آنچه باید درباره فناوری VPN بدانید
شبکه های خصوصی مجازی یا VPN دامنه شبکه های LAN را بدون نیاز به خطوط خصوصی اختصاصی یا اجاره ای گسترش می دهند. شرکت ها می توانند از VPN برای دسترسی شبکه به کاربران از راه دور و تلفن همراه ، اتصال شاخه های جدا شده از نظر جغرافیایی به یک شبکه واحد و استفاده از راه دور از برنامه هایی که به سرورهای داخلی متکی هستند ، استفاده کنند.
VPN ها می توانند از یک یا هر دو مکانیزم استفاده کنند. یکی استفاده از زنجیره های خصوصی استخدام شده توسط یک ارائه دهنده ارتباطات معتبر است: فقط به این VPN معتبر گفته می شود. مورد دیگر ارسال ترافیک رمزگذاری شده از طریق اینترنت عمومی است: این یک VPN امن نامیده می شود. استفاده از VPN امن بیش از VPN مطمئن VPN ترکیبی نامیده می شود. به ترکیب دو نوع VPN امن در یک دروازه مانند IPsec و Secure Sockets Layer (SSL) ، VPN ترکیبی نیز گفته می شود.
در طول سال ها ، استقرار VPN های معتبر از زنجیره های خصوصی خام اجاره شده از ارائه دهندگان ارتباطات از راه دور به زنجیره های شبکه IP خصوصی اجاره شده از ISP ها منتقل شده است. فناوری های اصلی مورد استفاده برای استقرار VPN های معتبر از طریق شبکه های IP مدارهای ATM ، مدارهای فریم رله و تعویض برچسب چند پروتکل (MPLS) است.
دستگاه خودپرداز و رله قاب بر روی لایه پیوند داده ، که لایه 2 مدل OSI است ، کار می کنند. (لایه 1 لایه فیزیکی است ؛ لایه 3 لایه شبکه است.) MPLS برخی از خصوصیات شبکه سوئیچ مدار را از طریق یک شبکه سوئیچ شده بسته تقلید می کند و بر روی یک لایه کار می کند ، که اغلب "2.5" نامیده می شود ، واسطه بین اتصال داده و شبکه. MPLS شروع به جایگزینی خودپرداز و رله چارچوب برای استقرار VPN های معتبر برای شرکت های بزرگ و ارائه دهندگان خدمات کرده است.
VPN امن
VPN های امن می توانند از IPsec با رمزگذاری ، IPsec با پروتکل تونل سازی لایه 2 (L2TP) ، SSL 3.0 یا امنیت لایه حمل و نقل (TLS) با رمزگذاری ، لایه دو (L2F) یا پروتکل تونل کردن نقطه به نقطه (PPTP) استفاده کنند. [یادداشت سردبیر: نسخه قبلی این مقاله نادرست عنوان کرده بود که IPsec در داخل L2TP کار می کند ، در حالی که عکس این قضیه صادق است]. بیایید نگاهی کوتاه به هر یک از آنها بیندازیم.
IPsec یا امنیت IP استانداردی برای رمزگذاری و یا احراز هویت بسته های IP در یک لایه شبکه است. IPsec دارای مجموعه ای از پروتکل های رمزنگاری برای دو منظور است: حفاظت از بسته های شبکه و تبادل کلیدهای رمزگذاری. برخی از کارشناسان امنیتی ، مانند بروس اشنایر از شرکت Counterpane Internet Security Inc ، IPsec را از اواخر دهه 1990 پروتکل VPN ترجیح داده اند. IPsec در ویندوز XP ، 2000 ، 2003 و ویستا پشتیبانی می شود. در لینوکس 2.6 به بعد در Mac OS X ، NetBSD ، FreeBSD و OpenBSD ؛ در سولاریس ، AIX و HP-UX ؛ و در VxWorks. بسیاری از ارائه دهندگان سرویس دهنده ها و سرویس دهنده های IPsec VPN را ارائه می دهند.
مایکروسافت سرویس گیرنده های PPTP را از Windows 95 OSR2 در تمام نسخه های ویندوز گنجانده است. سرویس گیرنده های PPTP در Linux ، Mac OS X ، Palm PDA دستگاه ها و Window Mobile 2003 دستگاه ها هستند. این شرکت همچنین سرورهای PPTP را در تمام محصولات سرور Windows NT 4.0 خود گنجانده است.
PPTP به خصوص در سیستم های ویندوز بسیار محبوب است ، زیرا به طور گسترده ای در دسترس است ، رایگان است و نصب آن آسان است. با این حال ، همانطور که توسط مایکروسافت پیاده سازی شده است ، همیشه امن ترین VPN امن نیست.
اشنایر با "Mudge" در صنایع سنگین L0pht ، نقص های امنیتی Microsoft PPTP را در سال 1998 کشف و منتشر کرد. مایکروسافت به سرعت این مشکلات را با MS-CHAPv2 و MPPE برطرف کرد و اشنایر و مودج تحلیلی را برای تأیید این پیشرفت ها در سال 1999 منتشر کردند ، اما آنها اشاره کردند که امنیت PPTP مایکروسافت هنوز به امنیت رمز ورود هر کاربر بستگی دارد. مایکروسافت با اعمال سیاست های رمز عبور بر روی سیستم عامل های خود به این مسئله پرداخته است ، اما اشنایر و مودج هنوز IPSec را به جای PPTP برای VPN های امن به عنوان اساساً امن تر توصیه می کنند.
L2TP ایده های PPTP و L2F را که پروتکل قدیمی تری است که توسط Cisco Systems Inc برای ایجاد یک پروتکل لایه پیوند داده ساخته شده است ، ترکیب می کند. این یک تونل را فراهم می کند ، اما امنیت و احراز هویتی وجود ندارد. L2TP می تواند جلسات PPP را در تونل خود حمل کند. سیسکو L2TP را در روترهای خود پیاده سازی می کند. چندین پیاده سازی منبع آزاد L2TP برای لینوکس وجود دارد.
L2TP / IPsec تونل L2TP را با کانال امن IPsec ترکیب می کند و تبادل امن کلیدها در اینترنت را نسبت به IPsec خالص آسان می کند. مایکروسافت از سال 2002 یک سرویس گیرنده VPN L2TP / IPsec رایگان برای ویندوز 98 ، ME و NT فراهم کرده است و یک سرویس گیرنده VPN L2TP / IPsec با ویندوز XP ، 2000 ، 2003 و ویستا فراهم می کند. ویندوز سرور 2003 و سرور ویندوز 2000 شامل سرورهای L2TP / IPsec هستند.
SSL و TLS پروتکل هایی برای تأمین جریان داده لایه 4 از مدل OSI هستند. SSL 3.0 و TLS 1.0 ، جانشین آن ، اغلب با HTTP برای فعال کردن مرور شبکه ایمن به نام HTTPS استفاده می شوند. با این وجود می توان از SSL / TLS برای ایجاد تونل VPN نیز استفاده کرد. به عنوان مثال ، OpenVPN یک بسته VPN منبع باز برای لینوکس ، xBSD ، Mac OS X ، کامپیوترهای جیبی و ویندوز 2000 ، XP ، 2003 و ویستا است که با استفاده از SSL رمزگذاری برای هر دو کانال داده و کانال را کنترل می کند. چندین ارائه دهنده سرویس دهنده ها و سرویس دهنده های SSL VPN را ارائه می دهند.
مزایا و خطرات امنیتی VPN
VPN می تواند موانع جغرافیایی یک شرکت را برطرف کند ، به کارمندان اجازه دهد تا از خانه به طور کارآمد کار کنند و به مشاغل اجازه ارتباط ایمن با تأمین کنندگان و شرکای خود را بدهد. مالکیت و کار با VPN معمولاً بسیار ارزانتر از خطوط خصوصی است.
از طرف دیگر ، استفاده از VPN می تواند یک شرکت را در معرض خطرات امنیتی بالقوه قرار دهد. در حالی که اکثر VPN های استفاده شده از قبل کاملاً امن هستند ، VPN ها می توانند ایمن سازی محیط شبکه را دشوارتر کنند. این وظیفه مدیران شبکه است که استانداردهای امنیتی یکسانی را در رایانه هایی که از طریق VPN به شبکه متصل می شوند همانند رایانه هایی که مستقیماً به یک LAN متصل هستند ، بر عهده دارند.
ترکیب همزمان استفاده از دو VPN به طور بالقوه می تواند شبکه یک شرکت را در معرض شرکت دیگر قرار دهد. علاوه بر این ، استفاده از نرم افزار کنترل از راه دور مانند PC Anywhere ، GoToMyPC یا VNC در ترکیب با VPN می تواند شبکه این شرکت را در معرض بدافزار موجود در رایانه از راه دور قرار دهد که خود به VPN متصل نیست.
قابلیت اطمینان ، مقیاس پذیری و عملکرد VPN
از آنجا که VPN های امن به رمزگذاری متکی هستند و برخی از ویژگی های رمزنگاری استفاده شده از نظر محاسباتی گران هستند ، یک VPN بسیار استفاده شده می تواند سرور شما را بارگیری کند. به طور معمول ، سرپرستان با محدود کردن تعداد اتصالات همزمان به آنچه سرور از عهده آن برمی آید ، بار سرور را مدیریت می کنند.
وقتی تعداد افرادی که قصد اتصال به VPN را دارند ناگهان به اوج خود می رسد ، به عنوان مثال در طوفانی که ترافیک را مختل می کند ، کارمندان ممکن است قادر به اتصال نباشند زیرا همه پورت های VPN مشغول هستند. این به مدیران انگیزه می دهد تا برنامه های اصلی را بدون نیاز به VPN اجرا کنند ، به عنوان مثال با راه اندازی سرورهای پروکسی یا سرورهای پروتکل پیام رسانی اینترنتی برای دسترسی کارمندان به ایمیل از خانه یا جاده.
تصمیم گیری بین IPsec و SSL / TLS برای یک سناریو مشخص می تواند پیچیده باشد. یک ملاحظه این است که SSL / TLS می تواند از طریق فایروال مبتنی بر NAT کار کند. IPsec نمی تواند ، اما هر دو پروتکل از طریق فایروال هایی که آدرس ها را ترجمه نمی کنند ، کار می کنند.
IPsec تمام ترافیک IP را که بین دو کامپیوتر جریان دارد رمزگذاری می کند. SSL / TLS ویژه برنامه است. SSL / TLS از ویژگی های رمزنگاری نامتقارن گران قیمت برای ایجاد اتصال و ویژگی های رمزگذاری متقارن کارآمدتر برای اطمینان از یک جلسه کاری استفاده می کند.
در یک برنامه کاربردی از راه دور واقعی ، مدیران ممکن است ترکیبی از پروتکل ها را برای تعادل مطلوب بین عملکرد و امنیت انتخاب کنند. به عنوان مثال ، مشتریان می توانند از طریق فایروال با استفاده از یک مرورگر محافظت شده SSL / TLS به یک قسمت جلویی وب متصل شوند. وب سرور می تواند از طریق IPsec به سرور برنامه متصل شود. و سرور برنامه می تواند از طریق فایروال دیگری با استفاده از SSL به سرور پایگاه داده متصل شود.
مقیاس پذیری VPN گاهی اوقات با استفاده از سخت افزار ویژه سرور قابل بهبود است. برای پوشش این موضوع ، باید ادعاهای رقابتی ارائه دهندگان VPN را مرور کنیم: شاید موضوعی برای روز دیگر.