شبکه های مجازی خصوصی (VPN) و کاربرد آنها در فیلترشکنها
۱۳۸۸ شهریور ۱۶, دوشنبهفناوری VPN برای عبور از فیلترینگ و یا دور زدن حصارهای امنیتی نیست و در واقع برعکس، برای بالا بردن امنیت تبادل اطلاعات است.
هدف و پیدایش
این فناوری بیش از ۱۰ سال پیش برای استفاده امن کاربران و شرکت ها طراحی شد تا آنها بتوانند از بستر اینترنت همان گونه و با همان ضریب امنیتی بالا استفاده کنند که در شبکه داخلی خودشان از آن برخوردار هستند. به عنوان نمونه یک کاربر بتواند در هر جای دنیا که هست، به همان اطلاعاتی دسترسی داشته باشد که همکارش در دفتر شرکت دارد. برای این کار باید ارتباط امن و غیر قابل شنود باید میان رایانه شخصی کاربر در هر جای جهان و شبکه داخلی شرکت برقرار شود تا کاربر بتواند به اطلاعات محرمانه تجاری شرکت خود دسترسی داشته باشد.
سناریوی دیگر که این روزها بسیار رایج است، خریدهای اینترنتی، انجام عملیات بانکی و کارهایی از این دست است. در واقع این تکنولوژی برای حفظ اطلاعات محرمانه شخصی و تجاری و مقابله با کلاهبرداری های اینترنتی و دزدی اطلاعات حساس، چون شماره کارت اعتباری، حساب بانکی، بیمه و غیره و یا اطلاعات حساس تجاری شرکت ها و حفظ هر گونه اطلاعات طبقه بندی شده امنیتی ایجاد شده است.
شیوه کار
برای ایجاد ارتباط امن، در رایانه کاربر نرم افزاری نصب می شود (Client) که در ابتدا تمامی راههای ورودی و خروجی رایانه (Ports) را می بندد. سپس یک ارتباط امن با طرف مقابل خود در آن سو (Server) برقرار می سازد و تنها اجازه این ارتباط را می دهد. بنابراین تنها یک کانال ارتباطی در VPN می تواند وجود داشته باشد. سپس دو طرف اطلاعاتی را که میخواهند برای یکدیگر بفرستند را رمزگذاری می کنند. برای این رمز گذاری از کلیدی استفاده می کنند که تنها در اختیار خودشان است. بخشی از این کلید را − که طول آن بسته به میزان مورد نیاز امنیتی می تواند ۶۴، ۱۲۸، ۲۵۶ بیت یا بیشتر باشد − در همان لحظه میان خود به توافق طراحی کرده و آن را به گونه ای متناوب تغییر می دهند. بخش دیگر آن را که ثابت است، هر دو پیش خود دارند و هیچ گاه آن را روی شبکه نمی فرستند. سپس فرستنده با استفاده از آلگوریتم های بسیار پیچیده ریاضی برای رمزگذاری، اطلاعات مورد نیاز را رمزگذاری کرده و ارسال می کند. گیرنده با استفاده از دو بخش کلید اطلاعات را باز کرده و به کاربر نشان می دهد.
برای دستیابی به این گونه اطلاعات، چنانچه کلید در دسترس نباشد، بسته به طول کلید به زمان زیادی برای شکستن آن "قفل" نیاز است. حتی امروز که رایانه های با سرعت بسیار بالا در اختیار داریم، برای شکستن رمز ۲۵۶ بیتی سالها زمان نیاز است. اگر بخواهیم از روش های پیچیده تر و تودرتو (Cascaded) استفاده کنیم، به عنوان نمونه AES/B-Fish/TwoFish/Serpent و یا هر ترکیب دیگری را به کار بریم، زمان نجومی برای گشودن چنین اطلاعاتی لازم است.از این رو از فناوری امن برای تبادل اطلاعات حساس برخوردار هستیم.
روش های فیلترینگ
این که چرا این فناوری که برای بالابردن امنیت و مبارزه با دزدان و جانیان طراحی شده است، اکنون در جایی چون ایران از سوی مردم برای رویارویی با ارگان امنیتی و قضایی که باید مسئول امنیت همان مردم باشند، به کار گرفته می شود، پرسشی است که دولت ایران باید بدان پاسخ دهد. به هر حال در ایران جای بسیاری از چیزها عوض شده است.
ارگان های امنیتی کشورهایی چون ایران، عربستان سعودی، چین و چند کشور دیگر که تبادل آزاد اطلاعات را بر روی شهروندان خود بسته اند، اکنون با کاربرد روزافزون فیلترشکن هایی روبرو هستند که از فناوری VPN برای عبور از فیلترینگ آنها استفاده می کنند. سیستم فیلترینگ به بیان ساده، تنها آدرس سایت هایی که نمی خواهند شهروندان آنها را ببینند، را می بندند. به این مفهوم که درخواست مرورگر کاربر برای دریافت سایت خاصی در میان راه پیش از آنکه به آن سایت برسد، از سوی سیستم فیلترینگ ارگان امنیتی گرفته می شود و با لیست "سیاه" مقایسه می شود و چنان چه آن سایت در آن لیست باشد، به کاربر آن صفحه معروف نشان داده می شود که "کاربر گرامی، شما مجاز ...". ایران تا چند سال پیش از نرم افزار McAfee SmartFilter برای فیلترینگ استفاده می کرد و اکنون از نرم افزارهایی که در داخل ایران ساخته شدهاند، نیز استفاده میکند. این نرم افزارها عمدتا یا بر اساس آدرس سایت ها (http://...) کار می کنند. اما گهگاه نیز می بینیم که سایتی فیلتر شده است ولی اگر به جای http در آدرس سایت، واژه https را بگذاریم، آن سایت باز می شود.
فیلترهای پیشرفته تر تلاش می کنند بر اساس واژه هایی که به آنها داده می شود، "الگو"هایی بسازند، تا قادر به تشخیص سایت ها از محتوای آنها گردند. اگر در برخی از وبلاگ ها می بینیم که برخی از واژه ها نادرست نوشته می شوند، به خاطر تلاش برای مقابله با این فیلترهاست که البته موفقیت نسبی نیز دارد.
بر اساس همین روش "تشخیص الگو"Recognition) (Pattern روشهای دیگری نیز برای آنالیز عکس های موجود در سایت ها و کلاس بندی آنها وجود دارد تا بر اساس این کلاس بندی بتوان سایت های خاصی را تشخیص داده و از نمایش آنها جلوگیری کرد.
هر چند که این روش هوشمندتر از بستن فله ای سایت ها بر اساس آدرس آنهاست، قابلیت روش های تشخیص و آنالیز محتوای عکس بسیار پایین است و دست کم آن چه دست اندرکاران فیلترینگ در ایران در حال حاضر به کار می گیرند، کاربرد چندان جدی برای آنها ندارد. مشهور است که یکی از مدیران مخابراتی ایران گفته است که سیستم فیلترینگی که برای فیلتر کردن MMS به کار گرفته می شود، دارای آلگوریتم هایی است که هم اسلحه را در عکس تشخیص دهد و هم عکس های برهنه و پورنوگرافیک را. اما مشکل این است که آلگوریتم تشخیص عکس های برهنه، عکس های گلدسته و گنبد مسجدها و اماکن مقدس را نیز به عنوان عکس پورنوگرافیک فیلترکرده و از ارسال آنها به گیرنده خودداری می کند.
نویسنده: محمود تجلیمهر
تحریریه: رضا نیکجو