چگونه یک روتر برای کسبوکار خود انتخاب کنیم(بخش پاياني)
سرورهای VPN برای ارتباطات راه دور امن
یک
روتر، دروازه یا دیواره آتش با سرور VPN میتواند اتصالات راه دور را
پشتیبانی کند. به این ترتیب کاربرانی که خارج از محل کارشان هستند،
میتوانند با امنیت کامل به شبکه دسترسی داشته باشند، یا چند شرکت
میتوانند به صورت site-to-site با یکدیگر در ارتباط باشند. چندین مدل
متفاوت از VPN وجود دارد.
- PPTP:
تقریباً تمام سیستم عاملها و دستگاههای موبایل، پروتکل تونلزنی نقطه به
نقطه (Point-Point Tunneling Protocol) را با یک کلاینت داخلی پشتیبانی
میکنند، اما این پروتکل امنیت بالایی ندارد. مشکلات اتصال زمانی رخ
میدهد که کاربرانی که از راه دور ارتباط برقرار میکنند، ارتباطشان از
طریق شبکهای باشد که اجازه برقراری ارتباط از طریق VPN را نمیدهد.
- L2TP/IPsec:
این پروتکل نیز بهطور گسترده توسط سیستمعاملها و دستگاههای موبایل
رایج پشتیبانی میشود. پروتکل تونلزنی لایه دو (Layer 2 Tunneling
Protocol) امنیت بهتری نسبت به PPTP دارد اما به همان نسبت پیکربندی
پیچیدهتری دارد و مانند PPTP درصورتی که کاربر در شبکهای باشد که اجازه
برقراری ارتباط راه دور با VPN را نمیدهد، با مشکل مواجه میشود.
- SSL:
پروتکل لایه سوکت امن (Secure Sockets Layer Protocol) اجازه اتصال از
طریق مرورگر وب را به کاربران راه دور میدهد و به این ترتیب مشکل اتصال از
طریق VPN را از میان برمیدارد و نیازی به نرمافزارهای کلاینت ندارد.
شما میتوانید یک پلاگین کوچک را از طریق مرورگر نصب کنید تا تونلزنی
برای ترافیک وبگردی و ایمیل را آسان کنید. علاوهبر این، بعضی از روشهای
SSL VPN، پرتال وبی ارائه میدهند که کاربران میتوانند از طریق آن به
برنامههای کاربردی و ایمیل بدون نیاز به کلاینت VPN دسترسی داشته باشند.
این قبیل ساختارها برای زمانی که کاربران میخواهند از کامپیوتری غیر از
کامپیوترهای شرکت به شبکه متصل شوند، مناسب است.
- OpenVPN:
این پروتکل معمولاً فقط روی روترهایی وجود دارد که با میانافزار منبعباز
DD-WRT بارگذاری شدهاند و بیشتر کلاینتهای داخلی روی کامپیوترها و
دستگاههای موبایل، این پروتکل را پشتیبانی نمیکنند. در نتیجه، شما باید
نرمافزار کلاینت VPN از یک شرکت طرف سوم را روی کامپیوترها و دستگاههایی
که برای ارتباط از راهدور کاربران استفاده میشوند، نصب کنید. اما
OpenVPN ارتباطات امنتر و قابلاطمینانتری را در شبکههایی که اجازه
اتصال از طریق VPN را نمیدهند، ارائه میکند.
پشتیبانی از VLAN برای جداسازی ترافیک
بیشتر
تجهیزات رده تجاری، شبکههای محلی مجازی (VLAN) را پشتیبانی میکنند. این
قابلیت به شما اجازه میدهد که شبکههای مجازی جداگانهای را درون یک
شبکه ایجاد کنید. برای مثال، شما میتوانید یک VLAN برای شبکه خصوصی (یا
بیش از یکی برای پشتیبانی دپارتمانهای مختلف) و یکی دیگر برای دسترسی
عمومی که از طریق کاربران میهمان انجام میشود، ایجاد کنید. این نوع آرایش
VLAN ها از اتصال کاربران میهمان به کامپیوترها و جاسوسی روی ترافیک شبکه
جلوگیری میکند. شما میتوانید تعدادی VLAN روی روتر، دروازه، یا دیواره
آتش شبکه ایجاد کرده و سپس هر پورت اترنت را به یک VLAN تخصیص دهید (اگر
شبکه بیسیم دارید، هر SSID را به یک VLAN اختصاص دهید). همچنین اگر از
سوئیچ جداگانهای که VLAN را پشتیبانی میکند استفاده میکنید، میتوانید
هر پورت آن را به یک VLAN اختصاص دهید.
SSIDهای چندگانه برای جداسازی ترافیک وایفای:
اکسس
پوینتهای بیسیم رده تجاری و روترهای بیسیم، همگی SSIDهای چندگانه را
پشتیبانی میکنند، که در حقیقت نوع بیسیم VLAN است. شما میتوانید
شبکههایی با نامهای متفاوت ایجاد کنید تا یک اکسس پوینت یا روتر بیسیم
از آنها برای ارسال دادهها استفاده کند که البته هرکدام میتواند
پیکربندیهای بیسیم و امنیتی ویژه خودش را داشته باشد. سپس میتوانید هر
SSID را به یک VLAN اختصاص دهید.
دسترسی کاربر میهمان بیسیم به ترافیک خصوصی امن شبکه:
بعضی
از روترهای بیسیم پیشرفتهتر رده مصارف عمومی، ویژگیهایی برای کاربران
مهمان دارند. این روترها که از VLANها و SSIDهای چندگانه برای ایجاد شبکه
وایفای جداگانه برای بازدیدکنندگان میهمان استفاده میکنند. استفاده از
این روترها، راهی بسیار مناسب برای ایجاد سریع و آسان یک شبکه بیسیم
ثانویه است، اما معمولاً این شبکه اجازه پیکربندیهایی مانند اضافه کردن
VLANهای معمول یا تخصیص پورتهای اترنت به VLAN کاربر مهمان را نمیدهد.
پورت USB برای به اشتراک گذاشتن فایلها و چاپگرها
بعضی
از روترهای بیسیم رده مصارف عمومی که ویژگیهای بهتری نسبت به سایر
روترها دارند، از یک پورت USB برخوردارند که میتوانید یک فلش درایو یا
دیسک سخت USB را به آن متصل کرده و فایلهای خود را در شبکه به اشتراک
بگذارید. اگرچه در ویندوز همواره میتوانید پوشههایی را به اشتراک
بگذارید، اما به اشتراک گذاشتن از طریق روتر، یک مکان ذخیرهسازی مرکزی را
برایتان فراهم میکند و دیگر لازم نیست بعضی از کامپیوترها همواره روشن
بمانند. اما در نظر داشته باشید که در بیشتر روترهایی که پورت USB برای
اشتراک منابع دارند، جهت دسترسی به درایو به اشتراک گذاشته شده، باید
نرمافزارهایی را روی کامپیوتر نصب کنید.
روترها، دروازهها و
دیوارههای آتش رده تجاری معمولاً پورت USB ندارند. برای جبران این نقص،
میتوانید از دستگاه ذخیرهسازی متصل به شبکه (NAS) استفاده کنید. دستگاه
NAS میتواند ویژگیهای بسیار بیشتری را برای اشتراکگذاری فراهم کند که
اشتراکگذاری بومی یکی از آنها است. در این صورت دیگر به نصب نرمافزاری
برای دسترسی به دستگاه ذخیرهسازی نیازی نخواهد بود و همچنین امکان کنترل
دسترسی افراد مختلف به فایلهای به اشتراک گذاشته شده نیز وجود خواهد داشت.
پشتیبانی از کیفیت خدمات (QoS) برای اولویتبندی ترافیک شبکه
بیشتر
روترها، دروازهها و دیوارههای آتش، ویژگی QoS (سرنام Quality of
Servicer) را عرضه میکنند که اجازه اولویتبندی ترافیک شبکه را فراهم
میکند. به عنوان مثال، میتوانید اولویت بالاتری را به ترافیکهای صدا و
تصویر (مثلاً ازVoIP phone یا Skype) نسبت دهید، چون این نوع ترافیکها در
مقایسه با ترافیکهای مرورگر یا انواع دیگر ترافیک، نسبت به تأخیر و قطعی
شبکه حساستر هستند. نمونه دیگر این است که به یک کامپیوتر یا دستگاه
خاص، اولویت بالاتری نسبت به بقیه دستگاهها اختصاص دهید، یا اولویت کمتری
برای دسترسی کاربران مهمان درنظر بگیرید.هرچند بیشتر روترهای بیسیم
پیشرفته رده مصارف عمومی دارای تنظیمات QoS هستند، اما تجهیزات مدل تجاری
سفارشیسازی بیشتر و قابلیتهای پیچیدهتری را ممکن میسازند.
امنیت وایفای شبکههای سازمانی (Enterprise) با RADIUS سرور
اگر
شرکت شما بیش از یک دوجین کاربر یا تعداد زیادی کامپیوتر و تجهیزات
بیسیم (شامل تلفنهای هوشمند و تبلت) دارد، حتماً استفاده از شیوههای
سازمانی تأمین امنیت وایفای (بهکار بردن استانداردهای WPA یا WPA2 با
پروتکل 802.1X) در سطح شبکههای بزرگ را در نظر داشته باشید. این شیوهها
به شما اجازه میدهند که نام کاربری و رمز عبور منحصربهفردی را به هر
کاربری که از طریق وایفای به شبکه متصل میشود، اختصاص دهید. راهاندازی
حالت کلید شخصی یا کلید پیشاشتراکی (PSK) استاندارد WPA یا WPA2 آسانتر
از نسخه enterprise آن است، که البته برای شبکههای تجاری مناسب نیست.
حالت PSK یک رمزعبور واحد برای شبکه وایفای ایجاد میکند که درصورت گم
شدن یا به سرقت رفتن لپتاپ، تبلت یا تلفنهای هوشمند به یک مشکل تبدیل
میشود. اگر یک کامپیوتر یا دستگاه موبایل گم شود، کاری که انجام خواهید
داد، تغییر رمزعبور وایفای است. بنابراین سارق نمیتواند به مکان شما
وارد شده و به شبکه متصل شود؛ البته این به معنای تغییر رمز عبور کلیه
کامپیوترها و تجهیزات وایفای نیز خواهد بود.برای استفاده از نسخه
enterprise استاندارد امنیتی WPA یا WPA2، شما باید از یک RADIUS سرور
استفاده کنید که سرویس تأیید هویت پروتکل 802.1X را مدیریت میکند. اگر یک
مدیر شبکه لینوکس باشید، با استفاده از سرور اپنسورس FreeRADIUS یا در
ویندوز با خرید برنامهای مانند Elektron، میتوانید سرور اختصاصی خودتان
را راهاندازی کنید. اگر نمیخواهید یک سرور اختصاصی راهاندازی کنید،
میتوانید یک اکسس پوینت با سرور RADIUS داخلی مانند ZyXel بخرید.
درنهایت، حتی اگر نمیخواهید یک سرور هم راهاندازی کنید، از یک سرویس
RADIUS میزبانی شده استفاده کنید.
فیلترکردن محتوا برای مسدودکردن سایتهای نامناسب
بسیاری
از روترهای رده مصارف عمومی، یک ویژگی داخلی برای مسدود کردن سایتهای
خاصی از شبکه دارند، حال آنکه روترهای پیشرفتهتر و دروازههای UTM از
فیلترهای کاملتری برای مسدود کردن خودکار این سایتها، بدافزارها و انواع
محتواهای نامناسب دیگر برخوردارند. برای انتخاب روتر خیلی نگران این
خصوصیات نباشید، شما همیشه میتوانید از سرویس رایگان OpenDNS برای
فیلترینگ کل شبکه یا یک روتر خاص استفاده کنید.
روترهای موجود در بازار
شرکتهای کوچکتر میتوانند از روترهای رده عمومی استفاده کنند. اما اگر به قابلیت و امنیت بیشتری نیاز دارید، از یک روتر/دیواره آتش VPN یا یک دروازه UTM استفاده کنید. در ادامه، چند مدل از روترها و دروازههای رایج را معرفی میکنیم.
D-Link Xtreme N Gigabit Routerم(DIR-655): این روتر بیسیم که از رده مصارف عمومی پیشرفته است، از پورتهای اترنت گیگابیت پشتیبانی کرده و ویژگی کاربر میهمان بیسیم و تنظیمات QoS را نیز عرضه میکند. همچنین دارای یک پورت USB برای به اشتراک گذاشتن یک درایو یا چاپگر است.
Cisco Wireless Network Security Firewall Routerم(RV220W):
در این روتر بیسیم رده تجاری، میتوانید به قابلیتهای وای فای دوبانده
و پورت اترنت گیگابیتی دسترسی داشته باشید. علاوه بر این، انتخابهای
متعددی برای VPN سرور، VLANها و SSIDهای چندگانه، در اختیار کاربر قرار
میدهد.
Netgear ProSecure UTM Firewall with Wireless-Nم (UTM9S):
یک دیواره آتش/دروازه UTM که از وایفای دوبانده و پورت اترنت گیگابیتی
برخوردار بوده و کارکردهای ضد بدافزار و هرزنامه، فیلترینگ محتوا و
جلوگیری از نفوذ را نیز ارائه خواهد کرد. این محصول نیز از شبکههای WAN
دوگانه پشتیبانی کرده و انتخابهای متعددی را برای VPN سرور، VLANها و
SSIDهای چندگانه فراهم میکند.
درنهایت در نظر داشته باشید که
میتوانید یک روتر بیسیم از رده مصارف عمومی خریداری و سپس میانافزارهای
منبع باز مانند DD_WRT را روی آن آپلود کنید تا بتوانید از ویژگیهایی
همانند روترهای رده تجاری استفاده کنید. یا از سایتی مانند Flash Routers،
روترهای از قبل بارگذاری شده را خریداری کنید
منبع : http://www.shabakeh-mag.com/
احسان مومنی