خرید فیلتر شکن

امنیت در وی‌پی‌ان

تبادل داده‌ها روی اینترنت چندان ایمن نیست. تقریباً هر کسی که در جای مناسب قرار داشته باشد می‌تواند جریان داده‌ها را زیر نظر گرفته و از آنها سوء مصرف نماید . شبکه‌های شخصی مجازی یا وی‌پی‌ان‌ها کار نفوذ را برای خرابکاران بسیار زیاد سخت می‌کنند.

شبکه‌های وی‌پی‌ان بمنظور تامین امنیت (داده‌ها ارتباطات)از روش‌های متعددی استفاده می‌نمایند، از عبارت :

دیوار آتش
رمزنگاری
آی‌پی‌سک
کارساز AAA
دیوار آتش

دیوار آتش یا فایروال دیواره مجازی بین شبکه اختصاصی سازمان و اینترنت ایجاد می‌نماید. با مصرف از دیوار آتش می‌توان عملیات مفرق ی را در جهت اعمال سیاست‌های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت‌های فعال، ایجاد محدودیت در رابطه به پروتکل‌های خاص، ایجاد محدودیت در نوع بسته‌های اطلاعاتی و… نمونه هائی از عملیاتی است که می‌توان با استفاده از یک دیوارآتش انجام داد.

رمزنگاری

Right
پیشنهاد شده‌است که این متن یا بخش با رمزنگاری ادغام گردد. (بحث)
رمزنگاری فرایندی است که بااستفاده از آن رایانه مبداءاطلاعاتی رمزشده را جهت رایانه دیگر ارسال می‌نماید.بقیه رایانه های مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب بعد از ارسال اطلاعات بوسیله فرستنده، دریافت کنندگان، قبل ازاستفاده ازاطلاعات می‌بایست كار به رمزگشائی اطلاعات ارسال شده نمایند. سیـستم ‌های رمزنگاری در رایانه به دو گروه عمده تقسیم می‌گردد:

رمزنگاری کلید متقارن

در رمز نگاری کلید متقارن هر یک از رایانه ها یک کلید رمزنگاری (کد) بوده که بامصرف ازآن قادر به رمزنگاری بسته اطلاعاتی قبل از ارسال در شبکه برای رایانه دیگر می‌باشند. درآموزش فوق می‌بایست در ابتدا نسبت به رایانه هایی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند، آگاهي کامل وجود داشته باشد. هر یک از رایانه های کمپانی کننده در مبادله اطلاعاتی می‌بایست دارای کلید رمزنگاری مشابه بمنظور رمزگشایی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی هم از کلید فوق مصرف خواهد شد.

جهت مثال فرض بکنید قصد ارسال یک پیام رمز شده جهت یکی از دوست ها خود را داشته باشید. بدین منظور از الگوریتم ویِژگزینشه برای رمزنگاری مصرف می‌شود. در الگوریتم فوق هر حرف به دوحرف بعداز خود تبدیل می‌گردد. (حرف A به حرف C، حرف B به حرف D و…). بعد از رمزنمودن پیام ارسال آن، می‌بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام ارسال شده، هر حرف بایستی به دو حرف قبل از تبدیل گردد. در چنین حالتی می‌بایست به رفیق امین خود، واقعیت فوق (کلید رمزنگاری) گفته شود. در صورتیکه پیام فوق بوسیله افراد دیگری دریافت گردد، بدلیل عدم آبعضی از کلید، آنان قادر به رمزگشایی و استفاده از پیام ارسال شده نخواهند بود.

رمزنگاری کلید عمومی

در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می‌شود. کلید خصوصی صرفاً برای رایانه شما (ارسال کننده) قابل شناسایی استفاده‌است. کلید عمومی توسط رایانه شما در اختیار تمام رایانه های دیگری که قصد رابطه با آن را داشته باشند گذاشته می‌شود. بمنظور رمزگشائی یک پیام رمز شده، رایانه می‌بایست با استفاده از کلید عمومی (ارائه شده بوسیله رایانه ارسال کننده) و کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید. یکی از متداولترین وسائل های رمزنگاری کلید عمومی، روشی با نام پی‌جی‌پی است. با استفاده از اینروش می‌توان كار به رمزنگاری اطلاعات دلخواه خود نمود.

آی‌پی‌سک

Right
پیشنهاد شده‌است که این متن یا بخش با آی‌پی‌سک ادغام گردد. (بحث)
پروتکل آی‌پی‌سک یکی از امکانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات می‌باشد. قابلیت اینروش در مقایسه با الگوریتم‌های رمزنگاری بمراتب بیشتر است. پروتکل فوق دارای دوروش رمزنگاری است: Tunnel، Transport. درراهنمای tunel، هدر Payload رمز شده درحالیکه درروش transport صرفاً payload رمز می‌گردد. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای مفرق است:

روتر به روتر
فایروال به روتر
رایانه به روتر
رایانه به سرویس‌دهنده
جزئیات IP-Sec
VPN-Ipsec فقط برای اینترنت

Ipsec برخلافPPTP و L2TPروی لایه شبکه یعنی لایه سوم کار می‌کند. این پروتکل داده‌هایی که بایستی فرستاده شود را همراه با تمام اطلاعات جانبی مانند گیرنده و پیغام‌های وضعیت رمز گذاری کرده به آن یک IP Header معمولی اضافه کرده به آن سوی تونل می‌فرستد.
رایانه ی که در آن سو قرار دارد IP Headerرا جدا کرده ، داده‌ها را رمز گشایی کرده آن را به رایانه مقصد می‌فرستد.Ipsec را می‌توان با دو نحوه Tunneling پیکر بندی کرد. در این نحوه گزینش اختیاری تونل، سرویس گیرنده نخست رابطه معمولی با اینترنت برقرار می‌کند سبعد از این مسیر جهت ایجاد اتصال مجازی به رایانه مقصد مصرف می‌کند. برای این منظور، باید روی رایانه سرویس گیرنده پروتکل تونل نصب شده باشد. ً فرد اینترنت است که به اینترنت وصل می‌شود. ولی رایانه های داخل LAN هم می‌توانند رابطه VPN برقرا کنند. از آنجا که رابطه IPاز پیش موجود است تنها برقرار کردن رابطه VPN کافی است.
در نحوه تونل اجباری، سرویس گیرنده نبایستی تونل را ایجاد نماید بلکه این کار به عهده فراهم ساز است. سرویس گیرنده تنها بایستی به ISP وصل شود. تونل به طور اتوماتیک از فراهم ساز تا ایستگاه مقصد وجود دارد. اما برای این کار بایستی همانگی‌های لازم با ISPانجام بگیرد.

ویژگی‌های امنیتی در IPsec

Ipsec از طریق AH مطمئن می‌شود که Packetهای دریافتی از طرف فرستنده واقعی نه از سوی یک نفوذ کننده(که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده .AH اطلاعات مربوط به تعیین اعتبار یک شماره توالی در خود دارد تا از حملات Replay پیشگیری نماید . ولی AH رمز گذاری نمی‌شود. رمز گذاری از طریق Encapsulation Security Header یا ESH انجام می‌گیرد. در این شیوه داده‌های اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال می‌کند.
ESH همچنین کارکرده ایی برای تعیین اعتبار خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست. برای رمز گذاری تعیین اعتبارشیوه معین ثابتی وجود ندارد اما با این همه، IETF برای حفظ سازگاری بین محصولات مختلف، الگوریتم‌های اجباری جهت پیاده سازی Ipsec تهیه دیده. جهت نمونه می‌توان به MD5،DES یا Secure Hash Algorithm اشاره کرد. مهمترین استانداردها و روش‌هایی که در Ipsec به کار می‌روند عبارتنداز:

Diffie-Hellman برای مبادله کلیدها بین ایستگاه‌های دو سر ارتباط.
رمز گذاری Public Key برای ثبت اطمینان از کلیدهای مبادله شده همچنین اطمینان از هویت ایستگاه‌های سهیم در ارتباط.
الگوریتم‌های رمز گذاری مانند DES جهت اطمینان از درستی داده‌های انتقالی.
الگوریتم‌های درهم ریزی (Hash) برای تعیین اعتبار تک تک Packetها.
امضاهای دیجیتال جهت تعیین اعتبارهای دیجیتالی.
Ipsec بدون تونل

Ipsec در مقایسه با دیگر روش‌ها یک برتری دیگر هم دارد آن اینست که می‌تواند همچون پروتکل انتقال معمولی به کار برود.
در این حالت برخلاف حالت Tunneling تمام IP packet رمز گذاری و دوباره بسته بندی نمی‌شود. بجای آن، تنها داده‌های اصلی رمزگذاری می‌شوند Header همراه با آدرس‌های فرستنده گیرنده باقی می‌ماند. این باعث می‌شود که داده‌های سرباز (Overhead) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود. اما روشن است که در این وضعیت، خرابکاران می‌توانند به مبدا مقصد داده‌ها پی ببرند. از آنجا که در مد OSI داده‌ها از لایه ۳ به بالا رمز گذاری می‌شوند خرابکاران متوجه نمی‌شوند که این داده‌ها به رابطه با سرویس دهنده Mail مربوط می‌شود یا به چیز دیگر.

جریان یک رابطه Ipsec

بیش از آن که دو رایانه بتواننداز طریق Ipsec داده‌ها را میان جابجا کنند بایستی یکسری کارها انجام شود.

نخست می بایست ایمنی برقرار شود. برای این منظور، رایانه ها برای یکدیگر معین می‌کنند که رمز گذاری، تعیین اعتبار و تشخیص خطا یا هر سه آنها می بایست انجام بگیرد یا نه.
پس الگوریتم را معین می‌کنند، مثلاً DEC برای رمزگذاری MD5 جهت خطایابی.
در گام بعدی، کلیدها را میان خود مبادله می‌کنند.
Ipsec برای حفظ ایمنی رابطه از SA استفاده می‌کند. SA چگونگی رابطه بین دو یا چند ایستگاه سرویس‌های ایمنی را معین می‌کند.SAهااز طرف SPI شناسایی می‌شوند.SPI از عدد تصادفی آدرس مقصد تشکیل می‌شود. این به آن مفهوم است که همواره بین دو رایانه دو SPI وجود دارد:
یکی جهت رابطه A B یکی برای رابطه B به A. اگر یکی از رایانه ها بخواهد در حالت حفاظت شده داده‌ها را منتقل نماید نخست روش رمز گذاری مورد توافق با رایانه دیگر را تحلیل کرده و آن نحوه را روی داده‌ها اعمال می‌کند. پس SPI را در Header نوشته Packet را به سوی مقصد می‌فرستد.

مدیریت کلیدهای رمز در Ipsec

اگر چه Ipsec فرض را بر این می‌گذارد که توافقی جهت ایمنی داده‌ها وجود دارد ولی خودش جهت ایجاد این توافق نمی‌تواند کاری انجام بدهد.
Ipsec در این کار به IKE تکیه می‌کند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو رایانه می بایست نخست تعیین اعتبار شوند. در حال حاضر جهت این کار از راه‌های زیر مصرف می‌شود:

Pre shared keys: روی هر دو رایانه یک کلید نصب می‌شود که IKE از روی آن عدد Hash ساخته آن را به سوی رایانه مقصد می‌فرستد. اگر هر دو رایانه بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام می‌گیرد
رمز گذاری Public Key:هر رایانه عدد تصادفی ساخته بعد از رمز گذاری آن با کلید عمومی رایانه مقابل، آن را به رایانه مقابل می‌فرستد. اگر رایانه مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده باز پس بفرستد برا ی رابطه مجاز است. در حال حاضر تنها ازروش RSA جهت این کار پیشنهاد می‌شود.
امضاء دیجیتال:در این شیوه، هر رایانه رشته داده را علامت گذاری(امضاء) کرده و به رایانه مقصد می‌فرستد. در حال حاضر جهت این کار از روش‌های RSA DSS مصرف می‌شود. برای امنیت بخشیدن به تبادل داده‌ها می بایست هر دو سر رابطه نخست بر سر یک یک کلید به توافق برسند که جهت تبادل داده‌ها به کار می‌رود. برای این منظور می‌توان همان کلید به دست آمده از طریق Diffie Hellman را به کاربر د که سریع تر است یا کلید دیگر تهیه که مطمئن تر است.
سرویس دهنده AAA

سرویس دهندگان AAA بمنظور ایجادامنیت بالا در محیط‌های وی‌پی‌ان از نوع دستیابی از راه دور مصرف می‌گردند. وقتی که فرد ان با استفاده از خط تلفن به سیـستم متصل می‌شوند، سرویس دهنده AAA درخواست آنها را اخذ عملیات زیر را انجام خواهد داد:

شما چه فردی هستید؟ (تایید،Authentication)
شما مجاز به انجام چه کاری هستید؟ (مجوز،Authorization)
چه کارهائی را انجام داده اید؟ (حسابداری،Accounting)