مزایای اصلی VPN : مزایای استفاده از VPN در حالت remote-access یا site-to-site به شرح زیر است :
- Confidentiality
- Data integrity
- Authentication
- Antireplay protection
مزیت 1 : Confidentiality یا محرمانگی
محرمانگی به این معناست که تنها افراد مجاز ( کسانی که ارتباط VPN را شروع کرده اند) اجازه دسترسی به محتوای اطلاعات را دارند. هر فردی دیگری ممکن است که اصل بسته را ببینید اما نمی تواند محتوای بسته را متوجه شود چون بسته رمزنگاری شده است و دو طرف ارتباط قادر به رمزگشایی اطلاعات هستند.در مثال زیر یک نمونه آن نشان داده شده است.
لحظاتی به مثال بالا توجه کنید و ببینید از آن چه چیزی متوجه می شوید و در نظر بگیرید که این محتوای یک بسته است که از طریق VPN ارسال شده است و شما به شکلی آنرا دریافت کرده اید و می خواهید به محتوای آن دست پیدا کنید. یکی از اهداف اصلی VPN محرمانگی است و اینکار با رمزکردن دیتا انجام می شود و دریافت کننده دیتا باید برای دستیابی محتوای بسته ها آنرا رمزگشایی کند. فرمول و الگوریتم هایی که برای رمزگزاری دیتا مورد استفاده قرار می گیرد به صورت عمومی در دسترس است و آنرا می دانند. کلید یا secret که برای رمزنگاری استفاده می شود باعث حفاظت از دیتا می شود.
دوره آموزش CCNA Security
اگر فرستنده و گیرنده هر دو کلید را داشته باشند می توانند دیتا را رمزنگاری و رمزگشایی کنند و هر کسی که در بین راه بسته ها را دریافت کند به دلیل ندانستن کلید قادر به دیدن محتوای بسته ها نخواهد بود.اگر الگوریتم symmetric استفاده شود و من کلیدی که با آن رمزنگاری را انجام داده ام را به شما بدهم شما می توانید با استفاده از آن رمزگشایی را انجام دهید. کلیدی که برای این مثال استفاده شده است به این شرح است : هر حرف در پیام رمزشده یکی از حرف الفبا می باشد. بنابراین هر حرف را با حرف قبلش جایگزین می کنیم و به این شکل می توانید پیام را رمزگشایی کنید.
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
هدف از این تمرین این است که شما با مفهوم چگونگی اجرای محرمانگی و اینکه چگونه با استفاده از کلید ، رمزگشایی انجام می شود آشنا شوید. الگوریتمی که از یک کلید برای رمزگشایی و رمزنگاری استفاده می کند نمونه ای از روش symmetric برای رمزنگاری می باشد. در تصویر زیر پیام بالا را به روش گفته شده رمزگشایی شده است.
مزیت 2 : Data integrity یا تمامیت داده
اگر دو دستگاه از طریق VPN با یکدیگر ارتباط داشته باشند فاکتور مهم دیگر برای ارتباط این است که دیتا به صورت صحیح و هیچ تغییری بین دو دستگاه ارسال شود. اگر یک مهاجم در بین مسیر تغییری روی بسته ها ارتباط VPN ایجاد کند از دید یکپارچگی پنهان نمی ماند.
مزیت 3 : Authentication یا احراز هویت
تانل VPN فوق العاده است که در آن می توانید دیتا را رمزنگاری کنید و مطمئن شوید دیتا در حین انتقال تغییر نمی کند. اما اگر این ارتباط VPN که به آن VPN Tunnel گفته می شود با کامپیوتر مهاجم برقرار شود چه اتفاقی می افتد؟ در نتیجه تایید هویت و اعتبار سمت مقابل برای برقراری ارتباط از فاکتورهای بسیار هم برای ارتباط VPN است. شما می توانید تایید هویت سمت دیگر VPN Tunnel را به چند روش مختلف انجام دهید :
- Pre-shared keys
- Public and private key pairs
- User authentication
مزیت 4 : Antireplay Protection یا جلوگیری از Replay
اگر یک مهاجم ارتباط VPN را مشاهده کند و اقدام به capture کردن ترافیک کند و با استفاده از این اطلاعات اقدام به برقراری ارتباط با یکی از جفت های VPN کند و با توجه به این اطلاعات ارتباط خود را به عنوان یک جفت قانونی برقرار می کند. برای برطرف کردن این مشکل ، VPN از مکانیزم antireplay استفاده می کند که در آن بسته هایی که یکبار ارسال شده اند برای بار دوم در آن VPN Session اجازه ارسال خواهند داشت.
توی بحث Antireplay Protection با استفاده از sequence number مطمئن میشن که بسته تکراری ارسال نشه که به این صورت در گیرنده عمل میشه که هر بسته ای که دریافت میشه sequence number بسته چک میشه اگه تکراری باشه بسته drop میشه
توی لینک زیر اطلاعات کاملی در مورد Antireplay Protection هست
IPSec Anti-Replay
برای جناب th e nd عزیز
پروتکل Antireplay Protection میاد و از ابتدای ارتباط پکت های ارسالی رو از صفر شماره گذاری میکنه و اینجوری هر دو طرف میدونند پکت بعدی شماره چند باید باشه و اگر پکتی رو با شماره کوچکتر دریافت میکنه اون رو نادیده میگیره و پردازشش نمیکنه ولی اگر شماره ای بالا تر رو دریافت کنه اون رو نگه میداره و پردازشش میکنه ولی شماره های بین این شماره جدید و شماره ی پکت دریافتی قبلی رو رد میکنه از شماره بعدی که تازه دریافت شروع میکنه به انتظار برای دریافت
ولی باید این رو در نظر بگیرید که ارتباط vpn بین دو طرف با یه سری الگوریتم و کلید های سری محافظت میشه و نفوذگر بین این ارتباط به راحتی نمیتونه بدون اطلاع دو طرف در پکت دست ببره و طرفین این رو نفهمند
بدین صورت که پکت ها ابتدا شماره گذاری میشند و بعد hash میشند و digset ای که نتیجه hashing هست هم به پکت اضافه میشه و بعد کل پگت encrypt میشه با یه سری الگوریتم های دیگه و بعد ارسال میشه
و در اون طرف هم فقط طرفی که کلید هارو در اختیار داره میتونه پکت رو decrypt کنه و محتوای قابل فهم دسترسی پیدا کنه و بعد همون الگوریتم hash رو اجرا میکنه و digset حاصل رو با digset که در پکت اضافه شده مقایسه میکنه و میتونه بفهمه که در پکت در طول ارتباط تغییری داده شده یا نه پس میتونه بفهمه که میتونه به شماره ای که در پکت هست اعتماد کنه یا نه
پس کسی که میخاد نفوذ کنه نمیتونه شماره یا هر محتوای دیگه ای از پکت رو تغییر بده بدون اینکه دو طرف بفهمند و پکت دستکاری شده
و نتیجه این شد که تنها راهی که برای یه نفوذگر میمونه اینه که عین پکت رو دریافت کنه و بدون تغییر ارسال کنه به طرف مقابل ولی با توجه به اینکه مقصد قبلا این پکت و به الطبع شماره اون رو قبلا دریافت کرده پس شماره این پکت از شماره ای که مقصد انتظار داره کوچکتر هست و ...
استاد شوهانی عزیز یک پرسش!
پروتکل Antireplay Protection تا جاییکه من می دونم میاد برای هر پکت یه شماره ای رو در نظر می گیره و مثلاً از 1 شروع میشه به بالا و حالا اگر اون سمت یعنی دریافت کننده بیاد ببینه که شماره پکته دریافتی فرق داره (که می تونه کمتر یا بیشتر باشه) پکت های بقیه رو Drop می کنه. حالا این بین آیا داده ها دوباره ارسال می شن؟ آیا هکر و پکتی رو اسنیف می کنه و دوباره اون رو به جریان بر می گردونه؛ این عمل باعث میشه که شماره هر پکت تغییر کنه؟
سپاس