بر روي اينترنت رد و بدل مي‌شوند از امنيت بالايي بهره مند هستند چون تمامي اطلاعات کد مي شوند.
- هزينه پايين:
ديگر احتياج نيست براي اتصال هر شبکه داخلي به يک‌ديگر هزينه هاي زياد خطوط اجاره اي را پرداخت کنيد تنها با يک خط که به اينترنت متصل باشد مي‌توانيد از VPN استفاده کنيد .
- دسترسي بالا :
شما بعد از اتصال به يک VPN Server مي توانيد جزوي از ان شبکه شويد و به تمامي منابع و آدرس‌ها مانند يک کامپيوتر که در همان شبکه واقع شده است دست‌رسي داشته باشيد .

۳- بررسي انواع VPN
Virtual Private Dial-up Network
VPDN يا همان Virtual Private Dial-up Network اين اجازه به کاربر يا کاربران مي‌دهد تا از هر جاي دنيا که باشند امکان وصل شدن به يک شبکه داخلي (LAN) را داشته باشند . VPDN براي اتصال از (NAS (Network Access Server استفاده مي کند به اين ترتيب که اسم کاربري و کلمه عبور به صورت زير براي NAS ارسال مي شود : Login@domain در صورتي که VPDN فعال باشد در مرحله بعد مشخص مي شود که آيا کاربر Domain اجازه استفاده از VPN را دارد يا نه. در صورتي که اجازه داشته باشد تونل ارتباطي برقرار مي شود.

- Site-to-Site VPN
STS VPN ها بيش‌ترين دسته از VPN ها هستند که امروزه توسط شرکت‌ها و يا مراکز ديگر مورد استفاده قرار مي گيرند :

- Intranet-based Site-to-Site VPN
امکان مخفي کردن يک شبکه داخلي در اينترانت با استفاده از ايجاد VPN با يک Router به يک Router ديگر به اين ترتيب به هيچ وجه کامپيوترهاي شبکه ايجاد شده مشخص نمي شوند و مخفي مي مانند.

- Extranet-based Site-to-Site VPN
درخواست‌هايي که احتياج بر اين باشد که دو يا چند شبکه داخلي را وارد يک شبکه مجازي کنيم و از امکانات آنها در يک جا استفاده کنيم.

۴- بررسي امنيت در VPN
همان طور که متوجه شديد VPN سرويس امني است در اين قسمت به روش‌هاي عمده براي امن سازي يک اتصال VPN مي پردازيم :

- AAA Server
استفاده از يک Authentication, Authorization and Accounting Server به
وسيله يک RADIUS . در واقع هر کاربر براي اتصال به يک VPN سرور مجبور است از سه مرحله Authentication, Authorization and Accounting عبور کند تا در اخر اتصال او و يک VPN برقرار شود اجراي اين مراحل به صورت زير است :
اولين مرحله Authentication است که در ان احتياج است يک کاربر شناسايي شود و براي اين کار نياز به يکLogin Name و Password است هر کاربر داري يک کلمه عبور و پسورد است که قبلا ذخيره شده اند در صورت درست وارد کردن انها مرحله بعد آغاز مي شود که Authorization مي باشد و بررسي اين مي پردازد که يک کاربر چه وظايفي دارد و چه کارهايي را مي تواند انجام دهد در واقع هر کاربر policies خاص خود را دارد که بر طبق آن اجازه استفاه ار برنامه ها يا منابع خاصي به او داده مي شود . آخرين مرحله Accounting است که در آن از اطلاعات و فعاليت‌هاي کاربر LOG برداشته مي شود اطلاعاتي که از انها گزارش تهيه مي‌شود اطلاعات عمومي هستند. (مانند : IP، اسم ماشين، زمان‌هاي فعاليت..)

- Encryption
براي داشتن يک VPN احتياج به دو فاکتور اصلي است يکي tunneling و ديگري Encryption که Encryption سهم زيادي را براي ايجاد امنيت بر عهده دارد. ( Encryption به معني مخفي کردن و استفاده از روشهاي کد کردن اطلاعات است تا در صورت خوانده شدن مشخص نشود اطلاعات درون ان چيست ) به زبان ساده‌تر tunneling شبکه را مي سازد و Encryption آن را امن (Secure) مي‌کند. تنها کسي قادر است است اطلاعات را Decode (کشف رمز کردن) کند که کليد درست را داشته باشد بيشتز سيستم‌هاي کامپيوتري از دو روش Symmetric-key encryption يا Public-key encryption استفاده مي کنند که بررسي آنها به اينده موکول مي‌کنيم .

- IPSec
IPSec يا Internet Protocol Security روشي ديگري است براي ايجاد امنيت در VPN که مي توان از ان به دو حالت استفاده کرد يکي transport و ديگري tunnel .ٍ IPSec از کد کردن در IP network-layer استفاده مي‌کند در نتيجه امنيت بيشتري برقرار مي کند اما متاسفانه در روش Transport قسمت IP headers کد نمي شود و امکان حمله با استفاده از روشهاي Spoofing وجود دارد . اما با استفاده از روش Tunnel و کد کردن تمامي اطاعات مي توان از IPSec استفاده امن تري نمود.

۵- سخن آخر
و در آخر با وجود تمامي نکات امنيتي اما باز هم نفوذگران راه خود را باز مي کنند اينها تنها به سخت تر شده کار آنها تا حد زيادي کمک مي کند . اميدوارم که در مقالات بعد به روش‌هاي ساده بتوانيم در مورد چگونگي راه اندازي VPN با استفاده از امکانات Windows Server و RAS آن بپردازيم . اين مقاله تنها به معرفي گوشه اي از امکانات و راه هاي استفاده از VPN پرداخته است و در نتيجه جاي بيشتر بحث کردن در مورد آن هنوز باقي است . لطفا نظرات تکميلي خود يا پيشنهادات خود را در قسمت نظرات يادداشت کنيد.

با تشکر از Black_Hat


اطلاعات بيشتر
براي اطلاعات بيشتر رجوع شود به :

VPN Papers from Technology Guides
Super resource on VPNs
VPN Design (Cisco)
VPN FAQs
Terms used in VPNs
What about VPN Security?
IP Security Protocol (IPSec)
Wireless VPN Solution
Symmetric-Key Encryption
Public-Key Encryption