• VPN - چیست و چرا لازم است. شرح اتصال و راه اندازی سرور VPN رایگان. VPN چیست؟ ماهیت فناوری و دامنه کاربرد آن

    اخیراً دنیای ارتباطات از راه دور شاهد افزایش علاقه به شبکه های خصوصی مجازی (شبکه خصوصی مجازی - VPN) بوده است. این امر به دلیل نیاز به کاهش هزینه های نگهداری شبکه های شرکتی به دلیل اتصال ارزان تر دفاتر راه دور و کاربران از راه دور از طریق اینترنت است. در واقع، هنگام مقایسه هزینه خدمات برای اتصال چندین شبکه از طریق اینترنت، به عنوان مثال، با شبکه های Frame Relay، می توان تفاوت قابل توجهی در هزینه مشاهده کرد. با این حال، باید توجه داشت که وقتی شبکه ها از طریق اینترنت متصل می شوند، بلافاصله بحث امنیت انتقال داده ها مطرح می شود، بنابراین ایجاد مکانیسم هایی برای اطمینان از محرمانه بودن و یکپارچگی اطلاعات ارسال شده ضروری شد. شبکه هایی که بر اساس چنین مکانیزم هایی ساخته می شوند VPN نامیده می شوند.

    علاوه بر این، اغلب یک فرد مدرن، در حال توسعه تجارت خود، مجبور است زیاد سفر کند. می تواند سفر به نقاط دورافتاده کشورمان یا کشورهای خارجی باشد. غیر معمول نیست که افراد نیاز به دسترسی به اطلاعات ذخیره شده در خانه یا رایانه شرکت خود داشته باشند. این مشکل را می توان با تنظیم دسترسی از راه دور به آن با استفاده از یک مودم و یک خط حل کرد. استفاده از خط تلفن ویژگی های خاص خود را دارد. معایب این راه حل این است که تماس از یک کشور دیگر هزینه زیادی دارد. راه حل دیگری به نام VPN وجود دارد. مزایای فناوری VPN این است که سازماندهی دسترسی از راه دور نه از طریق خط تلفن، بلکه از طریق اینترنت انجام می شود که بسیار ارزان تر و بهتر است. به نظر من تکنولوژی VPN چشم انداز پذیرش گسترده در سراسر جهان را دارد.

    1. مفهوم و طبقه بندی شبکه های VPN، ساخت آنها

    1.1 VPN چیست

    VPN(Eng. Virtual Private Network - Virtual Private Network) - یک شبکه منطقی که در بالای شبکه دیگری مانند اینترنت ایجاد می شود. علیرغم این واقعیت که ارتباطات از طریق شبکه های عمومی با استفاده از پروتکل های ناامن انجام می شود، رمزگذاری کانال های تبادل اطلاعات را ایجاد می کند که از افراد خارجی بسته شده است. VPN به شما این امکان را می دهد که به عنوان مثال چندین دفتر یک سازمان را با استفاده از کانال های کنترل نشده برای ارتباط بین آنها در یک شبکه واحد ترکیب کنید.


    در هسته خود، VPN بسیاری از ویژگی های یک خط اجاره ای را دارد، اما در یک شبکه عمومی مانند . با تکنیک تونل زنی، بسته های داده از طریق شبکه عمومی پخش می شوند که گویی یک اتصال نقطه به نقطه معمولی هستند. بین هر جفت "فرستنده و گیرنده داده" نوعی تونل ایجاد می شود - یک ارتباط منطقی امن که به شما امکان می دهد داده های یک پروتکل را در بسته های پروتکل دیگری کپسوله کنید. اجزای اصلی تونل عبارتند از:

    • آغازگر؛
    • شبکه مسیریابی؛
    • سوئیچ تونل؛
    • یک یا چند ترمیناتور تونل

    به خودی خود، اصل عملکرد VPN با فناوری ها و پروتکل های اصلی شبکه در تضاد نیست. به عنوان مثال، هنگام برقراری یک اتصال Dial-up، مشتری جریانی از بسته های PPP استاندارد را به سرور ارسال می کند. در مورد سازماندهی خطوط مجازی اجاره ای بین شبکه های محلی، روترهای آنها نیز بسته های PPP را مبادله می کنند. با این حال، یک نکته اساسی جدید، ارسال بسته ها از طریق یک تونل امن است که در شبکه عمومی سازماندهی شده است.

    تونل سازی به شما امکان می دهد تا انتقال بسته های یک بسته را سازماندهی کنید پروتکل در یک محیط منطقی که از پروتکل متفاوتی استفاده می کند. در نتیجه، حل مشکلات تعامل بین چندین شبکه ناهمگن امکان پذیر می شود، که از نیاز به اطمینان از یکپارچگی و محرمانه بودن داده های ارسال شده شروع می شود و با غلبه بر تناقضات در پروتکل های خارجی یا طرح های آدرس دهی پایان می یابد.

    زیرساخت شبکه موجود یک شرکت را می توان برای استفاده از VPN از طریق نرم افزار یا سخت افزار فراهم کرد. سازماندهی یک شبکه خصوصی مجازی را می توان با کابل کشی از طریق یک شبکه جهانی مقایسه کرد. به طور معمول، یک ارتباط مستقیم بین یک کاربر راه دور و یک دستگاه انتهای تونل با استفاده از پروتکل PPP برقرار می شود.

    رایج ترین روش برای ایجاد تونل های VPN، کپسوله کردن پروتکل های شبکه (IP، IPX، AppleTalk و غیره) در PPP و سپس کپسوله کردن بسته های تولید شده در یک پروتکل تونل سازی است. معمولاً دومی IP یا (بسیار کمتر) ATM و Frame Relay است. این رویکرد تونل زنی لایه 2 نامیده می شود، زیرا "مسافر" در اینجا پروتکل لایه 2 است.

    یک رویکرد جایگزین - کپسوله کردن بسته های پروتکل شبکه به طور مستقیم در یک پروتکل تونل زنی (به عنوان مثال VTP) تونل زنی لایه 3 نامیده می شود.

    مهم نیست که چه پروتکل هایی استفاده می شود یا چه اهدافی آزار و اذیت در سازمان تونل، تکنیک اساسی باقی می ماندعملا بدون تغییر به طور معمول، یک پروتکل برای برقراری ارتباط با یک میزبان راه دور استفاده می شود، و دیگری برای کپسوله کردن داده ها و اطلاعات سرویس برای انتقال از طریق یک تونل استفاده می شود.

    1.2 طبقه بندی شبکه های VPN

    راه حل های VPN را می توان بر اساس چندین پارامتر اصلی طبقه بندی کرد:

    1. بر اساس نوع رسانه مورد استفاده:

    • شبکه های VPN ایمن رایج ترین نوع شبکه های خصوصی خصوصی. با کمک آن می توان یک زیرشبکه قابل اعتماد و امن بر اساس یک شبکه غیرقابل اعتماد، معمولاً اینترنت، ایجاد کرد. نمونه هایی از VPN های امن عبارتند از: IPSec، OpenVPN، و PPTP.
    • شبکه های VPN قابل اعتماد آنها در مواردی استفاده می شوند که رسانه انتقال را می توان قابل اعتماد در نظر گرفت و فقط برای حل مشکل ایجاد یک زیرشبکه مجازی در یک شبکه بزرگتر ضروری است. مسائل امنیتی بی ربط می شوند. نمونه هایی از چنین راه حل های VPN عبارتند از: MPLS و L2TP. درست تر است که بگوییم این پروتکل ها وظیفه تأمین امنیت را به دیگران منتقل می کنند، به عنوان مثال L2TP، به عنوان یک قاعده، همراه با IPSec استفاده می شود.

    2. با توجه به روش اجرا:

    • شبکه های VPN در قالب نرم افزار و سخت افزار خاص. پیاده سازی شبکه VPN با استفاده از مجموعه نرم افزاری و سخت افزاری خاصی انجام می شود. این پیاده سازی عملکرد بالا و به عنوان یک قاعده، درجه بالایی از امنیت را ارائه می دهد.
    • شبکه های VPN به عنوان یک راه حل نرم افزاری آنها از یک رایانه شخصی با نرم افزار خاصی استفاده می کنند که عملکرد VPN را ارائه می دهد.
    • شبکه های VPN با راه حل یکپارچه. عملکرد VPN توسط مجموعه ای ارائه می شود که مشکلات فیلتر کردن ترافیک شبکه، سازماندهی دیوار آتش و اطمینان از کیفیت خدمات را نیز حل می کند.

    3. با تعیین وقت قبلی:

    • VPN اینترانت. آنها برای ترکیب چندین شعبه توزیع شده یک سازمان در یک شبکه امن واحد، تبادل داده ها از طریق کانال های ارتباطی باز استفاده می شوند.
    • VPN دسترسی از راه دور. از آنها برای ایجاد یک کانال امن بین یک بخش شبکه شرکتی (دفتر مرکزی یا شعبه) و یک کاربر استفاده می شود که در حین کار در خانه، از طریق رایانه خانگی به منابع شرکت متصل می شود یا در یک سفر کاری به شرکتی متصل می شود. منابع با استفاده از لپ تاپ
    • VPN اکسترانت. برای شبکه هایی استفاده می شود که کاربران "خارجی" (به عنوان مثال، مشتریان یا مشتریان) به آنها متصل می شوند. سطح اعتماد به آنها بسیار پایین تر از کارمندان شرکت است، بنابراین، لازم است "مرزهای" حفاظتی ویژه ای فراهم شود که از دسترسی آنها به اطلاعات با ارزش و محرمانه جلوگیری کند یا محدود کند.

    4. بر اساس نوع پروتکل:

    • پیاده سازی شبکه های خصوصی مجازی تحت TCP/IP، IPX و AppleTalk وجود دارد. اما امروزه روندی به سمت انتقال کلی به پروتکل TCP / IP وجود دارد و اکثریت قریب به اتفاق راه حل های VPN از آن پشتیبانی می کنند.

    5. بر اساس سطح پروتکل شبکه:

    • توسط لایه پروتکل شبکه، بر اساس نگاشت به لایه های مدل مرجع شبکه ISO/OSI.

    1.3. ساخت VPN

    گزینه های مختلفی برای ساخت VPN وجود دارد. هنگام انتخاب راه حل، باید فاکتورهای عملکرد سازندگان VPN را در نظر بگیرید. به عنوان مثال، اگر یک روتر در حال حاضر در حد توان خود کار می کند، اضافه کردن تونل های VPN و اعمال رمزگذاری / رمزگشایی اطلاعات می تواند کل شبکه را از کار کردن باز دارد، زیرا این روتر قادر به مقابله با ترافیک ساده نخواهد بود. بدون ذکر VPN. تجربه نشان می دهد که بهترین کار استفاده از سخت افزار تخصصی برای ساخت VPN است، اما اگر محدودیتی در بودجه وجود دارد، می توانید به یک راه حل صرفا نرم افزاری توجه کنید. چند گزینه برای ساخت VPN در نظر بگیرید.

    • VPN مبتنی بر فایروال. اکثر سازندگان فایروال از تونل سازی و رمزگذاری داده ها پشتیبانی می کنند. همه چنین محصولاتی بر اساس این واقعیت است که ترافیک عبوری از فایروال رمزگذاری شده است. یک ماژول رمزگذاری به خود نرم افزار فایروال اضافه می شود. نقطه ضعف این روش وابستگی عملکرد به سخت افزاری است که فایروال روی آن اجرا می شود. هنگام استفاده از فایروال های مبتنی بر رایانه شخصی، به خاطر داشته باشید که چنین راه حلی فقط برای شبکه های کوچک با مقدار کمی اطلاعات ارسال شده قابل استفاده است.
    • VPN مبتنی بر روتر. راه دیگر برای ساخت VPN استفاده از روترها برای ایجاد کانال های امن است. از آنجایی که تمام اطلاعات دریافتی از شبکه محلی از طریق روتر عبور می کند، توصیه می شود وظایف رمزگذاری را نیز به این روتر اختصاص دهید.نمونه ای از تجهیزات ساخت VPN روی روترها تجهیزات سیسکو سیستمز است. با شروع نسخه 11.3 نرم افزار IOS، روترهای سیسکو از پروتکل های L2TP و IPSec پشتیبانی می کنند. سیسکو علاوه بر رمزگذاری ساده ترافیک در حین حمل و نقل، از سایر ویژگی های VPN مانند احراز هویت در استقرار تونل و تعویض کلید نیز پشتیبانی می کند.یک ماژول رمزگذاری اختیاری ESA می تواند برای بهبود عملکرد روتر استفاده شود. علاوه بر این، سیستم سیسکو یک دستگاه اختصاصی VPN به نام Cisco 1720 VPN Access Router را برای نصب در مشاغل کوچک تا متوسط ​​و دفاتر شعب بزرگ منتشر کرده است.
    • VPN مبتنی بر نرم افزار. رویکرد بعدی برای ساخت VPN صرفاً مبتنی بر نرم افزار است. هنگام اجرای چنین راه حلی، از نرم افزار تخصصی استفاده می شود که بر روی یک کامپیوتر اختصاصی اجرا می شود و در بیشتر موارد به عنوان یک سرور پروکسی عمل می کند. رایانه ای که این نرم افزار را اجرا می کند ممکن است در پشت فایروال قرار داشته باشد.
    • سیستم عامل شبکه مبتنی بر VPN.ما راه حل هایی را بر اساس سیستم عامل شبکه با استفاده از مثال سیستم عامل ویندوز مایکروسافت در نظر خواهیم گرفت. برای ایجاد VPN، مایکروسافت از پروتکل PPTP استفاده می کند که در سیستم ویندوز ادغام شده است. این راه حل برای سازمان هایی که از ویندوز به عنوان سیستم عامل شرکتی خود استفاده می کنند بسیار جذاب است. لازم به ذکر است که هزینه چنین راه حلی بسیار کمتر از هزینه راه حل های دیگر است. VPN مبتنی بر ویندوز از یک پایگاه کاربر ذخیره شده در کنترل کننده دامنه اصلی (PDC) استفاده می کند. هنگام اتصال به سرور PPTP، کاربر با استفاده از پروتکل های PAP، CHAP یا MS-CHAP احراز هویت می شود. بسته های ارسال شده در بسته های GRE/PPTP کپسوله می شوند. برای رمزگذاری بسته ها، یک پروتکل غیر استاندارد از مایکروسافت Point-to-Point Encryption با یک کلید 40 یا 128 بیتی که در زمان برقراری اتصال به دست می آید، استفاده می شود. از معایب این سیستم می توان به عدم بررسی یکپارچگی داده ها و عدم امکان تعویض کلید در حین اتصال اشاره کرد. جنبه های مثبت آن سهولت ادغام با ویندوز و هزینه کم است.
    • VPN مبتنی بر سخت افزار. گزینه ساخت VPN بر روی دستگاه های خاص را می توان در شبکه هایی که نیاز به عملکرد بالا دارند استفاده کرد. نمونه ای از چنین راه حلی محصول IPro-VPN Radguard است. این محصول از رمزگذاری مبتنی بر سخت افزار اطلاعات ارسالی استفاده می کند که قادر به عبور جریانی 100 مگابیت بر ثانیه است. IPro-VPN از پروتکل IPSec و مکانیسم مدیریت کلید ISAKMP/Oakley پشتیبانی می کند. از جمله موارد دیگر، این دستگاه از ترجمه آدرس شبکه پشتیبانی می کند و می توان آن را با یک برد ویژه که عملکردهای فایروال را اضافه می کند، تکمیل کرد.

    2. پروتکل های شبکه های VPN

    شبکه‌های VPN با استفاده از پروتکل‌های تونل‌سازی داده بر روی شبکه عمومی ارتباطات اینترنتی ساخته می‌شوند، با پروتکل‌های تونل‌زنی که داده‌ها را رمزگذاری می‌کنند و آن‌ها را بین کاربران انتقال می‌دهند. به عنوان یک قاعده، امروزه از پروتکل های زیر برای ساخت شبکه های VPN استفاده می شود:

    • لایه پیوند
    • لایه شبکه
    • لایه حمل و نقل

    2.1 لایه پیوند

    در لایه پیوند داده، می توان از پروتکل های تونل داده L2TP و PPTP استفاده کرد که از مجوز و احراز هویت استفاده می کنند.

    PPTP.

    در حال حاضر، رایج ترین پروتکل VPN، پروتکل تونل نقطه به نقطه - PPTP است. این توسط 3Com و مایکروسافت برای ارائه دسترسی ایمن از راه دور به شبکه های شرکتی از طریق اینترنت توسعه یافته است. PPTP از استانداردهای باز موجود TCP/IP استفاده می کند و به شدت به پروتکل PPP نقطه به نقطه قدیمی متکی است. در عمل، PPP پروتکل ارتباطی یک جلسه اتصال PPP باقی می ماند. PPTP یک تونل از طریق شبکه به سرور NT گیرنده ایجاد می کند و بسته های PPP کاربر راه دور را از طریق آن ارسال می کند. سرور و ایستگاه کاری از یک شبکه خصوصی مجازی استفاده می کنند و اهمیتی نمی دهند که شبکه جهانی بین آنها چقدر امن یا قابل دسترسی است. خاتمه یک جلسه اتصال توسط سرور، بر خلاف سرورهای تخصصی دسترسی از راه دور، به مدیران شبکه محلی اجازه می دهد تا به کاربران راه دور اجازه خروج از سیستم امنیتی ویندوز سرور را ندهند.

    در حالی که PPTP محدود به دستگاه‌هایی است که ویندوز دارند، اما به شرکت‌ها این امکان را می‌دهد تا با زیرساخت‌های شبکه موجود بدون به خطر انداختن امنیت خود همکاری کنند. بنابراین، یک کاربر راه دور می تواند با استفاده از یک ISP محلی از طریق یک خط تلفن آنالوگ یا کانال ISDN به اینترنت متصل شود و با سرور NT ارتباط برقرار کند. در عین حال، شرکت مجبور نیست مبالغ هنگفتی را برای سازماندهی و نگهداری یک استخر مودم که خدمات دسترسی از راه دور را ارائه می دهد، خرج کند.

    کار RRTR در ادامه مورد بحث قرار می گیرد. PPTP بسته های IP را برای انتقال از طریق یک شبکه IP محصور می کند. کلاینت های PPTP از پورت مقصد برای ایجاد یک اتصال کنترل تونل استفاده می کنند. این فرآیند در لایه انتقال مدل OSI رخ می دهد. پس از ایجاد تونل، کامپیوتر مشتری و سرور شروع به تبادل بسته های سرویس می کنند. علاوه بر اتصال کنترل PPTP که پیوند را زنده نگه می دارد، یک اتصال برای ارسال تونل داده ایجاد می شود. داده ها قبل از ارسال از طریق تونل به روشی اندکی متفاوت از انتقال عادی کپسوله می شوند. کپسوله کردن داده ها قبل از ارسال به تونل شامل دو مرحله است:

    1. ابتدا قسمت اطلاعات PPP ایجاد می شود. داده ها از بالا به پایین، از لایه برنامه OSI به لایه پیوند جریان می یابد.
    2. سپس داده های دریافتی به مدل OSI ارسال می شود و توسط پروتکل های لایه بالایی محصور می شود.

    بنابراین، در طی پاس دوم، داده ها به لایه انتقال می رسند. با این حال، اطلاعات را نمی توان به مقصد خود ارسال کرد، زیرا لایه پیوند OSI مسئول این است. بنابراین، PPTP فیلد بار بسته را رمزگذاری می‌کند و عملکردهای لایه دوم را که معمولاً با PPP مرتبط هستند، به عهده می‌گیرد. یک هدر PPP و پایان دادن به یک بسته PPTP اضافه می کند. این کار ایجاد قاب لایه پیوند را کامل می کند.

    در مرحله بعد، PPTP فریم PPP را در یک بسته Generic Routing Encapsulation (GRE) کپسوله می کند که به لایه شبکه تعلق دارد. GRE پروتکل های لایه شبکه مانند IPX، AppleTalk، DECnet را محصور می کند تا آنها را قادر به انتقال از طریق شبکه های IP کند. با این حال، GRE توانایی ایجاد جلسات و محافظت از داده ها در برابر نفوذگران را ندارد. این از توانایی PPTP برای ایجاد یک اتصال کنترل تونل استفاده می کند. استفاده از GRE به عنوان یک روش کپسوله سازی، دامنه PPTP را فقط به شبکه های IP محدود می کند.

    پس از اینکه فریم PPP در یک فریم با هدر GRE کپسوله شد، در یک فریم با هدر IP محصور می شود. هدر IP حاوی آدرس فرستنده و گیرنده بسته است. در نهایت، PPTP یک هدر و پایان PPP اضافه می کند.

    سیستم ارسال کننده داده ها را از طریق تونل ارسال می کند. سیستم دریافت کننده تمام هدرهای سرویس را حذف می کند و فقط داده های PPP را باقی می گذارد.

    L2TP

    در آینده نزدیک، افزایش تعداد VPN های مستقر بر اساس پروتکل جدید تونل سازی لایه 2 - L2TP انتظار می رود.

    L2TP در نتیجه ادغام پروتکل های PPTP و L2F (Layer 2 Forwarding) ظاهر شد. PPTP به بسته های PPP اجازه می دهد تا از طریق تونل و بسته های SLIP و PPP L2F منتقل شوند. برای جلوگیری از سردرگمی و مشکلات قابلیت همکاری در بازار مخابرات، کمیته کارگروه مهندسی اینترنت (IETF) توصیه کرد که سیستم‌های سیسکو PPTP و L2F را ترکیب کنند. با همه حساب ها، پروتکل L2TP بهترین ویژگی های PPTP و L2F را در خود جای داده است. مزیت اصلی L2TP این است که این پروتکل به شما امکان ایجاد یک تونل را نه تنها در شبکه های IP، بلکه در شبکه هایی مانند ATM، X.25 و Frame Relay می دهد. متأسفانه پیاده سازی L2TP در ویندوز 2000 فقط از IP پشتیبانی می کند.

    L2TP از UDP به عنوان یک انتقال استفاده می کند و از همان قالب پیام برای مدیریت تونل و ارسال داده استفاده می کند. پیاده سازی L2TP مایکروسافت از بسته های UDP حاوی بسته های PPP رمزگذاری شده به عنوان پیام های کنترلی استفاده می کند. قابلیت اطمینان تحویل با کنترل توالی بسته ها تضمین می شود.

    عملکرد PPTP و L2TP متفاوت است. L2TP نه تنها در شبکه های IP قابل استفاده است، بلکه پیام های سرویس برای ایجاد یک تونل و ارسال داده ها از طریق آن از همان فرمت و پروتکل استفاده می کنند. PPTP فقط از طریق شبکه های IP قابل استفاده است و برای ایجاد و استفاده از تونل نیاز به یک اتصال TCP جداگانه دارد. L2TP از طریق IPSec لایه های امنیتی بیشتری نسبت به PPTP ارائه می دهد و می تواند امنیت نزدیک به 100٪ داده های حیاتی تجاری را تضمین کند. ویژگی های L2TP آن را به یک پروتکل بسیار امیدوارکننده برای ساخت شبکه های مجازی تبدیل می کند.

    پروتکل های L2TP و PPTP از جهات مختلفی با پروتکل های تونل زنی لایه 3 متفاوت است:

    1. به شرکت‌ها این امکان را می‌دهد تا نحوه احراز هویت و تأیید اعتبار کاربران - در "منطقه" خودشان یا با یک ارائه‌دهنده خدمات اینترنتی را انتخاب کنند. با پردازش بسته های PPP تونل شده، سرورهای شبکه شرکتی تمام اطلاعاتی را که برای شناسایی کاربران نیاز دارند به دست می آورند.
    2. پشتیبانی از سوئیچینگ تونل - پایان دادن به یک تونل و راه اندازی تونل دیگر به یکی از بسیاری از پایانه های بالقوه. تونل های سوئیچینگ اجازه می دهد، همانطور که بود، اتصال PPP را به نقطه پایانی مورد نیاز گسترش دهید.
    3. فعال کردن مدیران سیستم شبکه شرکتی برای پیاده سازی استراتژی هایی برای تخصیص حقوق دسترسی به کاربران به طور مستقیم در فایروال و سرورهای داخلی. از آنجایی که پایانه‌های تونل بسته‌های PPP حاوی اطلاعات کاربر را دریافت می‌کنند، می‌توانند سیاست‌های امنیتی تعریف‌شده توسط سرپرست را برای ترافیک کاربر اعمال کنند. (تونل زنی لایه 3 به شما این امکان را نمی دهد که بین بسته های ارائه دهنده تمایز قائل شوید، بنابراین فیلترهای سیاست امنیتی باید در ایستگاه های کاری انتهایی و دستگاه های شبکه اعمال شوند.) علاوه بر این، اگر از یک سوئیچ تونل استفاده شود، سازماندهی یک " ممکن می شود. ادامه تونل سطح دوم برای ترجمه مستقیم ترافیک افرادکاربران به سرورهای داخلی مربوطه. چنین سرورهایی ممکن است وظیفه فیلتر کردن بسته های اضافی را داشته باشند.

    MPLS

    همچنین در لایه پیوند می توان از فناوری MPLS برای سازماندهی تونل ها استفاده کرد (از انگلیسی Multiprotocol Label Switching - Multiprotocol Label Switching - مکانیزم انتقال داده که ویژگی‌های مختلف شبکه‌های سوئیچ مدار را بر روی شبکه‌های سوئیچ بسته‌ای شبیه‌سازی می‌کند. MPLS در لایه ای عمل می کند که می تواند بین لایه پیوند داده و لایه شبکه سوم مدل OSI قرار گیرد و بنابراین معمولاً به عنوان پروتکل لایه پیوند شبکه شناخته می شود. این برای ارائه یک سرویس داده همه کاره برای مشتریان شبکه سوئیچ مدار و سوئیچ بسته طراحی شده است. با MPLS، می‌توانید طیف گسترده‌ای از ترافیک را حمل کنید، مانند بسته‌های IP، ATM، SONET و فریم‌های اترنت.

    راه حل های VPN در سطح پیوند دارای دامنه نسبتاً محدودی هستند، معمولاً در دامنه ارائه دهنده.

    2.2 لایه شبکه

    لایه شبکه (لایه IP). پروتکل IPSec استفاده می شود که رمزگذاری و محرمانه بودن داده ها و همچنین احراز هویت مشترک را پیاده سازی می کند. استفاده از پروتکل IPSec به شما این امکان را می دهد که دسترسی کاملی معادل اتصال فیزیکی به یک شبکه شرکتی را پیاده سازی کنید. برای ایجاد یک VPN، هر شرکت کننده باید پارامترهای IPSec خاصی را پیکربندی کند، به عنوان مثال. هر مشتری باید نرم افزاری داشته باشد که IPSec را پیاده سازی کند.

    IPSec

    به طور طبیعی، هیچ شرکتی مایل به انتقال آشکار نیست اطلاعات مالی اینترنتی یا سایر اطلاعات محرمانه. کانال های VPN توسط الگوریتم های رمزگذاری قدرتمندی که در استانداردهای پروتکل امنیتی IPsec تعبیه شده محافظت می شوند. IPSec یا امنیت پروتکل اینترنت - استانداردی که توسط جامعه بین المللی انتخاب شده است، IETF - کارگروه مهندسی اینترنت، پایه امنیتی را برای پروتکل اینترنت ایجاد می کند (پروتکل IP / IPSec حفاظت در سطح شبکه را فراهم می کند و نیاز به پشتیبانی از استاندارد IPSec فقط از طرف دستگاه هایی که در هر دو دستگاه دیگر با یکدیگر ارتباط برقرار می کنند، به سادگی ترافیک بسته IP را فراهم می کنند.

    روش تعامل بین افرادی که از فناوری IPSec استفاده می کنند معمولاً با عبارت "ارتباط امن" - Security Association (SA) تعریف می شود. یک انجمن ایمن بر اساس توافق نامه ای عمل می کند که توسط طرفین منعقد شده است که از IPSec برای محافظت از اطلاعات ارسال شده به یکدیگر استفاده می کنند. این توافقنامه چندین پارامتر را تنظیم می کند: آدرس های IP فرستنده و گیرنده، الگوریتم رمزنگاری، سفارش تعویض کلید، اندازه کلید، طول عمر کلید، الگوریتم احراز هویت.

    IPSec مجموعه اجماع استانداردهای باز است که دارای هسته ای است که می تواند به راحتی با ویژگی ها و پروتکل های جدید گسترش یابد. هسته IPSec از سه پروتکل تشکیل شده است:

    · ANیا Authentication Header - هدر احراز هویت - یکپارچگی و صحت داده ها را تضمین می کند. هدف اصلی پروتکل AH این است که به طرف گیرنده اجازه دهد مطمئن شود که:

    • بسته توسط طرفی ارسال شده است که یک انجمن امن با آن ایجاد شده است.
    • محتویات بسته در طول انتقال آن از طریق شبکه تحریف نشده است.
    • این بسته تکراری از یک بسته از قبل دریافت شده نیست.

    دو عملکرد اول برای پروتکل AH اجباری هستند و آخرین مورد در هنگام ایجاد یک انجمن اختیاری است. برای انجام این توابع، پروتکل AH از یک هدر ویژه استفاده می کند. ساختار آن به شرح زیر در نظر گرفته می شود:

    1. قسمت هدر بعدی کد پروتکل سطح بالاتر را نشان می دهد، یعنی پروتکلی که پیام آن در قسمت داده بسته IP قرار می گیرد.
    2. فیلد طول بار شامل طول هدر AH است.
    3. شاخص پارامترهای امنیتی (SPI) برای مرتبط کردن یک بسته با ارتباط امن مورد نظر آن استفاده می شود.
    4. فیلد Sequence Number (SN) شماره توالی بسته را نشان می دهد و برای محافظت در برابر جعل استفاده می شود (زمانی که شخص ثالث سعی می کند از بسته های امن رهگیری شده ارسال شده توسط یک فرستنده واقعاً احراز هویت شده استفاده مجدد کند).
    5. فیلد داده احراز هویت، که حاوی به اصطلاح ارزش بررسی یکپارچگی (ICV) است، برای احراز هویت و بررسی یکپارچگی بسته استفاده می شود. این مقدار که هضم نیز نامیده می شود، با استفاده از یکی از دو تابع محاسباتی برگشت ناپذیر MD5 یا SAH-1 مورد نیاز پروتکل AH محاسبه می شود، اما هر تابع دیگری را می توان استفاده کرد.

    · ESP یا Encapsulating Security Payload- کپسوله کردن داده های رمزگذاری شده - داده های ارسال شده را رمزگذاری می کند، محرمانه بودن را فراهم می کند، همچنین می تواند احراز هویت و یکپارچگی داده ها را حفظ کند.

    پروتکل ESP دو گروه از مشکلات را حل می کند.

    1. اولین مورد شامل وظایف مشابه پروتکل AH است - این ارائه احراز هویت و یکپارچگی داده ها بر اساس خلاصه است.
    2. به دوم - داده ها با رمزگذاری آنها از مشاهده غیرمجاز منتقل می شود.

    هدر به دو قسمت تقسیم می شود که با یک فیلد داده از هم جدا شده اند.

    1. قسمت اول که خود سربرگ ESP نامیده می شود توسط دو فیلد (SPI و SN) که هدف آن مشابه فیلدهای همنام در پروتکل AH است تشکیل شده و قبل از فیلد داده قرار می گیرد.
    2. فیلدهای سرویس باقی مانده از پروتکل ESP که تریلر ESP نامیده می شود، در انتهای بسته قرار دارد.

    دو فیلد تریلر - هدر بعدی و داده های احراز هویت - مشابه فیلدهای هدر AH هستند. اگر تصمیمی برای عدم استفاده از قابلیت‌های یکپارچگی پروتکل ESP در هنگام ایجاد یک ارتباط امن گرفته شود، قسمت Authentication Data حذف می‌شود. علاوه بر این فیلدها، تریلر دارای دو فیلد اضافی است - پرکننده و طول پرکننده.

    پروتکل های AH و ESP می توانند از داده ها در دو حالت محافظت کنند:

    1. در حمل و نقل - انتقال با هدرهای IP اصلی انجام می شود.
    2. در یک تونل - بسته اصلی در یک بسته IP جدید قرار می گیرد و انتقال با هدرهای جدید انجام می شود.

    استفاده از یک یا حالت دیگر به الزامات حفاظت از داده ها و همچنین به نقشی که گره ای که کانال امن را خاتمه می دهد در شبکه ایفا می کند. بنابراین، یک گره می تواند یک میزبان (گره پایانی) یا یک دروازه (گره میانی) باشد.

    بر این اساس، سه طرح برای استفاده از پروتکل IPSec وجود دارد:

    1. میزبان میزبان؛
    2. دروازه-دروازه;
    3. دروازه میزبان

    قابلیت‌های پروتکل‌های AH و ESP تا حدی همپوشانی دارند: پروتکل AH فقط وظیفه اطمینان از یکپارچگی و احراز هویت داده‌ها را بر عهده دارد، پروتکل ESP می‌تواند داده‌ها را رمزگذاری کند و علاوه بر این، عملکردهای پروتکل AH را (به شکل کوتاه شده) انجام دهد. . ESP می تواند توابع رمزگذاری و احراز هویت/یکپارچگی را در هر ترکیبی پشتیبانی کند، یعنی یا کل گروه توابع، یا فقط احراز هویت/یکپارچگی، یا فقط رمزگذاری.

    · IKE یا Internet Key Exchange - تبادل کلید اینترنتی - وظیفه کمکی ارائه خودکار نقاط انتهایی کانال امن با کلیدهای مخفی لازم برای عملیات احراز هویت و پروتکل های رمزگذاری داده را حل می کند.

    2.3 لایه حمل و نقل

    لایه انتقال از پروتکل SSL/TLS یا Secure Socket Layer/Transport Layer Security استفاده می کند که رمزگذاری و احراز هویت را بین لایه های انتقال گیرنده و فرستنده اجرا می کند. SSL/TLS می تواند برای ایمن سازی ترافیک TCP استفاده شود، نمی توان از آن برای ایمن سازی ترافیک UDP استفاده کرد. برای عملکرد SSL/TLS VPN نیازی به پیاده سازی نرم افزار خاصی نیست، زیرا هر مرورگر و سرویس گیرنده ایمیل به این پروتکل ها مجهز است. با توجه به این واقعیت که SSL/TLS در لایه انتقال پیاده سازی می شود، یک اتصال امن از سرتاسر ایجاد می شود.

    پروتکل TLS مبتنی بر پروتکل Netscape SSL نسخه 3.0 است و از دو بخش تشکیل شده است - پروتکل ضبط TLS و پروتکل TLS Handshake. تفاوت بین SSL 3.0 و TLS 1.0 جزئی است.

    SSL/TLS شامل سه مرحله اصلی است:

    1. گفتگو بین طرفین که هدف آن انتخاب یک الگوریتم رمزگذاری است.
    2. مبادله کلید بر اساس سیستم های رمزنگاری کلید عمومی یا احراز هویت مبتنی بر گواهی؛
    3. انتقال داده های رمزگذاری شده با استفاده از الگوریتم های رمزگذاری متقارن.

    2.4 پیاده سازی VPN: IPSec یا SSL/TLS؟

    اغلب، روسای بخش های IT با این سوال مواجه می شوند: کدام یک از پروتکل ها را برای ساخت شبکه VPN شرکتی انتخاب کنید؟ پاسخ واضح نیست، زیرا هر رویکرد دارای مزایا و معایب است. ما سعی خواهیم کرد انجام و شناسایی کنیم که چه زمانی لازم است از IPSec استفاده کنیم و چه زمانی SSL / TLS. همانطور که از تجزیه و تحلیل ویژگی های این پروتکل ها مشاهده می شود، آنها قابل تعویض نیستند و می توانند به طور جداگانه و موازی عمل کنند و ویژگی های عملکردی هر یک از VPN های پیاده سازی شده را تعریف کنند.

    انتخاب پروتکل برای ساخت شبکه VPN شرکتی می تواند با توجه به معیارهای زیر انجام شود:

    · نوع دسترسی مورد نیاز برای کاربران VPN.

    1. اتصال دائمی کاملاً کاربردی به شبکه شرکتی. انتخاب پیشنهادی IPSec است.
    2. یک اتصال موقت، مانند یک کاربر تلفن همراه یا کاربری که از رایانه عمومی استفاده می کند، به منظور دسترسی به برخی خدمات، مانند ایمیل یا پایگاه داده. انتخاب پیشنهادی پروتکل SSL/TLS است که به شما امکان می دهد یک VPN را برای هر سرویس جداگانه سازماندهی کنید.

    · آیا کاربر کارمند شرکت است.

    1. اگر کاربر یک کارمند شرکت باشد، دستگاهی که برای دسترسی به شبکه شرکت از طریق IPSec VPN استفاده می‌کند، می‌تواند به روش خاصی پیکربندی شود.
    2. اگر کاربر کارمند شرکتی نیست که شبکه شرکتی آن در حال دسترسی است، توصیه می شود از SSL/TLS استفاده کنید. این امر دسترسی مهمان را فقط به برخی خدمات محدود می کند.

    · سطح امنیتی شبکه شرکتی چقدر است.

    1. بالا. انتخاب پیشنهادی IPSec است. در واقع، سطح امنیت ارائه شده توسط IPSec به دلیل استفاده از نرم افزار قابل تنظیم در سمت کاربر و یک دروازه امنیتی در سمت شبکه شرکت، بسیار بالاتر از سطح امنیتی ارائه شده توسط پروتکل SSL / TLS است.
    2. میانگین. انتخاب پیشنهادی پروتکل SSL/TLS است که اجازه دسترسی از هر ترمینال را می دهد.

    · سطح امنیت داده های ارسال شده توسط کاربر.

    1. بالا، به عنوان مثال، مدیریت شرکت. انتخاب پیشنهادی IPSec است.
    2. متوسط، به عنوان مثال، شریک. انتخاب پیشنهادی پروتکل SSL/TLS است.

    بسته به خدمات - از متوسط ​​به بالا. انتخاب پیشنهادی ترکیبی از IPSec (برای خدماتی که به سطح بالایی از امنیت نیاز دارند) و SSL/TLS (برای خدماتی که به سطح امنیتی متوسط ​​نیاز دارند) است.

    · آنچه مهمتر است، استقرار سریع VPN یا مقیاس پذیری راه حل در آینده است.

    1. به سرعت یک شبکه VPN را با حداقل هزینه مستقر کنید. انتخاب پیشنهادی پروتکل SSL/TLS است. در این حالت مانند IPSec نیازی به پیاده سازی نرم افزار خاصی در سمت کاربر نیست.
    2. مقیاس پذیری شبکه VPN - اضافه کردن دسترسی به خدمات مختلف. انتخاب پیشنهادی پروتکل IPSec است که امکان دسترسی به تمام خدمات و منابع شبکه شرکت را می دهد.
    3. استقرار سریع و مقیاس پذیری. انتخاب پیشنهادی ترکیبی از IPSec و SSL/TLS است: در مرحله اول از SSL/TLS برای دسترسی به خدمات مورد نیاز و به دنبال آن اجرای IPSec استفاده کنید.

    3. روش های پیاده سازی شبکه های VPN

    یک شبکه خصوصی مجازی مبتنی بر سه روش پیاده سازی است:

    · تونل سازی.

    · رمزگذاری؛

    · احراز هویت.

    3.1 تونل زنی

    تونل سازی انتقال داده ها را بین دو نقطه - انتهای تونل - تضمین می کند، به گونه ای که کل زیرساخت شبکه که بین آنها قرار دارد برای منبع و مقصد داده ها پنهان می شود.

    رسانه حمل و نقل تونل، مانند یک کشتی، بسته های پروتکل شبکه مورد استفاده در ورودی تونل را برمی دارد و آنها را بدون تغییر به خروجی تحویل می دهد. ساخت یک تونل برای اتصال دو گره شبکه کافی است تا از نظر نرم افزاری که روی آنها اجرا می شود، به نظر می رسد که به یک شبکه (محلی) متصل هستند. با این حال، ما نباید فراموش کنیم که در واقع "فری" با داده از بسیاری از گره های میانی (روترها) یک شبکه عمومی باز عبور می کند.

    این وضعیت دو مشکل دارد. اولین مورد این است که اطلاعات منتقل شده از طریق تونل می تواند توسط متجاوزان رهگیری شود. اگر محرمانه باشد (شماره کارت بانکی، گزارش های مالی، اطلاعات شخصی)، پس تهدید به خطر افتادن آن کاملاً واقعی است، که در حال حاضر به خودی خود ناخوشایند است. بدتر از آن، مهاجمان می توانند داده های ارسال شده از طریق تونل را تغییر دهند تا گیرنده نتواند صحت آنها را تأیید کند. عواقب آن می تواند اسفناک ترین باشد. با توجه به موارد فوق، به این نتیجه می رسیم که تونل به شکل خالص خود تنها برای برخی از انواع بازی های رایانه ای تحت شبکه مناسب است و نمی تواند ادعای جدی تر بودن داشته باشد. هر دو مشکل با ابزار مدرن حفاظت از اطلاعات رمزنگاری حل شده است. برای جلوگیری از تغییرات غیرمجاز بسته داده در مسیر عبور از تونل، از روش امضای دیجیتال الکترونیکی () استفاده می شود. ماهیت روش این است که هر بسته ارسال شده با یک بلوک اطلاعات اضافی عرضه می شود که مطابق با یک الگوریتم رمزنگاری نامتقارن تولید می شود و برای محتویات بسته و کلید مخفی EDS فرستنده منحصر به فرد است. این بلوک اطلاعات، EDS بسته است و به شما امکان می دهد تا داده ها را توسط گیرنده، که کلید عمومی EDS فرستنده را می شناسد، احراز هویت کنید. حفاظت از داده های منتقل شده از طریق تونل در برابر مشاهده غیرمجاز با استفاده از الگوریتم های رمزگذاری قوی به دست می آید.

    3.2 احراز هویت

    امنیت وظیفه اصلی VPN است. تمام داده های رایانه های مشتری از طریق اینترنت به سرور VPN منتقل می شود. چنین سروری ممکن است در فاصله بسیار زیادی از کامپیوتر مشتری قرار داشته باشد و داده های موجود در مسیر شبکه سازمان از تجهیزات بسیاری از ارائه دهندگان عبور می کند. چگونه مطمئن شویم که داده ها خوانده یا تغییر نکرده اند؟ برای این کار از روش های مختلف احراز هویت و رمزگذاری استفاده می شود.

    PPTP می تواند از هر یک از پروتکل های مورد استفاده برای PPP برای احراز هویت کاربران استفاده کند.

    • EAP یا پروتکل تأیید اعتبار توسعه پذیر؛
    • پروتکل احراز هویت MSCHAP یا Microsoft Challenge Handshake (نسخه های 1 و 2)؛
    • CHAP یا Challenge Handshake Authentication Protocol.
    • پروتکل احراز هویت SPAP یا Shiva Password.
    • PAP یا پروتکل احراز هویت رمز عبور.

    MSCHAP نسخه 2 و امنیت لایه حمل و نقل (EAP-TLS) بهترین ها در نظر گرفته می شوند زیرا آنها احراز هویت متقابل را ارائه می دهند. سرور VPN و مشتری یکدیگر را شناسایی می کنند. در تمام پروتکل های دیگر، فقط سرور کلاینت ها را احراز هویت می کند.

    اگرچه PPTP درجه کافی از امنیت را فراهم می کند، L2TP از طریق IPSec هنوز قابل اعتمادتر است. L2TP روی IPSec احراز هویت در سطوح کاربر و رایانه و همچنین احراز هویت و رمزگذاری داده ها را فراهم می کند.

    احراز هویت یا توسط یک تست باز (رمز عبور متن پاک) یا با طرح درخواست / پاسخ (چالش / پاسخ) انجام می شود. با متن مستقیم همه چیز مشخص است. کلاینت رمز عبور را به سرور ارسال می کند. سرور این را با معیار مقایسه می کند و یا دسترسی را رد می کند یا می گوید "خوش آمدید". احراز هویت باز عملاً وجود ندارد.

    طرح درخواست/پاسخ بسیار پیشرفته تر است. به طور کلی، به نظر می رسد این است:

    • مشتری درخواستی را برای احراز هویت به سرور ارسال می کند.
    • سرور یک پاسخ تصادفی (چالش) را برمی گرداند.
    • مشتری یک هش را از رمز عبور خود حذف می کند (هش نتیجه یک تابع هش است که یک آرایه داده ورودی با طول دلخواه را به یک رشته بیت خروجی با طول ثابت تبدیل می کند)، پاسخ را با آن رمزگذاری کرده و به سرور ارسال می کند.
    • سرور نیز همین کار را انجام می دهد و نتیجه را با پاسخ مشتری مقایسه می کند.
    • اگر پاسخ رمزگذاری شده مطابقت داشته باشد، احراز هویت موفق در نظر گرفته می شود.

    در مرحله اول احراز هویت مشتریان و سرورهای VPN، L2TP از طریق IPSec از گواهینامه های محلی به دست آمده از یک مرجع گواهی استفاده می کند. مشتری و سرور گواهی ها را مبادله می کنند و یک اتصال امن ESP SA (اتحاد امنیتی) ایجاد می کنند. پس از اینکه L2TP (از طریق IPSec) فرآیند احراز هویت رایانه را کامل کرد، احراز هویت در سطح کاربر انجام می شود. از هر پروتکلی می توان برای احراز هویت استفاده کرد، حتی PAP که نام کاربری و رمز عبور را به صورت متن واضح ارسال می کند. این کاملاً ایمن است زیرا L2TP از طریق IPSec کل جلسه را رمزگذاری می کند. با این حال، احراز هویت کاربر با MSCHAP، که از کلیدهای رمزگذاری مختلف برای احراز هویت رایانه و کاربر استفاده می کند، می تواند امنیت را افزایش دهد.

    3.3. رمزگذاری

    رمزگذاری با PPTP تضمین می کند که هیچ کس نمی تواند به داده ها در هنگام ارسال از طریق اینترنت دسترسی داشته باشد. دو روش رمزگذاری در حال حاضر پشتیبانی می شود:

    • MPPE یا رمزگذاری نقطه به نقطه مایکروسافت فقط با MSCHAP (نسخه های 1 و 2) سازگار است.
    • EAP-TLS و قادر است به طور خودکار طول کلید رمزگذاری را هنگام مذاکره پارامترها بین مشتری و سرور انتخاب کند.

    MPPE از کلیدهای 40، 56 یا 128 بیتی پشتیبانی می کند. سیستم عامل های قدیمی ویندوز فقط از رمزگذاری با طول کلید 40 بیت پشتیبانی می کنند، بنابراین در محیط ویندوز ترکیبی، حداقل طول کلید را انتخاب کنید.

    PPTP پس از هر بسته دریافتی، مقدار کلید رمزگذاری را تغییر می دهد. پروتکل MMPE برای پیوندهای نقطه به نقطه که در آن بسته ها به صورت متوالی ارسال می شوند و از دست دادن داده بسیار کمی وجود دارد، طراحی شده است. در این شرایط، مقدار کلید برای بسته بعدی به نتایج رمزگشایی بسته قبلی بستگی دارد. هنگام ساخت شبکه های مجازی از طریق شبکه های عمومی، این شرایط نمی توانند برآورده شوند، زیرا بسته های داده اغلب به ترتیب اشتباهی که ارسال شده اند به گیرنده می رسند. بنابراین، PPTP از شماره های توالی بسته برای تغییر کلید رمزگذاری استفاده می کند. این اجازه می دهد تا رمزگشایی مستقل از بسته های دریافتی قبلی انجام شود.

    هر دو پروتکل هم در ویندوز مایکروسافت و هم در خارج از آن (به عنوان مثال، در BSD) پیاده سازی می شوند، الگوریتم های عملیات VPN می توانند به طور قابل توجهی متفاوت باشند.

    بنابراین، بسته "تونل زنی + احراز هویت + رمزگذاری" به شما امکان می دهد داده ها را بین دو نقطه از طریق یک شبکه عمومی منتقل کنید و عملکرد یک شبکه خصوصی (محلی) را شبیه سازی کنید. به عبارت دیگر، ابزارهای در نظر گرفته شده به شما این امکان را می دهند که یک شبکه خصوصی مجازی بسازید.

    یک اثر خوب دیگر اتصال VPN، توانایی (و حتی نیاز) به استفاده از سیستم آدرس دهی اتخاذ شده در شبکه محلی است.

    پیاده سازی شبکه خصوصی مجازی در عمل به شرح زیر است. یک سرور VPN در شبکه کامپیوتری محلی دفتر شرکت نصب شده است. کاربر راه دور (یا روتر، در صورت اتصال دو دفتر) با استفاده از نرم افزار سرویس گیرنده VPN، فرآیند اتصال را با سرور آغاز می کند. احراز هویت کاربر رخ می دهد - مرحله اول ایجاد اتصال VPN. در صورت تأیید اعتبار، مرحله دوم آغاز می شود - بین مشتری و سرور، جزئیات اطمینان از امنیت اتصال مذاکره می شود. پس از آن، یک اتصال VPN سازماندهی می شود، که تبادل اطلاعات بین مشتری و سرور را به شکلی که هر بسته داده از طریق مراحل رمزگذاری / رمزگشایی و بررسی یکپارچگی - احراز هویت داده ها عبور می کند، تضمین می کند.

    مشکل اصلی شبکه های VPN عدم وجود استانداردهای تعیین شده برای احراز هویت و تبادل اطلاعات رمزگذاری شده است. این استانداردها هنوز در حال توسعه هستند و بنابراین محصولات تولید کنندگان مختلف نمی توانند اتصالات VPN را برقرار کرده و به طور خودکار کلیدها را مبادله کنند. این مشکل به کاهش سرعت گسترش VPN ها منجر می شود، زیرا مجبور کردن شرکت های مختلف به استفاده از محصولات یک تولید کننده دشوار است و بنابراین فرآیند ترکیب شبکه های شرکت های همکار در به اصطلاح شبکه های اکسترانت دشوار است.

    از مزایای فناوری VPN این است که سازماندهی دسترسی از راه دور نه از طریق خط تلفن، بلکه از طریق اینترنت انجام می شود که بسیار ارزان تر و بهتر است. نقطه ضعف فناوری VPN این است که ابزارهای ساخت VPN ابزارهای کاملی برای شناسایی و مسدود کردن حملات نیستند. آنها می توانند از تعدادی از اقدامات غیرمجاز جلوگیری کنند، اما نه همه امکاناتی که می توان از آنها برای نفوذ به یک شبکه شرکتی استفاده کرد. اما، با وجود همه اینها، فناوری VPN چشم اندازهایی برای توسعه بیشتر دارد.

    از نظر توسعه فناوری های VPN در آینده چه انتظاری می توانیم داشته باشیم؟ بدون شک استاندارد واحدی برای ساخت چنین شبکه هایی تدوین و تصویب خواهد شد. به احتمال زیاد، اساس این استاندارد پروتکل IPSec قبلاً اثبات شده خواهد بود. در مرحله بعد، تولیدکنندگان بر بهبود عملکرد محصولات خود و ایجاد کنترل های VPN راحت تمرکز خواهند کرد. به احتمال زیاد، توسعه ابزارهای ساخت VPN در جهت VPN مبتنی بر روترها پیش خواهد رفت، زیرا این راه حل عملکرد نسبتاً بالا، ادغام VPN و مسیریابی را در یک دستگاه ترکیب می کند. با این حال، راه حل های کم هزینه برای سازمان های کوچکتر نیز توسعه خواهد یافت. در خاتمه باید گفت که علیرغم اینکه فناوری VPN هنوز بسیار جوان است، آینده بسیار خوبی در پیش رو دارد.

    نظر خود را بگذارید

    VPN (VPN) - شبکه های خصوصی مجازی، امروزه همه می شنوند. بسیاری از کاربران بی تجربه آنها را به عنوان یک کلید جادویی برای دسترسی به منابع وب مسدود شده تصور می کنند: آنها دکمه را فشار می دهند - سایت باز می شود. زیبایی! بله، رفع انسداد وب سایت ها یکی از ویژگی های VPN است که بیشترین درخواست را دارد، اما به دور از مهمترین آنها است. هدف اصلی شبکه های خصوصی مجازی محافظت از داده های منتقل شده از طریق اینترنت در برابر رهگیری توسط افرادی است که این داده ها برای آنها در نظر گرفته نشده است.

    بیایید در مورد اینکه شبکه های خصوصی مجازی چیست، چه عملکردهایی انجام می دهند، کجا استفاده می شوند و چه معایبی دارند صحبت کنیم. ما همچنین قابلیت‌های چندین برنامه محبوب VPN و افزونه‌های مرورگر را که می‌توانند هم در رایانه شخصی و هم در دستگاه‌های تلفن همراه استفاده شوند، بررسی خواهیم کرد.

    برای درک بهتر فناوری VPN، بیایید اینترنت را به عنوان شبکه ای از جاده ها در نظر بگیریم که ون های پستی در طول آن با نامه ها و بسته ها حرکت می کنند. آنها اصلاً پنهان نمی کنند که کجا می روند و چه چیزی را حمل می کنند. نامه ها و بسته ها گاهی در طول راه گم می شوند و اغلب به دست افراد نادرستی می افتند. فرستنده و گیرنده آنها نمی توانند 100% مطمئن باشند که محتویات بسته توسط شخصی خوانده، دزدیده یا تغییر نخواهد شد، زیرا آنها فرآیند تحویل را کنترل نمی کنند. اما آنها می دانند که از نظر امنیتی، این روش فوروارد چندان قابل اعتماد نیست.

    و حالا یک تونل بسته در بین جاده ها ظاهر شد. ون هایی که از آن عبور می کنند از چشم کنجکاو پنهان هستند. هیچ کس نمی داند ماشین پس از ورود به تونل کجا می رود، چه چیزی و به چه کسی تحویل می دهد. فقط فرستنده و گیرنده مکاتبات از آن مطلع هستند.

    همانطور که ممکن است حدس زده باشید، تونل خیالی ما یک شبکه خصوصی مجازی است که بر اساس یک شبکه بزرگتر - شبکه جهانی وب ساخته شده است. ترافیک عبوری از این تونل از دید افراد خارجی از جمله ارائه دهنده پنهان است. ارائه دهنده، اگر کسی نداند، در شرایط عادی (بدون VPN) می تواند فعالیت های شما را در اینترنت نظارت و کنترل کند، زیرا می بیند از چه منابعی بازدید می کنید. و اگر وارد VPN شوید، نمی توانید. علاوه بر این، اطلاعات ارسال شده از طریق چنین کانالی برای دوستداران خوبی های شخص دیگری - هکرها، بی فایده می شود، زیرا رمزگذاری شده است. این ماهیت فناوری و اصل ساده عملکرد VPN است.

    شبکه های خصوصی مجازی کجا استفاده می شوند؟

    من امیدوارم که این VPN برای چیست، واضح است. حالا بیایید ببینیم کجا، چگونه و برای چه استفاده می شود. بنابراین، شما نمی توانید بدون VPN انجام دهید:

    • در شبکه های شرکتی در اینجا برای تبادل داده های محرمانه بین کارکنان یا منابع شبکه شرکت و مشتریان ضروری است. نمونه ای از مورد دوم مدیریت حساب از طریق برنامه هایی مانند مشتری بانک و بانک تلفن همراه است. VPN ها همچنین برای حل مشکلات فنی - جداسازی ترافیک، پشتیبان گیری و غیره استفاده می شوند.
    • در شبکه های Wi-Fi عمومی، مانند کافه ها. چنین شبکه هایی برای همه باز است و ترافیک عبوری از آنها بسیار آسان است. صاحبان نقاط دسترسی باز خدمات VPN را ارائه نمی دهند. خود کاربر باید مراقب حفاظت از اطلاعات باشد.
    • برای مخفی کردن منابع وب بازدید شده، به عنوان مثال، از یک رئیس یا یک مدیر سیستم در محل کار.
    • برای تبادل اطلاعات حساس با افراد دیگر در صورت عدم اعتماد به اتصال معمولی اینترنت.
    • برای دسترسی به سایت های مسدود شده
    • برای ناشناس ماندن در اینترنت.

    فراهم کردن دسترسی به شبکه جهانی وب از طریق VPN نیز به طور گسترده توسط ارائه دهندگان اینترنت روسی هنگام اتصال مشترکین استفاده می شود.

    انواع VPN

    همانطور که می دانید، عملکرد هر شبکه کامپیوتری تابع قوانینی است که در پروتکل های شبکه منعکس شده است. پروتکل شبکه نوعی مجموعه از استانداردها و دستورالعمل‌ها است که شرایط و رویه‌های تبادل داده بین شرکت‌کنندگان در یک اتصال را توصیف می‌کند (ما در مورد افراد صحبت نمی‌کنیم، بلکه در مورد دستگاه‌ها، سیستم‌های عامل و برنامه‌های کاربردی صحبت می‌کنیم). شبکه‌های VPN فقط با نوع پروتکل‌هایی که بر اساس آن‌ها کار می‌کنند و فناوری‌های ساخت و ساز متمایز می‌شوند.

    PPTP

    PPTP (پروتکل نقطه به نقطه تونل) قدیمی ترین پروتکل انتقال داده در شبکه های خصوصی مجازی است که بیش از 20 سال است که وجود دارد. با توجه به این واقعیت که مدت ها پیش ظاهر شد، تقریباً توسط تمام سیستم عامل های موجود شناخته شده و پشتیبانی می شود. تقریباً منابع محاسباتی تجهیزات را بارگذاری نمی کند و حتی در رایانه های بسیار قدیمی نیز قابل استفاده است. با این حال، در محیط فعلی، سطح امنیتی آن بسیار پایین است، یعنی داده های منتقل شده از طریق کانال PPTP در معرض خطر هک قرار دارند. به هر حال، برخی از ISP ها برنامه هایی که از این پروتکل استفاده می کنند را مسدود می کنند.

    L2TP

    L2TP (پروتکل تونل زنی لایه 2) نیز یک پروتکل نسبتاً قدیمی است که بر اساس فناوری های PPTP و L2F ایجاد شده است (این دومی مخصوصاً برای تونل زدن پیام های PPTP طراحی شده است). درجه بالاتری از حفاظت از ترافیک را نسبت به PPTP فراهم می کند، زیرا به شما امکان می دهد اولویت های دسترسی را تنظیم کنید.

    پروتکل L2TP تا به امروز به طور گسترده مورد استفاده قرار می گیرد، اما معمولاً نه به صورت مجزا، بلکه در ترکیب با سایر فناوری های امنیتی مانند IPSec.

    IPSec

    IPSec یک فناوری پیچیده است که از پروتکل ها و استانداردهای مختلفی استفاده می کند. این به طور مداوم در حال بهبود است، بنابراین، با استفاده مناسب، سطح نسبتا بالایی از امنیت ارتباطات را فراهم می کند. می تواند با سایر سیستم های حفاظت از اتصال شبکه بدون ایجاد تداخل ترکیب شود. اینها نقاط قوت او هستند.

    معایب IPSec این است که راه اندازی آن سخت است و فقط برای استفاده توسط متخصصان آموزش دیده در نظر گرفته شده است (پیکربندی نادرست، هیچ حفاظت قابل قبولی را ارائه نمی دهد). علاوه بر این، IPSec نسبت به منابع سخت افزاری سیستم های محاسباتی کاملاً نیازمند است و می تواند باعث ترمز دستگاه های ضعیف شود.

    SSL و TLS

    SSL و TLS عمدتاً برای انتقال امن اطلاعات در اینترنت از طریق مرورگرهای وب استفاده می شوند. آنها از داده های محرمانه بازدیدکنندگان سایت در برابر رهگیری محافظت می کنند - ورود، رمز عبور، مکاتبات، جزئیات پرداخت وارد شده هنگام سفارش کالا و خدمات، و غیره. آدرس سایت هایی که از SSL پشتیبانی می کنند با پیشوند HTTPS شروع می شود.

    یک مورد خاص از استفاده از فناوری های SSL / TLS خارج از مرورگرهای وب، نرم افزار چند پلتفرمی OpenVPN است.

    openvpn

    OpenVPN یک پیاده سازی رایگان از فناوری VPN است که برای ایجاد کانال های ارتباطی ایمن بین کاربران اینترنت یا شبکه های محلی به روش مشتری-سرور یا نقطه به نقطه طراحی شده است. در این حالت، یکی از رایانه های شرکت کننده در اتصال به عنوان سرور اختصاص داده می شود، بقیه به عنوان کلاینت متصل می شوند. برخلاف سه نوع اول VPN، نیاز به نصب نرم افزار خاصی دارد.

    OpenVPN به شما امکان می دهد بدون تغییر تنظیمات اتصال اصلی رایانه خود به شبکه، تونل های امن ایجاد کنید. این برای کاربران با تجربه طراحی شده است، زیرا راه اندازی آن را نمی توان ساده نامید.

    MPLS

    MPLS یک فناوری برای انتقال داده های چند پروتکلی از یک گره به گره دیگر با استفاده از برچسب های خاص است. برچسب بخشی از اطلاعات سرویس بسته است (اگر داده های ارسال شده را به صورت قطار نشان دهیم، بسته یک ماشین است). برچسب‌ها برای هدایت ترافیک در کانال MPLS از دستگاهی به دستگاه دیگر استفاده می‌شوند، در حالی که بقیه محتوای سرصفحه‌های بسته (همان آدرس روی نامه) مخفی نگه داشته می‌شوند.

    برای افزایش حفاظت از ترافیک منتقل شده از طریق کانال های MPLS، اغلب از IPSec نیز استفاده می شود.

    اینها همه انواع شبکه های خصوصی مجازی امروزی نیستند. اینترنت و هر چیزی که با آن در تماس است در حال توسعه دائمی است. بر این اساس، فناوری های جدید VPN در حال ظهور هستند.

    آسیب پذیری های شبکه خصوصی مجازی

    آسیب‌پذیری‌ها شکاف‌هایی در امنیت کانال VPN هستند که از طریق آنها می‌توان داده‌ها را به بیرون درز کرد - به شبکه عمومی. متأسفانه، حفاظت کاملاً غیرقابل نفوذ وجود ندارد. حتی یک کانال بسیار خوش ساخت به شما تضمین 100٪ ناشناس بودن نمی دهد. و این در مورد هکرهایی نیست که الگوریتم های رمزگذاری را خراب می کنند، بلکه در مورد چیزهای بسیار پیش پا افتاده تر است. مثلا:

    • اگر اتصال به سرور VPN به طور ناگهانی قطع شود (و این اغلب اتفاق می افتد)، اما اتصال اینترنت باقی بماند، بخشی از ترافیک به شبکه عمومی خواهد رفت. برای جلوگیری از چنین نشت هایی، از فناوری های VPN Reconnect (اتصال مجدد خودکار) و Killswitch (قطع اینترنت در صورت قطع اتصال VPN) استفاده می شود. اولین مورد در ویندوز اجرا می شود و با "هفت" شروع می شود، دومی توسط نرم افزار شخص ثالث، به ویژه برخی از برنامه های کاربردی VPN پولی ارائه می شود.
    • هنگامی که می خواهید یک وب سایت را باز کنید، ابتدا ترافیک شما به سرور DNS هدایت می شود که آدرس IP آن وب سایت را از آدرسی که وارد کرده اید تعیین می کند. در غیر این صورت، مرورگر قادر به دانلود آن نخواهد بود. درخواست ها به سرورهای DNS (به هر حال رمزگذاری نشده) اغلب فراتر از کانال VPN است که نقاب ناشناس بودن کاربر را می شکند. برای جلوگیری از این وضعیت، آدرس های DNS ارائه شده توسط سرویس VPN خود را در تنظیمات اتصال اینترنت خود مشخص کنید.

    • نشت داده ها همچنین می تواند توسط خود مرورگرهای وب، یا بهتر بگوییم، اجزای آنها، به عنوان مثال، WebRTC ایجاد شود. این ماژول برای ارتباط صوتی و تصویری مستقیماً از مرورگر استفاده می شود و به کاربر اجازه نمی دهد روش اتصال شبکه را خودش انتخاب کند. سایر برنامه های فعال اینترنت نیز ممکن است از اتصالات ناامن استفاده کنند.
    • VPN روی شبکه هایی کار می کند که مبتنی بر پروتکل IPv4 هستند. علاوه بر آن، پروتکل IPv6 نیز وجود دارد که هنوز در مرحله پیاده سازی است، اما در حال حاضر در برخی مکان ها استفاده می شود. سیستم عامل های مدرن، به ویژه ویندوز، اندروید و iOS، از IPv6 نیز پشتیبانی می کنند، حتی بیشتر - بسیاری از آنها به طور پیش فرض آن را فعال کرده اند. این بدان معناست که کاربر بدون اینکه بداند می تواند به شبکه عمومی IPv6 متصل شود و ترافیک او به خارج از کانال امن می رود. برای محافظت از خود در برابر این موضوع، پشتیبانی IPv6 را در دستگاه‌ها غیرفعال کنید.

    اگر از VPN فقط برای دسترسی به منابع وب مسدود شده استفاده می کنید، می توانید چشم خود را بر روی همه این نقص ها ببندید. اما اگر نیاز به ناشناس بودن یا ایمنی داده ها در انتقال از طریق شبکه داشته باشید، اگر اقدامات لازم برای محافظت بیشتر را انجام ندهید، می توانند مشکلات جدی برای شما ایجاد کنند.

    استفاده از VPN برای دور زدن مسدود کردن و ناشناس کردن ترافیک

    مخاطبان روسی زبان اینترنت اغلب از VPN دقیقاً برای بازدید آزادانه از منابع اینترنتی مسدود شده و ناشناس ماندن در شبکه استفاده می کنند. بنابراین، بخش عمده ای از برنامه ها و خدمات رایگان VPN فقط برای این "تیز" شده اند. بیایید نگاهی دقیق تر به برخی از آنها بیندازیم.

    Opera VPN

    توسعه دهندگان مرورگر Opera اولین کسانی بودند که ماژول VPN را مستقیماً در خود محصول پیاده سازی کردند و کاربران را از دردسر یافتن و پیکربندی برنامه های افزودنی شخص ثالث نجات دادند. این گزینه در تنظیمات مرورگر - در بخش "امنیت" فعال است.

    پس از فعال شدن، نماد VPN در نوار آدرس اپرا ظاهر می شود. با کلیک بر روی آن، یک پنجره تنظیمات، از جمله یک نوار لغزنده روشن و خاموش و انتخاب مکان مجازی باز می شود.

    حجم ترافیک از طریق Opera VPN هیچ محدودیتی ندارد، که یک مزیت است. اما این سرویس یک اشکال نیز دارد - فقط از داده هایی محافظت می کند که از طریق پروتکل های HTTP و HTTPS منتقل می شوند. همه چیز از طریق کانال باز انجام می شود.

    در Opera و همچنین مرورگر Yandex، عملکرد دیگری با قابلیت های مشابه وجود دارد. این حالت فشرده سازی ترافیک توربو است. همراه با VPN، کار نمی کند، اما دسترسی به منابع مسدود شده به خوبی باز می شود.

    افزونه مرورگر و اپلیکیشن موبایل Browsec یکی از معروف ترین سرویس های VPN است. از تمام مرورگرهای وب محبوب - Opera، Google Chrome، Firefox، Yandex، Safari و غیره پشتیبانی می کند، اتصال سریع و پایدار را فراهم می کند، نیازی به پیکربندی ندارد، محدودیتی ندارد. به کاربران نسخه رایگان یک انتخاب از 4 سرور ارائه می شود: در انگلستان، سنگاپور، ایالات متحده آمریکا و هلند.

    هزینه اشتراک پرداختی Browsec حدود 300 روبل در ماه است. کاربران این تعرفه از سرعت اتصال بالاتر، پشتیبانی فنی و انتخاب گسترده ای از سرورها در سراسر جهان از جمله روسیه، اوکراین، لتونی، بلغارستان، آلمان برخوردار می شوند.

    هولا

    Hola رقیب اصلی Browsec است که به عنوان برنامه و افزونه مرورگر وجود دارد. نسخه‌های اندروید، سیستم‌های دسکتاپ و مرورگرها بر اساس فناوری‌های همتا به همتا (شبکه همتا به همتا) کار می‌کنند، جایی که کاربران خود منابعی را برای یکدیگر فراهم می‌کنند. برای استفاده شخصی غیرتجاری، دسترسی به آنها رایگان است. انتخاب سرورها بسیار زیاد است.

    نسخه iOS Hola به عنوان یک مرورگر با یک سرویس VPN یکپارچه طراحی شده است. پرداخت می شود، حدود 5 دلار در ماه هزینه دارد. دوره آزمایشی 7 روز است.

    Zenmate سومین سرویس محبوب VPN است که به عنوان افزونه برای Opera، Google Chrome، Firefox، Maxthon Cloud Browser (فقط در Mac OS X) و برخی از مرورگرهای دیگر منتشر شده است. و همچنین - در قالب برنامه های تلفن همراه برای اندروید و iOS. با استفاده رایگان محدودیت سرعت محسوس است و انتخاب سرورها بسیار کم است. با این حال، تمام ترافیک عبوری از کانال Zenmate VPN به صورت ایمن رمزگذاری شده است.

    کاربرانی که دسترسی پریمیوم را خریداری می کنند، می توانند بیش از 30 سرور در سراسر جهان انتخاب کنند. به علاوه، شتاب اتصال برای آنها گنجانده شده است. قیمت اشتراک از 175 تا 299 روبل در ماه شروع می شود.

    مانند سایر سرویس های مشابه، Zenmate نیازی به پیکربندی ندارد - فقط کافی است نصب و اجرا کنید. کار با آن بصری است، به خصوص از آنجا که رابط از زبان روسی پشتیبانی می کند.

    Tunnelbear یکی دیگر از VPN های کاربرپسند برای دستگاه های مختلف است - رایانه های شخصی دارای ویندوز، لینوکس و OS X، تلفن های هوشمند دارای Android و iOS. این در قالب برنامه های کاربردی (هم موبایل و هم دسکتاپ) و پسوند مرورگر موجود است. این یک عملکرد بسیار مفید برای مسدود کردن ترافیک در هنگام قطع اتصال VPN دارد که از نشت داده ها به یک شبکه باز جلوگیری می کند. به طور پیش فرض، کانال ارتباطی بهینه را بر اساس موقعیت مکانی کاربر انتخاب می کند.

    ویژگی های نسخه های رایگان Tunnelbear هیچ تفاوتی با نسخه های پولی ندارد، به جز یک چیز - محدود کردن میزان ترافیک به 500 مگابایت در ماه. در تلفن، اگر فیلم را به صورت آنلاین تماشا نکنید، ممکن است کافی باشد، اما در رایانه، بعید است.

    نه نسخه های پولی و نه رایگان Tunnelbear هیچ اطلاعات کاربری را جمع آوری نمی کند. شما فقط یک دکمه را فشار دهید و دسترسی داشته باشید.

    اسمم را مخفی کن

    HideMy.name یک سرویس VPN پولی قابل اعتماد و نسبتا ارزان است. حتی هنگام تماشای ویدیوهای آنلاین HD و بازی کردن اسباب بازی های آنلاین، سرعت اتصال دائمی بالایی را ارائه می دهد. به خوبی از ترافیک در برابر رهگیری محافظت می کند و ناشناس بودن کامل را در شبکه فراهم می کند. سرورهای NideMy.name در 43 کشور و 68 شهر در سراسر جهان قرار دارند.

    HideMy.name از هر دستگاهی که می‌تواند به اینترنت متصل شود پشتیبانی می‌کند: نه تنها تلفن‌ها و رایانه‌ها، بلکه روترها، جعبه‌های تنظیم، تلویزیون‌های هوشمند و غیره. با یک اشتراک، می‌توانید از این سرویس به طور همزمان در همه دستگاه‌ها استفاده کنید.

    برنامه‌های HideMy.name برای Windows، Mac OS X، Linux، iOS و Android در دسترس هستند. همانطور که گفته شد، همه آنها هزینه دارند، اما شما فقط می توانید برای روزهایی که از VPN استفاده می کنید پرداخت کنید. هزینه اشتراک روزانه 49 روبل است. مجوز برای 1 سال - 1690 روبل. دوره آزمایشی رایگان 1 روز است.

    یک اپلیکیشن VPN با سابقه و یکی از معدود مواردی است که همواره خدمات خود را به صورت رایگان و بدون محدودیت در میزان ترافیک ارائه کرده است. محدودیت 500 مگابایت در روز برای استفاده "رایگان" نسبتاً اخیراً ظاهر شده است. همچنین «کاربران رایگان» تنها به یک سرور VPN که در ایالات متحده قرار دارد دسترسی دارند، بنابراین سرعت اتصال از طریق Hotspot Shield خیلی بالا نیست.

    هزینه اشتراک پولی VPN Hotspot Shield 6-16 دلار در ماه است.

    صحنه ای از یک فیلم اکشن را تصور کنید که در آن یک شرور با یک ماشین اسپرت از صحنه جنایت در بزرگراه فرار می کند. او توسط هلیکوپتر پلیس تعقیب می شود. ماشین وارد یک تونل با چندین خروجی می شود. خلبان هلیکوپتر نمی داند که ماشین از کدام خروجی ظاهر می شود و شرور تعقیب و گریز را ترک می کند.

    VPN - این تونلی است که بسیاری از جاده ها را به هم متصل می کند. هیچ کس از بیرون نمی داند اتومبیل هایی که وارد آن می شوند به کجا ختم می شوند. هیچ کس بیرون نمی داند در تونل چه خبر است.

    احتمالاً بیش از یک بار نام VPN ها را شنیده اید. در Lifehacker نیز در مورد این مورد. اغلب، یک VPN توصیه می شود زیرا می توان از آن برای دسترسی به محتوای محدود جغرافیایی از طریق شبکه استفاده کرد و به طور کلی امنیت را هنگام استفاده از اینترنت افزایش داد. حقیقت این است که دسترسی به اینترنت از طریق VPN نمی تواند کمتر از خطر مستقیم باشد.

    VPN چگونه کار می کند؟

    به احتمال زیاد، شما یک روتر Wi-Fi در خانه دارید. دستگاه های متصل به آن حتی بدون اینترنت هم می توانند داده ها را مبادله کنند. به نظر می رسد که شما شبکه خصوصی خود را دارید، اما برای اتصال به آن، باید از نظر فیزیکی در محدوده سیگنال روتر باشید.

    VPN (شبکه خصوصی مجازی) یک شبکه خصوصی مجازی است. از طریق اینترنت کار می کند، بنابراین می توانید از هر جایی به آن متصل شوید.

    به عنوان مثال، شرکتی که در آن کار می کنید ممکن است از یک شبکه خصوصی مجازی برای کارمندان از راه دور استفاده کند. با استفاده از VPN، آنها به یک شبکه کاری متصل می شوند. در عین حال، رایانه ها، تلفن های هوشمند یا تبلت های آنها به صورت مجازی به دفتر منتقل شده و از داخل به شبکه متصل می شوند. برای ورود به یک شبکه خصوصی مجازی، باید آدرس سرور VPN، نام کاربری و رمز عبور را بدانید.

    استفاده از VPN بسیار آسان است. به طور معمول، یک شرکت یک سرور VPN را در مکانی روی یک کامپیوتر محلی، سرور یا مرکز داده راه اندازی می کند و با استفاده از یک سرویس گیرنده VPN در دستگاه کاربر به آن متصل می شود.

    اکنون کلاینت های داخلی VPN در همه سیستم عامل های فعلی از جمله Android، iOS، Windows، macOS و Linux در دسترس هستند.

    اتصال VPN بین مشتری و سرور معمولاً رمزگذاری شده است.

    پس VPN خوب است؟

    بله، اگر صاحب کسب و کار هستید و می خواهید داده ها و خدمات شرکت را ایمن کنید. با اجازه دادن کارکنان به محیط کار فقط از طریق VPN و اکانت ها، همیشه خواهید دانست که چه کسی و چه کاری انجام داده است و انجام می دهد.

    علاوه بر این، مالک VPN می تواند تمام ترافیکی را که بین سرور و کاربر می رود نظارت و کنترل کند.

    آیا کارمندان زمان زیادی را در VKontakte صرف می کنند؟ می توانید دسترسی به این سرویس را ببندید. آیا گنادی آندریویچ نیمی از روز خود را در وب سایت هایی با میم می گذراند؟ تمام فعالیت های او به طور خودکار ثبت می شود و به یک استدلال آهنین برای اخراج تبدیل می شود.

    پس چرا VPN؟

    VPN به شما امکان می دهد محدودیت های جغرافیایی و قانونی را دور بزنید.

    به عنوان مثال، شما در روسیه هستید و می خواهید. با عرض پوزش متوجه شدید که این سرویس از روسیه در دسترس نیست. فقط با دسترسی به اینترنت از طریق سرور VPN کشوری که Spotify در آن فعالیت می کند، می توانید از آن استفاده کنید.

    در برخی از کشورها، سانسور اینترنتی وجود دارد که دسترسی به برخی سایت‌ها را محدود می‌کند. شما می خواهید به منبعی بروید، اما در روسیه مسدود شده است. شما می توانید سایت را فقط با دسترسی به اینترنت از طریق سرور VPN کشوری که در آن مسدود نشده است، یعنی تقریباً از هر جایی به جز فدراسیون روسیه، باز کنید.

    VPN یک فناوری مفید و ضروری است که با طیف خاصی از وظایف کار را به خوبی انجام می دهد. اما امنیت داده های شخصی هنوز به یکپارچگی ارائه دهنده خدمات VPN، عقل سلیم، توجه و سواد اینترنتی شما بستگی دارد.

    بسیاری از ما به صورت روزانه از اینترنت برای مقاصد شخصی یا تجاری استفاده می کنیم. به احتمال زیاد با تهدیدات مختلف مشکلی نداشتید. با این حال، اینترنت آنقدر که به نظر می رسد امن نیست. خوب، شما WiFi دارید، اما در مورد VPN چطور؟ آیا به چنین محافظتی نیاز دارید؟

    VPN یا شبکه خصوصی مجازی مجموعه ای از شبکه ها یا رایانه های متصل به یکدیگر در اینترنت است. VPN به شما امکان می دهد با اطمینان از اینکه تمام داده هایی که ارسال و دریافت می کنید رمزگذاری شده است، اتصال خود را ایمن کنید.

    بنابراین، چگونه می توانید بفهمید که نیاز به اتصال VPN دارید؟ فارغ از اینکه دانشجو هستید یا کارمند، اگر نمی خواهید کسی در کسب و کار شما فضولی کند، از VPN استفاده کنید.

    چندین نوع VPN وجود دارد: رایج ترین انواع آن عبارتند از PPTP VPN، Site-to-Site VPN، L2TP VPN، IPsec، SSL، MPLS VPN و Hybrid VPN. در زیر آنها را با جزئیات بیشتری در نظر خواهیم گرفت.

    1. PPTP VPN

    PPTP VPN یک پروتکل تونل زنی نقطه به نقطه است. همانطور که از نام آن پیداست، PPTP VPN یک تونل ایجاد می کند و داده ها را ضبط می کند. این رایج ترین نوع VPN است. VPN های PPTP به شما امکان می دهند از طریق یک اتصال اینترنتی موجود به یک شبکه VPN متصل شوید. این نوع VPN برای استفاده تجاری و خانگی عالی است. برای دسترسی به شبکه از رمز عبور استفاده می شود. PPTP برای خانه ها و مشاغل ایده آل است زیرا به سخت افزار اضافی نیاز ندارد و امکان استفاده از برنامه های کم هزینه و بدون پیچیدگی را فراهم می کند. PPTP به خوبی با ویندوز، مک و لینوکس سازگار است.

    در حالی که VPN های PPTP مزایای بسیاری را نشان می دهند، اما بدون اشکال نیستند. نکته اصلی این است که پروتکل PPTP از رمزگذاری استفاده نمی کند. علاوه بر این، اساس PPTP پروتکل PPP است که سطح بالایی از امنیت را ارائه نمی دهد.

    1. VPN سایت به سایت

    سایت به سایت یا روتر به روتر رایج ترین نوع VPN در تجارت است. این امر به ویژه در مورد شرکت هایی که دارای دفاتر در مناطق مختلف یک کشور و در چندین کشور هستند صدق می کند، که به شما امکان می دهد همه رایانه ها را به یک شبکه واحد متصل کنید. آنها همچنین به عنوان VPN اینترانت (VPN از طریق شبکه داخلی) شناخته می شوند. گزینه دیگری نیز امکان پذیر است. شرکت هایی که از VPN سایت به سایت استفاده می کنند به سرورهای شرکت های دیگر مانند VPN اکسترانت متصل می شوند. به زبان ساده، این نوع VPN نوعی پلی است که شبکه‌ها را در مکان‌های مختلف به هم متصل می‌کند و اتصال و اتصال امن به اینترنت را فراهم می‌کند.

    مانند PPTP، VPN سایت به سایت یک شبکه امن ایجاد می کند. با این حال، هیچ خط اختصاصی وجود ندارد، بنابراین کامپیوترهای شرکت های مختلف می توانند به شبکه متصل شوند. بر خلاف PPTP، رمزگذاری یا توسط دستگاه های خاص یا توسط برنامه های کاربردی در هر دو انتهای شبکه انجام می شود.

    1. L2TP VPN

    L2TP مخفف Layer 2 Tunneling Protocol است و توسط مایکروسافت و سیسکو توسعه داده شده است. یک VPN مبتنی بر پروتکل L2TP با پروتکل دیگری ترکیب می شود تا اتصال ایمن تری ایجاد کند. پروتکل L2TP یک تونل بین دو نقطه اتصال L2TP تشکیل می دهد و پروتکل دیگری مانند IPsec داده ها را رمزگذاری می کند.

    L2TP مانند PPTP عمل می کند. شباهت اصلی فقدان رمزگذاری و اساس پروتکل PPP است. تفاوت در حفاظت و ایمنی داده ها است. VPN های مبتنی بر L2TP اتصال امن تر و قابل اعتمادتری را ارائه می دهند.

    1. IPsec

    IPsec مخفف Internet Protocol Security است. IPsec یک پروتکل VPN است که برای تامین امنیت در شبکه استفاده می شود. پروتکل یک تونل به یک میزبان راه دور ایجاد می کند. هر جلسه بررسی می شود، بسته های داده رمزگذاری می شوند، به طوری که پروتکل IPsec سطح بالایی از امنیت اتصال را فراهم می کند. این پروتکل دو حالت دارد. حمل و نقل و تونل. هر دو برای انتقال امن داده ها بین شبکه های مختلف خدمت می کنند. در حالت انتقال، پیام در بسته داده رمزگذاری می شود. در حالت تونل، کل بسته داده رمزگذاری می شود. مزیت استفاده از IPsec این است که می توان از آن در کنار سایر پروتکل ها برای افزایش امنیت شبکه استفاده کرد.

    و اگرچه IPsec یک پروتکل مفید و راحت است، اما نقطه ضعف اصلی آن زمان نصب طولانی برای برنامه های مشتری است.

    1. SSL و TLS

    SSL یک پروتکل سوکت امن است، TLS امنیت لایه انتقال است. آنها به عنوان یک پروتکل کار می کنند. هر دو برای ایجاد VPN استفاده می شوند. در این ارتباط، مرورگر وب به عنوان یک کلاینت عمل می کند، کاربر به جای دسترسی به کل شبکه، به برنامه های ویژه دسترسی پیدا می کند. SSL و TSL در فروش آنلاین استفاده می شوند. SSL و TSL یک جلسه امن از مرورگر به سرور با برنامه ارائه می دهند. مرورگر به راحتی بدون نیاز به هیچ گونه اقدام اضافی از سوی کاربر به SSL تغییر می کند. اکثریت قریب به اتفاق مرورگرهای مدرن در حال حاضر شامل SSL و TSL هستند. اتصال SSL حاوی https به جای http در آدرس است.

    1. MPLS VPN

    سرویس‌های VPN که از تعویض برچسب چندپروتکلی (MPLS) پشتیبانی می‌کنند، بهترین استفاده را برای اتصالات سایت به سایت دارند. این به این دلیل است که MPLS انعطاف پذیرترین گزینه با بیشترین سازگاری است. MPLS بر اساس استانداردهای خاصی است که برای سرعت بخشیدن به توزیع بسته های شبکه در چندین پروتکل استفاده می شود. VPN های دارای MPLS سیستم هایی هستند که VPN هایی هستند که برای کار با ISP ها پیکربندی شده اند که در آن دو یا چند سایت می توانند به هم بپیوندند و با استفاده از قدرت همان ISP یک VPN تشکیل دهند. با این حال، بزرگترین نقطه ضعف خدمات VPN با قابلیت MPLS این واقعیت است که راه اندازی چنین شبکه ای بسیار دشوارتر از سایر VPN ها است. ایجاد تغییرات در آن دشوارتر است. در نتیجه، خدمات VPN با قابلیت MPLS برای کاربران گران تر است.

    1. VPN هیبریدی

    VPN ترکیبی MPLS و IPSec را ترکیب می کند. هر دو نوع به طور جداگانه در گره های مختلف استفاده می شود. با این حال، گاهی اوقات یک گره به هر دو نوع پروتکل اجازه می دهد تا به طور همزمان متصل شوند. این کار برای بهبود قابلیت اطمینان MPLS با استفاده از IPSec انجام می شود.

    IPSec همانطور که قبلا ذکر شد به سخت افزار خاصی نیاز دارد. این معمولا یک روتر یا دستگاه امنیتی چند منظوره است. با کمک آن، داده ها رمزگذاری می شوند و یک تونل VPN را تشکیل می دهند. MPLS در کانال انتقال اطلاعات با کمک تجهیزات انتقال استفاده می شود.

    برای اتصال این دو نوع VPN، یک دروازه نصب می شود که در آن IPSec حذف شده و با حفظ امنیت داده ها، اتصال به MPLS برقرار می شود.

    VPN های ترکیبی توسط شرکت ها استفاده می شود زیرا MPLS اغلب برای گره های آنها مناسب نیست. MPLS مزایای زیادی نسبت به اتصال مشترک دارد، اما هزینه آن بالا است. با یک شبکه ترکیبی، می توانید از طریق یک سایت راه دور به یک سایت مرکزی متصل شوید. VPN های ترکیبی گران ترین، اما از نظر پیکربندی بسیار انعطاف پذیر هستند.

    نتیجه گیری

    به طور کلی، انتخاب نوع مناسب VPN بسیار دشوار است. برای درک اینکه به چه نوع VPN نیاز دارید، ابتدا باید بفهمید که چه نوع امنیتی می خواهید داشته باشید. همچنین بستگی به این دارد که دانشجو باشید، صاحب یک کسب و کار کوچک یا یک شرکت بزرگ. باید در نظر بگیرید که آیا یک سیستم امنیتی ساده کافی است یا اینکه به سیستم پیچیده تر مانند VPN ترکیبی نیاز است. یکی دیگر از عواملی که باید در نظر گرفته شود هزینه است. چقدر حاضرید برای ایجاد یک اتصال اینترنتی امن هزینه کنید؟ هنگامی که به این سوالات پاسخ دهید، انتخاب بسیار آسان تر می شود. و البته، همیشه می توانید دانش خود را در این زمینه گسترش دهید. موفق باشید!

    تعداد مفاهیم مبهم و اختصارات مربوط به ظهور فناوری های جدید و اصلاح فناوری های قدیمی به طور تصاعدی در حال افزایش است. VPN یکی از آنهاست. هدف این نشریه درک این مخفف مبهم و تعیین دلیل ذکر مکرر آن در ارتباط با اتصالات شبکه است.

    VPN، آن چیست؟

    در اصل، این یک شبکه معمولی است ("N" در مخفف کلمه "شبکه" است). اما ظرافت های خاص خودش را دارد. اولاً مجازی است و ثانیاً خصوصی است. یعنی «مجازی» و «خصوصی» (دو حرف اول مخفف).

    مخفف VPN

    به این دلیل مجازی نامیده می شود که در سطح خاصی از انتزاع از سخت افزار وجود دارد. این بدان معنی است که برای آن مهم نیست که ارتباط از چه کانال هایی انجام می شود، چه دستگاه هایی متصل هستند و شرایط دیگر. VPN از تمام منابع موجود برای عملکرد خود استفاده می کند.

    اما ویژگی اصلی VPN خصوصی بودن آن است. اگرچه از کانال‌ها و پروتکل‌های ارتباطی رایج استفاده می‌کند، اغلب از اینترنت، «عموی خیابان» نمی‌تواند وارد آن شود، اما فقط یک شرکت‌کننده قابل اعتماد که حق این کار را دارد.

    اصول کارکرد، اصول جراحی، اصول عملکرد

    برای درک نحوه عملکرد VPN، باید ساده ترین حالت ارتباط بین دو نقطه (رایانه) را در نظر بگیرید. در قسمت محافظت نشده مسیر (اغلب اینترنت) یک تونل ایجاد می شود که آنها را به هم متصل می کند. مشکل در سازماندهی چنین اتصالی نیست، بلکه در محافظت از داده هایی است که در بخش محافظت نشده شبکه آسیب پذیر هستند. اطلاعاتی که از یک کانال عمومی عبور می کند می تواند توسط متجاوزان به سرقت رفته یا تحریف شود.

    دستگاه VPN

    برای جلوگیری از این امر از انواع رمزگذاری آن استفاده می شود. بنابراین، وظیفه اصلی یک اتصال VPN اطمینان از یکنواختی رمزگذاری و رمزگشایی در گره های آن و همچنین رابط پروتکل های شبکه در مورد سیستم های سرور مختلف است.

    چرا به VPN نیاز دارید

    دلیل اصلی ایجاد VPN تمایل، حتی نیاز فوری به ایجاد شبکه‌های امن بود که بدون توجه به مرجع جغرافیایی به آنها دسترسی داشت. به عنوان مثال، دسترسی از راه دور کارمندان به شبکه شرکت مادر از یک سفر کاری. علاوه بر این. برای شرکت های چند ملیتی، هیچ راهی برای کشش سیم بین دفاتر خود در کشورها یا قاره های مختلف وجود ندارد. فناوری VPN در این مورد نیز به کمک می آید. یک مثال ساده‌تر می‌تواند سازماندهی یک VPN مبتنی بر شبکه محلی یک شرکت برای محدود کردن اختیارات گروه‌ها، بخش‌ها، کارگاه‌های مختلف و موارد مشابه باشد.

    چگونه یک شبکه VPN ایجاد کنیم

    برای ایجاد یک شبکه VPN، تعدادی برنامه وجود دارد، برای مثال TeamViewer یا Hamachi. اگرچه این کار با ابزارهای استاندارد ویندوز قابل انجام است، اما با کارایی، امنیت و راحتی کمتر. برای انجام این کار، باید از طریق "کنترل پنل" وارد "اتصالات شبکه" کامپیوتر شوید.

    برنامه هاماچی

    در منوی «فایل»، مورد «اتصال جدید» را انتخاب کنید، جایی که مشخص می‌کنید اتصالی که ایجاد می‌شود VPN است. در مرحله بعد، باید کاربری را اضافه کنید یا مشخص کنید که اجازه دسترسی داشته باشد. سپس مشخص کنید که اتصال از طریق اینترنت خواهد بود و پروتکل TCP / IP را به عنوان پروتکل اتصال انتخاب کنید. در آخرین کادر محاوره ای، باید روی "اجازه دسترسی" کلیک کنید و سرور VPN ویندوز آماده کار است.

    بیشتر بخوانید: