چند نوع VPN وجود دارد؟ امن ترین VPN چه نوع VPN ای است؟ تفاوت PPTP با L2TP در چیست؟ تفاوت SSTP و IKEv2 در چیست؟ تفاوت پروتکل OpenVPN با سایر VPN ها در چیست؟ بهترین و امن ترین پروتکل VPN چه پروتکلی است؟ آیا سرویس های VPN قابل هک شدن هستند؟ و ....
PPTP یا Point To Point Tunneling Protocol چیست؟ خوب اگر با انواع و اقسام سرویس ها VPN یا Tunneling برخورد کرده باشید حتما می دانید که این سرویس بسیار کاربردی تنظیمات بسیار پیچیده ای نیز می تواند داشته باشد که اکثر ما اصلا به آنها توجهی نمی کنیم و بعضا اگر توجه کنیم هم بیخیال آن می شویم. اما به عنوان یک توسینسو شما باید از زیرساخت و انواع تنظیمات VPN و انواع سرویس های آن اطلاع داشته باشید و آگاهانه سرویس مورد نظر خودتان را انتخاب کنید. امروز می خواهیم در توسینسو برای شما این پروتکل ها را تشریح کنیم و بعد از این متوجه خواهید شد که چندان هم این پروتکل ها پیچیده و عجیب و غریب نیستند .
سرویس VPN به کاربرانش اجازه می دهد که از انواع پروتکل ها برای استفاده از این سرویس استفاده کنید. این پروتکل ها بصورت کلی شامل پروتکل PPTP که مخفف Point To Point Tunneling Protocol است ، پروتکل L2TP که مخفف Layer Two Tunneling Protocol است ، پروتکل SSTP که مخفف Secure socket Tunneling Protocol است و پروتکل OpenVPN و IKEv2 است. در این میان L2TP را در ترکیب با پروتکل دیگری به نام IPsec و SSTP را ترکیب با پروتکل دیگری به نام SSL مطرح می کنیم.
فارق از همه این اسامی که بعضا می توانند شما را گمراه کنند اکثر سرویس دهنده های VPN در دنیا ( البته اون خوباش نه این بداش که تو ایران هستن D: ) توضیحات زیادی در خصوص نوع و نحوه استفاده از این پروتکل ها ارائه نمی کنند و شما را درگیر پیچیدگی های آنها نمی کنند. امروز با ما باشید تا در ادامه در خصوص تک تک این پروتکل ها بصورت مفصل صحبت کنیم.
پروتکل PPTP یکی از قدیمی ترین پروتکل های مورد استفاده در سرویس VPN است که حتی در ویندوز 95 نیز وجود داشته است. فارق از بحث امنیت این پروتکل که نقاط ضعف امنیتی در خودش دارد و از این پروتکل به عنوان ضعیف ترین پروتکل VPN در حوزه امنیت نام برده می شود ، ساده ترین نحوه راه اندازی و پیاده سازی نیز مختص این سرویس VPN است. این پروتکل از یک رمزنگاری 128 بیتی ضعیف استفاده می کند و آسیب پذیری های دیگری نیز در ساختار کاری آن وجود دارد و به همین دلیل بدترین گزینه برای مکانهایی است که در آنها امنیت در اولویت قرار دارد.
تصور کنید که اینقدر امنیت این سرویس پایین است که خود مایکروسافت هم دیگر توصیه می کند که از این سرویس VPN استفاده نکنید. ساختار نصب و راه اندازی پروتکل PPTP آنقدر ساده است که تقریبا یک username و یک password و یک آدرس IP برای اتصال و استفاده از این سرویس مورد نیاز است و Client آن نیز تقریبا بر روی همه نوع سیستم عامل وجود دارد
فقط نکته جالب اینکه در آخرین نسخه محصولات Apple پروتکل PPTP بصورت کلی حذف شده است. PPTP برای کسانی که امنیت برایشان دارای اولویت نیست و فقط به فکر راه انداختن کارشان هستند بسیار مناسب و البته سریع و بی دردسر می باشد. بصورت خلاصه مهمترین مزایای PPTP سرعت بالا و تنظیمات بسیار سریع و آسان در اکثر سیستم عامل ها می باشد و از نقاط ضعف آن می توان به امنیت بسیار پایین آن اشاره کرد.
پروتکل L2TP یا Layer Two Tunneling Protocol چیست؟ پروتکل L2TP یا Layer 2 Tunneling Protocol یکی از محبوب ترین و دوست داشتنی ترین سرویس های VPN می باشد که با ترکیب شدن با پروتکل امنیتی IPsec برای رمزنگاری داده های انتقالی ، یک بستر تقریبا امن و دارای حریم خصوصی را به کاربران ارائه می دهد. با توجه به اینکه پروتکل IPsec به تنهایی دارای آسیب پذیری های امنیتی چندان شناخته شده ای نمی باشد از L2TP به عنوان یک سرویس قابل اعتماد و با امنیت در شبکه نام برده می شود و برای افرادی که به امنیت اطلاعتشان اهمیت می دهند بسیار مناسب است.
با توجه به اینکه پیاده سازی پروتکل L2TP بر روی انواع سیستم عامل ها تقریبا ساده است و چیزی شبیه به انجام همان تنظیمات PPTP می باشد ، در تمامی سیستم عامل های امروزی اعم از محصولات مایکروسافت ، لینوکس و Apple این سرویس به سادگی قابل پیاده سازی است ، L2TP بصورت ویژه ای مورد علاقه سیستم عامل های خانواده Apple است و جایگزین خوبی برای سرویس های OpenVPN ای است که Apple به سختی اجازه نصب و استفاده از آنها را در سیستم عامل های خودش می دهد. L2TP دارای رمزنگاری قدرتمند 256 بیتی است اما سرعت آن به نسبت سرعت PPTP و OpenVPN کمتر است.
از مهمترین نقاط قوت L2TP می توان به درجه امنیت بالا و همچنین قابلیت کارکرد بر روی iOS شرکت Apple را نام برد. از طرفی این پروتکل به نسبت OpenVPN و PPTP دارای سرعت کمتری است و همین یکی از مهمترین نقاط ضعف آن است ، البته هر که طاووس خواهد جور هندوستان کشد و هر کسی که امنیت بیشتر می خواهد هم طبیعتا بایستی از سرویس کندتری استفاده کند
پروتکل SSTP یا Secure Socket Tunneling Protocol چیست؟ پروتکل SSTP یا Secure Socket Tunneling Protocol پروتکلی ابداعی توسط شرکت مایکروسافت است که با معرفی ویندوز ویستا سرویس پک 1 به دنیا معرفی شد و امروزه در تمامی سیستم عامل های خانواده مایکروسافت این سرویس پشتیبانی می شود. این سرویس از پروتکل مشهور SSL برای رمزنگاری و ارسال داده ها استفاده می کند و طبیعتا وقتی اسم SSL می آید شما به یاد https و یا TLS که پروتکل های امنیتی وب هستند می افتید .
در واقع یکی از مهمترین مشکلاتی که SSTP حل می کند ، مشکل فایروال ها و سرویس های NAT ای است که در بین راه سرویس های VPN قرار می گیرند و مانعی بزرگ برای برقراری ارتباط بین VPN ها هستند ، با توجه به اینکه پروتکل SSTP از پورت شناخته شده 443 که پورت مورد استفاده در https هم هست استفاده می کند ، تقریبا در اکثر فایروال های دنیا این پورت براحتی و بدون دردسر قابل عبور است. البته هر چند پیاده سازی این سرویس در سمت کلاینت بسیار ساده است و تنها با ایجاد کردن یک Connection انجام می شود اما راه اندازی سرویس SSTP در سمت سرور بعضا می تواند بسیار پیچیده باشد و در قالب سناریوهای متنوعی قابل پیاده سازی است.
با توجه به اینکه SSTP یک سرویس و پروتکل کاملا مایکروسافتی است به هیچ عنوان Open Source نیست و همین موضوع باعث می شود کمتر سرویسی یا سیستم عامل بتواند با این پروتکل ارتباط برقرار کند. از مهمترین مزایای این پروتکل می توان به امنیت بسیار خوب و هماهنگی کامل با محصولات مایکروسافت اشاره کرد و نکته بسیار مهمتر در خصوص مزایای این پروتکل امکان عبور از تقریبا تمامی فایروال ها بدون برخورد با مشکلات معمول سرویس NAT در فایروال ها اشاره کرد.
اما از نقاط ضعف SSTP می توان به کارکردن فقط بر روی سیستم عامل های خانواده مایکروسافت و در حقیقت انحصاری بودن آن اشاره کرد و با توجه به اینکه Open Source نیست نمی توان زیاد در خصوص آسیب پذیری های ممکن درون آن نظر داد. از دیگر معایب این سرویس پیچیدگی های پیاده سازی و استفاده از این محصول است.
OpenVPN چیست؟ OpenVPN جدیدترین و البته پیشرفته ترین پروتکل مورد استفاده برای برقراری ارتباط های VPN است . OpenVPN از کتابخانه OpenSSL و SSLv3/TLSv1 برای امنیت بیشتر استفاده می کند و بسیار انعطاف پذیر و قابل پیکربندی است ، این پروتکل بصورت متناوب بروز رسانی می شود و جامعه Open Source مرتب در حال بروز رسانی و برطرف کردن مشکلات امنیت و باگهای احتمالی آن هستند.
از مهمترین مزایای این پروتکل این این است که OpenVPN توانایی کارکرد بر روی تقریبا همه پورت ها را دارد و محدود به یک پورت خاص نمی باشد و همین موضوع باعث می شود که براحتی بتوانید ترافیک OpenVPN را از ترافیک های سایر پورت ها متمایز کنید و یا اینکه شنود اطلاعات را بسیار سخت و چه بسا غیر ممکن کنید.
OpenVPN امروزه به قدری محبوب است که تقریبا اکثر سرویس دهنده های VPN دنیا ( البته در بلاد کفر ) گزینه پیشفرض خودشان را OpenVPN قرار می دهند و سایر پروتکل ها در درجه های بعدی قرار دارند. کتابخانه OpenSSL از الگوریتم های رمزنگاری بسیار قوی ای مثل AES , BlowFish , 3DES , CAST-128 و Camellia و ... پشتیبانی می کند. اکثر سرویس دهنده های خوب VPN از الگوریتم AES با طول کلید 256 بیت برای رمزنگاری استفاده می کنند. OpenVPN را می توان پر سرعت ترین و امن ترین پروتکل VPN عنوان کرد.
این پروتکل براحتی با استفاده از Agent هایی که دارد تقریبا امکان استفاده بر روی هر نوع سیستم عاملی را دارد. مهمترین مزایای OpenVPN سرعت بسیار بالا و البته امنیت بسیار بالا نام برد ، تنها نقطه ضعفی که می توان برای این پروتکل نام برد نیاز به نصب یک نرم افزار agent یا کلاینت در سمت کاربر می باشد ، هر چند OpenVPN از نظر سرور نیز دارای تنظیمات پیچیده تری نسبت به سایر پروتکل ها می باشد.
پروتکل IKEv2 چیست؟ پروتکل IKEv2 یکی از پروتکل های مشتق شده از پروتکل معروف IPsec است که فرآیند Tunneling را به خوبی انجام می دهد و بصورت مشترک توسط شرکت سیسکو و مایکروسافت طراحی و پیاده سازی شده است. این پروتکل بصورت استاندارد در تمامی سیستم عامل های خانواده ویندوز و همچنین تجهیزات Blackberry تعبیه شده است. نسخه های متعددی از IKE وجود دارند که برای پلتفرم های Open Source طراحی و تدوین شده اند.
یکی از مهمترین نقاط قوت IKEv2 که آن را از پروتکل های VPN دیگر متمایز می کند قابلیت reconnect کردن و reestablish کردن یک connection است. یعنی در صورتیکه یک connection دچار اختلال و قطعی ارتباط شود ، IKEv2 امکان ادامه connection و ادامه فرآیند کاری را دارد. به همین دلیل مایکروسافت اسم این پروتکل VPN را VPN Connect نیز گذاشته است. هر چند بسیاری از دستگاه های موبایل ترجیح می دهند که از ترکیب پروتکل L2TP/IPsec استفاده کنند ، IKEv2 هم می تواند گزینه جایگزین بسیار مناسبی در این خصوص باشد.
جالب اینجاست بدانید که کاربران Blackberry فقط امکان استفاده از IKEv2 را دارند و دلیل آن هم کاملا مشخص است چون برای همین پروتکل طراحی شده اند. از مهمترین مزایای این پروتکل می توان به سرعت بیشتر به نسبت PPTP,SSTP و همچنین L2TP اشاره کرد ، این پروتکل VPN بسیار قابل اعتماد و در اصطلاح Stable است و از الگوریتم های رمزنگاری AES128 , AES 192 و AES 256 بیتی پشتیبانی می کند این پروتکل همانند PPTP و L2TP بسیار ساده پیکربندی می شود. از معایت این پروتکل می توان به عدم پشتیبانی توسط همه سیستم عامل ها و سادگی در Block شدن به نسبت OpenVPN و همچنین Open Source نبودن اشاره کرد.
خوب هر چند نتیجه گیری و انتخاب کردن بین همه این گزینه های پروتکل VPN کار ساده ای نیست ، اما اگر به دنبال پیدا کردن یک جواب کامل و قاطع می گردید که حرف و حدیثی از هیچ لحاظ در آن نباشد قطعا گزینه شما OpenVPN خواهد بود. این پروتکل سرعت بیشتری به نسبت PPTP دارد و به اندازه و چه بسا بیشتر از L2TP/IPsec امنیت ارائه می دهد و با توجه به Open Source بودنش می تواند در همه جا در دسترس و قابل هماهنگ سازی باشد.
البته پروتکل L2TL/IPsec هم از لحاظی می تواند انتخاب شما بشد زیرا بسیاری از تجهیزات موبایل از این پروتکل به عنوان پروتکل اصلی خودشان در ارتباطات VPN نام می برند و از آن پشتیبانی کامل را انجام می دهند ، قبل از خرید هر دستگاه موبایلی حتما به پروتکل های پشتیبانی شده توسط آن دستگاه توجه کنید. اما OpenVPN را هر سرویس دهنده ای پشتیبانی نمی کند.
پیاده سازی این سرویس چندان آسان نبوده و دردسرهای پیاده سازی آن برای مدیران شبکه کم نیست . به هر حال ما پروتکل های مختلف را عنوان کردیم و شما می توانید به عنوان یک توسینسو بهترین گزینه را از این میان انتخاب کنید. به زودی سری ویدیوی آموزشی در توسینسو در خصوص مکانیزم کارکرد سرویس های VPN و نحوه راه اندازی انواع این پروتکل ها برای شما آماده خواهم کرد.
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود