اخبار امنیت و شبکه

مقایسه IPsec و SSL VPN

19
خرداد

همانطور که کاربران بیشتری نیاز به دسترسی خارج از سازمان به سیستم‌های شبکه سازمانی، نرم‌افزار، برنامه‌ها و سایر منابع دارند، نیاز به محصولات شبکه خصوصی مجازی قابل اعتماد و ایمن همچنان در حال افزایش است. سازمان با vpn می تواند خطرات امنیتی برای دسترسی به شبکه از به صورت ریموت را با ارائه رمزگذاری قوی برای تامین امنیت داده ها و احراز هویت قوی برای محدود کردن دسترسی به برنامه ها بر اساس سیاست های امنیتی تعریف شده کاهش دهد.

یکی از مهم ترین انتخاب ها هنگام در نظر گرفتن VPN این است که آیا SSL VPN را انتخاب کنید یا IPsec VPN. شرکت‌ها باید نه تنها خطرات امنیتی مختلف هر نوع رمزگذاری اتصال شبکه را متعادل کنند، بلکه باید مزایای نسبی مربوط به عملکرد شبکه، نگهداری و پیکربندی را هنگام مقایسه IPsec در مقابل VPN های SSL بسنجید.

تفاوت عمده بین IPsec VPN و VPN SSL مربوط به لایه های شبکه ای است که در آن رمزگذاری و احراز هویت انجام می شود. IPsec در لایه شبکه عمل می کند و می تواند برای رمزگذاری داده های ارسال شده بین هر سیستمی که با آدرس های IP قابل شناسایی است استفاده شود. SSL پروتکل امنیت لایه Transport می­باشد که جایگزین پروتکل SSL است و برای رمزگذاری داده های ارسال شده بین هر دو فرآیندی که توسط شماره پورت شناسایی و استفاده می شود. هاست های متصل به شبکه تفاوت مهم دیگر این است که IPsec به طور صریح رمزگذاری اتصالات را مشخص نمی کند، در حالی که VPN های SSL به طور پیش فرض برای رمزگذاری ترافیک شبکه هستند.

هیچ بحثی در مورد VPN ها بدون ذکر SSH کامل نمی شود، که می تواند برای فعال کردن تونل های امن بین کلاینت ها و سرورها استفاده شود. SSH پروتکل های رمزگذاری و احراز هویت خود را برای فعال کردن مدارهای امن بین مشتری و سرور پیاده سازی می کند. گاهی اوقات به عنوان نوعی VPN ad hoc استفاده می شود، مانند زمانی که کاربران به صورت ریموت به سیستم کاری خود وارد می شوند تا به خدمات و سیستم های درون شبکه سازمانی دسترسی پیدا کنند.

درک مزایا و معایب IPsec در مقابل VPN های SSL با درک نحوه عملکرد IPsec و SSL برای محافظت از اتصالات ریموت شبکه آغاز می شود. و هیچ مقایسه ای از مزایای IPsec در مقابل VPN های SSL بدون پیشنهاد برای آزمایش محصولات و نرم افزار VPN کامل نیست.

IPsec چگونه کار می کند؟

IPsec که به عنوان امنیت پروتکل اینترنت نیز شناخته می شود، معماری IPsec ایمن سازی ترافیک شبکه IP را تعریف می کند. IPsec راه هایی را مشخص می کند که میزبان های IP می توانند داده های ارسال شده در لایه شبکه را رمزگذاری و احراز هویت کنند. IPsec برای ایجاد یک تونل امن بین موجودیت هایی که با آدرس IP آنها شناسایی می شوند استفاده می شود. IPsec VPN ها معمولا برای اتصال یک میزبان به صورت ریموت با یک سرور VPN شبکه استفاده می شود. ترافیک ارسال شده از طریق اینترنت بین سرور VPN و میزبان ، رمزگذاری می شود. IPsec میزبان های ارتباطی را قادر می سازد تا در مورد اینکه کدام الگوریتم های رمزنگاری برای رمزگذاری یا احراز هویت داده ها استفاده می شود مذاکره کنند.

این نوع تونل زنی ،مشتری VPN را قادر می سازد تا با هر سیستمی که در پشت سرور VPN قرار دارد ارتباط برقرار کند. میزبان ارتباط اولیه با سرور VPN را مذاکره می کند، پس از آن تمام ترافیک بین میزبان و هر سیستمی در داخل شبکه محافظت شده رمزگذاری می شود. احراز هویت داده های شبکه ممکن است علاوه بر رمزگذاری یا به جای آن، بین میزبان راه دور و سرور VPN مذاکره شود. با این حال، VPN ها از رمزگذاری برای پنهان کردن تمام داده های ارسال شده بین مشتری و سرور VPN استفاده می کنند.

مهاجمی که بر ترافیک شبکه رمزگذاری شده بین مشتری VPN و سرور VPN نظارت می کند، می تواند ببیند که دو میزبان در حال ارتباط هستند و می تواند ترافیک را به عنوان رمزگذاری شده با IPsec شناسایی کند اما این تمام است.

IPsec VPN ها معمولاً به هر نقطه انتهایی راه دور نیاز دارند تا از نرم افزار خاصی برای ایجاد و مدیریت مدارهای IPsec استفاده کند، به این معنی که راه اندازی، پیکربندی و مدیریت آن ها نسبت به SSL VPN ها پیچیده تر است.

SSL چگونه کار می کند؟

SSL VPN های مدرن در واقع از TLS برای رمزگذاری جریان داده های شبکه که بین فرآیندها ارسال می شوند استفاده می کنند. پروتکل TLS رمزگذاری و احراز هویت اتصالات بین برنامه ها را امکان پذیر می کند. این اتصالات معمولاً با آدرس های IP نقاط پایانی و همچنین شماره پورت برنامه های در حال اجرا در آن نقاط پایانی تعریف می شوند. TLS میزبان های ارتباطی را قادر می سازد تا در مورد اینکه کدام الگوریتم های رمزنگاری برای رمزگذاری یا احراز هویت داده ها استفاده می شود مذاکره کنند. در حالی که برخی پیکربندی‌ها استفاده از نسخه‌های SSL منسوخ را مجاز می‌کنند، بهترین شیوه‌های امنیتی استفاده از آخرین نسخه‌های TLS را توصیه می‌کنند.

SSL VPN ها را می توان برای محافظت از تعاملات شبکه بین مرورگر وب و سرور وب یا بین سرویس گیرنده ایمیل و سرور ایمیل استفاده کرد. سرویس گیرندگان SSL VPN با اتصال به سرور SSL VPN، که خود به عنوان یک پروکسی برای سرویس های محافظت شده در داخل شبکه سازمانی عمل می کند، به خدمات خاصی دسترسی پیدا می کنند.

SSL VPN ها کنترل دقیق تری بر روی اتصالات را امکان پذیر می کنند در حالی که IPsec VPN اتصالات بین یک میزبان راه دور مجاز و هر سیستمی را در محیط سازمانی فعال می کند، یک VPN SSL را می توان به گونه ای پیکربندی کرد که فقط بین میزبان های راه دور مجاز و خدمات خاص ارائه شده در محیط سازمانی، اتصالات را فعال کند.

عملکرد در لایه انتقال همچنین به این معنی است که یک مهاجم خارجی که ترافیک شبکه را نظارت می کند ممکن است بتواند پروتکل های برنامه مورد استفاده توسط کاربران راه دور را شناسایی کند. به جای یک مدار تونلی واحد که تمام تعاملات شبکه را مانند IPsec حمل می کند، یک مدار شبکه جداگانه برای هر اتصال مختلف وجود خواهد داشت، بنابراین مهاجم ممکن است بتواند اطلاعاتی در مورد برنامه ها و خدماتی که توسط کاربران از راه دور استفاده می شود به دست آورد. SSL VPN ها را می توان بدون نیاز به نصب نرم افزار کلاینت بر روی هاست های راه دور پیاده سازی کرد، زیرا از کلاینت های مدرن مرورگر با قابلیت TLS می توان برای ایجاد تونل های ایمن استفاده کرد.

مقایسه IPsec در مقابل VPN های SSL

انتخاب بین IPsec و SSL VPN باید بر اساس شرایط و الزامات سازمان باشد. در حالی که ممکن است ترجیحات فلسفی یا نظری برای یک مدل یا مدل دیگر وجود داشته باشد، تصمیم واقعی باید مبتنی بر مقایسه مبتنی بر واقعیت مزایا و معایب باشد که در استقرار واقعی اعمال می‌شوند.

اولین قدم در مقایسه IPsec با VPN های SSL، تعیین الزامات برای سازمان و کاربران آن و تصمیم گیری در مورد مهمترین ویژگی ها و عملکردهای VPN است. برخی از تفاوت های IPsec و SSL VPN ها شامل موارد زیر است:

Performance:

با سخت افزار مدرن، نوع رمزگذاری مورد استفاده توسط VPN های IPsec و SSL معمولاً مشکلات عملکردی ایجاد نمی کند، اما سازمان ها باید از معیارها برای آزمایش های VPN استفاده کنند. IPsec VPN ها با استفاده از یک نرم افزار روی کلاینت، یک تونل بین کلاینت و سرور را پیکربندی می کنند، که ممکن است به یک فرآیند نصب نسبتا طولانی نیاز داشته باشد. VPN های SSL که از طریق مرورگرهای وب کار می کنند معمولاً می توانند اتصالات را بسیار سریعتر راه اندازی کنند.

Security:

یک نوع VPN لزوماً در همه شرایط ایمن تر نیست. مهمترین عامل در تعیین اینکه کدام نوع VPN ایمن تر خواهد بود، مدل تهدیدی است که سازمان نیازمندی های VPN خود را بر اساس آن قرار می دهد. هر نوع VPN باید در زمینه نوع حملاتی که سازمان در برابر آن دفاع می کند، ارزیابی شود. امنیت الگوریتم های رمزگذاری مورد استفاده مهم است، اما امنیت سایر اجزای پیاده سازی نیز مهم است.

Data authentication:

VPN ها می توانند تمام داده های ارسال شده را رمزگذاری کنند، اما همچنین می توانند با استفاده از الگوریتم های احراز هویت رمزنگاری قوی، احراز هویت داده ها را اضافه کنند تا با استفاده از الگوریتم های احراز هویت رمزنگاری قوی، تأیید کنند که داده ها در انتقال بین سرویس گیرندگان و سرورهای VPN تغییر نکرده اند. با این حال، برای فعال کردن احراز هویت، به مکانیزم تبادل کلید ایمن نیاز دارند. در حالی که پروتکل SSL/TLS شامل مذاکره الگوریتم های تبادل کلید است، IPsec برای این منظور به یک پروتکل خارجی، Internet Key Exchange، متکی است.

Attack defense:

حملات به IPsec VPN و SSL VPN – و دفاع در برابر این حملات – بر اساس پروتکل VPN اساسی، پیاده سازی و ویژگی های اضافه شده متفاوت خواهد بود. تفاوت اصلی بین IPsec و SSL VPN در تفاوت در نقاط پایانی برای هر پروتکل نهفته است. IPsec VPN معمولاً دسترسی ریموت به کل شبکه و تمام دستگاه ها و خدمات ارائه شده در آن شبکه را امکان پذیر می کند. اگر مهاجمان به تونل دسترسی پیدا کنند، ممکن است بتوانند به هر چیزی در شبکه خصوصی دسترسی داشته باشند. SSL اتصال بین یک دستگاه، سیستم‌ها و برنامه‌های خاص را امکان‌پذیر می‌کند، بنابراین سطح حمله محدودتر است.

Client security:

اگرچه پروتکل IPsec بخشی از مجموعه TCP/IP است، اما همیشه به عنوان یک جزء پیش فرض سیستم عامل هایی که از TCP/IP پشتیبانی می کنند، پیاده سازی نمی شود. در مقابل، VPN های SSL به TLS متکی هستند که به طور پیش فرض در مرورگرهای وب و همچنین بسیاری از پروتکل های لایه کاربردی دیگر گنجانده شده است. در نتیجه، مقایسه IPsec و SSL VPN باید شامل در نظر گرفتن نحوه اتصال و استفاده مشتریان به VPN و همچنین ایمن بودن آن گزینه ها باشد. پیاده‌کننده‌ها باید نحوه اتصال کلاینت‌ها به VPN، سطح حمله کلاینت‌های دارای VPN و نمایه‌های کاربر VPN را در نظر بگیرند.

VPN gateway:

GateWay VPN SSL احتمالاً گزینه های پیکربندی دقیق تری را تا آنجا که دسترسی به سیستم ها یا خدمات خاص در شبکه محافظت شده را محدود می کند، فعال می کند. Gatewayهای محصولات IPsec VPN احتمالاً پیکربندی بسیار کمتری دارند. اگرچه ممکن است ویژگی‌های فیلتر بسته را اضافه کرده باشند که سیاست‌ها یا پیکربندی‌هایی را برای محدود کردن دسترسی به آدرس‌های IP خاص یا زیرمجموعه‌های شبکه محافظت‌شده امکان‌پذیر می‌سازد، باید مراقب بود که از افزودن پیچیدگی‌های غیرضروری و خطرات امنیتی اضافی ناشی از افزونه‌های نرم‌افزاری جلوگیری شود. در هر صورت، استقرار VPN را در کنار یک سیستم کنترل دسترسی شبکه در نظر بگیرید که می تواند امنیت کلی را با محدود کردن دسترسی به منابع شبکه بر اساس سیاست های مشخصاً تعریف شده، افزایش دهد.

End-to-end networking:

TLS در لایه انتقال استفاده می شود، به معنای لایه شبکه که در آن ارتباط بین فرآیندها انجام می شود. در مقابل، IPsec در لایه شبکه ای که ارتباط بین گره های شبکه با آدرس های IP انجام می شود، عمل می کند. این امر امنیت رمزگذاری سرتاسر را زمانی که هر دو طرف مدار VPN ایمن در شبکه‌ای است که از ترجمه آدرس شبکه (NAT) برای مجازی‌سازی آدرس‌های IP استفاده می‌کند، دشوارتر می‌کند. با IPsec VPN، فعال کردن ارتباط امن در سراسر Gateway های NAT نیاز به پیکربندی و مدیریت بیشتری دارد.

در حالی که بسیاری از تفاوت های بین IPsec و SSL VPN ها به تفاوت بین پروتکل های اساسی در حال پیاده سازی نسبت داده می شود، پیاده سازی های خاص نیز باید در نظر گرفته شوند. آیا پیاده‌سازی IPsec VPN که ترجیح می‌دهید، ویژگی‌هایی اضافه می‌کند که آن را از نظر عملکردی با پیاده‌سازی‌های SSL VPN مقایسه می‌کند؟ چگونه اجرای هر یک از پروتکل های VPN با سایر محصولات سایر فروشندگان مقایسه می شود؟

چگونه پیاده سازی های VPN خود را آزمایش کنیم

پیاده سازی VPN باید با همان درجه ای از دقت آزمایش شود که هر محصول امنیتی. آزمایش مناسب باید قبل از تحقیق در مورد اجرای VPN در نظر گرفته شود. همچنین مانند سایر سیستم ها و خدمات امنیتی، آزمایش سیستم VPN هرگز نباید در ابتدا روی سیستم ها یا شبکه های تولیدی انجام شود.

تست VPN باید تمام جنبه های امنیتی را مورد توجه قرار دهد، به خصوص که به مدل های تهدید سازمان و سطوح حمله مربوط می شود. تست VPN باید موارد زیر را بررسی کند:

زیرساخت VPN:

شامل هر سخت افزار، نرم افزار و برنامه های کاربردی ابری VPN و نحوه ادغام آنها با سیستم ها و برنامه هایی است که باید محافظت شوند. حتی بهترین VPN نمی تواند در برابر حملات به سرویس ها یا برنامه هایی که خودشان امن نیستند محافظت کند، بنابراین باید آنها را نیز آزمایش کرد.

الگوریتم ها و پروتکل های رمزنگاری VPN:

آیا اجزای VPN پروتکل های رمزگذاری قوی را پیاده سازی می کنند؟ آیا سیستم های VPN از الگوریتم های به روز استفاده می کنند؟ پیاده‌سازی IPsec و TLS گاهی اوقات به کندی الگوریتم‌های ناامن را منسوخ می‌کند، که می‌تواند برخی از انواع حملات را فعال کند، مانند آسیب‌پذیری Heartbleed که برخی از پیاده‌سازی‌های TLS را آسیب‌پذیر می‌کند.

کاربران VPN:

عنصر انسانی همیشه یکی از جنبه های مهم هر سیستم امنیتی است. آیا افرادی که از VPN استفاده می کنند می دانند که چگونه کار می کند؟ آیا آنها می توانند به طور ایمن از آن استفاده کنند؟ آیا آنها نوع تهدیداتی را که ممکن است از سوی مهاجمان با آن مواجه شوند را درک می کنند؟ آیا سیستم VPN انتخابی می تواند در برابر حملات خودی های مخرب مقاومت کند؟

در حالت ایده‌آل، شرکت‌ها هر دو IPsec و SSL VPN را به کار می‌گیرند، زیرا هر کدام مشکلات امنیتی کمی متفاوت را حل می‌کنند. با این حال، در عمل، نیاز به پوشش کامل ممکن است با هزینه های خرید، آزمایش، نصب، مدیریت و مدیریت دو سیستم VPN بیش از حد متعادل شود.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *