اسم vpn در ایران کاملا برای کاربران اینترنت آشناست و در صورتی که این محدودیتهای اینترنت نبود خوب این کاربران هم هیچگاه اسمش را نمیشنیدند مگر اینکه شبکه مطالعه میکردند کلا باید کم کم قضیه vpn هم در ایران جدی گرفته شود خیلی از شرکتها را میشناسم که شعبه های مختلف در مکانهای گوناگون دارند و نمیدونند که با vpn میشه چقدر ساده بهم متصل شد چون این بحث گسترده است تصمیم گرفتم فقط امنیت آنرا توضیح بدم و توضیح درباره امنیت vpn بدرد تمام کسانیکه از vpn در زمینه های گوناگون استفاده میکنند میخوره و برای یک کاربر عادی باید در حد معلومات عمومی حتما مطالعه بشه و همینطور برای کسانیکه سرورها را کانفیگ میکنند.

vpn چیست؟
اگر اینترنت را لوله پولیکا تصور کنیم و از داخلش یه لوله آب رد کنیم این لوله آب vpn ما است که از شبکه لوله پولیکا استفاده میکنه. (عجب مثالی زدم) درواقع vpn برای ارتباط امن و کاملا ارزان بوجود آمد و اگر شما آنرا بشناسید میتونید ارتباط امن و ارزان برقرار کنید و لازم نیست خودتون راه اندازی کنید میتونید بگید یه متخصص شبکه اینکار را انجام بده.

الگوریتمهای رمزگذاری vpn دو دسته هستند متقارن و نامتقارن که از نوع متقارن میشه به AES اشاره کرد و نامتقارن به رمزگذاری RSA اشاره کرد من قبلا رمزگذاری متقارن و نا متقارن را توضیح دادم شیوه کارشون را پس مطلب را سریع تر جلو میبریم.

اگر کانکشن vpn دارید بهتر بازش کنید و یه سری به قسمت security بزنید تا ببینیم داخل کانکشن چه خبر است. (به تصویر زیر نگاه کنید)

در تصویر بالا شما ضعیف ترین نوع کانکشن vpn را مشاهده میکنید نه رمزگذاری نه چک پسورد هیچ و این کاملا عریان در شبکه است اما قبلش بذارید تایپهای vpn را توضیح بدم بعد سر قسمت امنیتش هم میرویم.
در قسمت type of VPN که میبینید pptp است که یه نوع ارتباط vpn است و خیلی هم رایج است البته pptp ناامن نیست pptp یک کانال کنترلی را روی tcpip بکار میبره و از تونل سازی GRE برای امنیت اطلاعات استفاده میکنه GRE پروتکلی است که میتونه پروتکلهای لایه های مختلف شبکه را کپسوله کنه و از طریق کانالهای مجازی PPP انتقال بده GRE بار اول توسط کمپانی سیسکو اختراع شد و همینطور pptp از پورت ۱۷۲۳ روی tcp استفاده میکنه.
vpn با استفاده از ۳ تکنولوژی شما را متصل میسازه که:

۱- اعتبار سنجی Authentication
۲- ایجاد تونل Tunneling
۳- رمزگذاری Encryption

PPTP مشخصا شامل رمزگذاری و اعتبار سنجی نمیشه و امنیتش فقط همان تونلی است که برقرار کرده که مایکروسافت در نسخه های ویندوز خودش بطور پیشفرض تکنیکهایی را اضافه کرد تا امنیت این نوع اتصال vpn را بالا ببره و از مکانیزمهایی مثل PEAPv0/EAP-MSCHAPv2 و PEAP-TLS  استفاده کرد که متاسفانه خیلی از بچه های خودمون نمیدونند که همین مکانیزمها خودش آسیب پذیر است و MSCHAPv2 خودش میتونه مورد حمله Challenge -Response قرار بگیره این نوع حمله براساس نوع رمز انقدر درخواست میده تا پاسخ را بگیره.

type بعدی vpn ما L2TP است بجای TCP از UDP استفاده میکنه و خودش به تنهایی مثل PPTP رمزگذاری داخل خودش نداره ولی این خصوصیت را داره که از رمزگذاریهای دیگه مثل IPsec استفاده میکنه بخاطر همین هرجا اسم l2tp را ببینی نام ipsec را هم میبینید. ipsec پروتکلی ایمن برای ارتبطات اینترنتی است و نام کاملش هم internet protocol security است. هر بسته ارتباط اینترنتی را تایید اعتبار و رمزگذاری مینماید و قابلیت استفاده از کلیدهای رمزگذاری aes را هم دارد. این پروتوکول از ۱۷۰۱ در udp استفاده میکند.

SSTP را میشه ایمن ترین نوع اتصال vpn معرفی کرد sstp مخفف Secure Socket Tunneling Protocol است که قابلیت انتقال پروتکل pptp و L2TP را با رمزگذاری SSL ورژن ۳.۰ را دارد و این یعنی بالترین ایمنی شناخته شده. ssl روی پورت ۴۴۳ در TCP است و تقریبا از هر پروکسی و فایروالی گذر میکند. اگر از این روش استفاده کنید محدودیت دارید یعنی اینکه فقط ویندوز ویستا و ۷ میتونند کلاینتهای آن باشند و همینطور تنظیمات این vpn روی ویندوز سرور ۲۰۰۸ فقط انجام میشه همچنین برای رمزگذاری بالایی که داره قسمتی از ترافیک اتصال را میبلعه که باعث کاهش سرعت هم میشود به غیر از این موارد ویندوز xp و لینوکس و مک هم نمیتونند بهش متصل بشند. (دلیل نوشتن این مطلب این بود که vpn ها را روی sun solaris داشتم تست میکردم چیزی بغیر از openvpn و صد البته SSH نصیب ما نشد که SSH باعث امید ما شد، این موضوع فقط راجع به vpn است.) یک نکته امنیتی درباره SSH اشاره کنم که نسخه های پایین SSH و OpenSSH دارای حفره های آسیب پذیر هست که به ما اجازه نفوذ به سرورهای Unix و Linux و به دست گرفتن کنترل کامل سرور را از راه دور می دهد و چون SSH و OpenSSH به روی پورت ۲۲ سرورهای Unix و سرورهای مبتنی بر کد باز نصب می شود مورد علاقه هکرها هستند و اگر قرار باشه که SSH در سیستم ما نصب شود بهتره که از آخرین نسخه آن و به همراه Patch ها و اصطلاحات امنیتی ارائه شده ار سوی شرکت SSH استفاده کنیم و راه نفوذ به پورت ۲۲ را با اینکار ببندیم . اما ssh چیه زیاد واردش نمیشیم چیزی شبیه ssl است تصویر زیر یک اتصال ssh را از ویندوز سرور ۲۰۰۳ به ویندوز xp نشان داده:

 

رنگ نارنجی اطلاعات است که جابه جا میشود و رنگ آب کانکشن ppp و رنگ سفید هم ssh است که با رمزگذاری از آن محافظت میکند.

امیدوارم از این به یعد به کانکشن vpn هاتون توجه کنید. و اینکه vpn فقط محدود به این چیزها نیست با vpn میشه بدون در نظر گرفتن فاصله تعداد زیادی ایستگاه شبکه را به هم متصل کرد و یا اینکه راه اندازی vpn server ها خودش بحث های جدا از اینها است.

شاد باشید
علی مختاری

 

برچسب ها: network security vpn

٪ نظرات

  1. […] ویندوز من Share and Enjoy: […]

  2. بسیار خوب، جالب ، کاربردی و مفید بود.

  3. آقای مختاری همه اینها درست.فقط به ما بگو چطور یک vpnمجانی گیر بیاریم!!

    • کسی مجانی نمیده چون داره اجاره سرور میده

  4. علی اقا vpn من تو قسمت type of vpn رو گزینه automatic هستش.موردی نداره این؟

    • مسئله ای نیست ولی این تایپ vpn چی هست میدونید؟ و از سطح امنیتش خبر دارید؟

  5. سلام . بسیار از مطالبتون لذت بردم . سپاسگزارم

  6. اونوقت این شرکت SSL که گفتید دفترش توی کدوم کشوره ؟!

    • تا اونجایی که یادمه چیزی بنام “شرکت ssl” نام نبردم!!!

  7. سلام
    من یه وی پی ان سرور در windows server 2003 rah andakhtam
    albate ba rras with vpn
    hala ye moshkeli daram vaghti ba ye clint az kharej az lan be server vpn mizane ping 4.2.2.4 esh bala mire
    in yani az internete server estefade mikone
    dar soorati ke man mikham faghat az manabe system estefade kone
    man roo serveram domain server . active directory . nat rras with vpn daram
    mishe begid too rras che tanzimati bokonam ke clint ke vpn mizane az internete man estefade nakone va interenete khodesh ro estefade kone

    • موقع نصب، vpn را روی کارت شبکه اینترنت انداختید باید روی کارت لوکال مینداختید تغییرش بدید.
      بعد اینکه شما در ایران هستید سرور را در ایران راه اندازی کردید؟ شرکتیه؟

  8. salam
    bale too irane
    ba ip dakheli vali kamelan valid va accesable
    man kamo bish motevajehe javabetoon shodam am ye zare gij shodam
    khob age roo local mizashtam bad chi joori az shabake wan vpn servere man dide mishod ?
    yani roo local set mishod ama roo internet listen mikard ?
    ?
    ?

    • این بستگی به کار و تنظیمات شما داره. مثلا میتونید با فعال کردن فایروال حق دسترسی تعریف کنید برای کلاینتها و همینطور nat را عیرفعال کنید باید ببینید که سرور چه کاری انجام میدهد و شما از سرور چکاری میخواهید.

  9. مثل همیشه، مفید، مختصر و نسبتا کامل

  10. آقا دستت درد نکه
    خیلی عالی و مفید بود
    موفق باشی

  11. سلام
    به يه نكته خيلي مهم كه ميتونه تا حدي گمراه كننده باشه اشاره نكرديد. از رمزگذاري ssl فقط در مواردي كه ارتباط وبي داشته باشيم ميشه استفاده كرد و به طور مثال نميشه با يه سيستم كلاينت سروري از اين طريق ارتباط برقرار كرد

    • حرف شما کاملا اشتباه است. گواهینامه های ssl برای vpn هم هستند به این شکل که بجای ip از دومین استفاده میشود و چیزی شبیه به این ssl.mywindows.ir این آدرس بجای ip قرار داده میشود و گواهینامه ssl توسط سرور باعث ایجاد رمزگذاری کاملا امن میشود.

  12. […] ارتباطات و امنیت در vpn هااسم vpn در ایران کاملا برای کاربران اینترنت آشناست و در صورتی که این محدودیتهای اینترنت نبود خوب این کاربران هم هیچگاه اسمش را نمیشنیدند مگر اینکه شبکه مطالعه میکردند کلا باید کم کم قضیه vpn هم در ایر… […]

  13. […] ارتباطات و امنیت در vpn هااسم vpn در ایران کاملا برای کاربران اینترنت آشناست و در صورتی که این محدودیتهای اینترنت نبود خوب این کاربران هم هیچگاه اسمش را نمیشنیدند مگر اینکه شبکه مطالعه میکردند کلا باید کم کم قضیه vpn هم در ایر… […]

  14. […] ۲۰۱۱-Jul-07 علی اقا vpn من تو قسمت type of vpn رو گزینه automatic هستش.موردی […]

  15. با سلام. چرا این سایت فیلتر شده؟ آیا این مشکل برای منه یا نه ؟

    • نه عزیز کاملا فیلتره و خیلی وقت است که فیلتر شده

      • سعی کنید با تماس با متولی فیلترینگ سایت تان را از حالت فیلترینگ در بیاورید . شدنی است.

  16. سلام
    آیا من وقتی با مودم اینترنت رو از ISP ام دریافت میکنم نام ویندوز و کامپیوتر من هم در ISP نمایش داده میشه
    و بطور کلی چه اطلاعاتی از طرف من چه ویندوز و چه مودم من در ISP ثبت میشه
    چطور میشه امنیت رو بالاتر برد که اطلاعات کمتری در ISP ثبت بشه

    • دوست عزیز همین الان که این کامنت را ارسال کردید سایت من مرورگر شما و device را تشخیص داد. که زیر کامنتتان نوشته شده اگر ماژول بهتری بکار ببرم آدرس خونتون هم احتمالا در گوگل مپ میدید.
      اگر بخواهید جلوی اینها را بگیرید از مرورگر گرفته تا خود مودم باید پیش بروید که زیاد است در یک کامنت نمیگنجد. isp شهراه اطلاعاتی شما با اینترنت است شما حتی اگر hide هم بشید آنها میتوانند شما را ببینند چون نقطه اتصال را میدانند کجا است.
      شما فقط میتوانید جلوی شنود اطلاعات را بگیرید که آنهم با vpn ممکن میشود.
      اگر بخواهید اطلاعاتتان از سایتها به سرقت نرود در اینترنت اکسپلورر ctrl+shift+p را بزنید.

  17. ممنونم از راهنمایی
    من بیشترین تاکیدم روی اینه که isp من من رو چطور میتونه تشخیص بده
    ایا مک ادرس مودم من رو تشخیص میده یا در مودم نامی هست که میتونن تشخیص بدن این مودم مثلا متعلق به منه
    ایا مک ادرس رو عوض کنم میتونم کاری کنم که isp نتونه تشخیصم بده
    چون مرورگر و سیستم عامل من کاری اینترنت دریافتی من ندارند و من بیشترین تاکیدم اینه چکار کنم که isp نتونه ردم رو بگیره
    نام مودم رو عوض کنم
    مک ادرس رو
    یا نکته دیگه ای هست که من در مودم نمیدونم
    با تشکر

  18. من عرض کردم شما نام و اسم را هم که بردارید باز آنها شما را میبینند چون مشترکشان هستید فقط میتوانید با vpn جلوی شنود اطلاعات را بگیرید.

  19. ببینید من نمیدونم چطور سوالم رو بپرسم
    اما به این شکل مطرح میکنم
    فرض کنید من یه طرح اینترنت از یه شرکت میگیرم و روزها با مودم کانکت میشم و اینترنت رو مصرف میکنم
    حالا به هک هم علاقه دارم و مثلا در طول روز اینترنت دیگران رو هک میکنم و مصرف میکنم
    ایا شرکت مخابرات میتونه تشخیص بده که مودم من داره از اینترنت یکی دیگه استفاده میکنه
    جواب بله هست
    خوب از چی مودم من منو تشخیص میده
    مک ادرس مودم
    نام مودم
    چطور میتونم زمانی که از نت خودم استفاده میکنم با یه مشخصه کانکت بشم و زمانی که از نت دیگران استفاده میکنم به یه مشخصه دیگه ؟
    البته جسارت نباشه من نه هک میکنم نه میتونم وگرنه سوالم رو اینجا نمیپرسیدم
    فقط میخوام بدونم مشخصه تشخصی isp از من چیه و چطور منو تشخیص میده و چطور میشه اون مشخصه رو تغییر داد
    با تشکر و ارزوی توفیق

  20. اگر میخواهید از اینترنت دیگران استفاده کنید و فکر میکنید آی اس پی متوجه نمیشود کاملا در اشتباهید.
    چون هنگامیکه شما به اینترنت وصل میشوید isp است که داره به شما IP میده پس از روی آی پی خیلی راحت ردیابی میشید..
    البته رانژه خط را هم فراموش نکنید از روی رانژه ها خیلی راحت شما را میبینند.
    نه به مک آدرس مودم احتیاج دارند نه به نام کامپیوتر و مودم شما.
    اگر همین الان isp یه آی پی به شما داده باشه میتونید در این سایت خودتان را ببینید.
    iplocation.net

  21. امیدوارم سوء تفاهم نشه – من بیشتر دنبال بدست اوردن چند جوابم –
    خوب اگر isp چنین امکانی داره که هر چیزی رو از من بفهمه پس حتما تمام ایمیل های منو رو میخونه
    تمام اکانتهای من در هر شبکه
    شماره کارتهایی که برای خرید انلاین وارد میکنم با پسورد ها
    یا اینکه فقط تمام دسترسی isp به دونه ip از هر کاربر در اینترنت ختم میشه —
    اطلاعات سخت افزار من تا چه حد در isp میمونه — چون ip رو که همونطور که خودتون در جواب قبل تر گفتید با vpn میشه تغییر داد — پس مطمئنا راهی بجز ip دارند برای شناسایی
    راستی ممنون میشم در مورد رانژه هم کمی توضیح بدهید که رانژه چیه
    ممنونم

    • isp هیچ وقت اطلاعات ایمیل شما را نمیتون بخاطر پروتوکل ssl بخونه ولی میدونه شما به کدام url متصل میشید.
      همچنین محتوای vpn را نمیتونه متوجه بشه ولی کانکشن را میبینه. در نهایت شما برای اینکه بتونید با vpn تونل بزنید باید وارد یک شبکه باشید و این شبکه را isp به شما میده پس میدونه که شما تونل میزنید.
      مثل یک شماره تلفن میمونه که اختصاصی به شما داده میشه. شما اگر از مخابرات خط تلفن نخرید هیچ وقت نمیتونید زنگ بزنید. همین قضیه در شبکه هم وجود داره شما اگر آی پی نداشته باشید اصلا در شبکه نیستید. شاید بتوانید جلوی شنود اطلاعات را بگیرید ولی نمیتونید اتصالاتتان را مخفی کنید.
      اینکه isp اطلاعات سخت افزار شما را بردارد یا بستگی به نرم افزار و سیاست isp داره که آیا بهش احتیاج داره یا نه و زمانش هم همینطور بسته به تنظیمات آرشیو داره.
      جهت اطلاع راجع به رانژه لینک زیر را مطالعه کنید:
      http://fa.wikipedia.org/wiki/%D8%B1%D8%A7%D9%86%DA%98%D9%87

  22. سلام
    من از اینترنت شرکت مخابرات استفاده میکنم اما چند وقته که افت سرعت دارم – خیلی زیاد میشه بعضی ساعا ت اصلا هیچ صفحه ای رو نمیش هباز کرد
    البته در طولل روزز
    اما شب ها مثه قبل عالیه حداقل سرعتم ۱.۴۰ بالاتر از ۹ شب ببعد اما روزها اکثرا زیر ۴۰ کیلو دانلود میشه
    وقتی پشتیبانی سوال میکنم میگن snr up stream و snr downstream رو بخون
    که از من بترتیب
    دان استریم ۲۵۷
    اپ استریم ۱۴۹
    البته کمی متغیر میشه مثلا در حد ۵ تا ۶ کمتر یا بیشتر
    این اعداد در مودم ها چکاری انجام میدم
    میتونید من را راهنمایی کنید

  23. سلام آقای مهندس بزرگ و کاردان علی مختاری با تشکر از راهنماییتون ، فقط بدونم آیا راهی هست توی تنظیمات ssl یا همون فیلترشکن مون که بتونیم تشخیص بدیم که ip ماله کدوم کشوره ، چون من از طریقه شرکتهایی که اکانت سایتهای دلخواهی که میخوام عضو شم رو پیدا کردم و منو به راحتی عضو میکنند از طریق واسطه و نمیخوام پولم هدر بره بخاطر یه اشتباه حالا به این کار ندارم، ولی با توجه به اینکه ما تحریم هستیم و از هیچ سایته درست و حسابی نمیتونیم خرید کنیم حتی amazon برای اینکه اونها نفهمن ip ssl ماله ایران هست و سایت مورده نظری رو که داریم خرید میکنیم نبندن چطوری میتونیم ip رو تغییر بدبم لینکی برای فهمیدنش هست یا شما میدونید که چیکار میشه کرد یا سرعت اینترنته مون وقتی فیلتر شکن فعال هست چطوری در تنظیمات بهتر کنیم اگه این روشها رو هم البته اگه وجود دارن ومن توهم نزده باشم ممنون میشم کمک کنید

پیام بگذارید

ما را در شبکه های اجتماعی دنبال کنید

© تمامی حقوق برای علی مختاری محفوظ است.

تماس با من

میدان جمهوری اسلامی ، جنب بانک مسکن ، مجتمع اداری تجاری نگین

۰۳۱-۹۱۰۱۵۰۶۲ 

info@alimokhtari.name