من المعروف عن خدمة الشبكة الخاصة الافتراضية VPN أنها خدمة ربط خاصة بالمؤسسات، وتمكن المشترك بالإتصال بكل فروع مؤسسته من الأماكن الجغرافية المختلفة، ويصبح للشركة شبكة خاصة يستطيع من خلالها المشترك تفعيل كل الأنظمة التقنية للمعلومات داخل جميع فروع المؤسسة.
قبل التعرف على الخدمة الأخرى للشبكة، دعونا نذكّر أن الأحرف (VPN) ما هي الا اختصار Virtual Private Network أي (شبكة خاصة افتراضية).
ونستطيع تعريفها بأنها : شبكة مصطنعة تقوم بإنشاء اتصال آمن بين الكمبيوتر و خادم (server) الـشبكة VPN وتصبح البيانات التي تخرج من جهازك الكمبيوتر مشفرة و يزيد من صعوبة اختراقها كثيرا، مهما كان اتصال الحاسوب بالانترنت، سلكيا أو لا سلكيا (wifi)، فان تشفير خدمة الـVPN للبيانات تمنع الرقابة والتتبع.
وخلاصة القول أن الـ VPN هي شبكة افتراضية خاصة مبنيّة داخل شبكة الانترنت، العامة.
الشبكة الخاصة الافتراضية ( Virtual Private Network) هي شبكة افتراضية لاوجود لها في الواقع ولكنها مع ذلك تؤدي واجبها على اكمل وجه كأكثر أنواع الشبكات أمانا واكثرها شيوعا وحتى استخداما بين الشركات الكبيرة..
طبعا كونها شبكات افتراضية فلابد من وجود داعم حقيقي يحمل هذه الافتراضية إلى أرض الواقع.. لابد لهذا الداعم ان يكون مستيقظا كل الوقت جاهزا ومستعدا في أي لحظة وهنا كانت الشبكة العنكبوتية لتثبت انها دائما الأرض الخصبة لكل من اراد بقليل من الجهد...
هذه الشبكات الافتراضية هي نفسها الشبكة العنكبوتية لكن تم توظيف خصائصها لتلائم سرية نقل البيانات والحفاظ على امن المعلومات.. كيف تتم حماية البيانات في الشبكة الافتراضية ؟
تتم حماية البيانات بشكل عام عادة بتشفيرها بحيث يصعب فهمها إذا ما تمت سرقتها... لكن أيضا حتى تشفير المعلومات لا يكفي أحيانا إذا وضعنا بعين الاعتبار وجود أنواع كثيرة من آليات التشفير والتي يمكن كسرها بطريقة أو بأخرى وما أكثر الامثلة هنا ابتداءا بسرقة ارقام البطاقات الائتمانية وانتهاءا بسرقة البرامج القيد البرمجة من اصحابها وغيرها الكثير من الامثلة... لذلك كان لابد دائما من اتباع لوغارتمات قوية ومؤكدة من شركات كبيرة وذات اسم لامع في عالم التشفير كنقطة مبدئية للعمل على هذه الشبكات الافتراضية
ان الإشتراك في خادم VPN يمكننا من الحصول على نطاق IP جديد، و هذا يجعلنا مجهولون، ويعني بشكل آخر نهاية النطاق IP الخاص بنا، وهو الذي تعيّنه لنا الشركة التي تزودنا بالانترنت٫ وسيكون لنا نطاق IP محدد في البلد الذي نختاره نحن.
ان الشبكة الافتراضية الخاصة تعتمد على بروتوكول محدد، أي بروتوكول النفق (tunnel): الذي يسمح بتمرير البيانات، ولكن بشكل آمن، فهي مشفّرة بواسطة الخوارزميات (algorithme). ونستخدم مصطلح “النفق” لإظهار أن هذه البيانات، أثناء مرورها من خلال الـشبكة VPN تتشفّر وبالتالي لا أحد يستطيع الحصول عليها أو فك شيفرتها.
مكونات الشبكة الافتراضية
بشكل عام تتكون الشبكات الافتراضية من مكونين أساسيين اولهما العميل وثانيهما بوابة الاتصال (GateWay)
الشبكة الافتراضية تتم حمايتها في ثلاث نقاط عبور وهي :
بوابة الاتصال (GateWay)
الشبكة الهدف (Target Network)
العملاء (Clients)
- بوابة الإتصال (Gatway):
توجد في نوعين Software Hardwareوتقوم بالعديد من المهام مإعطاء الصلاحيات و ادارة القنوات بعد بدا الإتصال وتقوم بوابة الإتصال بإيصال المعلومات الى الجهة الصحيحة على الشبكة وعلى مستواها يقام بشفير البيانات المرسلة وبفك تشفير البيانات المستلمة.
- العميل (Client) :
وظيفة العميل مشابهة نوعا ما لوظيفة بوابة الإتصال إضافة الى أنه يقوم بإعطاء تصاريح الولوج الى الشبكة على مستوى الأفراد المستخدمين للخدمة.
توجد في نوعين Software Hardwareوتقوم بالعديد من المهام مإعطاء الصلاحيات و ادارة القنوات بعد بدا الإتصال وتقوم بوابة الإتصال بإيصال المعلومات الى الجهة الصحيحة على الشبكة وعلى مستواها يقام بشفير البيانات المرسلة وبفك تشفير البيانات المستلمة.
- العميل (Client) :
وظيفة العميل مشابهة نوعا ما لوظيفة بوابة الإتصال إضافة الى أنه يقوم بإعطاء تصاريح الولوج الى الشبكة على مستوى الأفراد المستخدمين للخدمة.
والشبكة الخاصة الافتراضية عبارة عن توصيل جهازين أو شبكتين معا عن طريق شبكة الإنترنت وهي تقنية تعتمد في عملها على بروتوكول حيث يطلق عادة على عملية إنشاء اتصال خاص بين جهازي كمبيوتر من خلال شبكة وسيطة كالإنترنت اسم نقل البيانات عبر مسار امن (Tunneling) حيث يتم إنشاء هذا المسار بين جهازي الكمبيوتر مباشرة.
ما هي البروتوكولات المعتمدة عليها تقنية VPN ؟
PPTP : Point-T-Point Tunneling Protocol
L2TP : Layer Two Tunneling Protocol
وهما البروتوكولان الرئيسيان المعتمد عليهما ال VPN IPSec : IP Security Protocol وهو بروتوكول النظام الأمني لل VPN يتضمن IPSec بعض تقنيات التشفير القوية لحماية بياناتك من عالم VPN.
مميزات وعيوب الشبكات الخاصة الافتراضية
المميزات :
- توفر مستوى عالي من الأمان والسرية.
- تمنع مقدمي خدمة الانترنت المحليين من تنظيم استخدامك للانترنت.
- تمنع الآخرين من مضايقتك عن طريق تتبع IP addressالخاص بك.
- تمكنك من الحصول على وصلة آمنة ومشفرة بين الكمبيوتر الخاص بك والانترنت.
- لن يتمكن مقدمي خدمة الانترنت من اكتشاف أنك تستخدمها.
- لن تتمكن شركتك أو مدرستك من اكتشاف أنك تستخدمها.
- سوف تمكنك من تخطي الحواجز حول برامج Skype و MSN .
- سوف تتحسن نوعية الصوت على برنامج Skype .
- سوف تمكنك من زيارة وتصفح جميع المواقع الممنوعة.
عيوبه :
إذا لم تقوم بتوثيق المستخدمين والشبكات بشكل قاطع ستصبح هناك فرصة للمتطفلين للوصول إلى بياناتك ومصادرك
ما زال IPSec وحتى الآن في طور التجربة.
ملحوظة هامة جدا يغفلها البعض:-
تتطلب هذه التقنية في الجهاز المراد الاتصال به خدمة Real IP address والتي هي عبارة عن ميزة يتم الحصول عليها من مزود خدمة الإنترنت الذي تدخل عن طريقه إلى شبكة الإنترنت وهي الحصول على عنوان IP ثابت لجهازك يبقى ثابتاً في كافة الأحوال، أي حتى إذا انقطع الاتصال وأعيد وصله.
ان فكرة الشبكات الافتراضية الخاصة أو ما يعرف بال Virtual Private Networks وتذكر اختصاراً ب VPN, قد ساهمت في تخفيض تكاليف نقل المعلومات الخاصة بالشركات والمؤسسات بين فروعها البعيدة عن المقر الرئيسي لها وبين المستخدم المنزلي الذي يريد الوصول إلى معلوماته المتوفرة في جهاز الحاسب المنزلي.
قد تملك شركة من الشركات مكتباً واحداً, وقد تملك مكاتب كثيرة متوزعة في أنحاء مختلفة من البلاد أو خارج البلاد. قد يعمل موظفوها من المكتب الرئيس hdoifh لها أو من خلال المكاتب المتوزعة في أنحاء البلاد أو حتى من خلال بيوتهم أو مواقعهم البعيدة كحقول النفط في البحار. في مثال الشركة ذات المكتب الواحد, استخدام الشبكة العادية أو ما يعرف بالLocal Area Network والتي تعرف اختصاراً بال LAN باستخدام تقنية الايثرنت، قد يكفي لايصال وربط كافة أجهزة الكمبيوتر الموجودة في المكتب مع بعضها البعض, ولكن للمكاتب البعيدة كلأمثلة التي ذكرناها في الأعلى, فان الشركة تحتاج إلى شيء آخر غير ال LAN.
في الماضي, كان المستخدم البعيد أو الموظف الذي يعمل من منطقة بعيدة عن المقر الرئيس للشركة يتصل من خلال مودم عادي للشركة باستخدام خطوط الهاتف. يقوم سرفر ومودم اخر موجودان في مقر الشركة بالرد على اتصال الموظف ليقوم بعمله ويتم اقفال الخط بعد الانتهاء من العملية. سلبيات هذه الطريقة كانت من عدة نواحي منها كلفة فواتير الهاتف المتصل من المستخدم البعيد, ايجار الخطوط ،سرعة الاتصال البطيئة ،بالإضافة إلى اشغال خط الهاتف أثناء فترة الاتصال. رغم هذه السلبيات كانت العملية نوعاً ما آمنة لانها كانت تصل الطرفان بشبكة مغلقة ومسار خاص. كانت الشركات المقتدرة تستخدم خطوط عالية السرعة تسمى بالLeased Lines لتتغلب على مشكلة السرعة لكنها كانت تدفع مبالغ ضخمة في مقابل هذه الخدمة لربط النقطتين بشكل متواصل وبسرعة عالية وبشبكة خاصة آمنة نوعاً ما.
عندما انتشرت شبكة الإنترنت في كل مكان, كانت هناك فرصة استخدامها كوسيط لنقل المعلومات وكشبكة يمكن من خلالها نقل المعلومات من مكان إلى آخر بأسعار زهيدة مقارنة بالطريقة السابقة, ولم يكن هناك داعٍ لتوصيل نقطتين مع بعضها فيمكن الاتصال من اي جهاز في العالم باي جهاز في العالم ان كانا متصلين بالإنترنت. وان كانت نوعية الاتصال بين الجهازين هو الADSL فان التكلفة تكون ثابتة ومناسبة والاتصال قائم بشكل مستمر.
المشكلة في هذه الطريقة هي ان اتصال الجهازين عبر شبكة الإنترنت يعرضهما مع المعلومات الخاصة بالشركة إلى الاختراق, وهذا الاتصال يعتبر غير آمن ولن تقبل به الشركات والمؤسسات لما يحمله من مخاطر, فكان لابد من ايجاد حل لمشكلة الامن هنا ولهذا تم اصدار الشبكات الافتراضية الخاصة.
الشبكة الافتراضية الخاصة توفر الأمن للشبكة الخاصة بالإضافة إلى الأسعار المناسبة باستخدام شبكة الإنترنت.
هنا يجب فصل الطرفين عن الإنترنت من الناحية النظرية, عن طريق وضع الأجهزة في نطاق IP معين وخاص كشبكات محلية خاصة بكل جهة. يجب وضع جدار ناري أو Firewall للجهة التي ستستلم الاتصال أو من المنتظر ان يتم الاتصال بها للوصول إلى المعلومات الخاصة بها, ويقوم الجدار الناري بابعاد مستصفحي الإنترنت ومنعهم من الدخول أو الوصول إلى السرفر الخاص بالشركة إلا من خلال كمبيوترات معينة تختارها الشركة.
الفكرة الرئيسية في مسألة الشبكة الافتراضية الخاصة هي عبارة عن بناء "نفق" خاص بين الجهازين, النفق أو ال VPN Tunnel هو عبارة عن معلومات خاصة ومشفّرة يتم تبادلها بين الجهازين اللذان يقومان بفك التشفير عند استلام المعلومات من الطرف الآخر من النفق الافتراضي بعد أن يبعد الجدار الناري اي اتصال غير مرخص له من مدير النظام أو المسؤول عن الشبكة في الشركة أو فرعها. الفكرة هي حماية المعلومات من خلال النفق المشفر للبيانات وأيضاً التأكد من هوية الجهاز المتصل من خلال الجدار الناري الذي لن يقبل اي اتصال غريب
البروتوكولات المستخدمة في VPN:
(PPTP- (Point-to-Point Tunneling Protocol
(L2F- (Layer Two Forwarding
(L2TP- (Layer Two Tunneling Protocol
(SSL- (Secure Sockets Layer
(SSTP- (Secure Socket Tunneling Protocol
IPsec
يتم نقل البيانات في الـVPN عن طريق بروتوكول IPsec الذي يوفر لنا أربع خاصيات مهمة في مجال الحماية :
- التشفير Encryption : عن طريق خوارزميات التشفير الصعبة الكسر مثل DES, 3DES, AES .
- المصادقة Authentication : عن طريق خوارزميات MD-5 , SHA-1 .
- الحماية Protection : عن طريق خوارزميات DH1, DH2, DH5, DH7 .
- بروتوكول التفاوض Negotiation protocol : عن طريق خوارزميات AH, ESP .
للـ VPN أشكال مختلفة في الشبكة و لكن تقوم بنفس العملية في جميع هذه الاشكال
PPTP and L2TP “Dial-UP VPN”
Site-to-Site VPN
Point-to-Point VPN
Site-to-Multi Site VPN
MPLS-VPN
Dial-UP VPN
في النقطة الاولى PPTP and L2TP أو ما يسمى بـ Dial-UP VPN و يسمى ايضا Dial-In VPN و هو عباره عن علاقة عميل بالشبكة Client to Network
حيث يقوم العميل بالاتصال على خادم الـ VPN في الشركة غالبا يكون الـ Firewall بنفس الطريقة المستخدمة لعمل أتصالات الـ Dial Up بأدخال عنوان الـ Server و أسم المستخدم و كلمة المرور
Point to Point VPN
الـ Point to Point VPN يعتبر أتصال بين نقطة و نقطة فقط و يجب أن يكون مقدم الخدمة مزود خدمة واحد بين الموقعين و تسمى هذه الخدمة لدى شركة الاتصالات السعودية IP-VPN
مميزاتها : السهولة في الاعدادات
عيوابها : لابد أن يكون مزود الخدمة ISP A لجميع الفروع .
Site to Site VPN
بالنسبة للـ Site to Site مماثل تماما للـ Point to Point كونة أتصال بين نقطة و نقطة و لاكنه بأمكان عمل هذا الاتصال عن طريق أتصال الانترنت و من مزودين خدمة مختلفين .
Site to Multi-Site DMVPN
يعتبر هذا النوع من الـ VPN الاكثر أستخداما في التطبيقات العملية و الأرخص عند مقارنة التكلفة .
بعد الاطلاع على المخطط يبدوا انه أتضح لكم السبب . لست بحاجة الى عناوين ثابته Static IPs فقط بحاجة الى عنوان واحد في المركز الرئيسي و أتصال إنترنت مهما كان نوعه في الفروع الاخرئ
يعتبر الارخص وليس الافضل ..
MPLS- VPN
يعتبر أفضل و أسرع اختيار للـ VPN بالاضافة الموثوقية العالية .. ولاكن له بعض الشروط حيث يكون مزود الخدمة محدد اي ISP A فقط مما يسبب صعوبات و تكاليف عالية للـ International VPN و لا توجد نقطة معينه لسقوط الشبكة حيث انه في الـ DMVPN تخسر جميع الاتصالات اذا خسرت الاتصال في الـ HQ Office
عندما ذكرت عامل السرعة في الـ MPLS-VPN بسبب ان عملية الـ Switching تكون لدى مزود الخدمة مما يعطيك Ping منخفض غالبا 10ms بينما جميع الانواع المذكورة سابقا تعطيك Ping عالي من 30ms حتى الى 100ms
المقصود بالـ Ping هو التأخير او الـ Delay و يقاس بوحده الـ ملي ثانية ms
معـلومة:
شركة مايكروسوفت قامت بإنشاء خدمة مشابه للـ VPN تساعد على اجراء الاتصال البعيد مع تشفير القناة المستخدمة في ارسال البيانات. هذا الخدمة تسمى بـ DirectAccess و تحتوي على مميزات غير متوفرة في خدمة الاتصال VPN.