همانطور که کاربران بیشتری نیاز به دسترسی خارج از سازمان به سیستمهای شبکه سازمانی، نرمافزار، برنامهها و سایر منابع دارند، نیاز به محصولات شبکه خصوصی مجازی قابل اعتماد و ایمن همچنان در حال افزایش است. سازمان با vpn می تواند خطرات امنیتی برای دسترسی به شبکه از به صورت ریموت را با ارائه رمزگذاری قوی برای تامین امنیت داده ها و احراز هویت قوی برای محدود کردن دسترسی به برنامه ها بر اساس سیاست های امنیتی تعریف شده کاهش دهد.
یکی از مهم ترین انتخاب ها هنگام در نظر گرفتن VPN این است که آیا SSL VPN را انتخاب کنید یا IPsec VPN. شرکتها باید نه تنها خطرات امنیتی مختلف هر نوع رمزگذاری اتصال شبکه را متعادل کنند، بلکه باید مزایای نسبی مربوط به عملکرد شبکه، نگهداری و پیکربندی را هنگام مقایسه IPsec در مقابل VPN های SSL بسنجید.
تفاوت عمده بین IPsec VPN و VPN SSL مربوط به لایه های شبکه ای است که در آن رمزگذاری و احراز هویت انجام می شود. IPsec در لایه شبکه عمل می کند و می تواند برای رمزگذاری داده های ارسال شده بین هر سیستمی که با آدرس های IP قابل شناسایی است استفاده شود. SSL پروتکل امنیت لایه Transport میباشد که جایگزین پروتکل SSL است و برای رمزگذاری داده های ارسال شده بین هر دو فرآیندی که توسط شماره پورت شناسایی و استفاده می شود. هاست های متصل به شبکه تفاوت مهم دیگر این است که IPsec به طور صریح رمزگذاری اتصالات را مشخص نمی کند، در حالی که VPN های SSL به طور پیش فرض برای رمزگذاری ترافیک شبکه هستند.
هیچ بحثی در مورد VPN ها بدون ذکر SSH کامل نمی شود، که می تواند برای فعال کردن تونل های امن بین کلاینت ها و سرورها استفاده شود. SSH پروتکل های رمزگذاری و احراز هویت خود را برای فعال کردن مدارهای امن بین مشتری و سرور پیاده سازی می کند. گاهی اوقات به عنوان نوعی VPN ad hoc استفاده می شود، مانند زمانی که کاربران به صورت ریموت به سیستم کاری خود وارد می شوند تا به خدمات و سیستم های درون شبکه سازمانی دسترسی پیدا کنند.
درک مزایا و معایب IPsec در مقابل VPN های SSL با درک نحوه عملکرد IPsec و SSL برای محافظت از اتصالات ریموت شبکه آغاز می شود. و هیچ مقایسه ای از مزایای IPsec در مقابل VPN های SSL بدون پیشنهاد برای آزمایش محصولات و نرم افزار VPN کامل نیست.
IPsec چگونه کار می کند؟
IPsec که به عنوان امنیت پروتکل اینترنت نیز شناخته می شود، معماری IPsec ایمن سازی ترافیک شبکه IP را تعریف می کند. IPsec راه هایی را مشخص می کند که میزبان های IP می توانند داده های ارسال شده در لایه شبکه را رمزگذاری و احراز هویت کنند. IPsec برای ایجاد یک تونل امن بین موجودیت هایی که با آدرس IP آنها شناسایی می شوند استفاده می شود. IPsec VPN ها معمولا برای اتصال یک میزبان به صورت ریموت با یک سرور VPN شبکه استفاده می شود. ترافیک ارسال شده از طریق اینترنت بین سرور VPN و میزبان ، رمزگذاری می شود. IPsec میزبان های ارتباطی را قادر می سازد تا در مورد اینکه کدام الگوریتم های رمزنگاری برای رمزگذاری یا احراز هویت داده ها استفاده می شود مذاکره کنند.
این نوع تونل زنی ،مشتری VPN را قادر می سازد تا با هر سیستمی که در پشت سرور VPN قرار دارد ارتباط برقرار کند. میزبان ارتباط اولیه با سرور VPN را مذاکره می کند، پس از آن تمام ترافیک بین میزبان و هر سیستمی در داخل شبکه محافظت شده رمزگذاری می شود. احراز هویت داده های شبکه ممکن است علاوه بر رمزگذاری یا به جای آن، بین میزبان راه دور و سرور VPN مذاکره شود. با این حال، VPN ها از رمزگذاری برای پنهان کردن تمام داده های ارسال شده بین مشتری و سرور VPN استفاده می کنند.
مهاجمی که بر ترافیک شبکه رمزگذاری شده بین مشتری VPN و سرور VPN نظارت می کند، می تواند ببیند که دو میزبان در حال ارتباط هستند و می تواند ترافیک را به عنوان رمزگذاری شده با IPsec شناسایی کند اما این تمام است.
IPsec VPN ها معمولاً به هر نقطه انتهایی راه دور نیاز دارند تا از نرم افزار خاصی برای ایجاد و مدیریت مدارهای IPsec استفاده کند، به این معنی که راه اندازی، پیکربندی و مدیریت آن ها نسبت به SSL VPN ها پیچیده تر است.
SSL چگونه کار می کند؟
SSL VPN های مدرن در واقع از TLS برای رمزگذاری جریان داده های شبکه که بین فرآیندها ارسال می شوند استفاده می کنند. پروتکل TLS رمزگذاری و احراز هویت اتصالات بین برنامه ها را امکان پذیر می کند. این اتصالات معمولاً با آدرس های IP نقاط پایانی و همچنین شماره پورت برنامه های در حال اجرا در آن نقاط پایانی تعریف می شوند. TLS میزبان های ارتباطی را قادر می سازد تا در مورد اینکه کدام الگوریتم های رمزنگاری برای رمزگذاری یا احراز هویت داده ها استفاده می شود مذاکره کنند. در حالی که برخی پیکربندیها استفاده از نسخههای SSL منسوخ را مجاز میکنند، بهترین شیوههای امنیتی استفاده از آخرین نسخههای TLS را توصیه میکنند.
SSL VPN ها را می توان برای محافظت از تعاملات شبکه بین مرورگر وب و سرور وب یا بین سرویس گیرنده ایمیل و سرور ایمیل استفاده کرد. سرویس گیرندگان SSL VPN با اتصال به سرور SSL VPN، که خود به عنوان یک پروکسی برای سرویس های محافظت شده در داخل شبکه سازمانی عمل می کند، به خدمات خاصی دسترسی پیدا می کنند.
SSL VPN ها کنترل دقیق تری بر روی اتصالات را امکان پذیر می کنند در حالی که IPsec VPN اتصالات بین یک میزبان راه دور مجاز و هر سیستمی را در محیط سازمانی فعال می کند، یک VPN SSL را می توان به گونه ای پیکربندی کرد که فقط بین میزبان های راه دور مجاز و خدمات خاص ارائه شده در محیط سازمانی، اتصالات را فعال کند.
عملکرد در لایه انتقال همچنین به این معنی است که یک مهاجم خارجی که ترافیک شبکه را نظارت می کند ممکن است بتواند پروتکل های برنامه مورد استفاده توسط کاربران راه دور را شناسایی کند. به جای یک مدار تونلی واحد که تمام تعاملات شبکه را مانند IPsec حمل می کند، یک مدار شبکه جداگانه برای هر اتصال مختلف وجود خواهد داشت، بنابراین مهاجم ممکن است بتواند اطلاعاتی در مورد برنامه ها و خدماتی که توسط کاربران از راه دور استفاده می شود به دست آورد. SSL VPN ها را می توان بدون نیاز به نصب نرم افزار کلاینت بر روی هاست های راه دور پیاده سازی کرد، زیرا از کلاینت های مدرن مرورگر با قابلیت TLS می توان برای ایجاد تونل های ایمن استفاده کرد.
مقایسه IPsec در مقابل VPN های SSL
انتخاب بین IPsec و SSL VPN باید بر اساس شرایط و الزامات سازمان باشد. در حالی که ممکن است ترجیحات فلسفی یا نظری برای یک مدل یا مدل دیگر وجود داشته باشد، تصمیم واقعی باید مبتنی بر مقایسه مبتنی بر واقعیت مزایا و معایب باشد که در استقرار واقعی اعمال میشوند.
اولین قدم در مقایسه IPsec با VPN های SSL، تعیین الزامات برای سازمان و کاربران آن و تصمیم گیری در مورد مهمترین ویژگی ها و عملکردهای VPN است. برخی از تفاوت های IPsec و SSL VPN ها شامل موارد زیر است:
Performance:
با سخت افزار مدرن، نوع رمزگذاری مورد استفاده توسط VPN های IPsec و SSL معمولاً مشکلات عملکردی ایجاد نمی کند، اما سازمان ها باید از معیارها برای آزمایش های VPN استفاده کنند. IPsec VPN ها با استفاده از یک نرم افزار روی کلاینت، یک تونل بین کلاینت و سرور را پیکربندی می کنند، که ممکن است به یک فرآیند نصب نسبتا طولانی نیاز داشته باشد. VPN های SSL که از طریق مرورگرهای وب کار می کنند معمولاً می توانند اتصالات را بسیار سریعتر راه اندازی کنند.
Security:
یک نوع VPN لزوماً در همه شرایط ایمن تر نیست. مهمترین عامل در تعیین اینکه کدام نوع VPN ایمن تر خواهد بود، مدل تهدیدی است که سازمان نیازمندی های VPN خود را بر اساس آن قرار می دهد. هر نوع VPN باید در زمینه نوع حملاتی که سازمان در برابر آن دفاع می کند، ارزیابی شود. امنیت الگوریتم های رمزگذاری مورد استفاده مهم است، اما امنیت سایر اجزای پیاده سازی نیز مهم است.
Data authentication:
VPN ها می توانند تمام داده های ارسال شده را رمزگذاری کنند، اما همچنین می توانند با استفاده از الگوریتم های احراز هویت رمزنگاری قوی، احراز هویت داده ها را اضافه کنند تا با استفاده از الگوریتم های احراز هویت رمزنگاری قوی، تأیید کنند که داده ها در انتقال بین سرویس گیرندگان و سرورهای VPN تغییر نکرده اند. با این حال، برای فعال کردن احراز هویت، به مکانیزم تبادل کلید ایمن نیاز دارند. در حالی که پروتکل SSL/TLS شامل مذاکره الگوریتم های تبادل کلید است، IPsec برای این منظور به یک پروتکل خارجی، Internet Key Exchange، متکی است.
Attack defense:
حملات به IPsec VPN و SSL VPN – و دفاع در برابر این حملات – بر اساس پروتکل VPN اساسی، پیاده سازی و ویژگی های اضافه شده متفاوت خواهد بود. تفاوت اصلی بین IPsec و SSL VPN در تفاوت در نقاط پایانی برای هر پروتکل نهفته است. IPsec VPN معمولاً دسترسی ریموت به کل شبکه و تمام دستگاه ها و خدمات ارائه شده در آن شبکه را امکان پذیر می کند. اگر مهاجمان به تونل دسترسی پیدا کنند، ممکن است بتوانند به هر چیزی در شبکه خصوصی دسترسی داشته باشند. SSL اتصال بین یک دستگاه، سیستمها و برنامههای خاص را امکانپذیر میکند، بنابراین سطح حمله محدودتر است.
Client security:
اگرچه پروتکل IPsec بخشی از مجموعه TCP/IP است، اما همیشه به عنوان یک جزء پیش فرض سیستم عامل هایی که از TCP/IP پشتیبانی می کنند، پیاده سازی نمی شود. در مقابل، VPN های SSL به TLS متکی هستند که به طور پیش فرض در مرورگرهای وب و همچنین بسیاری از پروتکل های لایه کاربردی دیگر گنجانده شده است. در نتیجه، مقایسه IPsec و SSL VPN باید شامل در نظر گرفتن نحوه اتصال و استفاده مشتریان به VPN و همچنین ایمن بودن آن گزینه ها باشد. پیادهکنندهها باید نحوه اتصال کلاینتها به VPN، سطح حمله کلاینتهای دارای VPN و نمایههای کاربر VPN را در نظر بگیرند.
VPN gateway:
GateWay VPN SSL احتمالاً گزینه های پیکربندی دقیق تری را تا آنجا که دسترسی به سیستم ها یا خدمات خاص در شبکه محافظت شده را محدود می کند، فعال می کند. Gatewayهای محصولات IPsec VPN احتمالاً پیکربندی بسیار کمتری دارند. اگرچه ممکن است ویژگیهای فیلتر بسته را اضافه کرده باشند که سیاستها یا پیکربندیهایی را برای محدود کردن دسترسی به آدرسهای IP خاص یا زیرمجموعههای شبکه محافظتشده امکانپذیر میسازد، باید مراقب بود که از افزودن پیچیدگیهای غیرضروری و خطرات امنیتی اضافی ناشی از افزونههای نرمافزاری جلوگیری شود. در هر صورت، استقرار VPN را در کنار یک سیستم کنترل دسترسی شبکه در نظر بگیرید که می تواند امنیت کلی را با محدود کردن دسترسی به منابع شبکه بر اساس سیاست های مشخصاً تعریف شده، افزایش دهد.
End-to-end networking:
TLS در لایه انتقال استفاده می شود، به معنای لایه شبکه که در آن ارتباط بین فرآیندها انجام می شود. در مقابل، IPsec در لایه شبکه ای که ارتباط بین گره های شبکه با آدرس های IP انجام می شود، عمل می کند. این امر امنیت رمزگذاری سرتاسر را زمانی که هر دو طرف مدار VPN ایمن در شبکهای است که از ترجمه آدرس شبکه (NAT) برای مجازیسازی آدرسهای IP استفاده میکند، دشوارتر میکند. با IPsec VPN، فعال کردن ارتباط امن در سراسر Gateway های NAT نیاز به پیکربندی و مدیریت بیشتری دارد.
در حالی که بسیاری از تفاوت های بین IPsec و SSL VPN ها به تفاوت بین پروتکل های اساسی در حال پیاده سازی نسبت داده می شود، پیاده سازی های خاص نیز باید در نظر گرفته شوند. آیا پیادهسازی IPsec VPN که ترجیح میدهید، ویژگیهایی اضافه میکند که آن را از نظر عملکردی با پیادهسازیهای SSL VPN مقایسه میکند؟ چگونه اجرای هر یک از پروتکل های VPN با سایر محصولات سایر فروشندگان مقایسه می شود؟
چگونه پیاده سازی های VPN خود را آزمایش کنیم
پیاده سازی VPN باید با همان درجه ای از دقت آزمایش شود که هر محصول امنیتی. آزمایش مناسب باید قبل از تحقیق در مورد اجرای VPN در نظر گرفته شود. همچنین مانند سایر سیستم ها و خدمات امنیتی، آزمایش سیستم VPN هرگز نباید در ابتدا روی سیستم ها یا شبکه های تولیدی انجام شود.
تست VPN باید تمام جنبه های امنیتی را مورد توجه قرار دهد، به خصوص که به مدل های تهدید سازمان و سطوح حمله مربوط می شود. تست VPN باید موارد زیر را بررسی کند:
زیرساخت VPN:
شامل هر سخت افزار، نرم افزار و برنامه های کاربردی ابری VPN و نحوه ادغام آنها با سیستم ها و برنامه هایی است که باید محافظت شوند. حتی بهترین VPN نمی تواند در برابر حملات به سرویس ها یا برنامه هایی که خودشان امن نیستند محافظت کند، بنابراین باید آنها را نیز آزمایش کرد.
الگوریتم ها و پروتکل های رمزنگاری VPN:
آیا اجزای VPN پروتکل های رمزگذاری قوی را پیاده سازی می کنند؟ آیا سیستم های VPN از الگوریتم های به روز استفاده می کنند؟ پیادهسازی IPsec و TLS گاهی اوقات به کندی الگوریتمهای ناامن را منسوخ میکند، که میتواند برخی از انواع حملات را فعال کند، مانند آسیبپذیری Heartbleed که برخی از پیادهسازیهای TLS را آسیبپذیر میکند.
کاربران VPN:
عنصر انسانی همیشه یکی از جنبه های مهم هر سیستم امنیتی است. آیا افرادی که از VPN استفاده می کنند می دانند که چگونه کار می کند؟ آیا آنها می توانند به طور ایمن از آن استفاده کنند؟ آیا آنها نوع تهدیداتی را که ممکن است از سوی مهاجمان با آن مواجه شوند را درک می کنند؟ آیا سیستم VPN انتخابی می تواند در برابر حملات خودی های مخرب مقاومت کند؟
در حالت ایدهآل، شرکتها هر دو IPsec و SSL VPN را به کار میگیرند، زیرا هر کدام مشکلات امنیتی کمی متفاوت را حل میکنند. با این حال، در عمل، نیاز به پوشش کامل ممکن است با هزینه های خرید، آزمایش، نصب، مدیریت و مدیریت دو سیستم VPN بیش از حد متعادل شود.