ما الفرق بين النفق والشبكة الافتراضية الخاصة (VPN)؟

VPN هو أحد تطبيقات الأنفاق. النفق هو آلية التغليف؛ VPN هو المنتج المبني حولها (إدارة المفاتيح، والتكوين، وما إلى ذلك). جميع شبكات VPN عبارة عن أنفاق، ولكن ليست كل الأنفاق عبارة عن شبكات VPN - فجلسة TLS عبارة عن نفق من الناحية الفنية، ومنفذ SSH الأمامي عبارة عن نفق، بينما تستخدم الطبقة الأساسية MPLS L3VPN الاتصال النفقي.

لماذا يعتبر TCP-over-TCP سيئًا؟

اثنان من أجهزة توقيت إعادة الإرسال يتقاتلان. عند إسقاط الحزم، يقوم كل من بروتوكول TCP الداخلي والخارجي بإعادة المحاولة. تنمو نافذة الازدحام الداخلية إلى ما هو أبعد من المخزن المؤقت الخارجي، ويرتفع زمن الوصول بشكل كبير، وتنهار الإنتاجية. إنه مقبول في البيئات منخفضة الخسارة؛ في الشبكات التي تعاني من فقدان البيانات، يعد هذا أسوأ تكوين VPN ممكن. استخدم الأنفاق المستندة إلى UDP حيثما تسمح الشبكة بذلك.

هل يمكن لجدار الحماية دائمًا اكتشاف النفق؟

يمكن لـ DPI الحديثة تحديد توقيعات النفق الشائعة (مصافحات OpenVPN وWireGuard). تعمل أدوات التشويش على تغليف الأنفاق لتبدو مثل HTTPS العادي أو البروتوكولات الأخرى المسموح بها. سباق التسلح مستمر. بالنسبة للشبكات غير المعادية، لا تقوم قواعد جدار الحماية الأساسية بالفحص العميق بما يكفي لتحديد الأنفاق حسب المحتوى.

من الناحية الفنية نعم. يقوم HTTPS بتغليف HTTP داخل TLS. العلاقة متطابقة من الناحية الهيكلية مع OpenVPN الذي يقوم بتغليف حركة مرور IP التعسفية داخل TLS. إن الخط الفاصل بين "البروتوكول" و"النفق" هو في الغالب مسألة مصطلحات؛ عادةً لا يُطلق على HTTPS اسم النفق، لأن البروتوكولات الداخلية والخارجية مصممة للعمل معًا، ولكن آلية التغليف هي نفسها.

ما هو بروتوكول الأنفاق الذي يجب أن أختاره لشبكة VPN؟

للاستخدام الاستهلاكي أو التجاري الحديث: WireGuard. بالنسبة للشبكات المقيدة: OpenVPN-TCP/443 مع تشويش TLS. بالنسبة لنظام التشغيل iOS/macOS الأصلي بدون عملاء الطرف الثالث: IKEv2/IPsec. تجنب PPTP (المكسور) وتجنب L2TP العاري (استخدم IKEv2/IPsec بدلاً من ذلك).

شرح بروتوكولات الأنفاق: كيف يلتف أحد البروتوكولات حول بروتوكول آخر

يأخذ بروتوكول النقل النفقي حزمًا من بروتوكول واحد ويغلفها داخل حزم بروتوكول آخر. هذه هي الطريقة التي تعمل بها شبكات VPN، وكيف وصل IPv6 إلى العالم عبر إنترنت IPv4، وكيف تمتد شبكات الشركات عبر القارات، وكيف يتيح لك SSH الوصول إلى شبكتك المنزلية من خلال جدار حماية الفندق. هذا هو شرح ماهية حفر الأنفاق في الواقع والبروتوكولات المهمة.

يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.

الفكرة الأساسية لبروتوكول الأنفاق

A يأخذ حزمة من بروتوكول واحد، ويغلفها داخل حمولة بروتوكول آخر، ويرسل النتيجة عبر شبكة لا تحمل الأصل عادةً. يسمى التغليف encapsulation. تنتقل الحزمة المغلفة عبر شبكة لا تفهم سوى البروتوكول الخارجي، ويتم فك تغليفها في النهاية البعيدة.

عمليًا: يمكن لحزمة IPv6 المغلفة داخل حزمة IPv4 عبور شبكات IPv4 فقط. يمكن لإطار Ethernet المغلف داخل حزمة IP أن ينتقل عبر الإنترنت العام بين شبكتي LAN. يمكن أن يمر اتصال TCP الملتف داخل HTTPS عبر جدار حماية يسمح فقط بالمنفذ 443.

لماذا يوجد الاتصال النفقي

Protocol bridging: قم بتشغيل بروتوكول جديد على الشبكات التي لا تدعمه محليًا. IPv6-over-IPv4 (Teredo, 6in4) هو المثال الكلاسيكي.
Security: تغليف بروتوكول غير آمن داخل بروتوكول مشفر. SMB عبر SSH، HTTP العادي عبر TLS (= HTTPS)، حركة مرور الشركات عبر IPsec.
Network virtualization: جعل شبكتين منفصلتين فعليًا تتصرفان كشبكة واحدة. Tailscale، وZeroTier، وMPLS L3VPN، وVXLAN - جميعها تستخدم النفق تحت الغطاء.
Firewall traversal: تغليف البروتوكولات المحظورة داخل البروتوكولات المسموح بها. يبدو OpenVPN-over-TCP/443 مثل HTTPS لجدار الحماية الذي يحظر كل شيء آخر.
Remote access: امنح الموظف خارج الموقع عنوان IP داخل شبكة الشركة. شبكة VPN الخاصة بالشركة عبارة عن نفق من الناحية الهيكلية.

بروتوكولات الأنفاق الرئيسية

VPN التي تركز على

WireGuard - حديثة وسريعة وعنيدة. UDP فقط.
OpenVPN — مرن، يستند إلى TLS، ويعمل عبر TCP أو UDP. يمكن إخفاءه كـ HTTPS.
IKEv2/IPsec - خيار الجوال/المؤسسة الأصلي.
L2TP/IPsec - قديم، مغلف مزدوج، Slow.
PPTP — شائع تاريخيًا، تم كسره نهائيًا في عام 2012.
SSTP — بروتوكول VPN المتصل بـ TLS من Microsoft، وأصل Windows فقط.

IP-in-IP و friends

GRE (تغليف التوجيه العام) - تم تطويره بواسطة Cisco، ويحمل بروتوكولات طبقة شبكة عشوائية داخل IP. الأساس للعديد من إعدادات VPN الخاصة بالمؤسسات وطبقة L3 الأساسية لأشياء مثل NVGRE.
IP-in-IP — الحالة الأبسط، مجرد تغليف حزمة IP داخل حزمة أخرى. RFC 2003.
Teredo — IPv6 عبر IPv4 أنفاق للمضيفين خلف NAT. تم تطويره من قبل Microsoft.
6in4 - أنفاق IPv6-over-IPv4 التي تم تكوينها يدويًا، وغالبًا ما تستخدم بواسطة خدمات وسيط الأنفاق.
4in6 - الاتجاه المعاكس، IPv4 over IPv6.

تراكبات مركز البيانات

VXLAN - شبكة LAN افتراضية قابلة للتوسيع. يلتف إطارات Ethernet داخل UDP. بروتوكول التراكب السائد في مراكز البيانات الحديثة.
GENEVE — منافس أحدث وأكثر مرونة لـ VXLAN. يُستخدم في بعض طبقات موفر الخدمة السحابية.
NVGRE - البديل المستند إلى GRE من Microsoft.

SSH أنفاق

SSH يدعم ثلاثة أوضاع لإعادة التوجيه: إعادة توجيه المنفذ المحلي (توجيه منفذ محلي عبر SSH إلى عنوان بعيد)، وإعادة توجيه المنفذ عن بعد (العكس)، ووكيل SOCKS الديناميكي (استخدم SSH كوكيل SOCKS5 عام). جميع أشكال الاتصال النفقي: يقوم SSH بتغليف حركة مرور TCP التعسفية في قناته المشفرة. الأمر الكلاسيكي ssh -L 5432:database.internal:5432 Jumpbox هو نفق.

HTTP/HTTPS أنفاق

بالنسبة لشبكات الشركات التي تسمح فقط بالمنفذ الصادر 443، أدوات مثل corkscrew، يقوم httptunnel وCloudflare Tunnel بتغليف TCP التعسفي داخل طلبات HTTP CONNECT أو اتصالات WebSocket. أقل كفاءة من الاتصالات المباشرة؛ التحايل الموثوق به كملاذ أخير.

انهيار TCP-over-TCP

المأزق التشغيلي الأكثر شيوعًا في نشر VPN. عندما تقوم بنفق اتصال TCP داخل اتصال TCP آخر (على سبيل المثال، OpenVPN-TCP يحمل HTTPS الخاص بالمستخدم)، يتم الآن تشغيل مؤقتات إعادة الإرسال two. عند حدوث فقدان الحزمة، تحاول كلا الطبقتين إعادة الإرسال. تتوسع نافذة الازدحام الداخلية لـ TCP؛ لا تستطيع المخازن المؤقتة الخارجية لـ TCP مواكبة ذلك. يرتفع زمن الاستجابة بشكل كبير.

هذا هو السبب في أن WireGuard هو UDP فقط ولماذا يتم تفضيل OpenVPN-UDP على OpenVPN-TCP عندما تسمح الشبكة بذلك. OpenVPN-TCP عبارة عن مقايضة متعمدة لحالة محددة حيث يكون اجتياز جدار الحماية أكثر أهمية من الإنتاجية.

زاوية الأمان

الاتصال النفقي محايد من الناحية الأخلاقية. نفس الأساليب التي تسمح لشبكة VPN الخاصة بشركتك بحماية الموظفين عن بعد يمكن استخدامها بواسطة البرامج الضارة لتصفية البيانات عبر أنفاق DNS أو أنفاق HTTPS التي تبدو وكأنها حركة مرور عادية. تبذل فرق أمان المؤسسة جهدًا كبيرًا في اكتشاف الأنفاق المعادية باستخدام DPI، وتحليل التدفق، وإنفاذ السياسات على نقاط الخروج.

القاعدة القياسية: النفق آمن تمامًا مثل بروتوكوله الداخلي بالإضافة إلى بروتوكوله الخارجي بالإضافة إلى نموذج التهديد الخاص بالمشغل. OpenVPN أنفاق HTTP العادي لا يجعل HTTP آمنًا للوجهة؛ فهو يجعل الاتصال بين العميل وخادم OpenVPN آمنًا.

كيفية التحقق من أن النفق يعمل

تحقق من خروج حركة المرور من المكان الذي تتوقعه - يُظهر بحث IP الخاص بنا عنوان IP للخروج وتحديد الموقع الجغرافي.
التحقق من مرور DNS عبر النفق - تسرب DNS الخاص بنا test.
قم بتشغيل اختبار تسرب VPN الكامل لـ WebRTC وIPv6 ونواقل التسرب الأخرى.
بالنسبة لأنفاق SSH، يُظهر أمر w الموجود على الطرف البعيد المصدر الفعال IP.

الأسئلة المتداولة

ما الفرق بين النفق والشبكة الافتراضية الخاصة (VPN)؟: VPN هو أحد تطبيقات الأنفاق. النفق هو آلية التغليف؛ VPN هو المنتج المبني حولها (إدارة المفاتيح، والتكوين، وما إلى ذلك). جميع شبكات VPN عبارة عن أنفاق، ولكن ليست كل الأنفاق عبارة عن شبكات VPN - فجلسة TLS عبارة عن نفق من الناحية الفنية، ومنفذ SSH الأمامي عبارة عن نفق، بينما تستخدم الطبقة الأساسية MPLS L3VPN الاتصال النفقي.
لماذا يعتبر TCP-over-TCP سيئًا؟: اثنان من أجهزة توقيت إعادة الإرسال يتقاتلان. عند إسقاط الحزم، يقوم كل من بروتوكول TCP الداخلي والخارجي بإعادة المحاولة. تنمو نافذة الازدحام الداخلية إلى ما هو أبعد من المخزن المؤقت الخارجي، ويرتفع زمن الوصول بشكل كبير، وتنهار الإنتاجية. إنه مقبول في البيئات منخفضة الخسارة؛ في الشبكات التي تعاني من فقدان البيانات، يعد هذا أسوأ تكوين VPN ممكن. استخدم الأنفاق المستندة إلى UDP حيثما تسمح الشبكة بذلك.
هل يمكن لجدار الحماية دائمًا اكتشاف النفق؟: يمكن لـ DPI الحديثة تحديد توقيعات النفق الشائعة (مصافحات OpenVPN وWireGuard). تعمل أدوات التشويش على تغليف الأنفاق لتبدو مثل HTTPS العادي أو البروتوكولات الأخرى المسموح بها. سباق التسلح مستمر. بالنسبة للشبكات غير المعادية، لا تقوم قواعد جدار الحماية الأساسية بالفحص العميق بما يكفي لتحديد الأنفاق حسب المحتوى.
هل HTTPS نفق؟: من الناحية الفنية نعم. يقوم HTTPS بتغليف HTTP داخل TLS. العلاقة متطابقة من الناحية الهيكلية مع OpenVPN الذي يقوم بتغليف حركة مرور IP التعسفية داخل TLS. إن الخط الفاصل بين "البروتوكول" و"النفق" هو في الغالب مسألة مصطلحات؛ عادةً لا يُطلق على HTTPS اسم النفق، لأن البروتوكولات الداخلية والخارجية مصممة للعمل معًا، ولكن آلية التغليف هي نفسها.
ما هو بروتوكول الأنفاق الذي يجب أن أختاره لشبكة VPN؟: للاستخدام الاستهلاكي أو التجاري الحديث: WireGuard. بالنسبة للشبكات المقيدة: OpenVPN-TCP/443 مع تشويش TLS. بالنسبة لنظام التشغيل iOS/macOS الأصلي بدون عملاء الطرف الثالث: IKEv2/IPsec. تجنب PPTP (المكسور) وتجنب L2TP العاري (استخدم IKEv2/IPsec بدلاً من ذلك).