جستجوی پیشرفته
راهکارهاي SSL VPN و 2FA

برقراری ارتباطات امن با مجوزهای دسترسی مناسب برای کاربران خاص

SSL VPN:
برقراری ارتباطات امن با مجوزهای دسترسی مناسب برای کاربران خاص، از جمله کارمندان سازمان، پیمانکاران و شرکا ، افزایش بهره وری با گسترش شبکه به خارج از سازمان و کاهش هزینه‌های ارتباطات و افزایش انعطاف پذیری، از ویژگی‌های این راهکار می‌باشد.

1-    مقدمه
برای دسترسی به منابع داخل شبکه سازمان از جایی بیرون از سازمان و همچنین برای دسترسی ایمن به این منابع از هر جایی از داخل سازمان یا بیرون از آن،  میتوان از تونلهای رمز شده روی اینترنت یا شبکه سازمان با استفاده از Remote Access VPN‌ها استفاده نمود. با استفاده از تکنولوژیهای VPN امروز سازمانها میتوانند به طور موثر به هر کسی مجوزهای لازم را بدهند تا بتوانند از هر جایی و در هر زمانی برای پیشبرد کارها و پشتیبانیهای مورد نیاز به منابع سازمان دسترسی پیدا کنند.
VPN‌ها به دلایل زیر به عنوان یک راه حل منطقی برای دسترسی از راه دور انتخاب میشوند:
•    ارائه امکان برقراری ارتباطات امن با مجوزهای دسترسی مناسب برای کاربران خاص، از جمله کارمندان سازمان، پیمانکاران، و یا شرکا
•    افزایش بهره وری با گسترش شبکه شرکتها به خارج از سازمان
•    کاهش هزینه‌های ارتباطات و افزایش انعطاف پذیری
دسترسی به شبکه در هر زمان و از هر جا به کارمندان این انعطاف پذیری را میدهد تا بتوانند در هر  زمان و هر مکانی وظایف شغلی خود را پیگیری کنند و پشتیبانیهای لازم را انجام دهند. در نتیجه با استفاده از تکنولوژی VPN زمان پاسخ بهبود میابد و کار بدون وقفه ادامه پیدا میکند.  VPN‌ها برای کارمندانی که نیاز دارند تا ساعتهای غیر کاری و تعطیلات آخر هفته از خانه به انجام وظایف کاری خود از قبیل پاسخ دادن به ایمیل و یا استفاده از برنامه‌های کاربردی شبکه و یا پشتیبانیهای لازم بپردازند امکانات لازم را فراهم میآورند.
VPN‌ها همچنین یک راه حل امن برای ارائه دسترسی محدود به شبکه به افراد خارج از سازمان مثل پیمانکاران و یا شرکای کاری ارائه می‌کنند. با VPN ها، دسترسی پیمانکاران و شرکا به شبکه را می‌توان به سرورهای خاص ، صفحات وب، و یا فایل هایی که مجوز دسترسی به آنها را دارند محدود نمود، در نتیجه میتوان به آنها تنها دسترسی را که  برای انجام کارشان نیاز دارند ارائه نمود بدون اینکه امنیت شبکه به خطر افتد.
برای این منظور علاوه بر امنیت بستر عبور اطلاعات با استفاده از تونلهای رمز شده، مدیران سازمان باید از اعمال مجوزهای مشخص به هر فرد و امنیت احراز هویت افراد در دسترسی به اطلاعات سازمان نیز اطمینان کافی داشته باشند تا هر کس نتواند با نام کسی از خانه یا هرجای دیگر به اطلاعات سازمان دسترسی پیدا کرده و سازمان را مورد حمله و آسیب قرار دهد.
در این خصوص استفاده از  2FA یا احراز هویت چند عاملی یک لایه امنیتی اضافی برای دسترسی از راه دور فراهم می‌آورد تا از دسترسی کاربران غیر مجاز به دارایی‌های شبکه جلوگیری به عمل آورد.
با استفاده از احراز هویت چند عاملی و تکنولوژی OTP میتوان امنیت ورود کاربر به سیستم را تامین نمود و این اطمینان را فراهم آورد که فقط کاربران مجاز امکان دسترسی به سیستم را داشته باشند.
2-    توصیف طرح
این طرح با دو مبحث جداگانه برای پیاده سازی Remote Access VPN و احراز هویت چند عاملی که در نهایت به صورت یکپارچه به صورت یک راه حل ایمن برای دسترسی از راه دور به شبکه و احراز هویت ایمن مورد استفاده قرار میگیرد مورد بررسی قرار میگیرد.
2-1-    Remote Access VPN
برای پیاده سازی دسترسی از راه دور با VPN دو روش اصلی وجود دارد: IPsec و SSL.
هر روش بر اساس نیازمندیهای دسترسی کاربران و پروسه‌های IT سازمان مزایای خود را دارند.
VPN‌های مبتنی بر SSL، دسترسی از راه دور را با استفاده از یک مرورگر وب و رمزگذاری SSL موجود، تقریبا از هر مکان دارای اینترنت فعال فراهم می‌آورند. این روش به هیچ نرم افزار سرویس گیرنده خاص از پیش نصب شده بر روی سیستم نیازی ندارد؛ این امر باعث می‌شود SSLVPN‌ها قادر باشند از "هر کجا" از دسکتاپهای قابل مدیریت شرکت و یا دسکتاپهای غیر قابل مدیریت مثل دستگاههای شخصی کارمندان، پیمانکاران یا شرکای تجاری ارتباط برقرار کنند. هر نرم افزاری که برای دسترسی به برنامه ‌ها از طریق SSLVPN مورد نیاز باشد میتواند در صورت لزوم به صورت پویا دانلود شود و در نتیجه نیاز به پشتیبانی را به حداقل برساند.
VPN‌ها SSL دو نوع مختلف دسترسی را ارائه مینمایند: clientless و دسترسی کامل به شبکه. دسترسی Clientless نیاز به هیچ نرم افزار‌های تخصصی VPN بر روی دسکتاپ کاربر ندارد. تمام ترافیک VPN از طریق یک مرورگر وب استاندارد انتقال داده میشود؛ در این روش هیچ نرم افزار دیگری مورد نیاز نیست یا نیاز به دانلود هیچ نرم افزار دیگری نمیباشد. از آنجا که تمام برنامه‌ها و منابع شبکه از طریق یک مرورگر وب قابل دسترسی است، تنها برنامه‌های تحت وب و برخی از برنامه‌های کاربردی کلاینت-سروری مثل اینترانت، برنامه‌های با رابط وب، پست الکترونیکی و فایل سرور را می‌توان از طریق اتصال clientless مورد استفاده قرار داد.
با این حال  همین دسترسی محدود، ، اغلب برای شرکای تجاری و یا پیمانکاران که فقط باید دسترسی به یک مجموعه بسیار محدودی از منابع در شبکه‌های سازمان داشته باشد یک راه حل کامل محسوب میشود. علاوه بر این، ارائه تمام ارتباطات از طریق یک مرورگر وب مباحث پشتیبانی و نگهداری را کاهش میدهد زیرا هیچ نرم افزار خاصی برای VPN نباید روی دسکتاپ کاربر نصب گردد.
دسترسی کامل به شبکه از طریق SSLVPN  امکان دسترسی به تقریبا هر برنامه، سرور و یا منابع موجود روی شبکه را فراهم می‌آورد.  دسترسی کامل به شبکه از طریق یک کلاینت VPN بسیار سبک که با اتصال به SSLVPN Gateway به طور داینامیک به کامپیوتر کاربر (از طریق اتصال مرورگر وب) دانلود میشود ارائه می‌شود. این کلاینت VPN، از آنجا که به صورت داینامیک بدون نیاز به هیچ گونه نرم افزاری که به صورت دستی توزیع گردد و یا کاربران آن را رد و بدل نمایند دانلود و به روز رسانی میشود نیازی به پشتیبانی توسط IT سازمان ندارد یا نیاز به پشتیبانی کمی دارد و در نتیجه هزینه‌های پیاده سازی و نگهداری کاهش مییابد. مانند دسترسی clientless، دسترسی کامل به شبکه امکان سفارشی سازی کنترل دسترسی کامل را بر اساس مجوزهای دسترسی کاربران فراهم می‌آورد. دسترسی کامل به شبکه یک انتخاب طبیعی برای کارکنانی است که نیاز به دسترسی از راه دور به برنامه‌ها و منابع شبکه دارند همانطور که در محل کار خود از آن استفاده میکنند و یا نیاز به برنامه‌های کلاینت سروری دارند نمی‌تواند از طریق اتصال clientless مبتنی بر وب ارائه شود.
VPN IPSec‌ها تکنولوژی دسترسی از راه دور با پیاده سازی ثابت هستند که توسط بسیاری از سازمان‌ها مورد استفاده قرار میگیرند. ارتباطات با IPSec VPN‌ها با استفاده نرم افزار کلاینت VPN از پیش نصب شده بر روی دسکتاپ کاربران برقرار میشود و بنابراین تمرکز آن در درجه اول بر روی دسکتاپهای تحت مدیریت سازمان میباشد. دسترسی از راه دور از طریق راه حل  IPSec VPN با استفاده از تغییر از نرم افزار کلاینت VPN قابلیت تطبیق پذیری فوق العاده و سفارشی سازی را فراهم می‌آورد. با استفاده از رابط‌های برنامه کاربردی (API ها) در نرم افزار کلاینت IPsec ، سازمانها می‌توانند ظاهر و عملکرد کلاینت VPN را برای استفاده در برنامه‌های کاربردی و یکپارچه سازی با سایر برنامه‌های کامپیوتری و دیگر موارد استفاده خاص کنترل کنند.
فن آوری‌های IPsec و SSLVPN امکان دسترسی به تقریبا هر برنامه و یا منابع شبکه را امکانپذیر میسازند. SSLVPN‌ها ویژگی‌های اضافی مانند ارتباط آسان از دسکتاپهای غیر سازمانی، عدم نیاز به پشتیبانی و نگهداری نرم افزار دسک تاپ، و امکان ایچاد پورتال‌های وب سفارشی کاربر برای هر کاربر خاص بر جسب نام کاربری login شده فراهم میآورند.
جدول زیر این دو تکنولوژی را با هم مقایسه می‌کند.
دسترسی به برنامه‌ها و منابع شبکه :
SSL (دسترسی کامل به شبکه) و IPSec VPN دسترسی کامل به تمام منابع شبکه را فراهم میآورند.
روشهای دسترسی کاربران:
SSLVPN‌ها با استفاده از مرورگرهای وب شروع به کار میکنند.
IPSec VPN‌ها با استفاده از نرم افزار کلاینت VPN از پیش نصب شده شروع به کار میکنند.

تجهیزات قابل انتخاب برای دسترسی کاربران:
SSLVPN امکان دسترسی از دستگاههای تحت مدیریت سازمان، دستگاههای شخصی کاربران، دستگاههای پیمانکاران و شرکای تجاری و اینترنت را فراهم می‌آورد.
IPSec VPN در اصل امکان دسترسی از دسکتاپهای تجت مدیریت شرکت را فراهم می‌آورد.

نیازمندیهای نرم افزاری روی دسکتاپها:
برای SSLVPN تنها یک مرورگر وب مورد نیاز میباشد.
IPSec VPN نیاز به یک نرم افزار کلاینت از پیش نصب شده اختصاصی دارد.

به روز رسانی نرم افزار دسکتاپ:
دسترسی SSLVPN اولیه میتواند بدون هیچ نرم افزار دسکتاپ اختصاصی عمل کند. بنابراین هیچ به روز رسانی مورد نیاز نمیباشد. برای دسترسی کامل به شبکه نیاز به استفاده از نرم افزار میباشد که به طور اتوماتیک نصب و به روز میشود بدون نیاز به دانش یا مداخله کاربر
IPSec VPN میتواند به طور اتوماتیک به روز شود اما نیاز به تنظیمات کاربر دارد.

دسترسی کاربران به طور سفارشی:
SSLVPN‌ها سیاست‌های دسترسی جداگانه ای را ارائه میدهند که تعریف میکند هر کابر به چه منابع شبکه ای دسترسی داشته باشد مانند پورتالهای وب سفارشی شده کاربران
IPSec سیاستهای دسترسی جداگانه را ارائه میدهد اما پورتالهای وب را نه
مزایای قابلیت داینامیک بودن، نرم افزار دسکتاپ با قابلیت به روز رسانی اتوماتیک ، سهولت دسترسی برای کامپیوترهای شخصی و دسترسی کاربر با قابلیت سفارشی سازی بالا، SSL VPN را یک انتخاب خوب برای کاهش هزینه‌های عملیاتی دسترسی از راه دور با VPN و گسترش دسترسی به شبکه برای کاربرانی که سرویس دهی به آنها سخت است مانند پیمانکاران و شرکای تجاری تبدیل کرده است.

2-2-    احراز  هویت چند عاملی
شرکت فاواموج به دلیل سالها تجربه فنی و دارا بودن نیروهای متخصص در حوزه امنیت شبکه برای جلوگیری از افشای رمز عبور کاربران و مقابله با نفوذ هکرها استفاده از راه حل Two Factor Authentication  را با استفاده از محصول Vasco پیشنهاد میکند .
شرکت Vasco در زمینه احراز هویت کاربران بر طبق گزارش Gartner در میان لیدر‌ها قرار دارد و محصولات این شرکت از قبیل Authentication Server و Tokenهایش در سراسر دنیا مورد استفاده شرکت‌های بزرگ قرار میگرد . این شرکت در حدود 10000 مشتری در 100 کشور دنیا دارد که در حدود 1700 شرکت در زمره شرکت‌های مالی با داده‌های بسیار حساس مسباشند .

2-2-1-     روش پیشنهادی برای احراز هویت 2 عاملی
روش پیشنهادی شرکت فاواموج برای اتصال به شبکه استفاده از PIN CODE + OTP + Certificate میباشد یعنی کاربر میبایست پسورد تصادفی و پسوردی را که در ذهن خود دارد را وارد کند . البته روش‌های گوناگونی بر اساس بالابردن میزان امنیت وجود دارد که در زیر به 3 نمونه آن اشاره میکنیم :
•    OTP
•    OTP + PIN
•    OTP + PIN + Certificate
طرح پیشنهادی شرکت فاواموج استفاده از حالت سوم است که دارای بالاترین درجه امنیت است البته بر اساس نیاز شهرداری تهران میتوان از هر کدام از روشهای مذکور استفاده کرد و میتوان هر 3 آنها را همزمان داشت .

2-3-    Vasco Appliance Authentication Server
Authentication Server شرکت Vasco  در دو نوع سخت افزاری و نرم افزاری ارائه میشود . نوع سخت افزار پیشنهادی برای شهرداری تهران IDENTIKEY Appliance 5000 Series (AG5502)  میباشد که تا 10000   Token را پشتیبانی میکند .

2-4-    Vasco Virtual Authentication Server
همچنین به منظور استفاده در سازمانهایی با زیرساخت مجازی امکان استفاده از مدل مجازی این محصول نیز وجود دارد که با توجه به تعداد کاربران شهرداری تهران مدل IDENTIKEY Virtual Appliance 2000 Series  پیشنهاد میشود که در حدود 5000 Token را پشتیبانی میکند .
3-    طراحی منطقی
همانطور که در طرح پیشنهادی مشاهده میشود کاربران در تمامی ساختمان‌ها و همچنین کاربرانی که از  اینترنت قصد اتصال به شبکه را دارند میتوانند برای وصل شدن به VPN سرور از Token‌های خود استفاده کنند و پسورد تصادفی را وارد کنند در صورت احراز هویت بر اساس گروه کاربریشان به سرورهای خود میتوانند وصل شوند .
4-    طراحی فیزیکی
راه حل VPN دسترسی از راه دور سیسکو برای حفظ امنیت در برابر ویروسها و جلوگیری از حملات احتمالی با ارائه فایروال، آنتی ویروس، َAnti-spyware، جلوگیری از نفوذ، کنترل برنامه و قابلیت‌های امنیتی endpoint به طور کامل خدمات VPN را با محافظت در برابر تهدیدها ارائه میدهد. این خدمات امنیتی روی پلتفرمهای VPN به طور یکپارچه ارائه میشوند و راه حل VPN را با محافظت در برابر تهدیدها بدون هیچ گونه تجهیزات اضافی، طراحی، پیاده سازی و یا پیچیدگی عملیاتی ارائه مینمایند.
ویژگیهای راه حل دسترسی از راه دور سیسکو موجود روی سیسکو ASA 5500 نسخه VPN و روترهای سیسکو عبارتند از دسترسی clientless مبتنی بر وب و دسترسی به شبکه کامل بدون نیاز به نرم افزار VPN از پیش نصب شده روی دسکتاپ، VPN محافظت شده در برابر حملات برای محافظت در برابر بدافزارها و هکرها، مقرون به صرفه بودن قیمت بدون نیاز به هیچ لایسنس پنهانی برای هر Feature و امکان ارائه SSLVPN و IPsec روی یک دستگاه به طوری که امکان ارائه دسترسی از راه دور مستحکم و Site-to-Site VPN از روی یک دستگاه امکانپذیر میباشد.
تجهیزات امنیتی ASA 5500 سیسکو پیشرفته‌ترین راه حل SSLVPN سیسکو هستند به طوریکه قابلیت ارائه بین 10 تا 10،000 Session همزمان کاربر را روی هر دستگاه و دهها هزار Session را روی هر Cluster با استفاده از سیتسم تعدیل بار یکپارچه (Load Balancin) دارا میباشند. با یکپارچه شدن خدمات VPN با فن آوری‌های جامع دفاع در برابر حملات، ASA 5500 دسترسی از راه دور به شبکه را با قابلیت تنظیم بسیار بالایی ارائه میدهند و این در حالیست که ارتباط بسیار ایمنی را فراهم می‌آورند.

2Factors Authentication (ورود دو مرحله ای) :
راهکاری جهت بهره مندی از حداکثر امنیت در حوزه احراز هویت (Authentication) می‌باشد. در این روش علاوه بر استفاده از نام کاربری و رمز عبور؛ به هر کاربر شبکه، یک توکن داده خواهد شد که می‌بایست کد تولید شده توسط توکن را نیز جهت ورود به شبکه ارائه نمایند.

تا کنون روش معمول جهت اهراز هویت در شبکه،  استفاده از Username  و Password   بوده است، اما این راهکار دارای مخاطرات خاص خود است.
ممکن است رمز عبور کاربر به صورت عمدی  و یا سهوی فاش شود و یا توسط عامل‌های مخرب دزدیده شود و حملاتی همچون Replay Attack در قبال این احراز هویت صورت پذیرد و امنیت شبکه مورد تهدید قرار بگیرد.
با در نظر گرفتن مخاطرات مطرح شده در روش استفاده از  Username و Password برای احراز هویت کاربران    راهکار مناسب برای افزایش امنیت احراز هویت کاربران چه می‌تواند باشد؟
بدین منظور بهترین روش جهت کنترل هویت کاربران استفاده از مکانیزم "احراز هویت دو وجهی" یا Two-Factor Authentication میباشد.
اساس کار این سیستم بر محورهای زیر است :
•    چیزی که کاربر می‌داند.(Password/ PIN)
•     چیزی که کاربر مالک آن است ( hardware/token/mobile phone )
•     چیزی که بر روی توکن نمایش داده میشد ( OTP )
در اینصورت جهت بهره مندی از حداکثر امنیت در حوزه احراز هویت  (Authentication) ، به هر کاربر شبکه یک توکن داده خواهد شد و کاربران در کنار Username و Password خود، میبایست کد تولید شده توسط توکن را نیز جهت ورود به شبکه ارائه نمایند .
OTP (One-Time Password) ها، کد‌های امنیتی هستند که به طور نمونه با استفاده از سخت افزار هایی (مطابق شکل ذیل) تولید خواهند شد که فقط در همان زمان و یا در همان یک ارتباط معتبر هستند و کاربر می‌تواند با استفاده از Username و Password به همراه این کد به شبکه وارد شده و از منابع آن استفاده نماید. OTP می‌تواند کدی باشد که بر روی توکن نمایان می‌شود و یا گواهی نامه امنیتی باشد که بر روی توکن نصب می‌شود.

با استفاده از این مکانیزم حتی اگر نام کاربری و رمز عبور یک کاربر دزدیده شود، امکان ورود به شبکه را نخواهد داشت چرا که جهت ورود به شبکه، علاوه بر دانستن نام کاربری و رمز عبور میبایست OTP متناظر آن Username را نیز دارا باشند.
مزایای استفاده از توکن‌های احراز هویت چند عاملی در مقابل راه کار‌های دیگر عبارتند از :
•    دارای سرور مدیریت احراز هویت RSA است.
•    نیازی به لایسنس ندارد.
•    فقط هزینه خرید توکن سخت افزاری پرداخت می‌شود.
•    جایگزینی آن آسان است.

  • خروجی PDF
درباره فاواموج

شرکت فاواموج (سهامی خاص)

تلفن: 89341000 - 021
آدرس الکترونیکی: info@favamouj.com
با ما همراه باشید
10
تیر
حملات DDoS
30
خرداد
اقدامات کلان پیشنهادی برای توسعه اینترنت اشیا در ایران
23
خرداد
چالش های کلیدی تنظیم مقررات IoT
08
خرداد
طبقه بندی کلاس دیتا سنتر بر اساس Tier
صفحات منتخب