روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در آخرین فصل "مقدمه ای برای VPN" ما فراتر از سخنان معمول در خصوص فناوری VPN پیش رفته ایم و به برخی از مسائل حقوقی و فنی در خصوص استفاده از VPN پرداخته ایم و در پایان توصیه هایی عملی هم ارائه داده ایم.
روش های تکنیک
ممکن است به خاطر داشته باشید که در بخش های قبل ما تاکید قابل توجهی بر اجرای صحیح، راه اندازی و استفاده از انواع VPN پرداخته ایم. حتی در نسخه های قابل اطمینان اگر درست استفاده نشوند مانند یک پروتکل بی ارزش عمل می کنند.
تمام روش های VPN تحت پوشش یک بخش مشترک بوده اند: آنها عبارتند از پیاده سازی منابع باز که در آسیب پذیری دارای وجهه مشترک می باشند. با این حال در حقیقت علاوه بر کدها مسائل دیگر هم وجود دارند.
مشکل بارز VPN قطع شدن آنها است که مسیرهای ترافیک یک شبکه عمومی را هم شامل می شود. به عنوان مثال این قطع شدن ممکن است در هنگام استفاده یک کاربر در اتصال با شبکه WiFi عمومی یا شبکه های تلفن همراه هم باشد. بدترین حالت در زمانی است که کاربر از قطع شدن VPN باخبر نشود و VPN هم به صورت خودکار متصل نشود.
مایکروسافت در ویندوز 7 و نسخه های بالاتر از آن به معرفی ویژگی های اتصال مجدد VPN پرداخته است. اگر شما از یک محیط جایگزین استفاده می کنید، نیاز به تنظیمات مسیریابی یا "Kill switch" دارید. حالت دوم هم نظارت بر وضعیت اتصال VPN است. اگر اتصال قطع شود ترافیک مسدود می شود و تمام برنامه های در حال اجرا متوقف می شوند و تلاش های بنیادی برای برقراری اتصال مجدد صورت می گیرد.
دومین نشت VPN به مراتب آشکار تر و مکرر تر است که مرتبط با پروتکل IPv6 می باشد. اگر چه پروتکل IPv6 امروزه در طبیعت هم یافت نمی شود اما تمام سیستم عامل های بزرگ به طور پیش فرض از این پروتکل فعال استفاده می کنند و این در حالی است که VPN عمدتا از پروتکل IPv4 بهره می گیرد.
اتفاقات در این زمینه به علت پشتیبانی شبکه عمومی از پروتکل IPv6 است و کاربر هم ممکن است به منبعی متصل شود که با همین نسخه پروتکل به طور پیش فرض در اتصال است. ساده ترین راه برای حل این مشکل غیر فعال کردن کامل پشتیبانی از پروتکل IPv6 از سیستم است.
البته در یک مسیر می توان تمام ترافیک را به سمت VPN هدایت کرد. اما این امر نیاز دارد تا کاربر گیرنده خدمات، از پشتیبانی سرور و تنظیمات خاص برخوردار شود. تحقیقات انجام شده در سال 2015 نشان داده است که ارائه دهندگان VPN آغاز به ارائه راه حل های مناسب به مشتریان خود کرده اند.
این تحقیق به مسئله سومی هم اشاره داشت: نشت DNS. در بهترین حالت زمانی که یک کاربر در اتصال با VPN است تمامی DNS ها تمامی درخواست ها به شبکه VPN ارسال نمی شوند و در سرور DNS در انتظار پردازش می مانند. برای حل این مشکلات باید سرورهای قابل اعتماد مانند DNS عمومی گوگل یا OpenDNS در شبکه نصب و راه اندازی کرد. در روش دیگری هم می توان VPN را با استفاده از سرویسی مانند DNSCrypt استفاده کرد. در این حالت سرورها درخواست DNS را رمزگذاری کرده که از موارد دیگر بسیار مفید تر است.
در زندگی واقعی مردم از این توصیه ها به ندرت استفاده می کنند و به دنبال DNS سرورهائی هستند که توسط شبکه های عمومی ارائه می شوند. قطعا پاسخ به دست آمده از این سرورها ممکن است نادرست و یا حتی جعلی باشند و این می تواند یک فرصت مناسب برای مهاجمان سایبری باشد. از طریق نشت DNS حریم خصوصی دچار آسیب می شود، چون یک مهاجم می تواند با پیدا کردن آدرس سرور DNS، نام ISP و محل دقیق کاربر را هم بدست آورد.
کسانی که از ویندوز استفاده می کنند دارای وضعیت خطرناک تری هستند. از آنجائیکه ویندوز 7 برای تمام DNS سرورها شناخته شده است، پاسخ ها یک به یک بررسی و سپس ارسال می شود. ویندوز 8/8.1 سریع تر عمل می کند زیرا تمام کارها را به طور همزمان در کلیه DNS سرورها انجام می دهد. اگر یک سرور تا یک دقیقه پاسخ را ارسال نکند، سرور دیگری این کار را انجام خواهد داد. در مبحث VPN هم ممکن است از شبکه دیگری به جای DNS پاسخ ارسال شود. خبر خوب این است که این قابلیت را می توان به صورت دستی خاموش کرد و خبر بد هم این است که با راه اندازی اشتباه می تواند در System Register اختلال ایجاد کند.
در ویندوز 10 همه چیز بدتر می شود. این سیستم عامل نیز درخواست های DNS را به همه جا و با بالاترین سرعت ارسال می کند. این روش اصلا مناسب نمی باشد و بارگذاری هم در سطوح مختلف سیستم غیر فعال نمی شود.
همچنین آسیب پذیری شدیدی هم در WebRTC وجود دارد. این تکنولوژی از ابتدا در مرورگرها فعال بود و طوری طراحی شده بود که ارتباطی مستقیم بین شبکه و تماس های صوتی و تصویری برقرار کند. چون WebRTC خواستار دسترسی به اتصالات شبکه به طور همزمان برای ارسال پاسخ می باشد، پس احتمال نشت در این شرایط بسیار وجود دارد.
این نشانه ای از عدم کنترل می باشد که در پلاگین های دیگر مانند java وAdobe Flash پیدا شده است. با بررسی های ما برای محافظت از کاربران در شبکه های عمومی مشخص شد که این تهدیدی بسیاری جدی برای حریم خصوصی کاربران می باشد.
مختصات حقوقی
اولین و مهم ترین مسئله مرتبط با VPN تفاوت قانون گذاری آن در کشورها است. یک کاربر VPN ممکن است در یک کشور باشد و سرور VPN در کشور دیگری قرار داشته باشد. روش دیگر ترافیکی است که ممکن است از طرف کشور سومی ارسال شود. اگر شما اطلاعاتی در مورد نقض این قوانین نداشته باشید هنگام نقل و انتقال داده ها ممکن است اطلاعات خود را از دست بدهید.
به طور کلی رمزگشایی ترافیک ایمن می تواند گیج کننده باشد و شاید سالها هم زمان بخواهد. در حقیقت بسیاری با استفاده از VPN ممکن است در صدد نقض قوانین قرار بگیرند و از طریق VPN داده ای را پنهان کنند. ممکن است زمانی VPN بسیار عالی برای ما کار کند، اما از نظر فناوری محدود شده باشد. (نمونه هایی از این حالت را می توانید در PRISM ببینید).
با این حال تمام مسائل حقوقی بیشتر به استفاده از رمزگذاری می پردازند تا زمان بیشتری را نسبت به خود VPN اختصاص دهند. واضح است که هر کشوری می خواهد از اطلاعات خود محافظت کند و اساسا به همین دلیل هم رمزگذاری شدیدا قابل توجه است.
مدیران IT در ایالات متحده آمریکا نسبت به این مسائل بسیار کنجکاو هستند. استاندارد رمزگذار جدید برای اولین بار توسط NIST (موسسه ملی استاندارد و فناوری) تایید شد. این استانداردها در قدرت های متفاوتی قرار دارند. رمزگذاری در بازارهای داخلی بیشتر استفاده می شود در حالیکه در بازارهای صادراتی بسیار ضعیف تر عمل می کنند. شرکت های سخت افزار و نرم افزاری هم که در تلاش هستند تا قرارداد های دولتی داشته باشند باید دیگر تابع این قوانین عمل کنند.
دیگر لازم نیست که ما به شما یادآوری کنیم که محبوب ترین سیستم عامل و اجزای رمزگذاری دارای ماژول های VPN می باشند. البته باید بدانید این موضوع مانند از پشت خنجر خوردن هم می باشد. به نظر می رسد که فناوری های شبکه برای تبدیل شدن به استانداردهای صنعتی می تواند در آغاز راه آسیب پذیر باشد.
به عنوان مثال NIST در سال2013 متهم به داشتن مجوز NSA در یک نسخه آسیب پذیر از مولد اعداد شبه تصادفی به عنوان پایه ای برای استانداردهای رمز گذاری جدید شده بود. در تئوری این محافظت به راحتی انجام پذیر است.
سوءظن ها چند ماه پس از انتشار استاندارد جدید آغاز شد. با این حال تنظیم کننده این استانداردها توضیحات بیش از حد پیچیده را مقصر این عملکرد می دانست. پیش نویس توصیه رمز گذاری هم اصلا به شکلی حرفه ای نوشته نشده بود. در اینجا باید بگوییم که انعطاف پذیری امنیتی و مواد قانونی آن و اجرای عملی به اندازه ایجاد کردن یک محیط این چنینی دارای اهمیت می باشد.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.