ما هي الشبكة الخاصة الافتراضية (VPN) وكيف تعمل؟

أهلاً بكم في مقال جديد من سلسلة أساسيات ومفاهيم الشبكات. هل سألت نفسك يومًا كيف يتمكن الأشخاص الذين يعملون من المنزل من الوصول إلى خوادم الشركة التي يعملون بها؟ وكيف يستطيعون الوصول إلى البيانات الحساسة الخاصة بالشركة، حتى لو كانت هذه الشركة في بلد آخر؟ اليوم، سنتحدث عن التقنية الأساسية للعمل عن بعد، وهي الشبكة الخاصة الافتراضية (VPN)، وهي اختصار لـ Virtual Private Network. وظيفتها هي ضمان الوصول الآمن للبيانات عبر الشبكة العامة.

لفهم الفكرة بشكل أفضل، لنأخذ مثالاً بسيطاً. تخيل أن مجموعة من اللصوص يريدون سرقة بنك. من المعروف أن خزنة البنك تكون عليها حراسة مشددة وكاميرات مراقبة في كل مكان، مما يجعل المهمة صعبة للغاية. لذا، فكروا في حفر نفق من منزلهم مباشرة إلى خزنة البنك. بهذه الطريقة، سيتمكن اللصوص من الوصول إلى البنك دون أن يكشف أحد عن هويتهم أو مكانهم. كلنا نعرف هذا السيناريو الذي شاهدناه في العديد من الأفلام والمسلسلات، من أفلام السرقات الكلاسيكية إلى مسلسل La Casa de Papel. يمكن اعتبار النفق الذي حفروه تحت الأرض بمثابة الـ VPN. وذلك لأنه عن طريق الـ VPN، يمكنك الدخول إلى الإنترنت دون الكشف عن موقعك (Location) أو عنوان الـ IP الخاص بجهازك.

كيف يعمل الـ VPN بالتفصيل؟

لنعد قليلاً إلى الوراء ونتذكر ما يحدث عند كتابة عنوان موقع في شريط العنوان (URL). كما ذكرنا سابقًا، كل موقع له عنوان IP خاص به، ولكننا بالطبع لا نحفظ هذه العناوين. يقوم نظام أسماء النطاقات (DNS) بترجمة الرابط الذي نعرفه إلى عنوان الـ IP المقابل له.

لنفترض أنك تريد الدخول إلى حسابك البنكي على موقع HSBC. في هذه الحالة، ستتبع رحلة طلبك الخطوات التالية:

1. تقوم بإرسال الطلب (Request) إلى جهاز التوجيه (Router) الخاص بك.
2. يقوم جهاز التوجيه بتمرير الطلب إلى مزود خدمة الإنترنت (ISP).
3. يبدأ مزود خدمة الإنترنت بالتحقق من معايير التصفية (Filter Criteria) لديه ليتأكد إذا كان هذا الموقع مسموحًا بالوصول إليه من بلدك.
4. إذا كان مسموحًا، يمر الطلب عبر مئات الآلاف، وربما الملايين، من أجهزة التوجيه حتى يصل إلى جهاز الوجهة (Destination)، وهو خادم الويب (Web Server) الخاص ببنك HSBC.
5. أخيرًا، يرد الخادم عليك بمحتوى الموقع.

المشكلة الأمنية عندما ترسل طلبًا إلى الخادم، فإنه يحمل معه معلومات كثيرة عن جهازك، مثل موقعك وعنوان الـ IP. هنا، يمكن للمخترقين (Hackers) اختراق هذا الاتصال والحصول على معلومات جهازك، وقد يتمكنون من الوصول إلى بيانات حسابك البنكي. وتزداد الخطورة بشكل كبير إذا كنت تتصل بالإنترنت من شبكة Wi-Fi عامة ومفتوحة في مقهى أو أي مكان عام، حيث تكون قد سهلت المهمة على المخترقين.

ماذا يحدث عند استخدام الـ VPN؟

عند استخدامك لـ VPN، يتغير مسار بياناتك ليصبح أكثر أمانًا:

1. تثبيت عميل الـ VPN: ستحتاج أولاً إلى تثبيت برنامج على جهازك يسمى عميل الـ VPN (VPN Client).
2. إنشاء النفق (Tunnel): يقوم عميل الـ VPN بإنشاء ما يشبه “نفق VPN” (VPN Tunnel) بين جهازك والإنترنت، وهو النفق الذي تحدثنا عنه في المثال السابق.
3. تشفير البيانات: تبدأ البيانات الصادرة من جهازك بالمرور عبر هذا النفق، حيث تقوم بروتوكولات النفق (Tunneling Protocols) بتشفير هذه البيانات. حتى لو افترضنا أن مخترقًا محترفًا تمكن من اختراق النفق والحصول على البيانات—وهو أمر صعب جدًا—فلن يتمكن من قراءتها لأنها ستكون مشفرة.
4. الوصول عبر خادم الـ VPN: تمر البيانات المشفرة عبر النفق إلى خادم الـ VPN (VPN Server). هذا الخادم هو الذي سيتواصل مباشرة مع خادم البنك، ويرسل له الطلب، ثم يستقبل الرد ويفك تشفيره (Decryption) ويعيده إلى شكله الأصلي.

عند هذه النقطة، يتم تغيير عنوان الـ IP والموقع الخاصين بجهازك ليصبحا نفس عنوان الـ IP والموقع الخاصين بخادم الـ VPN. هذا يمنحك درجة أعلى من الأمان والخصوصية. لهذا السبب، عندما تكون بعض المواقع محجوبة في بلدك، يمكنك استخدام VPN يقوم بإخفاء عنوان الـ IP (IP Masking)، مما يجعلك تبدو وكأنك تتصل بالموقع من بلد آخر، فتتمكن من رؤية محتواه.

ملاحظة هامة: من الميزات المهمة في الـ VPN أنه إذا اكتشف بروتوكول النفق أن هناك محاولة لاختراق النفق، فسيتم إيقاف هذا النفق فورًا والبدء في استخدام مسار بديل عبر مجموعة مختلفة من أجهزة التوجيه لضمان استمرارية الأمان.

كيف تستخدم الشركات الـ VPN؟

لنتعرف معًا على كيفية استخدام الشركات للـ VPN. لنفترض أن لدينا شركة (X) فرعها الرئيسي في القاهرة، وهذا يعني أن البيانات الحساسة والحرجة (Critical Data) للشركة موجودة هناك. لدى الشركة فرع آخر في الرياض، وبالطبع سيحتاج موظفو فرع الرياض إلى الوصول للسيرفرات والبيانات الموجودة في الفرع الرئيسي.

هناك عدة حلول لتحقيق ذلك، لكن الحل الأكثر اقتصادية وسرعة هو استغلال شبكة الإنترنت لنقل البيانات. لكن تظهر هنا مشكلة، وهي أن الإنترنت العام يعتبر منطقة غير آمنة (Unsafe Zone) لوجود عدد هائل من المستخدمين والأجهزة، ومن بينهم المخترقون. هذا يعرض بيانات الشركة الحساسة للخطر.

لهذا السبب، نلجأ في هذه الحالات إلى الـ VPN. يقوم الـ VPN بإنشاء نفق آمن (Secure Tunnel) تمر من خلاله البيانات قبل أن تصل إلى الإنترنت. يقوم هذا النفق بتشفير البيانات (Encryption) لحمايتها. فإذا تمكن شخص ما من الشبكة العامة من الوصول إلى هذه البيانات، فلن يستطيع الاستفادة منها. وعندما تصل البيانات إلى جهاز الاستقبال (Receiver)، يتم فك تشفيرها (Decryption) باستخدام مفتاح معين، وحينها يتمكن الجهاز من قراءة البيانات بشكل طبيعي. لذلك، إذا كنت تعمل من المنزل لصالح شركة، فإنك تحتاج إلى تثبيت عميل VPN (VPN Client) لإنشاء هذا النفق الآمن.

أنواع الـ VPN

يوجد نوعان رئيسيان من الـ VPN:

1. Site-to-Site VPN

هذا النوع، كما يتضح من اسمه، وظيفته هي ربط موقع (Site) بموقع آخر في مكان مختلف. يتطلب هذا إعدادات (Configuration) في جميع المواقع المراد ربطها. على سبيل المثال، لو كان للشركة موقع ثالث في لندن، فيجب إعداد الـ VPN عليه أيضًا. باختصار، يجب ضبط الـ VPN في الفرع الرئيسي وفي جميع المواقع البعيدة (Remote Sites). يجب أن تكون جميع المواقع متصلة بالإنترنت العام، ويتم إعداد الـ VPN على جهاز التوجيه (Router) أو جدار الحماية (Firewall) في كل موقع. من أشهر بروتوكولات هذا النوع هو IPsec، وهو إطار عمل يحتوي على مجموعة من القواعد لإنشاء اتصال VPN آمن. هذا النوع مثالي لربط الشبكات بين الفروع.

2. Remote Access VPN

لنفترض الوضع الأكثر شيوعًا، وهو الحاجة لربط مستخدمين فرديين (Individual Users) بالشبكة، مثل الموظفين الذين يعملون من المنزل. هؤلاء الموظفون يحتاجون إلى الوصول لشبكة وبيانات الشركة. هنا، نستخدم النوع الثاني وهو Remote Access VPN. هذا النوع يمنح الوصول إلى الشبكة لجهاز واحد فقط، مثل منح وصول عن بعد لجهاز الكمبيوتر المحمول الخاص بموظف معين. يختلف هذا تمامًا عن Site-to-Site VPN الذي يربط شبكات بأكملها تحتوي على عدد كبير من الأجهزة. يسمح Remote Access VPN لجهاز معين (مثل كمبيوتر شخصي، كمبيوتر محمول، أو حتى هاتف محمول) بالاتصال بشبكة الشركة. ولكي يتمكن الجهاز من استخدام هذا النوع، يجب تثبيت تطبيق عميل الـ VPN عليه، مثل OpenVPN أو GlobalProtect.

إعدادات الـ Remote Access VPN

يوجد نوعان من الإعدادات لهذا النوع:

• Full Tunnel (النفق الكامل): يعني أن كل حركة مرور البيانات (Traffic) الخاصة بالمستخدم البعيد يجب أن تمر عبر شبكة الشركة ومن خلال نفق الـ VPN. على سبيل المثال، حتى لو كنت تتصفح فيسبوك، فإن حركة المرور ستمر عبر النفق. هذا يجعلك خاضعًا لسياسات جدار الحماية (Firewall Policies) الخاصة بالشركة، ويضمن تشفير كل نشاطك على الشبكة العامة. لكن في المقابل، قد يتأثر أداء الشبكة سلبًا بسبب زيادة حركة المرور، مما قد يسبب ازدحامًا وتأخيرًا (Delay).
• Split Tunnel (النفق المنفصل): في هذا الإعداد، تمر حركة المرور الخاصة بالشركة فقط عبر نفق الـ VPN، بينما أي حركة مرور أخرى (مثل تصفح الإنترنت العام) تتم مباشرة عبر اتصالك بالإنترنت. هذا يوفر في استهلاك عرض النطاق (Bandwidth) ويمنح أداء أفضل للشبكة.

وبهذا نكون قد وصلنا إلى نهاية هذا المقال، حيث تحدثنا بشكل ملخص عن الشبكات الخاصة الافتراضية (VPN). بالطبع، سيحتاج الأشخاص المتخصصون في مجال أمن المعلومات إلى التعمق أكثر في هذا الموضوع.