در این مقاله و در ادامه مقاله قبلیم که در خصوص معرفی شبکه های خصوص مجازی یا همون VPN هست ، میخام راجع به امنیت در این نوع شبکه های صحبت کنم ، شاید اکثر شما دوستان فکر کنید که VPN که خودش برای امنیت ساخته شده ، مگه خودش ایمن نیست ؟ جوابش رو در این مثاله بهتون می دم ، هر سیستم امنیتی برحسب نوع پارامترهای امنیتی که در داخلش استفاده شده ممکن هست که مورد هجوم و در نهایت بهش نفوذ بشه و VPN هم از این قضیه خارج نیست .VPN هم برای خودش تنظیمات ویژه امنیتی داره که میتونه توانایی های حفظ محرمانگی و امنیت اطلاعات ما رو بالا ببره و کمتر بشه بهش نفوذ کرد .باید باور کنیم که این شبکه هم مثل شبکه های دیگه قابل نقود هست و ما تنها کاری که میتونیم انجام بدیم این هست که تا جای ممکن امنیتش رو بالا ببریم . در ادامه مطلب روش هایی رو که ما میتونیم از طریق اونها این شبکه رو ایمن سازی کنیم و تا حد زیادی امنیت اطلاعاتمون رو بالا ببریم رو عنوان میکنیم ، روش های اصلی به شکل زیر هستند :
همونطور که از اسمش مشخص به معنی دیواره آتش.آتشی که جنبه ی محافظت داره و مانع نفوذ غیرمجاز میشه.وقتی تعداد سیستم های متصل به شبکه خصوصی زیاد میشه،به طبع محافظت از منابع سیستم هم مشکل میشه.firewall یک دیوار امنیتی بین شبکه ی اختصاصی و اینترنت ایجاد میکنه و با محدود کردن دسترسی افراد خارجی به سیستم امکان حمله به سیستم رو کم میکنه.همچنین دسترسی از داخل به خارج شبکه رو هم میتونیم با اون محدود کنیم،مثلا بعضی پورت ها رو ببندیم.دیوار آتش هم میتونه نرم افزاری باشه هم سخت افزاری. اگر دوست داشتین تو همین وب سایت تفاوت فایروال نرم افزاری و سخت افزاری رو می تونین مطالعه کنید.این هم لینک مطلبش :
رمزنگاری (encryption)
رمزنگاری فرآیند حفظ امنیت داده هاست،کامپیوتر مبداء داده ها یا بسته رو رمزگذاری میکنه و به سمت مقصد میفرسته و کامپیوتری که مجاز به رمزگشایی هست وقتی بسته رو دریافت کرد اون رو رمزگشایی میکنه.دو نوع رمزنگاری داریم:
توی رمزنگاری متقارن هر کدوم از کامپیوترها یک کلید(کد) دارن که برای رمزگذاری بسته ی اطلاعاتی از اون استفاده میکنن.کلید رمزگذاری بین فرستنده و گیرنده مشترک،فرستنده با استفاده از کلیدی که داره متن اصلی رو با الگوریتم مشخصی رمز و ارسال میکنه و گیرنده با الگوریتم رمزگشایی که عکس عمل رمزنگاری هست،داده ی دریافتی رو رمزگشایی میکنه به شرطی که با الگوریتم رمزگشایی آشنایی داشته باشه.اگه پیام یا بسته به دست نفوذگرها بیفته به دلیل اینکه از کلید آگاهی ندارن نمی تونن اون رو رمزگشایی کنن.
توی رمزنگاری کلید عمومی هر کاربر یک زوج کلید(کلیدخصوصی و کلیدعمومی) داره.کلید خصوصی برای کامپیوتر ارسال کننده قابل شناسایی و استفاده ست و کلید عمومی هر فرد به بقیه ارسال میشه یا توی یک جای عمومی ذخیره میشه تا کاربرهای دیگه بتونن از اون استفاده کنن.تو این روش هر کاربری که بخواد پیامی برای شخص دیگه ارسال کنه با کلید عمومی شخص گیرنده،پیام موردنظر رو ارسال میکنه و این پیام تنها به وسیله ی کلید خصوصی به کار رفته توی رمزنگاری،قابل رمزگشایی هست.
این سه کار در واقع سه نوع سرویس هستند که معمولا هم بصورت نرم افزاری و هم بصورت سخت افزاری انجام میشن . به این سه تا در اصطلاح AAA یا تریپل A هم گفته میشه ، معمولا وقتی سه تا حرف کنار هم در انگلیسی میاد اینطوری خونده می شه مثلا IEEE خونده میشه آی تریپل E . بهر حال ما بحثمون چیز دیگه ای هست . این سروس ها برای حفظ امنیت در دسترسی های از راه دور استفاده می شن .وقتی به کاربری نام کاربری و رمز عبور میدین و یک Connection برای VPN به محض برقراری اتصال اول درخواستش به این سرویس منتقل می شه . بعد به شکل زیر هر کدوم از این A ها کار خودشون رو انجام میدن :
با این فرآیند بعد از مشخص شدن هویت کاربر،یجورایی برای کاربر مجاز محدوده ی استفاده رو مشخص کنه.
یکی از راه های ایجاد امنیت،به وجود آوردن امنیت در سطح IP هست.پروتکل IPSEC هم یکی از امکانات موجود برای برای ایجاد امنیت و ارسال اطلاعات در سطح پروتکل IP هست . بسته ها در شبکه ی LAN به صورت معمولی منتقل میشن،یعنی هر بسته یک بدنه ی IP و یکheader یا Header IP داره.ولی وقتی اون بسته میخواد از شبکه ی LAN به یک شبکه ی دیگه منتقل بشه,بسته ها تغییر میکنن و به اونا Header IP SEC اضافه میشه.IP SEC شامل دوتا Sub protocol هست که برای امن کردن بسته ها توی شبکه ی vpn به کار میره.
برای محرمانگی محتوای پیام و به صورت محدود برای محرمانگی جریان ترافیک استفاده میشه، کار ESP اینه که Payload بسته ای رو که در حال انتقال هست رو به وسیله ی کلید متقارن رمزگذاری کنه.
سرآیه ی احراز اصالت AH برای حفظ تمامیت و احراز اصالت بسته های IP استفاده میشه.برای پنهان کردن اطلاعات بسته ها مثل(هویت ارسال کننده ها) قبل از اینکه به مقصد برسن رویheader بسته به کار میره تا امنیتش رو حفظ کنه.
رو رمز نگاری کنه.
لایه ی سوکت امن اجازه میده که بین کاربر و سرور یک نشست ایجاد بشه و از این طریق هر تعداد اتصال امن امکانپذیر میشه.در واقع مجموعه ای از پارامترهای امنیتی رو تعریف میکنه،که به صورت اشتراکی توی اتصالات مربوط به این جلسه استفاده میشن.از نظر تئوری بین کاربر و سرور میتونه بیشتر از یک نشست وجود داشته باشه ولی در عمل فقط یک جلسه به وجود میاد.
اگر می خواهید مفاهیم و مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سیستم های تشخیص نفوذ در این لینک مراجعه کنید.