ما هي شبكات VPN وكيف تعمل؟

تعمل الشبكة الافتراضية الخاصة ( VPN ) على توسيع شبكة خاصة عبر شبكة عامة وتمكن المستخدمين من إرسال واستقبال البيانات عبر الشبكات المشتركة أو العامة كما لو كانت أجهزة الحوسبة الخاصة بهم متصلة مباشرة بالشبكة الخاصة. ] وفوائد VPN تشمل الزيادات في الوظائف، الأمن ، وإدارة الشبكة الخاصة. وهو يوفر إمكانية الوصول إلى الموارد التي يتعذر الوصول إليها على الشبكة العامة وعادة ما تستخدم ل من بعد العمال. التشفير شائع ، على الرغم من أنه ليس جزءًا متأصلًا في اتصال VPN. ]

يتم إنشاء VPN من خلال إنشاء اتصال افتراضي من نقطة إلى نقطة من خلال استخدام دوائر مخصصة أو مع بروتوكولات الأنفاق عبر الشبكات الحالية. يمكن أن توفر VPN المتوفرة من الإنترنت العام بعض مزايا شبكة المنطقة الواسعة (WAN). من منظور المستخدم ، يمكن الوصول إلى الموارد المتاحة داخل الشبكة الخاصة عن بعد. ]

أنواع 

ما هي شبكات VPN وكيف تعمل؟, الملك التقنيشجرة تصنيف VPN على أساس الهيكل أولاً ، ثم على التكنولوجيا المستخدمة.ما هي شبكات VPN وكيف تعمل؟, الملك التقنينظرة عامة على اتصال VPN ، تعرض تكوينات الإنترانت من موقع إلى موقع والعمل عن بُعد المستخدمة معًا

يمكن تصنيف الشبكات الافتراضية الخاصة حسب عدة فئات:الوصول عن بعديعد تكوين مضيف إلى شبكة مماثلاً لتوصيل جهاز كمبيوتر بشبكة اتصال محلية. يوفر هذا النوع الوصول إلى شبكة مؤسسة ، مثل إنترانت . يجوز استخدام هذا ل من بعد العمال الذين يحتاجون إلى الوصول إلى موارد خاصة، أو لتمكين عامل المحمول للوصول إلى أدوات مهمة دون تعريضهم لشبكة الإنترنت العامة.من موقع لاخرA موقع إلى موقع التكوين يربط شبكتي. يقوم هذا التكوين بتوسيع شبكة عبر مكاتب متباينة جغرافيًا ، أو مجموعة من المكاتب لتثبيت مركز البيانات. قد يتم تشغيل ارتباط الترابط عبر شبكة وسيطة مختلفة ، مثل شبكتي IPv6 متصلتين عبر شبكة IPv4 . [موقع إلى موقع قائم على الإكسترانتفي سياق تكوينات موقع إلى موقع، وشروط الإنترانت و الإكسترانت تستخدم لوصف حالتي استخدام مختلفة. [ إن الإنترانت موقع إلى موقع وصف VPN تكوين حيث إتصال المواقع التي VPN تنتمي إلى نفس المؤسسة، في حين أن الشبكة الخارجية موقع إلى موقع VPN ينضم مواقع تابعة للمنظمات متعددة.

عادةً ما يتفاعل الأفراد مع شبكات VPN للوصول عن بُعد ، بينما تميل الشركات إلى الاستفادة من الاتصالات من موقع إلى موقع لسيناريوهات الأعمال التجارية والحوسبة السحابية والمكاتب الفرعية . على الرغم من ذلك ، فإن هذه التقنيات ليست حصرية بشكل متبادل ، وفي شبكة أعمال معقدة بشكل كبير ، يمكن دمجها لتمكين الوصول عن بُعد إلى الموارد الموجودة في أي موقع معين ، مثل نظام الطلب الموجود في مركز البيانات.

يمكن تصنيف أنظمة VPN أيضًا من خلال :

  • بروتوكول الأنفاق المستخدم في نفق حركة المرور
  • موقع نقطة إنهاء النفق ، على سبيل المثال ، على حافة العميل أو حافة مزود الشبكة
  • نوع طوبولوجيا الاتصالات ، مثل موقع إلى موقع أو شبكة إلى شبكة
  • مستويات الأمان المقدمة
  • و طبقة OSI ما يقدمونه لشبكة الاتصال، مثل طبقة 2 الدوائر أو طبقة الاتصال 3 شبكة
  • عدد الاتصالات المتزامنة

آليات الأمن

لا يمكن لشبكات VPN أن تجعل الاتصالات عبر الإنترنت مجهولة تمامًا ، ولكن يمكنها عادةً زيادة الخصوصية والأمان. لمنع الكشف عن المعلومات الخاصة، والشبكات الخاصة الإفتراضية تسمح عادة فقط مصادقة الوصول عن بعد باستخدام بروتوكول النقل عبر الأنفاق و التشفير التقنيات.

يوفر نموذج أمان VPN :

  • السرية بحيث حتى لو كان مشموم حركة مرور الشبكة في مستوى الحزمة (انظر الشم شبكة و علبة التفتيش العميق )، مهاجم سوف ترى سوى البيانات المشفرة
  • مصادقة المرسل لمنع المستخدمين غير المصرح لهم من الوصول إلى VPN
  • سلامة الرسائل لاكتشاف أي حالات تلاعب بالرسائل المرسلة.

ما هي شبكات VPN وكيف تعمل؟, الملك التقنيمراحل دورة حياة نفق IPSec في شبكة افتراضية خاصة.

تشمل بروتوكولات VPN الآمنة ما يلي :

  • تم تطوير أمان بروتوكول الإنترنت ( IPsec ) في البداية بواسطة فريق عمل هندسة الإنترنت (IETF) لـ IPv6 ، والذي كان مطلوبًا في جميع تطبيقات IPv6 المتوافقة مع المعايير قبل أن يقدم RFC 6434 توصية فقط. [ كما يستخدم على نطاق واسع هذا البروتوكول الأمني المستندة إلى المعايير مع عناوين IPv4 و بروتوكول الاتصال النفقي من طبقة 2 . يلبي تصميمه معظم أهداف الأمان : التوافر والنزاهة والسرية. يستخدم IPsec التشفير ، وتغليف حزمة IP داخل حزمة IPsec. يحدث إلغاء التغليف في نهاية النفق ، حيث يتم فك تشفير حزمة IP الأصلية وإعادة توجيهها إلى وجهتها المقصودة.
  • أمن طبقة النقل ( SSL / TLS ) يمكن النفق حركة المرور على الشبكة بالكامل (كما هو الحال في المسنجر المشروع و Soft­Eth­er VPN مشروع [ ) أو تأمين اتصال فردي. يوفر عدد من البائعين إمكانات VPN للوصول عن بُعد من خلال SSL. يمكن لـ SSL VPN الاتصال من المواقع التي تواجه فيها IPsec مشاكل مع ترجمة عنوان الشبكة وقواعد جدار الحماية.
  • أمان طبقة نقل مخطط البيانات ( DTLS ) — يُستخدم في Cis­co Any­Con­nect VPN وفي Open­Con­nect VPN [ لحل المشكلات التي يواجهها SSL / TLS مع النفق عبر TCP (يمكن أن يؤدي نفق TCP عبر TCP إلى تأخيرات كبيرة وإحباط اتصال [ ).
  • يعمل Microsoft Point-to-Point Encryp­tion ( MPPE ) مع بروتوكول الاتصال النفقي من نقطة إلى نقطة وفي العديد من التطبيقات المتوافقة على الأنظمة الأساسية الأخرى.
  • أنفاق بروتوكول Microsoft Secure Sock­et Tun­nel­ing Pro­to­col ( SSTP ) بروتوكول نقطة إلى نقطة (PPP) أو بروتوكول Lay­er 2 Tun­nel­ing Pro­to­col عبر قناة SSL / TLS (تم تقديم SSTP في Win­dows Serv­er 2008 و Win­dows Vista Ser­vice Pack 1).
  • شبكة خاصة افتراضية متعددة المسارات (MPVPN). شركة Rag­u­la Sys­tems Devel­op­ment تمتلك العلامة التجارية المسجلة “MPVPN”. 
  • Secure Shell (SSH) VPN — يوفر OpenSSH نفق VPN (يختلف عن إعادة توجيه المنفذ ) لتأمين الاتصالات عن بُعد بشبكة أو إلى ارتباطات بين الشبكات. يوفر خادم OpenSSH عددًا محدودًا من الأنفاق المتزامنة. لا تدعم ميزة VPN نفسها المصادقة الشخصية.  
  • Wire­Guard هو بروتوكول. في عام 2020 ، تمت إضافة دعم Wire­Guard إلى كل من نواة Lin­ux و Android ، مما فتح المجال للاعتماد من قِبل موفري VPN. افتراضيا، Wire­Guard يستخدم Curve25519 ل تبادل المفاتيح و ChaCha20 للتشفير، بل يشمل أيضا القدرة على قبل تبادل مفتاح متماثل بين العميل والخادم.  
  • IKEv2 هو اختصار يرمز إلى مجلد تبادل مفتاح الإنترنت 2. تم إنشاؤه بواسطة Microsoft و Cis­co ويستخدم جنبًا إلى جنب مع IPSec للتشفير والمصادقة. يتم استخدامه الأساسي في الأجهزة المحمولة ، سواء على شبكات 3G أو 4G LTE ، لأنه فعال في إعادة الانضمام عند فقد الاتصال.
اقرأ ايضا :  تحميل تطبيق فتح المواقع المحجوبة للاندرويد VPN Unlimited

المصادقة 

يجب مصادقة نقاط نهاية النفق قبل التمكن من إنشاء أنفاق VPN آمنة. قد تستخدم الشبكات الخاصة الإفتراضية الوصول عن بعد إنشاء المستخدم كلمات السر ، القياسات الحيوية ، اثنين عامل التوثيق أو غيرها من التشفير الأساليب. غالبًا ما تستخدم أنفاق الشبكة إلى الشبكة كلمات مرور أو شهادات رقمية . يقومون بتخزين المفتاح بشكل دائم للسماح للنفق بالتأسيس تلقائيًا ، دون تدخل من المسؤول.

التوجيه 

يمكن أن تعمل بروتوكولات الاتصال النفقي في طوبولوجيا شبكة من نقطة إلى نقطة والتي من الناحية النظرية لا تعتبر شبكة ظاهرية خاصة لأنه من المتوقع أن تدعم الشبكة الظاهرية الخاصة بحكم التعريف مجموعات تعسفية ومتغيرة من عقد الشبكة. ولكن نظرًا لأن معظم تطبيقات أجهزة التوجيه تدعم واجهة النفق المعرفة بالبرمجيات ، فإن الشبكات الافتراضية الخاصة التي يوفرها العملاء غالبًا ما تكون مجرد أنفاق محددة تقوم بتشغيل بروتوكولات التوجيه التقليدية.

الكتل البرمجية الإنشائية للشبكات الظاهرية الخاصة (VPN) التي يوفرها المزود 

ما هي شبكات VPN وكيف تعمل؟, الملك التقنيمصطلحات موقع إلى موقع VPN.

اعتمادًا على ما إذا كانت VPN التي يوفرها المزود (PPVPN) تعمل في الطبقة 2 أو الطبقة 3 ، قد تكون الكتل الإنشائية الموضحة أدناه هي L2 فقط أو L3 فقط أو مزيجًا من كليهما. تعمل وظيفة تبديل الملصقات متعدد البروتوكولات (MPLS) على تعتيم هوية L2-L3.  [ بحث أصلي؟ ]

عمم RFC 4026 المصطلحات التالية لتغطية L2 MPLS VPNs و L3 (BGP) VPNs ، ولكن تم تقديمها في RFC 2547 .   أجهزة العميل (ج)

جهاز موجود داخل شبكة العميل وغير متصل بشكل مباشر بشبكة مزود الخدمة. أجهزة C ليست على علم بشبكة VPN.جهاز حافة العميل (CE)

جهاز على حافة شبكة العميل يوفر الوصول إلى PPVPN. في بعض الأحيان تكون مجرد نقطة فاصلة بين مسؤولية المزود والعميل. يسمح الموفرون الآخرون للعملاء بتكوينه.موفر جهاز الحافة (PE)

جهاز ، أو مجموعة من الأجهزة ، على حافة شبكة الموفر والتي تتصل بشبكات العملاء من خلال أجهزة CE وتقدم رؤية الموفر لموقع العميل. يدرك خبراء المنتجات شبكات VPN التي تتصل من خلالها وتحافظ على حالة VPN.جهاز المزود ℗

اقرأ ايضا :  Hotspot Shield VPN: تحميل برنامج VPN مجانا

جهاز يعمل داخل الشبكة الأساسية للمزود ولا يتفاعل مباشرة مع أي نقطة نهاية خاصة بالعميل. قد يوفر ، على سبيل المثال ، التوجيه للعديد من الأنفاق التي يديرها مزود الخدمة والتي تنتمي إلى شبكات PPVPN مختلفة للعملاء. بينما يعد جهاز P جزءًا أساسيًا من تنفيذ شبكات PPVPN ، فهو في حد ذاته ليس على دراية بشبكة VPN ولا يحافظ على حالة VPN. يتمثل دورها الرئيسي في السماح لمزود الخدمة بتوسيع نطاق عروض PPVPN ، على سبيل المثال ، من خلال العمل كنقطة تجميع للعديد من PEs. غالبًا ما تكون الوصلات P‑to P‑P ، في مثل هذا الدور ، عبارة عن روابط ضوئية عالية السعة بين المواقع الرئيسية لمقدمي الخدمات.

خدمات PPVPN المرئية للمستخدم 

خدمات الطبقة الثانية من OSI

الشبكة المحلية الافتراضية

الشبكة المحلية الظاهرية (VLAN) هي تقنية من الطبقة الثانية تسمح بالتعايش بين عدة مجالات بث لشبكة المنطقة المحلية (LAN) مترابطة عبر قنوات باستخدام بروتوكول التوصيل IEEE 802.1Q . تم استخدام بروتوكولات توصيل أخرى ولكنها أصبحت قديمة ، بما في ذلك Inter-Switch Link (ISL) و IEEE 802.10 (في الأصل بروتوكول أمان ولكن تم تقديم مجموعة فرعية للكابلات) ومحاكاة LAN ATM (LANE).خدمة الشبكة المحلية الخاصة الافتراضية (VPLS)

تم تطوير الشبكات المحلية الظاهرية (VLAN) بواسطة معهد مهندسي الكهرباء والإلكترونيات ، مما يسمح لشبكات LAN ذات علامات متعددة بمشاركة الكابلات المشتركة. غالبًا ما تشتمل شبكات VLAN على المرافق المملوكة للعملاء فقط. في حين أن VPLS كما هو موضح في القسم أعلاه (خدمات الطبقة الأولى من OSI) تدعم محاكاة كل من طبولوجيا من نقطة إلى نقطة ومن نقطة إلى عدة نقاط ، فإن الطريقة التي تمت مناقشتها هنا توسع تقنيات الطبقة الثانية مثل 802.1d و 802.1q LAN trunk­ing للتشغيل عبر وسائل النقل مثل Metro Eth­er­net .

كما هو مستخدم في هذا السياق ، فإن VPLS هي طبقة 2 PPVPN ، تحاكي الوظائف الكاملة لشبكة LAN التقليدية. من وجهة نظر المستخدم ، يتيح VPLS إمكانية ربط العديد من مقاطع LAN عبر نواة موفر بتبديل الحزمة ، أو ضوئية ، وهي نواة شفافة للمستخدم ، مما يجعل قطاعات LAN البعيدة تتصرف مثل شبكة LAN واحدة. 

في VPLS ، تحاكي شبكة المزود جسر التعلم ، والذي قد يتضمن اختياريًا خدمة VLAN.سلك زائف (PW)

يشبه PW VPLS ، لكنه يمكن أن يوفر بروتوكولات L2 مختلفة في كلا الطرفين. عادةً ما تكون واجهته عبارة عن بروتوكول WAN مثل وضع النقل غير المتزامن أو ترحيل الإطار . في المقابل ، عندما تهدف إلى توفير مظهر شبكة LAN متجاورة بين موقعين أو أكثر ، فإن خدمة الشبكة المحلية الخاصة الافتراضية أو IPLS ستكون مناسبة.إيثرنت عبر أنفاق IP

EtherIP ( RFC 3378 ) هو أحد مواصفات بروتوكول نفق إيثرنت عبر IP. يحتوي EtherIP على آلية تغليف الحزمة فقط. ليس لديها سرية ولا حماية سلامة الرسالة. وقدم EtherIP في فري كومة شبكة و Soft­Eth­er VPN برنامج الخادم. خدمة IP-like LAN-like (IPLS)

مجموعة فرعية من VPLS ، يجب أن تتمتع أجهزة CE بإمكانيات الطبقة الثالثة ؛ يقدم IPLS الحزم بدلاً من الإطارات. قد يدعم IPv4 أو IPv6.

بنى OSI Layer 3 PPVPN 

يناقش هذا القسم البنى الأساسية لشبكات PPVPN ، أحدهما حيث يزيل PE العناوين المكررة في مثيل توجيه واحد ، والآخر ، جهاز التوجيه الظاهري ، حيث يحتوي PE على مثيل موجه افتراضي لكل VPN. لقد حظي النهج الأول ومتغيراته بأكبر قدر من الاهتمام.

اقرأ ايضا :  تحميل تطبيق فتح المواقع المحجوبة للاندرويد VPN Unlimited

تتضمن إحدى تحديات PPVP­Ns عملاء مختلفين يستخدمون نفس مساحة العنوان ، وخاصة مساحة العنوان الخاص IPv4. يجب أن يكون المزود قادرًا على توضيح العناوين المتداخلة في شبكات PPVPN متعددة العملاء.BGP / MPLS PPVPN

في الطريقة المحددة بواسطة RFC 2547 ، تعلن امتدادات BGP عن المسارات في عائلة عناوين IPv4 VPN ، والتي تكون على شكل سلاسل 12 بايت ، تبدأ بمميز مسار 8 بايت (RD) وتنتهي بعنوان IPv4 4 بايت . توضح RDs العناوين المكررة بخلاف ذلك في نفس PE. 

يفهم PEs هيكل كل VPN ، والمترابطة مع أنفاق MPLS إما مباشرة أو عبر أجهزة التوجيه P. في مصطلحات MPLS ، فإن أجهزة التوجيه P هي أجهزة توجيه تبديل التسمية دون معرفة الشبكات الافتراضية الخاصة.جهاز التوجيه الظاهري PPVPN

لا تتطلب بنية جهاز التوجيه الافتراضي ،   على عكس تقنيات BGP / MPLS ، أي تعديل على بروتوكولات التوجيه الحالية مثل BGP. من خلال توفير مجالات التوجيه المستقلة منطقيًا ، يكون العميل الذي يقوم بتشغيل VPN مسؤولاً تمامًا عن مساحة العنوان. في أنفاق MPLS المختلفة ، يتم توضيح شبكات PPVPN المختلفة من خلال الملصق الخاص بها ولكنها لا تحتاج إلى مميّزات التوجيه.

أنفاق غير مشفرة

تستخدم بعض الشبكات الظاهرية بروتوكولات الأنفاق بدون تشفير لحماية خصوصية البيانات. بينما توفر الشبكات الظاهرية الخاصة (VPN) غالبًا الأمان ، فإن شبكة التراكب غير المشفرة لا تتناسب تمامًا مع التصنيف الآمن أو الموثوق به. على سبيل المثال ، النفق الذي تم إعداده بين مضيفين باستخدام تغليف التوجيه العام (GRE) هو شبكة افتراضية خاصة ولكنها ليست آمنة ولا موثوقة.  

أصلي عادي تتضمن البروتوكولات نفق طبقة 2 بروتوكول الاتصال النفقي (L2TP) عندما يتم إعداده من دون أمن بروتوكول الإنترنت و نقطة إلى نقطة بروتوكول الاتصال النفقي (PPTP) أو مايكروسوفت من نقطة إلى نقطة التشفير (MPPE). 

شبكات التوصيل الموثوقة 

لا تستخدم شبكات VPN الموثوقة نفق التشفير ؛ بدلاً من ذلك ، يعتمدون على أمان شبكة مزود واحد لحماية حركة المرور. 

  • غالبًا ما يتراكب تبديل الملصقات متعدد البروتوكولات (MPLS) على شبكات VPN ، غالبًا مع التحكم في جودة الخدمة عبر شبكة توصيل موثوقة.
  • L2TP وهو بديل قائم على المعايير ، وحل وسط يأخذ الميزات الجيدة من كل منهما ، لبروتوكولي VPN مملوكين : Cis­co’s Lay­er 2 For­ward­ing (L2F) (عفا عليه الزمن اعتبارًا من 2009 ) و Microsoft­’s Point-to- بروتوكول النفق النقطي (PPTP) . 

من وجهة نظر الأمان ، تثق الشبكات الظاهرية الخاصة (VPN) في شبكة التوصيل الأساسية أو يجب عليها فرض الأمان بآليات في الشبكة الظاهرية الخاصة نفسها. ما لم يتم تشغيل شبكة التوصيل الموثوقة بين مواقع آمنة ماديًا فقط ، تحتاج كل من النماذج الموثوقة والآمنة إلى آلية مصادقة للمستخدمين للوصول إلى VPN.

الشبكات الافتراضية الخاصة في بيئات الهاتف المحمول 

تُستخدم الشبكات الخاصة الافتراضية للجوال في الإعدادات حيث لا يتم تثبيت نقطة نهاية VPN على عنوان IP واحد ، ولكن بدلاً من ذلك تتجول عبر شبكات مختلفة مثل شبكات البيانات من شركات الاتصالات الخلوية أو بين نقاط وصول Wi-Fi متعددة دون إسقاط جلسة VPN الآمنة أو فقدان جلسات التطبيق. تُستخدم شبكات VPN المحمولة على نطاق واسع في مجال السلامة العامة حيث تمنح مسؤولي إنفاذ القانون الوصول إلى تطبيقات مثل الإرسال بمساعدة الكمبيوتر وقواعد البيانات الجنائية ، وفي المنظمات الأخرى ذات المتطلبات المماثلة مثل إدارة الخدمة الميدانية والرعاية الصحية.  [بحاجة إلى اقتباس للتحقق ].

قيود الشبكات

يتمثل أحد قيود شبكات VPN التقليدية في أنها اتصالات من نقطة إلى نقطة ولا تميل إلى دعم مجالات البث ؛ لذلك ، قد لا يتم دعم الاتصالات والبرامج والشبكات ، التي تستند إلى الطبقة 2 وحزم البث ، مثل Net­BIOS المستخدمة في شبكات Win­dows ، بشكل كامل كما هو الحال في شبكة المنطقة المحلية . تم تصميم المتغيرات على VPN مثل Vir­tu­al Pri­vate LAN Ser­vice (VPLS) وبروتوكولات نفق الطبقة 2 للتغلب على هذا القيد. 

wikipedia

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *