دورکاری امن در دوران شیوع ویروس کرونا_بخش دوم

 

با توجه به شرایط کنونی کشور و شیوع روزافزون ویروس کرونا، استفاده از سامانه‌های آموزش مجازی، برقراری جلسات آنلاین و دورکاری کارمندان با افزایش چشم‌گیری مواجه شده است. انجام امور اداری برای کارمندان در بستر اینترنت می‌تواند سبب تهدیدات و مخاطرات امنیتی جدی شده، و خسارات جبران ناپذیری را برای یک سازمان به‌همراه داشته باشد، ضروری است که در سازمان‌های مختلف تمهیدات امنیتی مناسبی برای برقراری امنیت این سامانه‌ها و زیر ساخت‌ها و همچنین ایجاد بسترهای ارتباطی امن برای این ارتباطات توسط مدیران و کارشناسان شبکه اندیشیده شود. یکی از مهم‌ترین و ضروری‌ترین موارد برای ایجاد یک بستر امن ارتباطی پیاده‌سازی Tunnelها برای دسترسی امن و ایزوله از بستر اینترنت به شبکه داخلی یک سازمان می‌باشد، که در ادامه این گزارش نکات امنیتی و مهم برای ایجاد این بسترها ارائه شده است.

 

ایجاد دسترسی VPN برای کارمندان توسط کارشناسان شبکه

یکی از روش‌های ایجاد بستر امن ارتباطی، پیاده‌سازی سرویس VPN  برای سازمان‌ها می‌باشد، تا کارمندان یک سازمان قادر به دسترسی به شبکه داخلی سازمان در بستر اینترنت باشند. با درنظر گرفتن پروتکل‌های مختلف VPN مانند L2TP و PPTP و غیره، پروتکل L2TP به دلیل داشتن امنیت بالا (رمزنگاری قدرتمند ۲۵۶ بیتی) و مزایایی همچون سازگاری با تمام سیستم‌عامل‌ها به عنوان یک پروتکل استاندارد به سازمان‌ها و ادارات مختلف پیشنهاد می‌شود. با توجه به این‌که این سرویس باید برای دستگاه‌های لبه شبکه (Edge) تنظیم شوند، بنابراین نکات مهم امنیتی و همچنین آموزش ایجاد این سرویس به صورت امن و مناسب را برای تجهیزات مختلفی مانند میکروتیک و فورتیگیت _از پرکاربردترین دستگاه‌های لبه در شبکه_ و همچنین ایجاد کانکشن مناسب برای اتصال به این سرویس‌ها در زیر ارائه شده است.

پیاده‌سازی L2TP برای تجهیزات میکروتیک

در ابتدا پس از اتصال به روتر بورد از طریق نرم‌افزار Winbox یک Profile برای مشخص کردن ویژگی‌ها و شرایط اتصال کاربران به شبکه ایجاد می‌کنیم، که این پروفایل را از قسمت PPP بخش Profile در دسترس می‌باشد:

موارد مهم و ضروری در این قسمت به صورت زیر وارد می‌شوند:
•    Name: نام برای پروفایل ایجاد شده را مشخص می‌کنیم.
•    Local Address : آدرس IP میکروتیک برای ایجاد ارتباط تانل با کاربر را مشخص می‌کنیم.
•    Remote Address : یک Pool برای تخصیص آدرس IP به کاربران ریموت مشخص می‌کنیم.
•    DNS : آدرس DNS ای که به کاربران بعد از اتصال تخصیص داده می‌شود را مشخص می‌کنیم.
بعد از ساخت پروفایل مورد نظر، باید در سربرگ Secret برای هر کاربر یک حساب کاربری ایجاد کرد:

موارد بالا به صورت زیر وارد می‌شوند:

  • Name: یک نام برای کاربر مورد نظر را انتخاب می‌کنیم.
  • Password : کلمه عبور برای کاربر مورد نظر را انتخاب می‌کنیم.
  • Service : اختصاص سرویس مورد مورد نظر برای کاربر.
  • Profile : اختصاص پروفایل ساخته شده در مراحل قبل.

نکته: برای هریک از کاربران شبکه یک حساب با نام‌کاربری منحصر به فرد و کلمه‌عبور پیچیده قرار دهید.
پس از ایجاد پروفایل و کاربران موردنظر از منوی سمت چپ گزینه PPP را انتخاب می‌کنیم:


در ادامه در پنجره باز شده روی L2TP سرور کلیک کرده و تیک Enable را می‌زنیم تا سرویس VPN L2TP روی روتربورد میکروتیک فعال شود، و پروفایل ساخته شده در مرحله قبل را به آن اختصاص می‌دهیم، در نهایت در قسمتSecret  IPsec  با وارد کردن یک رمز پیچیده IPsec  را فعال می‌کنیم:

در نهایت با انتخاب گزینه OK سرویس L2TP VPN برای روتربورد فعال شده و با ساختن کانکشن مناسب می‌توان به آن متصل شد.

 

پیاده‌سازی L2TP برای تجهیزات فورتیگیت

  با متصل شدن به صفحه مدیریت فایروال و باز کردن بخش User & Devices و سپس User Defination با انتخاب گزینه Create New کاربر مورد نظر را ایجاد می‌کنیم:

در قسمت بعد برای حساب کاربری خود نام‌کاربری و کلمه‌عبور را مشخص می‌کنیم:

سپس با توجه تصویر زیر در قسمت User Groups یک گروه ایجاد کرده و کاربر مورد نظر را به آن اضافه می‌کنیم:

در ادامه با انتخاب سربرگ VPN و سپس Ipsec Wizard اقدام به ایجاد یک VPN IPsec می‌کنیم، و سپس در قسمت Name یک نام برای این سرویس انتخاب کرده و آن‌ را از نوع Remote access قرار می‌دهیم:

در مرحله بعد اینترفیس ورودی از اینترنت به سمت دستگاه فورتیگیت را مشخص می‌کنیم، و در فیلد Pre-shared Key یک رمز پیچیده برای آن در نظر می‌گیریم، و در نهایت در فیلد User Group گروه مورد نظر برای دسترسی به این سرویس را انتخاب می‎کنیم.

در مرحله نهایی در فیلد Local Interface اینترفیس متصل شبکه داخلی را مشخص می‌کنیم، و سپس در قسمت Local Address رنج مورد نظر برای دسترسی کاربران از طریق VPN را مشخص کرده و همچنین در فیلد Client Address Range یک بازه برای تخصیص آدرس IP به کاربران ریموت مشخص می‌کنیم و در نهایت با انتخاب گزینه Create سرویس IPsec VPN برای دستگاه ما راه‌اندازی شده است.

 

ساخت کانکشن VPN توسط کارمندان

ساخت کانکشن L2TP  برای سیستم‌های لینوکسی

برای ایجاد کانکشن L2TP در سیستم‌عامل‌های لینوکسی باید در ابتدا پکیج NetworkManager-l2tp VPN در سیستم لینوکسی خود اضافه کنید، برای اضافه کردن این پکیج می‌توانید از دستورات زیر استفاده کنید:

۱.    دستورات نصب پکیج برای توزیع‌های Ubuntu:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp
sudo apt-get update
sudo apt-get install network-manager-l2tp  network-manager-l2tp-gnome

۲.    دستورات نصب پکیج برای توزیع‌هایFedora :

dnf install xl2tpd
dnf install NetworkManager-l2tp
dnf install NetworkManager-l2tp-gnome

بعد از نصب پکیج مورد نیاز با وارد شدن به پنجره Network Settings وارد تنظیمات شبکه خود شوید:

در صفحه باز شده، اقدام به ایجاد یک کانکشن جدید می‌کنیم:

سپس در پنجره باز شده Layer 2 Tunneling Protocol ‪(L2TP)‬ را انتخاب می‌کنیم:

در صفحه باز شده اطلاعات را به صورت زیر وارد می‌کنیم:

  • Name: نام دلخواه کانکشن را مشخص می‌کنیم.
  • Gateway: آدرسIP سرور موردنظر را مشخص می‌کنیم.
  • User name: نام کاربری مورد نظر را وارد می‌کنیم.
  • Password: رمز عبور مورد نظر را وارد می‌کنیم.

سپس با انتخاب گزینه IPsec Settings در صفحه باز شده  Pre-shared keyرا وارد کرده و روی گزینه Ok را کلیک می‌کنیم:

در انتها در پنجره Network Settings کانکشن مورد نظر اضافه شده و می‌توان با کلیک کردن برروی آن اتصال VPN خود را برقرار کرد:

 

ساخت کانکشن L2TP  برای سیستم‌های ویندوزی

در ابتدا با انتخاب گزینه Start و سپس گزینه Setting وارد تنظیماتNetwork & Internet می‌شویم:

در مرحله بعد با انتخاب سربرگ VPN و سپس Add a VPN Connection اقدام به ایجاد یک کانکشن می‌کنیم:

در پنجره باز شده فیلدهارا به صورت زیر انتخاب می‌کنیم:

  • Connection name: نام دلخواه کانکشن را مشخص می‌کنیم.
  • Server: آدرسIP سرور موردنظر را مشخص می‌کنیم.
  • VPN type: نوع و پروتکل VPNرا انتخاب می‌کنیم.
  • Username:  نام کاربری مورد نظر را وارد می‌کنیم.
  • Password: رمز عبور مورد نظر را وارد می‌کنیم.
  • Pre-Shared key: رمز تعیین شده در مراحل ساخت VPN را وارد می‌کنیم.

 

تهیه و تنظیم: مرکز تخصصی آپا دانشگاه رازی