دورکاری امن در دوران شیوع ویروس کرونا_بخش دوم
با توجه به شرایط کنونی کشور و شیوع روزافزون ویروس کرونا، استفاده از سامانههای آموزش مجازی، برقراری جلسات آنلاین و دورکاری کارمندان با افزایش چشمگیری مواجه شده است. انجام امور اداری برای کارمندان در بستر اینترنت میتواند سبب تهدیدات و مخاطرات امنیتی جدی شده، و خسارات جبران ناپذیری را برای یک سازمان بههمراه داشته باشد، ضروری است که در سازمانهای مختلف تمهیدات امنیتی مناسبی برای برقراری امنیت این سامانهها و زیر ساختها و همچنین ایجاد بسترهای ارتباطی امن برای این ارتباطات توسط مدیران و کارشناسان شبکه اندیشیده شود. یکی از مهمترین و ضروریترین موارد برای ایجاد یک بستر امن ارتباطی پیادهسازی Tunnelها برای دسترسی امن و ایزوله از بستر اینترنت به شبکه داخلی یک سازمان میباشد، که در ادامه این گزارش نکات امنیتی و مهم برای ایجاد این بسترها ارائه شده است.
ایجاد دسترسی VPN برای کارمندان توسط کارشناسان شبکه
یکی از روشهای ایجاد بستر امن ارتباطی، پیادهسازی سرویس VPN برای سازمانها میباشد، تا کارمندان یک سازمان قادر به دسترسی به شبکه داخلی سازمان در بستر اینترنت باشند. با درنظر گرفتن پروتکلهای مختلف VPN مانند L2TP و PPTP و غیره، پروتکل L2TP به دلیل داشتن امنیت بالا (رمزنگاری قدرتمند ۲۵۶ بیتی) و مزایایی همچون سازگاری با تمام سیستمعاملها به عنوان یک پروتکل استاندارد به سازمانها و ادارات مختلف پیشنهاد میشود. با توجه به اینکه این سرویس باید برای دستگاههای لبه شبکه (Edge) تنظیم شوند، بنابراین نکات مهم امنیتی و همچنین آموزش ایجاد این سرویس به صورت امن و مناسب را برای تجهیزات مختلفی مانند میکروتیک و فورتیگیت _از پرکاربردترین دستگاههای لبه در شبکه_ و همچنین ایجاد کانکشن مناسب برای اتصال به این سرویسها در زیر ارائه شده است.
پیادهسازی L2TP برای تجهیزات میکروتیک
در ابتدا پس از اتصال به روتر بورد از طریق نرمافزار Winbox یک Profile برای مشخص کردن ویژگیها و شرایط اتصال کاربران به شبکه ایجاد میکنیم، که این پروفایل را از قسمت PPP بخش Profile در دسترس میباشد:
موارد مهم و ضروری در این قسمت به صورت زیر وارد میشوند:
• Name: نام برای پروفایل ایجاد شده را مشخص میکنیم.
• Local Address : آدرس IP میکروتیک برای ایجاد ارتباط تانل با کاربر را مشخص میکنیم.
• Remote Address : یک Pool برای تخصیص آدرس IP به کاربران ریموت مشخص میکنیم.
• DNS : آدرس DNS ای که به کاربران بعد از اتصال تخصیص داده میشود را مشخص میکنیم.
بعد از ساخت پروفایل مورد نظر، باید در سربرگ Secret برای هر کاربر یک حساب کاربری ایجاد کرد:
موارد بالا به صورت زیر وارد میشوند:
- Name: یک نام برای کاربر مورد نظر را انتخاب میکنیم.
- Password : کلمه عبور برای کاربر مورد نظر را انتخاب میکنیم.
- Service : اختصاص سرویس مورد مورد نظر برای کاربر.
- Profile : اختصاص پروفایل ساخته شده در مراحل قبل.
نکته: برای هریک از کاربران شبکه یک حساب با نامکاربری منحصر به فرد و کلمهعبور پیچیده قرار دهید.
پس از ایجاد پروفایل و کاربران موردنظر از منوی سمت چپ گزینه PPP را انتخاب میکنیم:
در ادامه در پنجره باز شده روی L2TP سرور کلیک کرده و تیک Enable را میزنیم تا سرویس VPN L2TP روی روتربورد میکروتیک فعال شود، و پروفایل ساخته شده در مرحله قبل را به آن اختصاص میدهیم، در نهایت در قسمتSecret IPsec با وارد کردن یک رمز پیچیده IPsec را فعال میکنیم:
در نهایت با انتخاب گزینه OK سرویس L2TP VPN برای روتربورد فعال شده و با ساختن کانکشن مناسب میتوان به آن متصل شد.
پیادهسازی L2TP برای تجهیزات فورتیگیت
با متصل شدن به صفحه مدیریت فایروال و باز کردن بخش User & Devices و سپس User Defination با انتخاب گزینه Create New کاربر مورد نظر را ایجاد میکنیم:
در قسمت بعد برای حساب کاربری خود نامکاربری و کلمهعبور را مشخص میکنیم:
سپس با توجه تصویر زیر در قسمت User Groups یک گروه ایجاد کرده و کاربر مورد نظر را به آن اضافه میکنیم:
در ادامه با انتخاب سربرگ VPN و سپس Ipsec Wizard اقدام به ایجاد یک VPN IPsec میکنیم، و سپس در قسمت Name یک نام برای این سرویس انتخاب کرده و آن را از نوع Remote access قرار میدهیم:
در مرحله بعد اینترفیس ورودی از اینترنت به سمت دستگاه فورتیگیت را مشخص میکنیم، و در فیلد Pre-shared Key یک رمز پیچیده برای آن در نظر میگیریم، و در نهایت در فیلد User Group گروه مورد نظر برای دسترسی به این سرویس را انتخاب میکنیم.
در مرحله نهایی در فیلد Local Interface اینترفیس متصل شبکه داخلی را مشخص میکنیم، و سپس در قسمت Local Address رنج مورد نظر برای دسترسی کاربران از طریق VPN را مشخص کرده و همچنین در فیلد Client Address Range یک بازه برای تخصیص آدرس IP به کاربران ریموت مشخص میکنیم و در نهایت با انتخاب گزینه Create سرویس IPsec VPN برای دستگاه ما راهاندازی شده است.
ساخت کانکشن VPN توسط کارمندان
ساخت کانکشن L2TP برای سیستمهای لینوکسی
برای ایجاد کانکشن L2TP در سیستمعاملهای لینوکسی باید در ابتدا پکیج NetworkManager-l2tp VPN در سیستم لینوکسی خود اضافه کنید، برای اضافه کردن این پکیج میتوانید از دستورات زیر استفاده کنید:
۱. دستورات نصب پکیج برای توزیعهای Ubuntu:
sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp
sudo apt-get update
sudo apt-get install network-manager-l2tp network-manager-l2tp-gnome
۲. دستورات نصب پکیج برای توزیعهایFedora :
dnf install xl2tpd
dnf install NetworkManager-l2tp
dnf install NetworkManager-l2tp-gnome
بعد از نصب پکیج مورد نیاز با وارد شدن به پنجره Network Settings وارد تنظیمات شبکه خود شوید:
در صفحه باز شده، اقدام به ایجاد یک کانکشن جدید میکنیم:
سپس در پنجره باز شده Layer 2 Tunneling Protocol (L2TP) را انتخاب میکنیم:
در صفحه باز شده اطلاعات را به صورت زیر وارد میکنیم:
- Name: نام دلخواه کانکشن را مشخص میکنیم.
- Gateway: آدرسIP سرور موردنظر را مشخص میکنیم.
- User name: نام کاربری مورد نظر را وارد میکنیم.
- Password: رمز عبور مورد نظر را وارد میکنیم.
سپس با انتخاب گزینه IPsec Settings در صفحه باز شده Pre-shared keyرا وارد کرده و روی گزینه Ok را کلیک میکنیم:
در انتها در پنجره Network Settings کانکشن مورد نظر اضافه شده و میتوان با کلیک کردن برروی آن اتصال VPN خود را برقرار کرد:
ساخت کانکشن L2TP برای سیستمهای ویندوزی
در ابتدا با انتخاب گزینه Start و سپس گزینه Setting وارد تنظیماتNetwork & Internet میشویم:
در مرحله بعد با انتخاب سربرگ VPN و سپس Add a VPN Connection اقدام به ایجاد یک کانکشن میکنیم:
در پنجره باز شده فیلدهارا به صورت زیر انتخاب میکنیم:
- Connection name: نام دلخواه کانکشن را مشخص میکنیم.
- Server: آدرسIP سرور موردنظر را مشخص میکنیم.
- VPN type: نوع و پروتکل VPNرا انتخاب میکنیم.
- Username: نام کاربری مورد نظر را وارد میکنیم.
- Password: رمز عبور مورد نظر را وارد میکنیم.
- Pre-Shared key: رمز تعیین شده در مراحل ساخت VPN را وارد میکنیم.
تهیه و تنظیم: مرکز تخصصی آپا دانشگاه رازی
