آموزش CEH (هکر کلاه سفید): چگونه یک شبکه خصوصی سازمانی ایمن پیاده‌سازی کنیم؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

شبکه خصوصی مجازی، شبکه‌ای است که اطلاعات در آن از طریق یک شبکه عمومی مانند اینترنت مبادله می‌شوند، اما در عین حال با استفاده از الگوریتم‌های رمزنگاری و با احراز هویت این ارتباط به شکل محرمانه و اختصاصی برقرار می‌شود. شبکه خصوصی مجازی عمدتا برای ساخت کانال‌های ارتباطی میان شعبه‌های مختلف دفاتر و دسترسی از راه دور به منابع استفاده می‌شوند.

بیشتر سازمان‌ها برای ساخت یک شبکه گسترده از خطوط اختصاصی استفاده می‌کنند. خطوط فوق انواع متفاوتی دارند که از آن جمله می‌توان به ISDN و OC3 Optical Carrier-3 اشاره کرد. یک شبکه گسترده مزایای عمده‌ای نسبت به یک شبکه عمومی نظیر اینترنت به لحاظ امنیت و کارایی دارد، اما پشتیبانی و نگهداری یک شبکه گسترده در عمل و زمانی‌که از خطوط اختصاصی استفاده می‌شود، مستلزم صرف هزینه زیادی است. همزمان با گسترش روزافزون به‌کارگیری اینترنت، اغلب سازمان‌ها به فکر توسعه اختصاصی زیرساخت‌های خود افتادند. در ابتدا شبکه‌های اینترانت محبوبیت پیدا کرد. این نوع شبکه‌ها به شکل کاملاً اختصاصی به کارمندان یک سازمان اجازه استفاده از گذرواژه تعریف شده را می‌دادند تا قادر به ورود به شبکه و استفاده از منابع موجود باشند، اما گسترش فعالیت‌های تجاری باعث شد تا سازمان‌ها مجبور شوند از فناوری‌های جدیدتری همچون شبکه‌های اختصاصی مجازی استفاده کنند. یک شبکه‌ اختصاصی مجازی از یک شبکه برای ارتباط با شبکه‌ای دیگر از راه دور و ارتباط کاربران با شبکه سازمانی استفاده می‌کند. این نوع شبکه‌ها به جای استفاده از خطوط واقعی نظیر خطوط Leased از یک ارتباط مجازی به اینترنت برای ایجاد شبکه اختصاصی استفاده می‌کنند.

شبکه‌های خصوصی مجازی چگونه کار می‌کنند؟

شبکه‌های کامپیوتری به شکل گسترده‌ای در سازمان‌ها استفاده می‌شوند. اگر یک شرکت عملکرد محدودی داشته باشد قادر است از مکانیزم‌های ارتباطی مختلفی برای برقراری ارتباط با یک شبکه محلی برقرار کرد، اما برای یک شرکت بزرگ که فضای گسترده جغرافیایی و شعب مختلف در نقاط مختلف یک کشور یا اقصا نقاط جهان دارد و این بخش‌ها نیاز دارند که با هم ارتباطات اطلاعاتی امن داشته باشند، باید از یک شبکه گسترده خصوصی بین نقاط استفاده کند. شبکه‌های اینترانت که فقط محدود به یک سازمان یا یک شرکت هستند، به دلیل محدودیت‌های گسترشی نمی‌توانند چند سازمان یا شرکت را تحت پوشش قرار دهند. شبکه‌های گسترده نیز که با خطوط استیجاری راه‌اندازی می‌شوند، در واقع شبکه‌های گسترده امنی هستند که بین مراکز سازمان‌ها ایجاد شده‌اند. پیاده‌سازی این شبکه‌ها علی‌رغم درصد پایین بهره‌وری، نیاز به هزینه زیادی دارد، زیرا این شبکه‌ها به دلیل عدم اشتراک منابع با دیگران، هزینه مواقع عدم استفاده از منابع را نیز بایستی پرداخت کنند. راه‌حل غلبه بر این مشکلات، راه‌اندازی یک شبکه خصوصی مجازی است.

ارسال حجم زیادی از داده‌ها از یک کامپیوتر به کامپیوتر دیگر به‌طور مثال، در به‌هنگام‌رسانی بانک اطلاعاتی یک معضل قدیمی است. انجام این‌کار از طریق ایمیل به دلیل محدودیت گنجایش سرویس‌دهندگان ایمیل نشدنی است. به‌کارگیری پروتکل FTP هم به سرویس‌دهنده مربوطه و همچنین به ذخیره‌سازی موقت اطلاعات روی اینترنت نیاز دارد که ایمن نیست. یکی از راه‌حل‌ها، اتصال مستقیم به کامپیوتر مقصد به کمک مودم است که در اینجا هم علاوه بر مودم، پیکربندی کامپیوتر به عنوان سرویس‌دهنده Remote Access Service نیاز است. همچنین، هزینه ارتباط تلفنی راه دور برای مودم هم زیاد است. اما اگر دو کامپیوتر در دو نقطه مختلف به اینترنت متصل شوند، این فرصت پیدا می‌شود تا از طریق سرویس به‌اشتراک‌گذاری فایل به سادگی فایل‌ها را مبادله کرد. در این حالت، کاربران می‌توانند به دیسک سخت کامپیوترهای دیگر همچون دیسک سخت کامپیوتر خودشان دسترسی داشته باشند و امنیت به شکل قابل توجهی بهبود پیدا می‌کند. شبکه‌های شخصی مجازی برای حل مشکلات این چنینی گزینه مناسبی هستند. شبکه خصوصی مجازی به کمک رمزگذاری داده‌ها، درون اینترنت یک شبکه کوچک ایجاد می‌کند و تنها افردی که آدرس‌های لازم و گذرواژه را داشته باشند قادر به ورود به شبکه هستند.

سازمان‌ها و موسسات متعددی از مکانیزم خطوط اختصاصی استفاده می‌کنند. مهم‌ترین عامل در این زمینه وجود امنیت و اطمینان برای برقراری ارتباط هر یک از سازمان‌ها با دیگری است. در صورتی‌که مسافت ادارات یا شعب یک سازمان از یکدیگر دور باشد، هزینه مربوط به برقراری ارتباط نیز افزایش خواهدیافت، به همین دلیل شبکه‌های خصوصی با ارائه قابلیت‌هایی همچون سرعت زیاد، کاربری ساده، قابلیت اعتماد و.... گزینه مناسبی در این زمینه هستند.

امنیت در شبکه‌های خصوصی مجازی

با توجه به این‌که هر سازمانی اطلاعات حساس خاص خود را دارد و نباید هر کاربر غیر مجازی به راحتی به داده‌ها دسترسی داشته باشد، در نتیجه شبکه خصوصی مجازی با پیاده‌سازی یک بستر ایمن مانع از آن می‌شوند تا هکرها بتوانند به سادگی به اطلاعات دسترسی پیدا کنند. شبکه‌های شخصی مجازی برای تأمین امنیت داده‌ ها از مکانیزم‌ های مختلفی همچون دیوار آتش، رمزنگاری، پروتکل IPsec، سرور AAA و.... استفاده می‌کنند.

دیوار آتش

دیوار آتش نرم‌افزاری یک لایه محافظت میان یک شبکه اختصاصی سازمانی و اینترنت ایجاد می‌کند. با استفاده از دیوار‌آتش می‌توان عملیات متفاوتی را در جهت اعمال خط‌مشی‌های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت‌های فعال، ایجاد محدودیت در رابطه به پروتکل‌های خاص، ایجاد محدودیت در نوع بسته‌های اطلاعاتی و… نمونه هائی از عملیاتی است که می‌توان با استفاده از یک دیوارآتش انجام داد.

رمزنگاری

رمزنگاری فرآیند غیرقابل خواندن کردن اطلاعاتی است که از کامپیوتر مبدا به سمت مقصد ارسال می‌شود. در این حالت تنها کامپیوترهای مجاز قادر به رمزگشایی اطلاعات ارسالی هستند. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده، دریافت‌کنندگان قبل از استفاده از اطلاعات باید اطلاعات ارسالی را رمزگشایی کنند. سیستم‌های رمزنگاری از دو رویکرد رمزنگاری متقارن و غیر متقارن استفاده می‌کنند.

رمزنگاری کلید متقارن

در رمز‌نگاری کلید متقارن هر یک از کامپیوترها یک کلید رمزنگاری (کد) دارند که با استفاده از آن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپیوتر دیگر هستند. در روش فوق باید در ابتدا نسبت به کامپیوترهایی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند، آگاهی کامل فراهم شود. هر یک از کامپیوترهای شرکت‌کننده در مبادله اطلاعاتی باید دارای کلید رمزنگاری مشابه برای رمزگشایی اطلاعات باشند. برای رمزنگاری اطلاعات ارسالی نیز از کلید فوق استفاده می‌شود.

رمزنگاری کلید عمومی

در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می‌شود. کلید خصوصی تنها برای کامپیوتر ارسال‌کننده قابل شناسایی و استفاده ‌است. کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگری که قصد ارتباط با آن را داشته باشند گذاشته می‌شود. برای رمزگشایی یک پیام رمز شده، یک کامپیوتر باید با استفاده از کلید عمومی که توسط کامپیوتر ارسال‌کننده ارائه شده و کلید خصوصی مربوط به خود اقدام به رمزگشایی پیام ارسالی نماید.

IPSec

پروتکل IPSec یکی از امکانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات است. قابلیت این روش در مقایسه با الگوریتم‌های رمزنگاری بیشتر است. پروتکل فوق دارای دو روش رمزنگاری است: Tunnel, Transport. در روش tunel، سرآیند و بارداده رمزنگاری می‌شوند، اما در روش transport تنها بارداده رمزنگاری می‌شود. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاه‌های مختلفی همچون روتر به روتر، دیوارآتش به روتر، کامپیوتر به روتر و کامپیوتر به سرویس‌دهنده است.

مولفه‌های داخلی IP-Sec

Ipsec برخلافPPTP و L2TP روی لایه شبکه کار می‌کند. این پروتکل داده‌هایی که باید فرستاده شوند را همراه با همه اطلاعات جانبی مانند گیرنده و پیغام‌های وضعیت رمزگذاری کرده و به آن یک IP Header معمولی اضافه کرده و به آن سوی تونل می‌فرستد. کامپیوتری که در طرف دیگر قرار دارد، IP Header را جدا می‌کند، داده‌ها را رمز گشایی می‌کند و آن‌را به کامپیوتر مقصد می‌فرستد. Ipsec را می‌توان با دو شیوه Tunneling پیکربندی کرد. در این شیوه انتخاب اختیاری تونل، سرویس‌گیرنده نخست یک ارتباط معمولی با اینترنت برقرار می‌کند و سپس از این مسیر برای ایجاد اتصال مجازی به کامپیوتر مقصد استفاده می‌کند. برای این منظور، باید روی کامپیوتر سرویس‌گیرنده پروتکل تونل نصب شده باشد. کامپیوترهای درون LAN هم می‌توانند یک ارتباط شبکه خصوصی مجازی را برقرار کنند. از آن‌جایی که ارتباط آی‌پی از پیش موجود است تنها برقرار کردن ارتباط با شبکه خصوصی مجازی کافی است. در شیوه تونل اجباری، سرویس‌گیرنده نباید تونل را ایجاد کند بلکه این کار به عهده ارائه‌دهنده سرویس است. سرویس‌گیرنده تنها باید به ارائه‌دهنده خدمات اینترنتی وصل شود. تونل به‌طور خودکار از ارائه‌دهنده تا ایستگاه مقصد وجود دارد.

ویژگی‌های امنیتی در IPsec

Ipsec از طریق سرآیند احراز هویت (AH) سرنام Authentication Header مطمئن می‌شود که بسته‌های دریافتی از سوی فرستنده واقعی نه از سوی هکری که قصد خرابکاری دارد، دریافت شده و محتویات بسته تغییر نکرده است. AH اطلاعات مربوط به تعیین اعتبار و یک شماره توالی در خود دارد تا از حملات Replay جلوگیری کند. اما AH رمزگذاری نمی‌شود. رمزگذاری از طریق Encapsulation Security Header یا ESH انجام می‌گیرد. در این شیوه داده‌های اصلی رمزگذاری شده و VPNاطلاعاتی را از طریق ESH ارسال می‌کند. ESH همچنین کارکردهایی برای تعیین اعتبار و خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست. برای رمزگذاری و تعیین اعتبار روش مشخص و ثابتی وجود ندارد، اما با این همه، IETF برای حفظ سازگاری میان محصولات مختلف، الگوریتم‌های اجباری برای پیاده‌سازی Ipsec تدارک دیده. برای نمونه می‌توان به MD5، DES یا Secure Hash Algorithm اشاره کرد.

Ipsec بدون تونل

Ipsec در مقایسه با دیگر روش‌ها یک برتری دیگر هم دارد که می‌تواند همچون یک پروتکل انتقال معمولی استفاده شود. در این حالت برخلاف حالت Tunneling همه بسته‌های آی‌پی رمزگذاری و دوباره بسته‌بندی نمی‌شود. به جای آن، تنها داده‌های اصلی رمزگذاری می‌شوند و سرآیند همراه با آدرس‌های فرستنده و گیرنده باقی می‌ماند. این باعث می‌شود که داده‌های سربار کمتری جابجا شوند و بخشی از پهنای باند آزاد شود. اما بدیهی است در این وضعیت، هکرها می‌توانند مبدأ و مقصد داده‌ها را شناسایی کنند. از آن‌جا که در مدل OSI داده‌ها از لایه شبکه یا همان لایه سه به بالا رمزگذاری می‌شوند، هکرها متوجه نمی‌شوند که این داده‌ها به ارتباط با سرویس دهنده Mail مربوط می‌شود یا به دستگاه دیگری تعلق دارند.

جریان یک ارتباط Ipsec

بیش از آن‌که دو کامپیوتر بتوانند از طریق Ipsec داده‌ها را میان خود جابجا کنند باید فرآیندها انجام شود. ابتدا باید امنیت تامین شود. برای این منظور، کامپیوترها برای یکدیگر مشخص می‌کنند که آیا رمزگذاری، تعیین اعتبار و تشخیص خطا یا هر سه آن‌ها باید انجام شود یا خیر. در ادامه نوع الگوریتمی که قرار است استفاده شود را مشخص می‌کنند (به‌طور مثال، DEC برای رمزگذاری و MD5 برای خطایابی). در مرحله بعد کلیدها را میان خود مبادله می‌کنند. Ipsec برای حفظ ایمنی ارتباط از SA استفاده می‌کند. SA چگونگی ارتباط میان دو یا چند ایستگاه و سرویس‌های ایمنی را مشخص می‌کند. SAها از سوی SPI شناسایی می‌شوند. SPI از یک عدد تصادفی و آدرس مقصد تشکیل می‌شود. مقداری که همیشه میان دو کامپیوتر دو SPI وجود دارد: یکی برای ارتباط A و B و یکی برای ارتباط B به A. اگر یکی از کامپیوترها بخواهد در حالت محافظت شده داده‌ها را منتقل کند نخست شیوه رمزگذاری مورد توافق با کامپیوتر دیگر را بررسی کرده و آن شیوه را روی داده‌ها اعمال می‌کند. سپس SPI را در سرآیند نوشته و بسته را به سوی مقصد می‌فرستد.

مدیریت کلیدهای رمز در Ipsec

اگر چه Ipsec فرض را بر این می‌گذارد که توافقی برای ایمنی داده‌ها وجود دارد، اما خودش برای ایجاد این توافق نمی‌تواند کاری انجام بدهد. Ipsec در این کار به IKE تکیه می‌کند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو کامپیوتر باید نخست تعیین اعتبار شوند. برای انجام این‌کار از روش‌های Pre shared keys، و رمزگذاری کلید عمومی و امضاء دیجیتال استفاده می‌شود.

پروتکل ike

پروتکلی که امروزه استفاده از آن رایج است Internet Key Exchange نام دارد. نسخه اول آن در سال ۱۹۹۸  منتشر شد و به‌نام IKEv1 مشهور شد. به دلیل این که اولین نسخه از IKE توسط IPsec به‌عنوان پیش‌فرض استفاده شد. خصوصیات IKEv1 بخش‌های پنهان آن‌را ارتقا داد. در سال 2005 نسخه ارتقا یافته آن به‌نام IKEv2 منتشر شد. با این به‌روزرسانی، پروتکل یاد شده مطمئن‌تر شد و موفق شد به میزان قابل توجهی در برابر حملات DOS مقاومت کند.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH