شبكات VPN ... ما هي وما أهميتها ؟
الأمن التقني
المجد- خاص
أضحت شبكات الإتصالات اليوم من أهم مظاهر الحضارة والتقدم التكنولوجي اللذان يشهدهما العالم، وتعتبر شبكات الفي بي إن من وسائل الاتصالات الحديثة، وحروفها VPN اختصار لجملة Virtual Private Network وتعني الشبكة الخاصة الظاهرية أو الخاصة.
ان فكرة الشبكات الافتراضية الخاصة قد ساهمت في تخفيض تكاليف نقل المعلومات الخاصة بالشركات و المؤسسات بين فروعها البعيدة عن المقر الرئيسي لها و بين المستخدم المنزلي الذي يريد الوصول الى معلوماته المتوفرة في جهاز الحاسب في العمل.
قد تملك شركة من الشركات مكتباً واحداً، و قد تملك مكاتب كثيرة متوزعة في انحاء مختلفة من البلاد او خارج البلاد. قد يعمل موظفوها من المكتب الرئيس لها او من خلال المكاتب المتوزعة في انحاء البلاد او حتى من خلال بيوتهم او مواقعهم البعيدة. في مثال الشركة ذات المكتب الواحد، استخدام الشبكة العادية او ما يعرف بالLocal Area Network و التي تعرف اختصاراً بال LAN باستخدام تقنية الايثرنت ، قد يكفي لايصال و ربط كافة اجهزة الكمبيوتر الموجودة في المكتب مع بعضها البعض، و لكن للمكاتب البعيدة كلأمثلة التي ذكرناها في الاعلى، فان الشركة تحتاج الى شيء آخر غير ال LAN.
في الماضي، كان المستخدم البعيد او الموظف الذي يعمل من منطقة بعيدة عن المقر الرئيس للشركة يتصل من خلال مودم عادي للشركة باستخدام خطوط الهاتف. يقوم سرفر و مودم اخر موجودان في مقر الشركة بالرد على اتصال الموظف ليقوم بعمله و يتم اقفال الخط بعد الانتهاء من العملية. سلبيات هذه الطريقة كانت من عدة نواحي منها كلفة فواتير الهاتف المتصل منه المستخدم البعيد، ايجار الخطوط ,سرعة الاتصال البطيئة ,بالاضافة الى اشغال خط الهاتف اثناء فترة الاتصال. رغم هذه السلبيات كانت العملية نوعاً ما آمنة لانها كانت تصل الطرفان بشبكة مغلقة و مسار خاص. كانت الشركات المقتدرة تستخدم خطوط عالية السرعة تسمى بالLeased Lines لتتغلب على مشكلة السرعة لكنها كانت تدفع مبالغ ضخمة في مقابل هذه الخدمة لربط النقطتين بشكل متواصل و بسرعة عالية و بشبكة خاصة آمنة نوعاً ما.
عندما انتشرت شبكة الانترنت في كل مكان، كانت هناك فرصة استخدامها كوسيط لنقل المعلومات و كشبكة يمكن من خلالها نقل المعلومات من مكان الى آخر بأسعار زهيدة مقارنة بالطريقة السابقة، و لم يكن هناك داعٍ لتوصيل نقطتين مع بعضها فيمكن الاتصال من اي جهاز في العالم باي جهاز في العالم ان كانا متصلين بالانترنت. و ان كانت نوعية الاتصال بين الجهازين هو الADSL فان التكلفة تكون ثابتة و مناسبة و الاتصال قائم بشكل مستمر.
ان فكرة الشبكات الافتراضية الخاصة قد ساهمت في تخفيض تكاليف نقل المعلومات الخاصة بالشركات و المؤسسات بين فروعها البعيدة عن المقر الرئيسي لها و بين المستخدم المنزلي الذي يريد الوصول الى معلوماته المتوفرة في جهاز الحاسب في العمل.
قد تملك شركة من الشركات مكتباً واحداً، و قد تملك مكاتب كثيرة متوزعة في انحاء مختلفة من البلاد او خارج البلاد. قد يعمل موظفوها من المكتب الرئيس لها او من خلال المكاتب المتوزعة في انحاء البلاد او حتى من خلال بيوتهم او مواقعهم البعيدة. في مثال الشركة ذات المكتب الواحد، استخدام الشبكة العادية او ما يعرف بالLocal Area Network و التي تعرف اختصاراً بال LAN باستخدام تقنية الايثرنت ، قد يكفي لايصال و ربط كافة اجهزة الكمبيوتر الموجودة في المكتب مع بعضها البعض، و لكن للمكاتب البعيدة كلأمثلة التي ذكرناها في الاعلى، فان الشركة تحتاج الى شيء آخر غير ال LAN.
في الماضي، كان المستخدم البعيد او الموظف الذي يعمل من منطقة بعيدة عن المقر الرئيس للشركة يتصل من خلال مودم عادي للشركة باستخدام خطوط الهاتف. يقوم سرفر و مودم اخر موجودان في مقر الشركة بالرد على اتصال الموظف ليقوم بعمله و يتم اقفال الخط بعد الانتهاء من العملية. سلبيات هذه الطريقة كانت من عدة نواحي منها كلفة فواتير الهاتف المتصل منه المستخدم البعيد، ايجار الخطوط ,سرعة الاتصال البطيئة ,بالاضافة الى اشغال خط الهاتف اثناء فترة الاتصال. رغم هذه السلبيات كانت العملية نوعاً ما آمنة لانها كانت تصل الطرفان بشبكة مغلقة و مسار خاص. كانت الشركات المقتدرة تستخدم خطوط عالية السرعة تسمى بالLeased Lines لتتغلب على مشكلة السرعة لكنها كانت تدفع مبالغ ضخمة في مقابل هذه الخدمة لربط النقطتين بشكل متواصل و بسرعة عالية و بشبكة خاصة آمنة نوعاً ما.
عندما انتشرت شبكة الانترنت في كل مكان، كانت هناك فرصة استخدامها كوسيط لنقل المعلومات و كشبكة يمكن من خلالها نقل المعلومات من مكان الى آخر بأسعار زهيدة مقارنة بالطريقة السابقة، و لم يكن هناك داعٍ لتوصيل نقطتين مع بعضها فيمكن الاتصال من اي جهاز في العالم باي جهاز في العالم ان كانا متصلين بالانترنت. و ان كانت نوعية الاتصال بين الجهازين هو الADSL فان التكلفة تكون ثابتة و مناسبة و الاتصال قائم بشكل مستمر.
المشكلة في هذه الطريقة هي ان اتصال الجهازين عبر شبكة الانترنت يعرضهما مع المعلومات الخاصة بالشركة الى الاختراق، و هذا الاتصال يعتبر غير آمن و لن تقبل به الشركات و المؤسسات لما يحمله من مخاطر، فكان لابد من ايجاد حل لمشكلة الامن هنا و لهذا تم اصدار الشبكات الافتراضية الخاصة.
الشبكة الافتراضية الخاصة توفر الأمن للشبكة الخاصة بالاضافة الى الاسعار المناسبة باستخدام شبكة الانترنت.
هنا يجب فصل الطرفين عن الانترنت من الناحية النظرية، عن طريق وضع الاجهزة ي نطاق IP معين و خاص كشبكات محلية خاصة بكل جهة. يجب وضع جدار ناري او Firewall للجهة التي ستستلم الاتصال او من المنتظر ان يتم الاتصال بها للوصول الى المعلومات الخاصة بها، و يقوم الجدار الناري بابعاد مستصفحي الانترنت و منعهم من الدخول او الوصول الى السرفر الخاص بالشركة الا من خلال كمبيوترات معينة تختارها الشركة.
الشبكة الافتراضية الخاصة توفر الأمن للشبكة الخاصة بالاضافة الى الاسعار المناسبة باستخدام شبكة الانترنت.
هنا يجب فصل الطرفين عن الانترنت من الناحية النظرية، عن طريق وضع الاجهزة ي نطاق IP معين و خاص كشبكات محلية خاصة بكل جهة. يجب وضع جدار ناري او Firewall للجهة التي ستستلم الاتصال او من المنتظر ان يتم الاتصال بها للوصول الى المعلومات الخاصة بها، و يقوم الجدار الناري بابعاد مستصفحي الانترنت و منعهم من الدخول او الوصول الى السرفر الخاص بالشركة الا من خلال كمبيوترات معينة تختارها الشركة.
الفكرة الرئيسة في مسألة الشبكة الافتراضية الخاصة هي عبارة عن بناء "نفق" خاص بين الجهازين كما في الصورة، النفق او ال VPN Tunnel هو عبارة عن معلومات خاصة و مشفّرة يتم تبادلها بين الجهازين الذان يقومان بفك التشفير عند استلام المعلومات من الطرف الآخر من النفق الافتراضي بعد ان يبعد الجدار الناري اي اتصال غير مرخص له من مدير النظام او المسؤول عن الشبكة في الشركة او فرعها. الفكرة هي حماية المعلومات من خلال النفق المشفر للبيانات و ايضاً التأكد من هوية الجهاز المتصل من خلال الجدار الناري الذي لن يقبل اي اتصال غريب.
التطبيقات الأمنية لخدمات الفي بي إن ونقاط ضعفها :
التطبيقات الأمنية لخدمات الفي بي إن ونقاط ضعفها :
الآن بعدما عرفنا ما هي شبكات الفي بي إن بقي أن نتعرف على إمكانياتها وإستخداماتها، فعندما يتصل جهازك بخادم على الإنترنت يوفر خدمة الفي بي إن فإن جميع إتصالاتك بالإنترنت يتم تحويلها تلقائياً لتمر من خلال هذا الخادم، وبالطبع بما أن الإتصال مشفر فهذا يجعلك "تتخطى" مزود الخدمة، بما يجعله غير قادر على معرفة ما تتصفحه ويلغي أي تحكم له بإستخدامك للإنترنت ما عدا السرعة وكمية السحب، وكل ما سيظهر عنده حينها هو انك تتصل بهذا السيرفر وسرعة تحميلك منه، أما المواقع التي تفتحها وكلمات المرور التي ترسلها للإنترنت فتبقى مشفرة حتى تصل للسيرفر الذي يوفر لك خدمة الفي بي إن، ومن ثم تخرج منه إلى وجهتها بالطريقة الطبيعية. هذه الطريقة تفيد أيضاً في إخفاء الآيبي الحقيقي لك لأن آيبي السيرفر هو الذي سيظهر للمواقع التي تزورها.
لتوضيح الصورة لنفترض أنك تعمل من الأراضي الفلسطينية وتخشى من فرض الإحتلال رقابة على استخدامك للإنترنت أو تخشى أن يسجل كلمة مرور حساب تنظيمي خاص بك على موقع لا يدعم الإتصال المشفر https أو حتى تخشى قيام الإحتلال بتزييف شهادة https لموقعك الخاص لإلتقاط كلمة مرورك، افتراضياً أن تتصل بهذه الصورة :
لتوضيح الصورة لنفترض أنك تعمل من الأراضي الفلسطينية وتخشى من فرض الإحتلال رقابة على استخدامك للإنترنت أو تخشى أن يسجل كلمة مرور حساب تنظيمي خاص بك على موقع لا يدعم الإتصال المشفر https أو حتى تخشى قيام الإحتلال بتزييف شهادة https لموقعك الخاص لإلتقاط كلمة مرورك، افتراضياً أن تتصل بهذه الصورة :
جهازك ===> مزود الخدمة المحلي ===> مزود الخدمة الصهيوني ===> الموقع المطلوب
كما نرى، الاتصالات تمر بصيغة نص بسيط simple text على مزودي الخدمة بما يمكنهم من تسجيلها وحتى التلاعب بها وتغييرها، ولكن ماذا لو كانت تمر بشكل مشفر ؟ (هي لابد ان تمر عليهم في كل الأحوال) في هذه الحالة لن يمكنهم التلاعب بها أو معرفة محتواها خاصة عند استخدام خدمات في بي إن ذات بروتوكولات تشفير عالية. مثل :
SSL-based VPN (OpenVPN - RSA 256) - PPTP MPPE 128
فيصبح الإتصال :
SSL-based VPN (OpenVPN - RSA 256) - PPTP MPPE 128
فيصبح الإتصال :
جهازك =\=\=> مزود الخدمة المحلي =\=\=> مزود الخدمة الصهيوني =\=\=> مزود خدمة الفي بي إن ===> الموقع المطلوب
بقيت مسألة أخيرة، وهي أن الثقة بمزود الخدمة أمر هام، حيث أنك تستبدل مزود خدمتك المحلي بآخر بعيد، وفي حال احتجت إلى تأمين نفسك حقاً فيمكنك ببساطة حجز خادم Linux سواء سيرفر خاص بك Dedicated Server أو خادم ظاهري VPS - Virtual Private Server وتركيب خدمة الفي بي إن بنفسك، أو اللجوء لشخص موثوق لفعل ذلك من أجلك.
بالطبع، فإنه بالرغم من أهمية الفي بي إن في موضوع تأمين إتصالك بالإنترنت إلا أن هذا لا يلغي الاهتمام بعوامل الأمن الأخرى فالكوكيز، وحماية طرفي الاتصال من الاختراق (جهاز المستخدم وخادم الفي بي إن) والحماية من الفيروسات كلها أمور يجب أخذها بعين الاعتبار، وبعد الأخذ بالأسباب فالله وحده الحافظ والمعين.
بالطبع، فإنه بالرغم من أهمية الفي بي إن في موضوع تأمين إتصالك بالإنترنت إلا أن هذا لا يلغي الاهتمام بعوامل الأمن الأخرى فالكوكيز، وحماية طرفي الاتصال من الاختراق (جهاز المستخدم وخادم الفي بي إن) والحماية من الفيروسات كلها أمور يجب أخذها بعين الاعتبار، وبعد الأخذ بالأسباب فالله وحده الحافظ والمعين.