OpenVPN vs IKEv2 vs PPTP vs L2TP / IPSec vs SSTP – الدليل النهائي لتشفير VPN

تقوم الشبكة الافتراضية الخاصة (VPN) بتشفير جميع البيانات أثناء انتقالها بين جهاز الكمبيوتر الخاص بك وخادم VPN. في دليل تشفير VPN الكامل ، نلقي نظرة تفصيلية على ماهية التشفير وكيفية استخدامه في اتصالات VPN.

ربما الأهم من ذلك ، سنشرح مجموعة من شروط التشفير المستخدمة من قبل خدمات VPN. نأمل أن يكون لديك فهم أكبر لهذا الموضوع المعقد بعد قراءة هذا المستند وأن تكون قادرًا بشكل أفضل على تقييم مطالبات الأمان المقدمة من موفري خدمة VPN.

مقدمات

إذا كنت غير متأكد من ماهية VPN وما الذي يمكن للمرء فعله من أجلك ، فالرجاء التحقق من شبكات VPN الخاصة بنا من أجل دليل المبتدئين.

هدفنا هو تقديم الميزات الرئيسية لتشفير VPN بعبارات بسيطة قدر الإمكان. على الرغم من عدم وجود الابتعاد ، إلا أن التشفير موضوع معقد.

إذا تسبب مصطلح التشفير حتى تبدأ عينيك في التزجيج ، لكنك لا تزال ترغب في معرفة ما يجب البحث عنه في خدمة VPN جيدة ، يمكنك القفز مباشرة إلى الملخصات.

ما هو التشفير?

تبدأ في البداية," قال الملك ، بكل جدية, "واستمر حتى تصل إلى النهاية: ثم توقف ".

لويس كارول ، أليس في بلاد العجائب

أبسط تشبيه هو أن التشفير هو القفل. إذا كان لديك المفتاح الصحيح ، فمن السهل فتح القفل. إذا لم يكن لدى شخص ما المفتاح الصحيح ولكنه يريد الوصول إلى محتويات صندوق قوي (أي بياناتك) محمي بواسطة هذا القفل ، فيمكنهم محاولة كسر القفل.

بنفس الطريقة التي يكون بها القفل الذي يؤمن قبو البنك أقوى من القفل الذي يثبت حقيبة ، فإن بعض التشفير أقوى من التشفير الآخر.

أساسيات

عندما كنت طفلاً ، هل لعبت اللعبة التي أنشأت فيها "رسالة سرية" عن طريق استبدال حرف واحد من الرسالة بحرف آخر؟ تم إجراء الاستبدال وفقًا للصيغة التي اخترتها.

على سبيل المثال ، ربما استبدلت كل حرف في الرسالة الأصلية بثلاثة أحرف خلفها في الأبجدية. إذا كان أي شخص آخر يعرف ماهية هذه الصيغة ، أو كان قادرًا على حلها ، فسيتمكن من قراءة "رسالتك السرية".

في لغة التشفير ، كان ما كنت تفعله هو "تشفير" الرسالة (البيانات) وفقًا لخوارزمية رياضية بسيطة جدًا. يشير مشفرو التشفير إلى هذه الخوارزمية كـ "تشفير". لفك تشفيرها ، فأنت بحاجة إلى المفتاح. هذه معلمة متغير تحدد المخرجات النهائية للشفرة. بدون هذه المعلمة ، من المستحيل فك تشفير التشفير.

إذا أراد شخص ما قراءة رسالة مشفرة ولكن ليس لديه المفتاح ، فعليه محاولة "تكسير" الشفرات. عندما يستخدم التشفير تشفيرًا بسيطًا لاستبدال الحروف ، يصبح الأمر سهلاً. ومع ذلك ، يمكن جعل التشفير أكثر أمانًا عن طريق جعل الخوارزمية الرياضية (التشفير) أكثر تعقيدًا.

يمكنك ، على سبيل المثال ، استبدال كل حرف ثالث من الرسالة برقم مطابق للحرف.

طول مفتاح التشفير

الأصفار الكمبيوتر الحديثة هي خوارزميات معقدة للغاية. حتى بمساعدة أجهزة الكمبيوتر العملاقة ، من الصعب للغاية القضاء عليها ، إن لم تكن مستحيلة لجميع الأغراض العملية. الطريقة الأكثر فظاظة لقياس قوة الشفرات هي تعقيد الخوارزمية المستخدمة في إنشائها.

كلما كانت الخوارزمية أكثر تعقيدًا ، أصبح تشفير الشفرات أصعب باستخدام هجوم القوة الغاشمة. وكما هو معروف هذا الهجوم شكل بدائي للغاية كما بحث مفتاح شامل. إنها تتضمن تجربة كل مجموعة من الأرقام الممكنة حتى يتم العثور على المفتاح الصحيح.

تقوم أجهزة الكمبيوتر بإجراء جميع العمليات الحسابية باستخدام الأرقام الثنائية: الأصفار والأرقام. يعتمد تعقيد التشفير على حجم مفتاحه بالبت - العدد الخام للأصفار والأصفار اللازمة للتعبير عن خوارزمية ، حيث يتم تمثيل كل صفر أو واحد ببت واحد.

هذا هو المعروف باسم طول المفتاح ويمثل أيضا الجدوى العملية لأداء بنجاح القوة الغاشمة على أي تشفير معين.

يزيد عدد المجموعات الممكنة (وبالتالي صعوبة إجبارها على القوة الغاشمة) بشكل كبير مع حجم المفتاح. باستخدام تشفير AES (انظر لاحقًا):

مجموعات الحجم الرئيسية

لوضع هذا في المنظور:

  • في عام 2011 ، كانت أسرع أجهزة الكمبيوتر العملاقة في العالم هي فوجيتسو K. وكان ذلك قادراً على الوصول إلى سرعة Rmax القصوى البالغة 10.51 بيتلافوبس. بناءً على هذا الرقم ، سيستغرق الأمر Fujitsu K 1.02 x 10 ^ 18 - حوالي مليار مليار (واحد خمسمليون) - سنوات للقضاء على مفتاح AES 128 بت (معيار التشفير المتقدم) بالقوة. هذا أكبر من عمر الكون (13.75 مليار سنة).
  • أقوى كمبيوتر عملاق في العالم الآن (2017) هو Sunway TaihuLight في الصين. هذا الوحش قادر على سرعة قصوى تبلغ 93.02 بيتافلوبس. هذا يعني أن أقوى جهاز كمبيوتر في العالم سيستغرق نحو 885 كوادريليون سنة لإجبار مفتاح AES 128 بت.
  • عدد العمليات المطلوبة لفرض تشفير 256 بت هو 3.31 × 10 ^ 56. هذا يساوي تقريبا عدد الذرات في الكون!

الأصفار الكمبيوتر

في حين يشير طول مفتاح التشفير إلى مقدار الأرقام الأولية المعنية ، فإن الأصفار هي الرياضيات - الصيغ أو الخوارزميات الفعلية - المستخدمة في إجراء التشفير. كما رأينا للتو ، فإن إجبار الأصفار الحديثة على الكمبيوتر أمر غير عملي إلى حد بعيد.

من نقاط الضعف (أحيانًا متعمدة) في خوارزميات التشفير التي يمكن أن تؤدي إلى كسر التشفير. وذلك لأن إخراج الشفرة (سيئة التصميم) قد لا يزال يكشف بعض البنية من المعلومات الأصلية قبل التشفير. يؤدي ذلك إلى إنشاء مجموعة مخفضة من التركيبات الممكنة للتجربة ، مما يؤدي في الواقع إلى تقليل طول المفتاح الفعال.

على سبيل المثال ، فإن الشفرة السمكة المنتفخة معرضة للهجوم الذي يستغل الرياضيات وراء مشكلة عيد الميلاد في نظرية الاحتمالات. تعرف دراسة نقاط الضعف في خوارزميات التشفير باسم تحليل التشفير.

أطوال المفاتيح الأطول تعوض عن نقاط الضعف هذه ، لأنها تزيد بشكل كبير من عدد النتائج المحتملة.

بدلاً من مهاجمة التشفير نفسه ، يمكن للخصم مهاجمة المفتاح نفسه. يمكن أن يؤثر هذا على موقع معين أو منتج برنامج معين. لكن أمان خوارزمية التشفير لا يزال سليماً ، والأنظمة الأخرى التي تستخدم نفس الخوارزمية ولكن لديها جيل آمن من المفاتيح لا تتأثر بالكسر.

طول مفتاح الشفرات

تعتمد درجة قوة الشفرة على كلاً من رياضيات الشفرة نفسها ، بالإضافة إلى طول المفتاح كما هو موضح بالبتات. لهذا السبب ، يتم وصف الأصفار عادة مع طول المفتاح المستخدم.

لذا فإن AES-256 (تشفير AES مع طول مفتاح 256 بت) يعتبر عادة أقوى من AES-128. لاحظ أنني أقول عادة لأننا نتعامل مع رياضيات معقدة للغاية هنا (انظر ملاحظاتي على AES لاحقًا).

ملاحظة Icon2 01 150X150

من المهم ملاحظة أن طول المفتاح وحده ليس مؤشراً جيدًا على قوة الشفرات. هو مزيج من طول المفتاح والشفرات التي تهم. تستخدم الأصفار المستخدمة للتشفير غير المتماثل ، على سبيل المثال ، أحجام مفاتيح أطول بكثير من تلك المستخدمة للتشفير المتماثل لتوفير حماية مكافئة.

مقارنة حجم المفتاح

هذا الجدول قديم ، حيث لا يأخذ في الاعتبار الهجمات الأحدث التي تم اكتشافها على RSA. تجدر الإشارة أيضًا إلى أن منحنى القطع الإهليلجي ومتغيرات Diffie-Hellman في RSA أقوى بكثير من الأشكال التقليدية. ولكن نأمل أن تحصل على هذه الفكرة.

ملاحظة Icon2 01 150X150

شيء واحد هو أن نلاحظ أنه كلما زاد طول المفتاح ، زاد حساب ، وبالتالي فإن المزيد من قوة المعالجة اللازمة. يؤثر هذا على السرعة التي يمكن بها تشفير البيانات وفك تشفيرها. لذلك ، يجب أن يقرر مزودو VPN وما شابه ذلك أفضل طريقة لموازنة الأمان مقابل قابلية الاستخدام العملي عند اختيار أنظمة التشفير.

نناقش الأصفار الرئيسية التي تستخدمها بروتوكولات VPN المختلفة في وقت لاحق ، لكن الأصفار الأكثر شيوعًا التي من المحتمل أن تصادفها هي Blowfish و AES. بالإضافة إلى ذلك ، يتم استخدام RSA لتشفير وفك تشفير مفاتيح التشفير ، ويتم استخدام SHA-1 أو SHA-2 كوظيفة تجزئة لمصادقة البيانات.

تشفير غير متماثلتشفير غير متماثل

الكمال إلى الأمام السرية

يشار إلى Perfect Forward Secrecy (PFS) أيضًا على أنها تستخدم مفاتيح تشفير سريعة الزوال ، أو مجرد Forward Secrecy (FS) من قِبل أولئك غير المريحين باستخدام كلمة "مثالي".

تعتمد الاتصالات الحديثة عبر الإنترنت الآمنة على SSL / TLS. يتم استخدامه بواسطة مواقع HTTPS وبروتوكول OpenVPN. TLS (أمان طبقة النقل) هو بروتوكول تشفير غير متماثل. يعني استخدام تشفير غير متماثل أن البيانات محمية باستخدام مفتاح عمومي ، وهو متاح للجميع. ومع ذلك ، لا يمكن فك تشفيره إلا بواسطة مستلم مقصود يحمل المفتاح الخاص الصحيح.

يجب أن يبقى المفتاح الخاص سريًا. إذا سرق أحد الخصوم أو تصدعه ، فيمكن لهذا الخصم بسهولة اعتراض وقراءة أي اتصالات مضمونة من قبله.

لسوء الحظ ، من الشائع أن تستخدم الخوادم أو حتى الشركات بأكملها مفتاح تشفير خاص واحد فقط لتأمين جميع الاتصالات. لماذا ا؟ لأنه سهل. ومع ذلك ، إذا تم اختراق هذا المفتاح ، فيمكن للمهاجم الوصول إلى جميع الاتصالات المشفرة به.

وبالتالي ، يصبح مفتاح التشفير الخاص هذا "مفتاح رئيسي" يمكن استخدامه لإلغاء تأمين جميع الاتصالات مع خادم أو شركة. من المعروف أن وكالة الأمن القومي قد استغلت هذا الضعف من أجل جمع ردود واسعة من البيانات التي يفترض أنها آمنة.

الحل هو الكمال إلى الأمام السرية. هذا هو النظام الذي يتم من خلاله إنشاء مفتاح تشفير خاص جديد وفريد ​​لكل جلسة. إنها فكرة بسيطة ، حتى لو كانت الرياضيات المتبادلة في Diffie-Hellman معقدة. وهذا يعني أن كل جلسة TLS لديها مجموعة المفاتيح الخاصة بها. ومن هنا يأتي مصطلح "المفاتيح المؤقتة" - يتم استخدامها مرة واحدة ثم تختفي.

وبالتالي ، لا يوجد "مفتاح رئيسي" يمكن استغلاله. حتى إذا تم اختراق جلسة ما ، فهذه الجلسة هي فقط تلك التي تم اختراقها - وليس كل الجلسات الأخرى التي يعقدها أي شخص مع هذا الخادم أو الشركة!

على الرغم من أنه من غير المألوف ، فمن الممكن تحديث مفاتيح PFS خلال جلسة (على سبيل المثال ، كل ساعة). هذا يحد من كمية البيانات التي يمكن اعتراضها من قبل الخصم ، حتى لو تم اختراق المفتاح الخاص.

عندما كتبت هذا المقال حول الموضوع قبل بضع سنوات ، كان استخدام Perfect Forward Secrecy لكل من مواقع HTTPS واتصالات OpenVPN نادرًا للغاية. لحسن الحظ ، لقد تغير هذا الوضع إلى حد ما. على الرغم من أنه ليس عالميًا على الإطلاق ، إلا أن استخدام المفاتيح المؤقتة زاد بشكل كبير في الآونة الأخيرة.

بروتوكولات تشفير VPN

بروتوكول VPN هو مجموعة التعليمات (الآلية) المستخدمة للتفاوض على اتصال مشفر آمن بين جهازي كمبيوتر. يتم دعم عدد من بروتوكولات VPN بشكل شائع بواسطة خدمات VPN التجارية. وأبرز هذه العناصر هي PPTP و L2TP / IPSec و OpenVPN و SSTP و IKEv2.

ألق نظرة على كلٍّ من هذه العناصر أدناه ، لكن OpenVPN هو الآن بروتوكول VPN القياسي في المجال الذي تستخدمه خدمات VPN التجارية - لسبب وجيه. إنه آمن للغاية ويمكن استخدامه على جميع الأجهزة التي تدعم VPN تقريبًا. وبالتالي ، سوف أقضي حبرًا رقميًا إضافيًا في مناقشة OpenVPN بالتفصيل.

PPTP

PROS

  • بنيت في العميل إلى جميع المنصات
  • من السهل جدا لاقامة

سلبيات

  • غير آمن للغاية
  • بالتأكيد للخطر من قبل وكالة الأمن القومي
  • منعت بسهولة

ما هو PPTP?

إنه بروتوكول VPN فقط ، ويعتمد على أساليب المصادقة المختلفة لتوفير الأمان. بين مزودي VPN التجاريين ، يكون هذا الإصدار MS-CHAP v2 ثابتًا تقريبًا. بروتوكول التشفير (مشابه للشفرات القياسية) المستخدمة بواسطة PPTP هو تشفير Microsoft من نقطة إلى نقطة (MPPE).

تم تطوير بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) من قبل كونسورتيوم أنشأته Microsoft لإنشاء VPN عبر شبكات الطلب الهاتفي. على هذا النحو ، لطالما كان بروتوكول PPTP هو البروتوكول القياسي لشبكات VPN الخاصة بالشركات.

يتوفر PPTP بشكل قياسي على كل نظام أساسي وجهاز قادر على VPN. من السهل الإعداد ، دون الحاجة إلى تثبيت برامج إضافية. هذا يضمن أن تظل PPTP خيارًا شائعًا لكل من VPNs التجارية وخدمات VPN التجارية.

كما أنه يتميز بميزة طلب حمل حسابي منخفض لتنفيذ ... لذلك فهو سريع!

لسوء الحظ ، PPTP غير آمن. على الاطلاق. على الرغم من أنه عادةً ما يتم العثور عليه الآن فقط باستخدام مفاتيح تشفير 128 بت ، إلا أنه في السنوات التي انقضت منذ دمجها لأول مرة مع نظام التشغيل Windows 95 OSR2 في عام 1999 ، ظهر عدد من الثغرات الأمنية.

أخطر هذه هي إمكانية مصادقة MS-CHAP v2 غير مغلفة. باستخدام هذا الاستغلال ، تم تكسير PPTP في غضون يومين. قامت Microsoft بتصحيح الخلل ، ولكنها أصدرت بنفسها توصية لاستخدام L2TP / IPsec أو SSTP بدلاً من ذلك.

لا ينبغي أن يكون مفاجئًا أن وكالة الأمن القومي تقوم بفك تشفير الاتصالات المشفرة PPTP بشكل قياسي. الأمر الأكثر إثارة للقلق هو أن وكالة الأمن القومي قامت بجمع كميات هائلة من البيانات القديمة التي تم تشفيرها مرة أخرى عندما اعتبر PPTP آمنًا. يمكن بالتأكيد فك تشفير هذه البيانات القديمة أيضًا.

يتطلب PPTP كلاً من منفذ TCP 1723 وبروتوكول GRE. من السهل جدار الحماية GRE ، مما يجعل من السهل حظر اتصالات PPTP.

L2TP / أمن بروتوكول الإنترنت

  • عادة ما تكون آمنة (ولكن انظر سلبيات)
  • من السهل اقامة
  • متاح على جميع المنصات الحديثة
  • أسرع من OpenVPN (ربما)
  • قد تتعرض للخطر من قبل وكالة الأمن القومي (غير مثبتة)
  • ضعفت على الأرجح من قبل وكالة الأمن القومي (غير مثبتة)
  • يمكن أن تكافح مع جدران الحماية التقييدية
  • غالبا ما تنفذ بشكل سيء

ما هو L2TP و IPsec?

تم تصميم بروتوكول الاتصال النفقي من الطبقة الثانية (L2TP) لجميع أنظمة التشغيل الحديثة والأجهزة التي تدعم VPN. لذلك فمن السهل والسريع لإعداد PPTP.

لا يوفر L2TP من تلقاء نفسه أي تشفير أو سرية لحركة المرور التي تمر عبره ، لذلك يتم تطبيقه عادةً باستخدام مجموعة مصادقة IPsec (L2TP / IPsec). حتى إذا كان الموفر يشير فقط إلى L2TP أو IPsec (كما يفعل البعض) ، فمن المؤكد أنه يعني بالفعل L2TP / IPSec.

يمكن استخدام L2TP / IPsec إما الأصفار 3DES أو AES. 3DES عرضة لهجمات التصادم التي تحدث في منتصف الطريق و Sweet32 ، لذلك في الممارسة العملية من غير المحتمل أن تواجهها هذه الأيام.

يمكن أن تنشأ مشاكل لأن بروتوكول L2TP / IPSec يستخدم فقط عددًا محدودًا من المنافذ. هذا يمكن أن يسبب مضاعفات عند استخدامها وراء جدران الحماية NAT. كما أن هذا الاعتماد على المنافذ الثابتة يجعل البروتوكول سهل المنع.

تقوم L2TP / IPsec بتغليف البيانات مرتين ، مما يؤدي إلى إبطاء الأمور. يتم تعويض هذا عن طريق حقيقة أن التشفير / فك التشفير يحدث في kernel و L2TP / IPsec يسمح بخيوط متعددة. OpenVPN لا. والنتيجة هي أن L2TP / IPsec أسرع نظريًا من OpenVPN.

L2TP / IPsec باستخدام تشفير AES لا يحتوي على نقاط ضعف معروفة كبيرة ، وإذا تم تنفيذه بشكل صحيح فقد لا يزال آمنًا. ومع ذلك ، فقد كشفت إدوارد سنودن بقوة عن المعيار الذي تعرض للخطر من قبل وكالة الأمن القومي.

جون جيلمور هو متخصص في الأمن وعضو مؤسس في مؤسسة الحدود الإلكترونية. ويوضح أنه من المحتمل أن IPSec تم إضعافه عمداً أثناء مرحلة التصميم.

هناك مشكلة أكبر بكثير وهي أن العديد من خدمات VPN تقوم بتطبيق L2TP / IPsec بشكل سيئ. على وجه التحديد ، يستخدمون مفاتيح مشتركة مسبقًا (PSK) يمكن تنزيلها مجانًا من مواقع الويب الخاصة بهم.

يتم استخدام وحدات PSK هذه فقط لمصادقة الاتصال ، لذلك حتى إذا تم اختراقها ، تظل البيانات مشفرة بشكل آمن باستخدام AES. ومع ذلك ، يمكن للمهاجم استخدام المفتاح المشترك مسبقًا لانتحال شخصية خادم VPN. ويمكن بعد ذلك التنصت على حركة المرور المشفرة ، أو حتى ضخ البيانات الضارة في الاتصال.

ملاحظة Icon2 01 150X150

ملخص

على الرغم من بعض المشكلات النظرية إلى حد كبير ، يعتبر L2TP / IPsec عمومًا آمنًا إذا لم يتم استخدام المفاتيح المشتركة مسبقًا المنشورة مسبقًا. إن توافقها المدمج مع العديد من الأجهزة الرائعة يمكن أن يجعلها اختيارًا جيدًا للغاية.

PROS

  • آمن جدا
  • متكاملة تماما في ويندوز
  • دعم مايكروسوفت
  • يمكن تجاوز معظم جدران الحماية

سلبيات

  • الملكية القياسية التي تملكها مايكروسوفت

ما هو SSTP?

SSTP هو نوع من التشفير يستخدم SSL 3.0 ويوفر مزايا مماثلة لـ OpenVPN. ويشمل ذلك القدرة على استخدام منفذ TCP 443 للتهرب من الرقابة. التكامل الضيق مع Windows يمكن أن يجعله أسهل في الاستخدام وأكثر استقرارًا من OpenVPN على هذا النظام الأساسي.

على عكس OpenVPN ، يعد SSTP معيارًا مملوكًا لشركة Microsoft. هذا يعني أن الشفرة ليست مفتوحة للتدقيق العام. لا يثير تاريخ Microsoft في التعاون مع NSA ، والتكهنات المتعلقة بالواجهات الخلفية المحتملة المضمنة في نظام التشغيل Windows ، الثقة في المعيار.

تم تقديم بروتوكول نفق مأخذ التوصيل الآمن (SSTP) بواسطة Microsoft في نظام التشغيل Windows Vista المزود بحزمة الخدمة SP1. على الرغم من أنه متوفر الآن لنظام التشغيل Linux ، وحتى نظام التشغيل Mac OS X ، إلا أنه لا يزال نظامًا أساسيًا لنظام Windows فقط.

مشكلة أخرى هي أن SSL v3.0 عرضة لما يعرف بهجوم POODLE ، وبالتالي لا ينصح به الآن. ما إذا كانت هذه المشكلة تؤثر أيضًا على SSTP غير واضح ، ولكن مرة أخرى ، بالكاد تلهم الثقة.

ملاحظة Icon2 01 150X150

ملخص

على الورق ، يقدم SSTP العديد من مزايا OpenVPN. كونه معيار مايكروسوفت الملكية ، ومع ذلك ، يقوض بشدة مصداقيته.

IKEv2

PROS

  • بسرعة
  • مستقر - خاصةً عند تبديل الشبكة أو إعادة الاتصال بعد فقد الاتصال بالإنترنت
  • آمن (إذا تم استخدام AES)
  • سهل الإعداد (على الأقل في نهاية المستخدم!)
  • بروتوكول معتمد على أجهزة بلاك بيري

سلبيات

  • غير معتمد على العديد من المنصات
  • يعد تنفيذ IKEv2 في نهاية الخادم أمرًا صعبًا ، وهو أمر قد يؤدي إلى حدوث مشكلات
  • الثقة فقط تطبيقات مفتوحة المصدر

ما هو IKEv2?

تم تطوير Internet Key Exchange الإصدار 2 (IKEv2) بشكل مشترك بين Microsoft و Cisco. يتم دعمها أصلاً بواسطة أجهزة Windows 7+ و Blackberry و iOS. لهذا السبب تستخدم الكثير من خدمات iOS VPN IKEv2 بدلاً من OpenVPN.

تم تطوير إصدارات متوافقة من IKEv2 بشكل مستقل من أجل Linux وأنظمة التشغيل الأخرى. العديد من هذه التكرارات مفتوحة المصدر. كما هو الحال دائمًا ، أقترح عليك الحذر من أي شيء تم تطويره بواسطة Microsoft. إصدارات مفتوحة المصدر من IKEv2 ، ومع ذلك ، يجب أن لا توجد مشاكل.

IKEv2 جزء من مجموعة بروتوكولات IPsec. يضمن أن حركة المرور آمنة من خلال تسليم سمة الأمان (Association Association) ضمن IPsec وتحسينها على IKEv1 بعدة طرق. يشار أحيانًا إلى IKEv2 باسم IKEv2 / IPsec. IKEv1 ، من ناحية أخرى ، يشار إليها ببساطة باسم IPsec.

يعتبر اتصال IKEv2 المدعوم من VPN اتصالًا بشركة Microsoft جيدًا بشكل خاص في إعادة تأسيس اتصال VPN تلقائيًا عندما يفقد المستخدمون اتصالاتهم بالإنترنت مؤقتًا. على سبيل المثال ، عند دخول أو مغادرة نفق القطار.

نظرًا لدعمها لبروتوكول Mobility و Multihoming (MOBIKE) ، فإن IKEv2 أيضًا يتميز بدرجة عالية من المرونة في تغيير الشبكات. هذا يجعل IKEv2 خيارًا رائعًا لمستخدمي الهواتف المحمولة الذين يقومون بالتبديل بانتظام بين اتصالات WiFi المنزلية واتصالات المحمول ، أو الذين ينتقلون بانتظام بين النقاط الساخنة.

IKEv2 ليس شائعًا مثل L2TP / IPSec كما هو معتمد في العديد من الأنظمة الأساسية الأقل (على الرغم من أن هذا الموقف يتغير بسرعة). ومع ذلك ، تعتبر جيدة على الأقل ، إن لم تكن متفوقة على ، L2TP / IPsec من حيث الأمان والأداء (السرعة) والاستقرار والقدرة على تأسيس (وإعادة تأسيس) اتصال.

المسنجر

PROS

  • آمن للغاية (إذا تم استخدام PFS)
  • شكلي للغاية
  • المصدر المفتوح
  • يمكن تجاوز جدران الحماية
  • يحتاج برنامج طرف ثالث

ما هو المسنجر?

OpenVPN هي تقنية مفتوحة المصدر تستخدم مكتبة OpenSSL وبروتوكولات TLS ، إلى جانب مزيج من التقنيات الأخرى ، لتوفير حل VPN قوي وموثوق. هو الآن بروتوكول VPN القياسي في الصناعة الذي تستخدمه خدمات VPN التجارية - لسبب وجيه.

واحدة من نقاط القوة الرئيسية في OpenVPN هي أنها قابلة للتكوين بدرجة عالية. وهو مدعوم أصليًا بدون أي نظام أساسي ، ولكنه متاح في معظم الأنظمة الأساسية عبر برنامج تابع لجهة خارجية. غالبًا ما يتوفر عملاء وتطبيقات OpenVPN المخصصة من موفري VPN الفرديين ، ولكن تم تطوير شفرة المصدر المفتوح الأساسية بواسطة مشروع OpenVPN.

يعمل العديد من المطورين والمساهمين في مشروع OpenVPN أيضًا لصالح OpenVPN Technologies Inc. ، التي تشرف على المشروع.

يعمل OpenVPN بشكل أفضل على منفذ UDP ، ولكن يمكن ضبطه ليتم تشغيله على أي منفذ (انظر الملاحظات لاحقًا). يتضمن ذلك منفذ TCP 443 ، والذي يتم استخدامه بواسطة حركة HTTPS العادية. تشغيل OpenVPN عبر منفذ TCP 443 يجعل من الصعب معرفة اتصالات VPN بصرف النظر عن نوع الاتصالات الآمنة التي تستخدمها البنوك وخدمات البريد الإلكتروني وتجار التجزئة عبر الإنترنت. هذا يجعل برنامج OpenVPN صعب المنع.

ميزة أخرى لـ OpenVPN هي أن مكتبة OpenSSL المستخدمة لتوفير التشفير تدعم عددًا من الأصفار. في الممارسة العملية ، ومع ذلك ، يتم استخدام Blowfish و AES بشكل شائع بواسطة خدمات VPN التجارية. أنا ناقش هذه أدناه.

في ضوء المعلومات التي تم الحصول عليها من إدوارد سنودن ، يبدو أنه طالما تم استخدام Perfect Forward Secrecy ، فإن OpenVPN لم يتعرض للخطر أو الضعف من قبل وكالة الأمن القومي.

لقد اكتملت الآن عملية تدقيق جماعية حديثة لـ OpenVPN ، وكذلك عملية أخرى تمولها خدمة الوصول إلى الإنترنت الخاصة. لم يتم اكتشاف أي نقاط ضعف خطيرة تؤثر على خصوصية المستخدمين. تم اكتشاف بعض الثغرات الأمنية التي جعلت خوادم OpenVPN من المحتمل أن تكون مفتوحة لهجوم رفض الخدمة (DoS) ، ولكن تم تصحيحها في OpenVPN 2.4.2.

يُنظر إلى OpenVPN عادةً على أنها بروتوكول VPN الأكثر أمانًا وهو مدعوم على نطاق واسع عبر صناعة VPN. سأناقش إذن تشفير OpenVPN بالتفصيل أدناه.

OpenVPN التشفير

يشتمل تشفير OpenVPN على جزأين - تشفير قناة البيانات وتشفير قناة التحكم. يستخدم تشفير قناة البيانات لتأمين بياناتك. يقوم تشفير قناة التحكم بتأمين الاتصال بين الكمبيوتر الخاص بك وخادم VPN.

أي دفاع يكون بنفس قوة أضعف نقاطه ، لذلك من المؤسف أن بعض موفري VPN يستخدمون تشفيرًا أقوى بكثير على قناة واحدة من الآخر (عادة ما يكونون أقوى على قناة التحكم).

ليس من غير المألوف ، على سبيل المثال ، رؤية خدمة VPN معلن عنها باستخدام تشفير AES-256 مع تشفير مصافحة RSA-4096 ومصادقة تجزئة SHA-512. هذا يبدو مؤثرًا للغاية حتى تدرك أنه يشير فقط إلى التحكم في تشفير القناة وليس إلى قناة البيانات ، والتي يتم تشفيرها باستخدام Blowfish-128 فقط مع مصادقة تجزئة SHA1. يتم ذلك لأسباب تسويقية فقط.

إذا تم استخدام تشفير مختلف على قنوات البيانات والتحكم ، فإن القوة الحقيقية لاتصال OpenVPN تقاس باستخدام مجموعة التشفير الأضعف المستخدمة.

لتحقيق أقصى درجات الأمان ، يجب أن يكون تشفير البيانات وقناة التحكم قويًا قدر الإمكان. ومع ذلك ، كلما كان التشفير المستخدم أقوى ، كلما كان الاتصال أبطأ ، وهذا هو السبب في أن بعض مقدمي الخدمات يتعرفون على تشفير قناة البيانات.

يُسمى تشفير قناة التحكم أيضًا تشفير TLS لأن TLS هي التكنولوجيا المستخدمة للتفاوض بشكل آمن على الاتصال بين الكمبيوتر الخاص بك وخادم VPN. هذه هي نفس التقنية التي يستخدمها المستعرض الخاص بك للتفاوض بشكل آمن على اتصال إلى موقع ويب مشفر HTTPS.

  • يتكون تشفير قناة التحكم من تشفير وتشفير المصافحة وتوثيق التجزئة.
  • يتكون تشفير قناة البيانات من مصادقة التشفير والتجزئة.

غالبًا ما يستخدم مزودو VPN نفس المستوى من التشفير لكل من قنوات التحكم والبيانات. في مراجعاتنا وجداول "إشارة المرور" ، ندرجها بشكل منفصل فقط إذا تم استخدام قيم مختلفة لكل قناة.

إذا ذكرنا أن الموفر يستخدم تشفير AES-256 ، فهذا يعني أن تشفير AES-256 يُستخدم لكلا قنوات التحكم والبيانات. *

(* يجب أن يكون هذا هو الحال ، على الأقل. بعض المراجعات القديمة لا تتوافق مع إرشاداتنا الحالية ، ولكن يجب التخلص منها في الوقت المناسب).

الأصفار

يمكن لـ OpenVPN استخدام عدد من الأصفار الرئيسية المتماثلة من أجل تأمين البيانات على كل من قنوات التحكم والبيانات. في الممارسة العملية ، الوحيدون المستخدمون من قِبل موفري خدمة VPN التجارية هم Blowfish و AES و (نادرًا جدًا) Camellia.

السمكة المنتفخة

Blowfish-128 هو الشفرة الافتراضية التي يستخدمها OpenVPN. يمكن أن تتراوح أحجام المفاتيح من 32 بت إلى 448 بت ، ولكن Blowfish-128 هو الإصدار الوحيد الذي من المحتمل أن تصادفه في البرية.

غالبًا ما تُعتبر السمكة المنتفخة آمنة بما فيه الكفاية لأغراض عرضية ، لكن لديها نقاط ضعف معروفة. تم إنشاؤه من قبل المشفر المشهور بروس شناير ، الذي قال في عام 2007 ، "في هذه المرحلة ، على الرغم من ذلك ، أنا مندهش من أنه لا يزال قيد الاستخدام."

في رأينا ، يعتبر استخدام Blowfish-128 مقبولًا كخط دفاع ثاني على قناة بيانات OpenVPN. ومع ذلك ، لا ينبغي اعتبارها آمنة عند استخدامها على قناة التحكم.

AES

أصبح AES هو تشفير المفتاح المعياري المتماثل على مستوى صناعة VPN. AES حاصل على شهادة NIST ويعتبر عالميًا بشكل آمن للغاية. تستخدم الحكومة الأمريكية AES-256 لحماية البيانات "الآمنة".

حقيقة أن حجم البلوك 128 بت بدلاً من حجم بلوك 64 بلوك يعني أيضًا أنه قادر على التعامل مع الملفات الكبيرة (أكثر من 4 جيجابايت) أفضل من بلوفيش. بالإضافة إلى ذلك ، تستفيد مجموعة التعليمات AES من تسريع الأجهزة المدمج في معظم الأنظمة الأساسية.

يتوفر AES عادةً بأحجام مفاتيح 128 بت و 256 بت (يوجد 192 AES أيضًا). يبقى AES-128 آمنًا بقدر علم أي شخص. بالنظر إلى ما نعرفه الآن عن مدى اعتداء وكالة الأمن القومي على معايير التشفير ، ومع ذلك ، يتفق معظم الخبراء على أن AES-256 يوفر هامش أمان أعلى.

فقط لضمان ألا يجد أي شخص هذا الموضوع على الإطلاق أمرًا سهلاً للغاية ، رغم ذلك ، هناك بعض النقاش حول هذه المسألة. يحتوي AES-128 على جدول زمني رئيسي أقوى من AES-256 ، مما يدفع بعض الخبراء البارزين إلى القول بأن AES-128 أقوى بالفعل من AES-256.

الإجماع العام ، مع ذلك ، هو أن AES-256 أقوى.

الكاميلية

كاميليا هي شفرات آمنة حديثة وآمنة وسريعة على الأقل مثل AES. وهي متوفرة في أحجام رئيسية من 128 و 192 و 256 بت. بفضل شهادة NIST واستخدامها من قبل حكومة الولايات المتحدة ، ومع ذلك ، يتم استخدام AES دائما تقريبا بدلا من كاميليا.

ولكن كما ناقشت أدناه ، هناك أسباب لعدم الوثوق بالأصفار المعتمدة من NIST. حقيقة أن كاميليا هو تشفير غير NIST هو السبب الرئيسي لاختياره على AES. هذا الخيار نادرًا ما يكون متاحًا.

تجدر الإشارة أيضًا إلى أن كاميليا لا يتم اختبارها جيدًا تقريبًا بحثًا عن الضعف مثل AES.

مصافحة التشفير

من أجل التفاوض بشكل آمن على اتصال بين جهازك وخادم VPN ، يستخدم OpenVPN مصافحة TLS. يسمح هذا لعميل OpenVPN وخادم VPN بإنشاء المفاتيح السرية التي يتواصلون معها.

لحماية هذا المصافحة ، يستخدم TLS عادةً نظام تشفير المفتاح العمومي RSA. هذه خوارزمية تشفير وتوقيع رقمي تستخدم لتحديد شهادات TLS / SSL. ومع ذلك ، يمكنه أيضًا استخدام تبادل مفاتيح Diffie-Hellman أو ECDH بدلاً من ذلك.

RSA

RSA هو نظام تشفير غير متماثل - يتم استخدام مفتاح عمومي لتشفير البيانات ، ولكن يتم استخدام مفتاح خاص مختلف لفك تشفيره. لقد كان الأساس للأمن على الإنترنت على مدار العشرين عامًا الماضية أو نحو ذلك.

من الثابت الآن أن RSA بطول رئيسي يبلغ 1024 بت (RSA-1024) أو أقل غير آمن ، وقد تم بالتأكيد تقطيعه بواسطة وكالة الأمن القومي. وبالتالي ، كانت هناك خطوة منسقة بين شركات الإنترنت للترحيل بعيدًا عن RSA-1024.

لسوء الحظ ، ما زلنا نجد أن بعض خدمات VPN تواصل استخدام RSA-1024 لحماية المصافحة. هذا ليس جيدا.

RSA-2048 والإصدارات الأحدث لا تزال آمنة. من جانبها ، لا توفر RSA Perfect Forward Secrcy (PFS). ومع ذلك ، يمكن تنفيذ ذلك من خلال تضمين مفتاح Diffie-Hellman (DH) أو Elliptic curve Diffie-Hellman (ECDH) في مجموعة التشفير الخاصة به.

في هذه الحالة ، لا تهم قوة مفتاح DH أو ECDH نظرًا لأنه يُستخدم فقط لتوفير السرية التامة للأمام. تم تأمين الاتصال باستخدام RSA.

نظرًا لأنه قد يتسبب في حدوث تشويش ، سألاحظ أيضًا أن نظام تشفير RSA لا علاقة له بشركة RSA Security LLC في الولايات المتحدة. أضعفت هذه الشركة عمدا منتجات تشفير BSAFE الرائدة بعد أن رُشِّت 10 ملايين دولار من قبل وكالة الأمن القومي.

ديفي هيلمان و ECDH

تشفير مصافحة بديل (منافس) يُستخدم أحيانًا بواسطة OpenVPN هو تبادل مفتاح التشفير Diffie-Hellman (DH). عادة ما يكون لهذا طول مفتاح 2048 بت أو 4096 بت. لاحظ أنه يجب تجنب أي شيء أقل من DH-2048 بسبب التعرض لهجوم logjam.

الميزة الرئيسية لمصافحة ديفي هيلمان على RSA هي أنه يوفر أصلاً السرية التامة للأمام. وكما لوحظ من قبل ، ومع ذلك ، فإن مجرد إضافة تبادل لمفاتيح DH إلى مصافحة RSA يحقق نهاية مماثلة.

تسببت ديفي هيلمان في جدال كبير حول إعادة استخدامها لمجموعة محدودة من الأعداد الأولية. هذا يجعلها عرضة للتصدع من قبل خصم قوي ، مثل NSA. Diffie-Hellman بمفردها ، لذلك ، لا يصنع التشفير الآمن للمصافحة. لا بأس ، عند استخدامه كجزء من مجموعة تشفير RSA.

منحنى إهليلجي Diffie-Hellman (ECDH) هو شكل أحدث من تشفير ليست عرضة لهذا الهجوم. هذا لأنه يستخدم خصائص نوع معين من منحنى الجبر بدلاً من الأعداد الأولية الكبيرة لتشفير الاتصالات.

يمكن استخدام ECDH كجزء من مصافحة RSA لتوفير Perfect Forward Secrecy ، أو يمكن تشفير المصافحة بشكل آمن من تلقاء نفسها (مع توقيع ECDSA). وهذا يوفر أيضا PFS.

يبدأ طول مفتاح ECDH من 384 بت. يعتبر هذا آمنًا ، ولكن عند استخدامه بمفرده لتأمين مصافحة TLS ، كلما كان ذلك أفضل (من حيث الأمان ، على أي حال).

مصادقة تجزئة SHA

يشار إلى هذا أيضًا باسم مصادقة البيانات أو رمز مصادقة رسالة التجزئة (HMAC).

تعد خوارزمية التجزئة الآمنة (SHA) دالة تجزئة تشفيرية تستخدم (من بين أشياء أخرى) لمصادقة البيانات واتصالات SSL / TLS. يتضمن ذلك اتصالات OpenVPN.

يخلق بصمة فريدة لشهادة TLS صالحة ، والتي يمكن التحقق من صحتها من قبل أي عميل OpenVPN. حتى أصغر تغيير يمكن اكتشافه. إذا تم العبث بالشهادة ، فسيتم اكتشاف ذلك على الفور ورفض الاتصال.

هذا مهم في منع هجوم Man-in-the-middle (MitM) ، حيث يحاول الخصم تحويل اتصال OpenVPN إلى أحد خوادمه بدلاً من مزود VPN الخاص بك. يمكن أن تفعل هذا ، على سبيل المثال ، عن طريق اختراق جهاز التوجيه الخاص بك.

إذا تمكن أحد الخصوم من كسر تجزئة شهادة TLS الأصلية لمزودك ، فيمكنه عكس التجزئة لإنشاء شهادة مزورة. عندئذٍ يقوم برنامج Open VPN الخاص بك بتوثيق الاتصال على أنه أصلي.

هل SHA آمن?

عند استخدامها لحماية مواقع HTTPS ، يتم كسر SHA-1. لقد كان هذا معروفًا لبعض الوقت. لا يزال من الممكن العثور على مواقع SHA-1 ، ولكن يتم التخلص منها تدريجياً. ستصدر معظم المتصفحات الآن تحذيرًا عند محاولة الاتصال بموقع ويب آمن باستخدام SHA-1.

يوصى الآن بدلائل SHA-2 و SHA-3 بدلاً من ذلك ، وهي آمنة. يتضمن SHA-2 SHA-256 و SHA-384 و SHA-512. ومع ذلك…

يستخدم OpenVPN فقط SHA لـ HMAC. لا أعتقد أنه من المفيد الدخول في الكثير من التفاصيل هنا ، ولكن مصادقة تجزئة SHA جزء من خوارزمية HMAC. تعد مهاجمة HMAC المضمنة مع SHA-1 أصعب بكثير من مجرد مهاجمة دالة تجزئة SHA-1 نفسها.

بمعنى آخر ، يعتبر HMAC SHA-1 كما تستخدمه OpenVPN آمنًا وهناك دليل رياضي على ذلك. بالطبع ، تعد HMAC SHA-2 و HMAC SHA-3 أكثر أمانًا! في الواقع ، تدرك مراجعة OpenVPN الأخيرة أن HMAC SHA-1 آمن ، لكنها توصي بالانتقال إلى HMAC SHA-2 أو HMAC SHA-3 بدلاً من ذلك.

ملاحظات

NIST

تم تطوير و / أو اعتماد كل من AES و RSA و SHA-1 و SHA-2 من قبل المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST). هذه هي الهيئة التي تعمل عن طريق قبولها عن كثب مع وكالة الأمن القومي في تطوير الأصفار.

بالنظر إلى ما نعرفه الآن عن جهود منهجية NSA لإضعاف أو بناء الخلفية في معايير التشفير الدولية ، هناك كل سبب للتشكيك في سلامة خوارزميات NIST.

NIST ، بالطبع ، يدحض بشدة هذه الادعاءات:

"NIST لن تضعف عمدا معيار التشفير."

كما دعا إلى مشاركة الجمهور في عدد من معايير التشفير المقترحة المقبلة ، في خطوة تهدف إلى تعزيز ثقة الجمهور.

ومع ذلك ، اتهمت صحيفة "نيويورك تايمز" وكالة الأمن القومي بالتحايل على معايير التشفير المعتمدة من NIST إما عن طريق إدخال أبواب خلفية غير قابلة للكشف أو تخريب عملية التنمية العامة لإضعاف الخوارزميات.

تم تعزيز عدم الثقة هذا عندما طلبت RSA Security (أحد أقسام EMC) من العملاء من القطاع الخاص التوقف عن استخدام خوارزمية تشفير تحتوي على خلل تم تصميمه بواسطة NSA. كما تم اعتماد هذه الخوارزمية بواسطة NIST.

علاوة على ذلك ، يعد Dual_EC_DRBG (مولد القطع العشوائي ذو المنحنى الإهليلجي المزدوج) معيار تشفير مصمم بواسطة NIST. من المعروف أنها غير آمنة لسنوات.

في عام 2006 ، لاحظت جامعة أيندهوفن للتكنولوجيا في هولندا أن الهجوم ضدها كان سهلاً بما يكفي لشنها على "جهاز كمبيوتر عادي". كما قام مهندسو Microsoft بوضع علامة على مستتر مشتبه به في الخوارزمية..

على الرغم من هذه المخاوف ، حيث يؤدي NIST ، تتبع الصناعة. تتضمن كل من Microsoft و Cisco و Symantec و RSA الخوارزمية في مكتبات التشفير الخاصة بمنتجهم. هذا إلى حد كبير لأن الامتثال لمعايير NIST هو شرط أساسي للحصول على عقود الحكومة الأمريكية.

تعد معايير التشفير المعتمدة من NIST في كل مكان في جميع أنحاء العالم ، في جميع مجالات الصناعة والأعمال التي تعتمد على الخصوصية. وهذا يجعل الوضع كله تقشعر له الأبدان.

ربما على وجه التحديد لأن الكثير يعتمد على هذه المعايير ، كان خبراء التشفير غير مستعدين لمواجهة المشكلة.

AES-CBC مقابل AES-GCM

حتى وقت قريب كان تشفير AES الوحيد الذي من المحتمل أن تصادفه في عالم VPN هو AES-CBC (تشفير بلوك التسلسل). يشير هذا إلى وضع تشفير البلوك ، وهو موضوع معقد لا يستحق الذهاب إلى هنا. على الرغم من احتمال وجود بعض نقاط الضعف لدى CBC من الناحية النظرية ، فإن الإجماع العام هو أن CBC آمنة. CBC موصى به بالفعل في دليل OpenVPN.

يدعم OpenVPN الآن أيضًا AES-GCM (وضع الجاليوس / العداد).

  • توفر GCM المصادقة ، مما يلغي الحاجة إلى دالة التجزئة HMAC SHA.
  • كما أنه أسرع قليلاً من CBC لأنه يستخدم تسريع الأجهزة (عن طريق الترابط إلى عدة معالجات النوى).

لا يزال AES-CBC هو الوضع الأكثر شيوعًا في الاستخدام العام ، لكننا بدأنا الآن في مواجهة AES-GCM "في البرية." بالنظر إلى مزايا GCM ، فمن المرجح أن يستمر هذا الاتجاه فقط. من منظور التشفير ، أصبح كل من AES-CBC و AES-GCM آمنًا للغاية.

OpenVPN UDP مقابل OpenVPN TCP

يمكن تشغيل OpenVPN عبر TCP (بروتوكول التحكم في الإرسال) أو UDP (بروتوكول مخطط بيانات المستخدم).

  • TCP = موثوق. عندما يرسل الكمبيوتر حزمة شبكة باستخدام TCP ، فإنه ينتظر تأكيد وصول الحزمة قبل إرسال الحزمة التالية. إذا لم يتم استلام أي تأكيد ، فسيتم إعادة إرسال الحزمة. هذا هو المعروف باسم تصحيح الخطأ. هناك "تسليم مضمون" لجميع البيانات ، لكن يمكن أن يكون بطيئًا للغاية.
  • UDP = سريع. باستخدام UDP ، لا يتم إجراء تصحيح الخطأ هذا. يتم إرسال الحزم واستلامها دون أي إقرار أو إعادة المحاولة. هذا يجعل UDP أسرع بكثير من TCP ، ولكن أقل موثوقية.

إذا أعطيت الخيار ، أقترح استخدام بروتوكول UDP الأسرع ما لم تواجه مشكلات في الاتصال. هذه هي الاستراتيجية الافتراضية المعتمدة من قبل معظم مزودي VPN.

اهزم الرقابة باستخدام OpenVPN على منفذ TCP 443

تتمثل إحدى الميزات الرائعة لـ OpenVPN في إمكانية تشغيله عبر أي منفذ ، بما في ذلك منفذ TCP 443. هذا هو المنفذ الذي تستخدمه HTTPS ، وهو البروتوكول المشفر الذي يؤمن جميع مواقع الويب الآمنة.

بدون HTTPS ، لن يكون هناك أي شكل من أشكال التجارة عبر الإنترنت ، مثل التسوق أو الخدمات المصرفية. لذلك من النادر جدًا حظر هذا المنفذ.

كمكافأة ، يمكن توجيه حركة مرور VPN على منفذ TCP 443 داخل تشفير TLS بنفس الطريقة المستخدمة من قبل HTTPS. هذا يجعل من الصعب تحديد موقع استخدام تقنيات فحص الحزمة العميقة المتقدمة. منفذ TCP 443 هو المنفذ المفضل للتهرب من كتل VPN.

يوفر العديد من موفري VPN القدرة على تغيير رقم المنفذ المستخدم بواسطة OpenVPN باستخدام برامجهم المخصصة.

حتى لو لم يكن لديك ، فإن العديد من مزودي VPN يدعمون بالفعل OpenVPN باستخدام منفذ TCP 443 على مستوى الخادم. يمكنك التبديل إليها من خلال تعديل بسيط لملف تكوين (OpenVPN) الخاص بك. لذلك ، يجدر السؤال عن مزود VPN الخاص بك حول هذا الأمر.

تجدر الإشارة إلى أن مهندسي الشبكات لا يحبون هذا التكتيك لأن TCP عبر TCP غير فعال للغاية. عندما يتعلق الأمر بهزيمة الرقابة ، فإنها تعمل في الغالب.

يستخدم SSTP منفذ TCP 443 افتراضيًا.

ملخصات

بروتوكولات VPN

  • PPTP غير آمن للغاية ويجب تجنبه. في حين أن سهولة الإعداد والتوافق عبر الأنظمة الأساسية جذابة ، فإن L2TP / IPsec له نفس المزايا وهو أكثر أمانًا.
  • L2TP / أمن بروتوكول الإنترنت هو حل VPN جيد للاستخدام غير الحرج. هذا صحيح بشكل خاص على الأجهزة القديمة التي لا تدعم OpenVPN. ومع ذلك ، فقد تم اختراقه بشدة من قبل وكالة الأمن القومي.
  • SSTP يقدم معظم مزايا OpenVPN ، لكنه في الأساس بروتوكول Windows فقط. هذا يعني أنه تم دمجها بشكل أفضل في نظام التشغيل ، لكنه مدعوم بشكل سيئ من قبل موفري VPN بفضل هذا القيد. بالإضافة إلى ذلك ، فإن طبيعتها الخاصة والحقيقة التي تم إنشاؤها بواسطة Microsoft تعني أنني لا أثق بها من جانب واحد..
  • IKEv2 هو بروتوكول جيد جدا (آمن وسريع). ربما يفضل مستخدمو الهاتف المحمول ، على وجه الخصوص ، OpenVPN نظرًا لقدرته المحسنة على إعادة الاتصال عند مقاطعة الاتصال بالإنترنت. لمستخدمي Blackberry ، إنه الخيار الوحيد المتاح إلى حد كبير. استخدم إصدارات مفتوحة المصدر حيثما أمكن ذلك.
  • المسنجر هو بروتوكول VPN الموصى به في معظم الحالات. إنه سريع وموثوق وآمن ومفتوح المصدر. ليس لديها سلبيات حقيقية ، في حد ذاتها ، ولكن لكي تكون آمنًا حقًا ، من المهم أن يتم تنفيذه جيدًا. هذا يعني تشفيرًا قويًا باستخدام Perfect Forward Secrecy.

OpenVPN التشفير

عندما يتعلق الأمر بالتشفير ، فإن الشيطان هو في التفاصيل. من الشائع رؤية موفري شبكات VPN يقولون إنهم يستخدمون تشفير AES OpenVPN "قوي للغاية 256 بت" ، لكن هذا لا يخبرنا كثيرًا في الواقع. AES-256 هو بالفعل تشفير قوي ، ولكن إذا كانت الجوانب الأخرى من مجموعة التشفير المستخدمة ضعيفة ، فلن تكون بياناتك آمنة.

  • الشفرة - هذا يحمي البيانات الفعلية الخاصة بك. AES-256 هو الآن معيار الصناعة ويوصى.
  • مصافحة - هذا يؤمن اتصالك بخادم VPN. RSA-2048 + أو ECDH-384 + آمنان. الأهم من ذلك أن مصافحة RSA-1024 و Diffie-Hellman ليس.
  • مصادقة التجزئة - ينشئ بصمة فريدة تستخدم للتحقق من صحة البيانات وشهادات TLS (أي ، للتحقق من أن الخادم الذي تتصل به هو حقًا المستخدم الذي تتصل به). إن HMAC SHA-1 جيد تمامًا ، ولكن HMAC SHA-2 (SHA-256 و SHA-384 و SHA-512) و HMAC SHA-3 أكثر أمانًا! لاحظ أن مصادقة التجزئة غير مطلوبة إذا تم استخدام تشفير AES-GCM.
  • الكمال إلى الأمام السرية (PFS) - يضمن ذلك إنشاء مفاتيح تشفير جديدة لكل جلسة. لا ينبغي اعتبار OpenVPN آمنة ما لم يتم تطبيق PFS. يمكن القيام بذلك إما عن طريق تضمين تبادل مفاتيح Diffie-Hellman أو ECDH في مصافحة RSA ، أو مصافحة DH أو ECDH.
  • التشفير هو فقط آمن مثل أضعف نقطة. هذا يعني أن إعدادات التشفير يجب أن تكون قوية على كل من قنوات البيانات والتحكم.
  • استخدام أطوال بت أعلى للأصفار والمفاتيح دائمًا ما يكون أكثر أمانًا ، ولكن هذا يأتي بتكلفة منخفضة.

سيتفاوض OpenVPN على الأصفار بين العميل والخادم في الإرادة. ما لم يتم تحديد معلمات محددة للغاية ، قد يتغير OpenVPN إلى الإعدادات الضعيفة. كحد أدنى ، سوف يقوم OpenVPN افتراضيًا بتشفير Blowfish-128 ، مصافحة RSA-1024 بدون مصادقة PFS ، و HMAC SHA-1.

استنتاج

نأمل أن يكون لديك الآن فهم أفضل لما يجعل اتصال VPN آمنًا. عندما يتعلق الأمر بتكوين VPN بشكل صحيح ، فإن التشفير هو نصف القصة فقط. النصف الآخر هو التأكد من عدم وجود حركة مرور تدخل أو تترك جهاز الكمبيوتر الخاص بك خارج اتصال VPN.

لمعرفة المزيد حول هذا ، يرجى مراجعة الدليل الكامل لتسريبات الملكية الفكرية.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me