پیشنویس:SSL-Explorer: Community Edition
"این مقاله در حال ترجمه از ویکی انگلیسی است
لطفا حذف نشود."
SSL-Explorer: Community Edition یک محصول منبع باز SSL VPN بود که توسط 3SP Ltd، شرکتی که توسط Barracuda Networks خریداری شده بود، توسعه یافت. این مجوز تحت مجوز عمومی عمومی گنو (GPL) است و عمدتاً برای مشاغل کوچکتر که به دسترسی از راه دور به منابع شبکه داخلی نیاز دارند، هدف قرار می گیرد.
این محصول برای نصب بر روی یک سرور مستقل طراحی شده است. این به کاربر اجازه میدهد تا از راه دور به منابع داخلی شرکت مانند وبسایتهای اینترانت ، اشتراکگذاری فایلهای شبکه، برنامههای «کلینت چربی » و سایر دادهها از طریق یک مرورگر وب معمولی متصل شود. این به کاربران نهایی امکان دسترسی به برنامه هایی را می دهد که هر روز در محل کار از طریق یک مرورگر وب ساده استفاده می کنند ، بدون نیاز به نصب نرم افزار اختصاصی مشتری VPN.
تاریخچه، نسخه ها و انقطاع
[ویرایش]این محصول برای اولین بار در وب سایت SourceForge.net در آگوست 2004 منتشر شد و از آن زمان تا دسامبر 2007 بیش از 275000 دانلود از توزیع اصلی محصول داشته است [۱] . همه نسخههای محصول اصلی Community Edition تحت GPL مجوز داشتند، در حالی که محصول تجاری Enterprise Edition، که بر اساس نسخه Community ساخته شده بود، اما با عملکردهای اضافی، به طور جداگانه تحت مجوز تجاری مجوز داشت. یک فورک از آخرین نسخه GPL با نام Adito ایجاد شده است که بعداً به OpenVPN ALS تغییر نام داد.
حدود مارس 2008، 3SP با مسئولیت محدود اعلام کرد که توسعه نسخه Community [۲] متوقف کرده است.
SSL-Explorer برای نصب و عملکرد بر روی سیستم عامل های زیر شناخته شده بود:
- Microsoft Windows 2000, XP, XP x64, 2003, Vista, and Windows 7
- Various Linux distributions including Red Hat Enterprise Linux, Fedora Core, CentOS, Slackware, SUSE Linux, Debian, Gentoo, Conary based distributions
- Mac OS X v10.4 or later
- Sun Microsystems Solaris 8 and 9 (on SPARC and x86)
مانند هر محصولی که قبلاً تحت GPL مجوز داشت، کد منبع همچنان از طریق SourceForge.net در دسترس است. با این حال، به روز رسانی های بعدی کد منبع یا باینری های از پیش ساخته شده از سوی 3SP Ltd ارائه نخواهد شد.
از 18 نوامبر 2008، 3SP Ltd. اکنون بخشی از شبکه Barracuda [۳] . فناوری پشت سر SSL-Explorer اکنون در Barracuda SSL VPN گنجانده شده است.
چگونه کار می کند
[ویرایش]SSL-Explorer یک برنامه کاربردی است که به زبان جاوا نوشته شده است و شامل پایگاه داده و وب سرور خود است که برای ارائه صفحات وب امن به منظور دسترسی به منابع شبکه back-end استفاده می شود. در حالی که محصول به طور ایده آل بر روی یک سرور مستقل نصب می شود، ممکن است به عنوان یک سرویس نصب شود و در صورت تمایل در پس زمینه برای فرآیندهای دیگر اجرا شود.
این محصول بهعنوان یک پروکسی مبتنی بر وب عمل میکند که درخواستهای منابع از سوی کاربران خارجی را میانجیگری میکند و در عین حال ابزاری برای احراز هویت این کاربران با جستجو در تعدادی از پایگاههای داده کاربر از جمله Active Directory مایکروسافت ارائه میکند. حقوق دسترسی توسط اصل کنترل دسترسی مبتنی بر نقش اعمال می شود و سایر اقدامات کنترل دسترسی ثانویه مانند مجوزهای سیستم فایل NTFS نیز می تواند بر منابعی که کاربر ممکن است به آنها دسترسی داشته باشد تأثیر بگذارد.
برخی از منابع (مانند دسترسی از راه دور دسکتاپ) برای عملکرد موفقیت آمیز نیاز به استفاده از ارسال پورت دارند. برای این منظور یک اپلت سبک وزن جاوا معروف به "SSL-Explorer Agent" توسط مرورگر مشتری دانلود و راه اندازی می شود. اپلت درخواستهای TCP/IP را روی پورتهای قابل تنظیم خاصی رهگیری میکند و آنها را به سرور SSL-Explorer ارسال میکند که به نوبه خود آنها را به نقطه پایانی مناسب در شبکه هدایت میکند.
با استفاده از ترکیبی از تکنیکهای مختلف مانند پروکسی وب و ارسال پورت ، اکثر برنامههای کاربردی شرکتی میتوانند بدون مانع به کار خود ادامه دهند و دادههایشان به طور شفاف بین نقطه پایانی و مشتری (از طریق SSL-Explorer) با استفاده از پروتکل HTTPS تونل شوند.
منابع شبکه که ممکن است توسط SSL-Explorer خارجی شوند عبارتند از:
- وب سایت های اینترانت
- برنامه های غنی مبتنی بر وب مانند Microsoft Outlook Web Access
- دسترسی به دسکتاپ ایستگاه کاری
- منابع فایل منتشر شده در نصب فایل های FTP / SFTP / SMB
- سایر منابع شرکت قابل دسترسی توسط TCP/IP ، به عنوان مثال پایگاه داده ها و سایر برنامه های کاربردی سفارشی
خود سرور VPN واقعی ممکن است در داخل DMZ یا در خود شبکه مورد اعتماد با اتصالات ورودی در پورت 443 که توسط قوانین فایروال مستقیماً به SSL-Explorer ارسال می شود قرار گیرد. یکی از مزایای اصلی مرتبط با محصولات SSL VPN در این واقعیت نهفته است که وقتی به درستی راه اندازی شده باشد، از نظر فنی می توان تمام پورت های فایروال دیگر را جدا از پورت HTTPS/SSL 443 بسته کرد.
SSL-Explorer در حالی که اغلب به عنوان راه حل های مشابه در کنار هم قرار می گیرد، از نظر مفهومی با OpenVPN متفاوت است، زیرا دسترسی کنترل شده و تأیید شده به سرویس ها و برنامه های کاربردی درون شبکه را به جای دسترسی کامل و بدون چالش به شبکه ارائه می دهد [۴] .
برای چه کسانی در نظر گرفته شده است؟
[ویرایش]در حالی که محصولات SSL-Explorer و SSL VPN به طور کلی برای بسیاری از افراد مفید هستند، تعدادی گروه متمایز وجود دارد که از استفاده از آنها سود زیادی می برند.
- Road Warriors - کاربرانی که زمان زیادی را "در جاده" می گذرانند و ممکن است به طور موقت از تعدادی رایانه مختلف به شرکت متصل شوند.
- کارکنان پشتیبانی فنی - در بسیاری از شرکت ها، پشتیبانی فنی اغلب در خارج از محل در شعبه دیگری قرار دارد. با استفاده از SSL VPN، پشتیبانی را می توان به مکان های راه دور گسترش داد.
- دانشجویان دانشگاه – اتصال اغلب از مکانهای مختلف در پردیسهای مختلف، یک راهحل VPN SSL (مخصوصاً راهحلی که بدون کلاینت / مبتنی بر مرورگر است) برای ارائه دسترسی موقت به ایمیل وب و سایر برنامههای کاربردی مفید است.
- کارمندان از راه دور - طبق ماهیت این کارگران تقریباً منحصراً از دفاتر خانه خود کار می کنند و به امکانات اختصاصی کار از راه دور نیاز دارند.
- کارگران پروژه مشارکتی - با گسترش دسترسی از راه دور در سراسر مرزهای جغرافیایی، محدودیتهای فاصله و مناطق زمانی هنگام کار بر روی پروژههای مشترک کمتر محدود میشوند.
تمهیدات امنیتی
[ویرایش]نسخه Community SSL-Explorer تعدادی ویژگی امنیتی را ارائه کرد. ویژگی هایی مانند پشتیبانی از یک بار رمز عبور و احراز هویت رمز سخت افزاری از طریق پیاده سازی تجاری، Barracuda SSL VPN ارائه می شود.
- مدیریت حقوق مبتنی بر خط مشی ریز
- احراز هویت کاربران از طریق پایگاه داده های متعدد کاربر از جمله پایگاه داده داخلی و اکتیو دایرکتوری
- کد منبع قابل بازبینی تحت مجوز GPL موجود است
- مکانیسم های احراز هویت چندگانه، به عنوان مثال سوالات امنیتی شخصی
- محافظت در برابر حملات تزریق SQL
- خطرات سوء استفاده از سرریز بافر با استفاده از کد منبع جاوا کاهش می یابد
- از دسترسی از طریق پروکسی HTTP یا SOCKS پشتیبانی می کند
- تونل زنی محلی و از راه دور از طریق SSL
- وقفه زمانی عدم فعالیت جلسه
- پوشاندن URL برنامه وب
ازمایش عملکرد
[ویرایش]در فوریه 2007، 3SP Ltd معیار عملکرد راه حل SSL-Explorer را با استفاده از یک بستر آزمایشی از سه سیستم با استفاده از مشخصات مختلف سخت افزار انجام داد. این معیار با این فرض انجام شد که حداقل نرخ خروجی داده 256 کیلوبیت بر ثانیه یک مقدار واقعی برای قرار دادن در یک تونل VPN پاسخگو برای استفاده از قبیل دسترسی از راه دور دسکتاپ است. BEA jRockit JRE در همه آزمایشها در سیستمهای مایکروسافت ویندوز و لینوکس استفاده شد.
نتایج به دست آمده نشان داد که:
- یک کامپیوتر سطح پایه بر اساس 1.8 گیگاهرتز Athlon با 768 مگابایت رم قادر بود 144 تونل همزمان را با سرعت 256 کیلوبیت بر ثانیه (36 مگابیت بر ثانیه توان کلی در ویندوز، 46 مگابیت بر ثانیه در لینوکس) حفظ کند.
- یک کامپیوتر با مشخصات متوسط بر اساس 2.8 پنتیوم 4 گیگاهرتز با 1 گیگابایت رم، 192 تونل همزمان را پشتیبانی میکند (در مجموع 49 مگابیت بر ثانیه در ویندوز، 61 مگابیت بر ثانیه در لینوکس)
- یک رایانه با مشخصات بالا که از Core 2 Duo 6600 با 4 گیگابایت رم استفاده می کند، 528 تونل را حفظ می کند (بازده کلی 135 مگابیت بر ثانیه در ویندوز، 168 مگابیت بر ثانیه در لینوکس)
شناخته شده است که SSL-Explorer با استفاده از کارت nCipher nFast LN1200 SSL Accelerator [۵] .
فن آوری های استفاده شده توسط SSL-Explorer
[ویرایش]SSL-Explorer با استفاده از تعدادی مولفه و چارچوب نرم افزار منبع باز ساخته شده است. مهمترین پروژه ها در اینجا خلاصه می شوند:
- rPath Linux – یک پلتفرم ابزار برای ابزار مجازی SSL-Explorer فراهم می کند
- Apache Struts – چارچوب MVC برای توسعه برنامه های کاربردی وب
- Jetty 5.0 – وب سرور مبتنی بر جاوا و ظرف سرولت با کارایی بالا.
- HSQLDB - پیاده سازی پایگاه داده سبک جاوا که برای ذخیره سازی داده های پیکربندی و پایگاه داده کاربر داخلی (در صورت استفاده) استفاده می شود.
- AJAXTags - جاوا اسکریپت ناهمزمان و XML برای رابط وب پاسخگو.
- Commons VFS - برای ارائه پیاده سازی فایل سیستم مجازی استفاده می شود
- Log4j - مؤلفه ورود به سیستم SSL-Explorer را ارائه می دهد
- رم – فیدخوان RSS
- JCIFS - پروتکل SMB را برای سازگاری با شبکه های ویندوز پشتیبانی می کند
- BEA Systems jRockit - محیط اجرای جاوا بهینه شده با عملکرد که برای ارائه نصب SSL-Explorer با کارایی بالا استفاده می شود [۶] .
آسیب پذیری های امنیتی
[ویرایش]در ژوئن 2007، Secunia یک توصیه [۷] کرد که بیان میکرد نسخههای SSL-Explorer قبل از 0.2.13 در برابر حملات اسکریپت نویسی بین سایتی و حملات تزریق هدر HTTP آسیبپذیر هستند. 3SP با مسئولیت محدود این آسیب پذیری را در نسخه های بعدی محصول برطرف کرد و به کاربران توصیه کرد سرورهای خود را ارتقا دهند.
در حال حاضر یک اخطار مشاوره ای US-Cert برای یک نقص امنیتی بالقوه حل نشده وجود دارد که بر یک کلاس کامل از محصولات SSL VPN بدون کلاینت بازنویسی URL از جمله تمام نسخه های SSL-Explorer و مشتقات آن و بسیاری از ابزارهای مشابه دیگر [۸]