ارتباطات و امنیت در vpn ها

اگر کانکشن vpn دارید بهتر بازش کنید و یه سری به قسمت security بزنید تا ببینیم داخل کانکشن چه خبر است. (به تصویر زیر نگاه کنید)

در تصویر بالا شما ضعیف ترین نوع کانکشن vpn را مشاهده میکنید نه رمزگذاری نه چک پسورد هیچ و این کاملا عریان در شبکه است اما قبلش بذارید تایپهای vpn را توضیح بدم بعد سر قسمت امنیتش هم میرویم.

در قسمت type of VPN که میبینید pptp است که یه نوع ارتباط vpn است و خیلی هم رایج است البته pptp ناامن نیست pptp یک کانال کنترلی را روی tcpip بکار میبره و از تونل سازی GRE برای امنیت اطلاعات استفاده میکنه GRE پروتکلی است که میتونه پروتکلهای لایه های مختلف شبکه را کپسوله کنه و از طریق کانالهای مجازی PPP انتقال بده GRE بار اول توسط کمپانی سیسکو اختراع شد و همینطور pptp از پورت ۱۷۲۳ روی tcp استفاده میکنه.

vpn با استفاده از ۳ تکنولوژی شما را متصل میسازه که:

۱- اعتبار سنجی Authentication

2- ایجاد تونل Tunneling

3- رمزگذاری Encryption

PPTP مشخصا شامل رمزگذاری و اعتبار سنجی نمیشه و امنیتش فقط همان تونلی است که برقرار کرده که مایکروسافت در نسخه های ویندوز خودش بطور پیشفرض تکنیکهایی را اضافه کرد تا امنیت این نوع اتصال vpn را بالا ببره و از مکانیزمهایی مثل PEAPv0/EAP-MSCHAPv2 و PEAP-TLS  استفاده کرد که متاسفانه خیلی از بچه های خودمون نمیدونند که همین مکانیزمها خودش آسیب پذیر است و MSCHAPv2 خودش میتونه مورد حمله Challenge -Response قرار بگیره این نوع حمله براساس نوع رمز انقدر درخواست میده تا پاسخ را بگیره.

type بعدی vpn ما L2TP است بجای TCP از UDP استفاده میکنه و خودش به تنهایی مثل PPTP رمزگذاری داخل خودش نداره ولی این خصوصیت را داره که از رمزگذاریهای دیگه مثل IPsec استفاده میکنه بخاطر همین هرجا اسم l2tp را ببینی نام ipsec را هم میبینید. ipsec پروتکلی ایمن برای ارتبطات اینترنتی است و نام کاملش هم internet protocol security است. هر بسته ارتباط اینترنتی را تایید اعتبار و رمزگذاری مینماید و قابلیت استفاده از کلیدهای رمزگذاری aes را هم دارد. این پروتوکول از ۱۷۰۱ در udp استفاده میکند.

SSTP را میشه ایمن ترین نوع اتصال vpn معرفی کرد sstp مخفف Secure Socket Tunneling Protocol است که قابلیت انتقال پروتکل pptp و L2TP را با رمزگذاری SSL ورژن ۳٫۰ را دارد و این یعنی بالترین ایمنی شناخته شده. ssl روی پورت ۴۴۳ در TCP است و تقریبا از هر پروکسی و فایروالی گذر میکند. اگر از این روش استفاده کنید محدودیت دارید یعنی اینکه فقط ویندوز ویستا و ۷ میتونند کلاینتهای آن باشند و همینطور تنظیمات این vpn روی ویندوز سرور ۲۰۰۸ فقط انجام میشه همچنین برای رمزگذاری بالایی که داره قسمتی از ترافیک اتصال را میبلعه که باعث کاهش سرعت هم میشود به غیر از این موارد ویندوز xp و لینوکس و مک هم نمیتونند بهش متصل بشند. (دلیل نوشتن این مطلب این بود که vpn ها را روی sun solaris داشتم تست میکردم چیزی بغیر از openvpn و صد البته SSH نصیب ما نشد که SSH باعث امید ما شد، این موضوع فقط راجع به vpn است.) یک نکته امنیتی درباره SSH اشاره کنم که نسخه های پایین SSH و OpenSSH دارای حفره های آسیب پذیر هست که به ما اجازه نفوذ به سرورهای Unix و Linux و به دست گرفتن کنترل کامل سرور را از راه دور می دهد و چون SSH و OpenSSH به روی پورت ۲۲ سرورهای Unix و سرورهای مبتنی بر کد باز نصب می شود مورد علاقه هکرها هستند و اگر قرار باشه که SSH در سیستم ما نصب شود بهتره که از آخرین نسخه آن و به همراه Patch ها و اصطلاحات امنیتی ارائه شده ار سوی شرکت SSH استفاده کنیم و راه نفوذ به پورت ۲۲ را با اینکار ببندیم . اما ssh چیه زیاد واردش نمیشیم چیزی شبیه ssl است تصویر زیر یک اتصال ssh را از ویندوز سرور ۲۰۰۳ به ویندوز xp نشان داده:

 

رنگ نارنجی اطلاعات است که جابه جا میشود و رنگ آب کانکشن ppp و رنگ سفید هم ssh است که با رمزگذاری از آن محافظت میکند.

امیدوارم از این به یعد به کانکشن vpn هاتون توجه کنید. و اینکه vpn فقط محدود به این چیزها نیست با vpn میشه بدون در نظر گرفتن فاصله تعداد زیادی ایستگاه شبکه را به هم متصل کرد و یا اینکه راه اندازی vpn server ها خودش بحث های جدا از اینها است.