نصب دیوارهآتش
امروزه دیگر كاربری را نمیتوان یافت كه در كنار VPN از دیوارهآتش استفاده نكند. اما موضوع این است كه استفاده از دیوارهآتش در كنار VPN نیازمند به طراحی دقیق است و مسایل و نكات بسیاری در طراحی چنین سیستمهایی باید مورد توجه قرار گیرد.
سرور VPN بر روی دیوارهآتش
طبیعیترین راهحل آن است كه نرمافزار VPN را بر روی دیواره آتش نصب كنیم. همانطور كه بسیاری از فایروالهای تجاری دارای اجزای VPN بهصورت امكانات اختیاری اضافی هستند. در چنین آرایشی شبكه دارای یك نقطه ورودی خواهد بود كه دارای كاربردهای زیر است:
? دیوارهآتش امكان دسترسی به اینترنت را فراهم میكند.
? دیوارهآتش امكان دسترسی به شبكه را به سمت خارج محدود میكند.
? سرویس VPN ترافیك خروجی به سمت كلاینتهای راهدور و شبكههای دیگر را رمزنگاری میكند.
مزایای قرار دادن VPN بر روی دیوارهآتش به قرار زیر هستند:
? مدیریت و كنترل پارامترهای امنیتی فقط از یك نقطه انجام میشوند و ماشینهای كمتری به مدیریت نیاز دارند.
? شما میتوانید با استفاده از همان دیوارهآتش و ابزارهای موجود برای اعمال سیاستهای امنیتی بر روی ترافیك VPN نیز بهره ببرید.
اما قرار گیری VPN بر روی دیوارههای آتش دارای معایبی نیز هست:
? به دلیل آنكه تمام پارامترهای امنیتی از یك نقطه قابل مدیریت هستند، چنین سیستمی باید خیلی ایمن و مطمئن باشد.
? اشتباه در تنظیمات دیوارهآتش منجر به هدایت ترافیك اینترنت به درون VPN خواهد شد.
? ترافیك اینترنت و VPN در رقابت با یكدیگر منابع بیشتری از سیستم طلب میكنند و در نتیجه ماشین مورد نظر باید از نظر منابع غنی باشد.
بالای صفحه
دیوارههای آتش متداول برای لینوكس |
(Firewall Toolkit (FWTK این ابزار نخستین application gateway در دسترس عموم برای لینوكس محسوب میشود و اساس محصول تجاری Gauntlet نیز بوده است. اگرچه از این ابزار بهطور رسمی در سالهای اخیر پشتیبانی نشده است، اما با این وجود هنوز در بسیاری از كاربردها از آن استفاده میشود. شما میتوانید آن را از نشانی www.fwtk.org دریافت كنید. |
IPF: یكPacket filter لینوكسی برای كرنلهای قدیمی نسخه 2 است. |
Packet filiter :IPChains جدیدتری برای كرنلهای نسخه 2/2 است. اگرچه برنامه سادهای محسوب میشود، اما میتوان از طریق مدولهای كرنل از پروتكلها دیگری نیز پشتیبانی كرد. به عنوان مثال، بهكمك مدول ipmasqftp میتوان پشتیبانی از پروتكل FTP را نیز اضافه كرد.مشكل عمده IPChains در آن است كه فیلترهای بستههای كرنل قبل از آنكه مدولها بتوانند بستهها را ببینند انجام میشود. معنی این مطلب آن است كه باید دسترسی inbound به درگاههایی كه احتمالاً از طرف كرنل بهكار گرفته خواهند شد را فراهم كنید. |
IPTables: نرمافزار دیواره آتش برای كرنلهای 4/2 لینوكس است كه به نام Netfilter نیز شناخته میشود. این ابزار از قابلیتهای Packet filtering و applicaton gateway بهطور همزمان پشتیبانی میكند. |
Packet filter :IPFilter پیشگزیده برای NetBSD و FreeBSD محسوب میشود. البته میتوان این ابزار را بر روی هستههای لینوكس قدیمی با كرنلهای نسخه 2 نیز اجرا كرد. |
Dante: بهطور معمول از دانته در بستههای نرمافزاری تجاری بزرگتر استفاده میشود. این ابزار در واقع یك Packet filter در لایه circuit محسوب میشود و از دید كاربران پنهان است. |
T.REX: این ابزار یك مجموعه نرمافزار بسیار پیچیده است كه از قابلیتهای دیوارهآتش و application gateway به همراه امكاناتی از قبیل intrusion-detection ،authentication و logging پیشرفته نیز برخوردار است. شما میتوانید این ابزار را بهصورت رایگان از نشانی www.opensourcefirewall.com دریافت كنید. |
سرور VPN به موازات دیوارهآتش
آرایش دیگری كه برای كاربردهای VPN مناسب به نظر میرسد، استفاده موازی از سرور VPN و دیواره آتش است. البته سیستمهای درونی هنوز به دیواره آتش به عنوان مسیریاب خواهند نگریست. اما میتوان مسیریاب را بهگونهای تنظیم كرد كه شبكه پشت VPN را بشناسد و بهجای تنظیم قوانین مسیریابی در دیوارهآتش، آنها را در سرور VPN تنظیم كرد.
مزایای استفاده از سرور VPN و دیوارهآتش بهصورت موازی به شرح زیر هستند:
? ترافیك VPN به هیچ وجه امكان عبور از دیوارهآتش را نمییابد. در نتیجه نیازی به تغییر دادن تنظیمات دیوارهآتش برای پشتیبانی از بستههای VPN نخواهد بود. زیرا برخی از پروتكلهای VPN توسط دیوارههای آتش پشتیبانی نمیشوند.
? مقیاسپذیری سیستمهای موازی بسیار سهلتر انجام میشوند. به عنوان مثال، در صورتیكه در یابید كه سرور VPN تحت بار زیادی قرار گرفته است، میتوانید بهراحتی سرورهای VPN جدیدی به شبكه اضافه كرده و بار را بین آنها توزیع كنید.
معایب سرورهای VPN موازی با دیوارههای آتش شامل موارد زیر است:
? سرور VPN مستقیماً به اینترنت اتصال خواهد داشت. در این حالت شما باید از امنیت كامل چنین سیستمی اطمینان داشته باشید. در غیر این صورت یك هكر ممكن است با نفوذ به درون سرور VPN به تمامی شبكه دسترسی بیابد.
? در آرایش موازی، شما دارای دو ماشین متصل به اینترنت خواهید بود و باید از تنظیمات صحیح دو سیستم اطمینان داشته باشید. بدین ترتیب حجم كارهای حساس و هزینههای مربوط به آنها افزایش خواهد یافت.
سرور VPN در پشت دیوارهآتش
مكان دیگری كه میتوان سرور VPN را در آنجا قرار داد، پشت دیوارهآتش است. در چنین حالتی، سرور VPN بهطور كامل به شبكه درونی متصل خواهد بود و از طریق اینترنت نمیتواند مورد حمله واقع شود. در این وضعیت، همانند آرایش قبلی لازم خواهد بود كه مسیرهای هدایت ترافیك VPN از ماشینهای درونی به سمت سرور VPN را به دیوارهآتش اضافه كنید.
همچنین لازم خواهد بود كه دیوارهآتش بهگونهای تنظیم شود كه امكان عبور ترافیك رمزنگاری شده VPN به سمت سرور VPN داده شود.
مزایای استفاده از این آرایش عبارتند از:
? حفاظت شدن سرور VPN از اینترنت توسط دیوارهآتش
? وجود یك سیستم منفرد برای كنترل دسترسی به اینترنت و از طریق اینترنت.
? محدودیتهای ترافیكی VPN تنها بر روی سرور VPN واقع شدهاند و این موضوع نوشتن و تنظیم قوانین دسترسی را راحتتر میكند.
اما معایب چنین آرایشی بهصورت زیر هستند:
? بهدلیل عبور تمام ترافیك از یك سیستم، تاخیرهای ناخواسته افزایش مییابند.
? بهدلیل آن كه دیوارهآتش در این روش مسئول تفكیك ترافیك VPN از اینترنت خواهد بود و بهدلیل رمز بودن ترافیكVPN، لازم خواهد بود كه نوعی Packet filter ساده با ACL یا plug proxy بهكار گرفته شود.
? تنظیم دیوارهآتش برای عبور دادن ترافیك رمزنگاری شده VPN به سرور VPN در برخی از مواقع دشوار خواهد بود. برخی از دیوارههای آتش نمیدانند با پروتكلهایی غیر از ICMP ،TCP یا UDP چه باید بكنند.
این موضوع به آن معنی است كه پشتیبانی كردن دیوارهآتش از VPN هایی كه از پروتكلهایIP متفاوت نظیر بستههای ESP برای IPSec یا بستههای GRE برای VPNهای PPTP استفاده میكنند، دشوار و در بعضی از موارد غیر ممكن خواهد بود.
? در این وضعیت، تمام ترافیك VPN دوبار از یك رشته كابل شبكه عبور خواهد كرد. یكبار از سمت كلاینتها به طرف سرور VPN و یكبار بهصورت رمزنگاری شده از سرور VPN بهسمت كلاینتها. این موضوع ممكن است باعث كارایی شبكه شود.
یك راهحل مسأله تأخیر، آن خواهد بود یك كارت شبكه دیگر (eth 1) به سرور VPN افزوده شود كه مستقیماً توسط یك كابل crossover به دیوارهآتش اتصال یافته باشد. البته در صورتیكه ترجیح دهید، میتوانید از یك هاب استفاده كرده و یك قطعه یا segment واقعی شبكه ایجاد كنید. بدینترتیب میتوان ترافیك رمزنگاری شده را بهجای عبور دادن از شبكه اصلی از این مسیر جدید به مقصد هدایت نمود.
(هرچند كه روش نخست بهدلیل سادهتر بودن از سرعت بیشتری نیز برخوردار خواهد بود). در هر صورت اگر حالت دوم را به روش اتصال نقطه به نقطه اول یعنیVPN-to-Firewall، ترجیح میدهید، توصیه میكنیم كه نشانی
192.168.254.254 را به دیوارهآتش تخصیص دهید و از نشانی 192.168.254.253 برای رابط خارجی VPN استفاده كنید. بدین ترتیب نشانی سایر شبكه بهصورت 252/192.168.254.252 خواهد بود.
تنظیم VPN با دیوارهآتش اختصاصی
در هر یك از آرایشهایی كه تشریح گردید، امكان محدود كردن ترافیك عبوری از اتصال VPN وجود دارد. چنین حالتی زمانی مفید واقع خواهد شد كه شبكهها یا میزبانهای طرف ارتباط در سطوح امنیتی متفاوت قرار داشته باشند. در حالتی كه سرور VPN و دیوارهآتش بر روی یك سیستم نصب شده باشند، چنین كاربردی را میتوان بهسادگی با
استفاده از نرمافزار دیوارهآتش موجود انجام داد.
|
در حالاتی كه از سرور VPN جداگانهای استفاده میكنید، ممكن است از یك ماشین مستقل به عنوان دیوارهآتش در جلوی سرور VPN استفاده كنید و یا آنكه به Packet filter موجود در هسته لینوكس اكتفا كنید. به عنوان مثال، اگر قصد داشته باشید كه به ترافیك ایمیلها اجازه عبور از VPN بدهید، میتوانید با اجرای تنظیمات بالا در سیستم سرور VPN چنین وضعیتی را پیادهسازی كنید.
منابع:
http://linas.org/linux/vpn.html
http://shabakeh-mag.com/links.aspx?l=http://www.informit.com/articles/article.asp?p=25946
http://ibilio.org/pub/linux/docs
http://www.astaro.com
http://www.impsec.org/linux