سناریوهای توپولوژی های مختلف VPN

بسیاری از این فن آوری های VPN بوسیله آرایش و منابع ضروری از کاربران تحت تاثیر قرار بگیرد. برخی فن آوری ها کاربران رومینگ را به خوبی دیگران اداره نمی کنند. برخی با NAT  (Network Address Translation) مشکل دارند، هنوز دیگران با مشکلات با روترهای قدیمی یا فایروال های محدود که حتی پروتکل های خودشان را پشتیبانی نمی کنند  و از مسیریابی صحیح اجتناب می کنند گرفتار هستند.

VPN Topology

 

در اینجا راه های زیادی وجود دارد که یک نفر می تواند توپولوژی های لیست شده در این متن را تنظیم کند، با این حال تعدادی لیست خواهد شد تا برخی از چالش ها را توضیح بدهد. از جمله  روش قوی تر با جزئیات کافی مانند، تکنولوژی های پشتیبان گیری ، IDS (Intrusion Detection Systems) و تکنولوژی های نظارت، که فراتر از محدوده این مقاله است.

به جزئیات نقاط قوت و نقاط ضعف هر یک از توپولوژی ها پرداخته می شود، برخی نقاط  آشکار می شود و به هر کدام از آنها توجه خواهد شد.

توپولوژی 1 VPN

VPN Topology1

سرور VPN و یا کلاینت، متسقیما به اینترنت و LAN داخلی متصل می شود، سرور ممکن است نرم افزار فایروال در حال اجرای خود را داشته باشد یا نداشته باشد.

این یک راه اندازی مشترک برای همه است. ارزان است  و راه اندازی و اداره آن آسان است .بسیاری مدیران بی تجربه و کاربرانی که این راه اندازی را به کار می برند ممکن است به وضعیت آسیب پذیر آن آگاه نباشند.

مزایا: راه اندازی و اداره آسان، هزینه خیلی پایین.

معایب: حفاظت کم، بسیار آسیب پذیر در برابر بسیاری از حملات، نشت اطلاعات و غیره.

توپولوژی 2 VPN

VPN Topology2

سرور VPN پشتیان یک فایروال اما پذیرفتن سرویس پورت ها هنوز به طور مستقیم قابل دسترس برای پورتها که اجازه داده شده اند تا بوسیله فایروال باز شوند

این یک روش راه اندازی متداول دیگر است. ارزان است و راه اندازی و اداره آن بسیار آسان است . این روش روی توپولوژی 1 اصلاح شده است. متاسفانه هنوز ضعف هایی وجود داد که به آسانی سوء استفاده می شود و معمولا کسانی که این پیکربندی را استفاده می کنند به شدت به فایروال خود به عنوان تنها وسیله محافظت نسبت به  “security in depth” و لایه بندی دفاع تکیه دارند.

مزایا: راه اندازی و اداره آسان و هزینه پایین

معایب: هنوز نسبت به آسیب پذیری ها و دامنه وسیعی از حملات کاملا باز است.

 

توپولوژی 3 VPN

VPN Topology3

سرور VPN پشتیبان فایروال و تنها برای پورت های خاصی با انتقال پورت از فایروال قابل دسترسی است .

این توپولوژی بر روی دو روش قبلی بواسطه محدودیت های شدیتر روی اینکه چه ترافیک و سرویس هایی اجازه دسترسی داده شده اند و از کجا بهسازی شده است.

مزایا: بهبود دادن “وضع”  امنیت، هنوز هم راه اندازی و اداره نسبتا آسان است.

معایب: به آسانی راه اندازی دو مورد قبلی نیست، هنوز هم به آن اندازه لایه های زیادی از یک رویکرد امنیت عمیق “security in depth” که می تواند باشد نیست.

توپولوژی 4 VPN

VPN Topology4

سرور VPN یک DMZ با کاربر VPN متصل سپس به LAN داخلی از طریق فایروال LAN اجازه می دهد.

این پیکر بندی بسیار ایده ال تر است. لایه های چندگانه برای چک کردن و محافظت است. متاسفانه، هم بودجه، زمان، منابع یا سطح مهارت مدیران باعث می شود به این روش راه اندازی ایده آل گرایش نداشته باشند. این توپولوژی حتی می تواند بیشتر بوسیله لایه های اضافی از فایروال ها و دیگر” حقه های شغل” بهبود یابد.

مزایا: حالت امنیت بیشتر، امنیت در لایه ها.

معایب: پیچیدگی بالا برای راه اندازی و اداره، هزینه های اضافه، نیاز به مجموعه مهارت های پیشرفته

توپولوژی 5 VPN

VPN Topology5

سرور VPN در DMZ اما به عنوان دروازه دیگر درون LAN، معمولا این سرور VPN هنوز به عنوان فایروال عمل می کند و به هیچ ترافیکی به جز آنهایی که واقعا از طریق VPN متصل شده اند اجازه نمی دهد.

این توپولوژی به ایده آلی توپولوژی 4 نیست اما نامتداول نیست. این توپولوژی ترکیبی از گزینه های 3 و 4 می باشد، اما نه به امنی 4 از آنجا که دومین فایروال که بررسی اضافی را قبل از اجازه دسترسی به LAN انجام میدهند وجود ندارد.

مزایا:راه اندازی و ادراه آن از توپولوژی 4 کمی راحت تر است.

معایب: سطح امنیت حدودا برابر با توپولوژی 3 می باشد.

توپولوژی 6 VPN

 

بی سیم (مانند تکنولوژی های محبوب 802.11b ) از VPN ، معمولا یکی از 5 توپولوژی قبل و احتمالا یک فایروال (توصیه می شود) استفاده می کنند.

متاسفانه بیشتر کمپانی ها از فایروال ها یا VPN ها برای جدا کردن و حفاظت کاربران LAN بی سیم خودشان استفاده نمی کنند . با این حال، برای کسانی که به این نوع هشدار ها توجه می کنند، این یک گزینه است از بین چندین گزینه ای که می توانند انتخاب کنند. این توپولوژی برای راه اندازی نسبتا آسان است و بسیار در امتداد توپولوژی 1 می باشد، برای اینکه بیشتر کمپانی ها گمان می کنند که بسیار کمتر از طریق LAN بی سیم محلی خود نسبت به اینترنت مورد حمله قرار می گیرند ، متاسفانه گرایش به این حدس و گمان ها مخاطره آمیز است. گزینه دیگر برای داشتن فایروال در مقابل سرور VPN همچنین LAN است، اما به نظر می رسد هنوز به عنوان یک روش متداول نیست.

مزایا: راه اندازی بی سیم امن تر، راه اندازی و اداره نسبتا آسان

معایب: سرور VPN هنوز نسبته به بسیاری حملات باز است و نشت اطلاعات از کاربران LAN اتفاق می افتد. حتی اگر یک مهاجم دسترسی به VPN نیابد ، هنوز هم می توانند از پهنای باند سوء استفاده کنند و به آسانی به سرور و کاربران در این بخش حمله کنند.

 

VPN Topology6

www.sans.org/security-resources/malwarefaq/pptp-vpn.php

 

You may also like...