VPN
เทคโนโลยี VPN คืออะไร
ข้อดีและข้อเสียของ VPN
• ข้อดี
1. ประหยัดค่าใช้จ่าย
การสร้างวงจรเสมือนจริงผ่านเครือข่าย Internet ใช้หลักการให้เครือข่ายย่อยเชื่อมกับ Internet ที่ท้องถิ่น ซึ่งจะเสียค่าเช่าวงจรเฉพาะท้องถิ่น และค่าบริการ Internet เท่านั้น (ในองค์กรที่มีหลายสาขา จึงไม่จำเป็นต้องเช่า Leased Line หลายสายอีกต่อไป) การสร้าง VPN ยังทำได้กับเครือข่ายขนาดเล็กที่ใดก็ได้ โดยต้องมีระบบเครือข่ายที่รองรับ คือ ต้องมี Router ที่สนับสนุน Protocol แบบ VPN ได้ จากการศึกษาของ IDC พบว่า VPN สามารถลดค่าใช้จ่ายในการเชื่อมต่อแบบ WAN ได้ราว 40 %
2. มีการรักษาความปลอดภัยของข้อมูล
การสร้างวงจรเสมือนจริง ผ่านเครือข่ายสาธารณะ มีจุดเด่นคือ Router ต้นทาง และ Router ปลายทาง
ของเครือข่ายที่สร้างวงจรเสมือนจริงนี้ จะทำการเข้ารหัสข้อมูลและบีบอัดข้อมูลเข้าไว้ใน Packet IP ทำให้ข้อมูลที่วิ่งไปในเครือข่าย Internet ได้รับการป้องกัน ซึ่งถ้ามีใครแอบดักข้อมูล หรือ IP Packet ไปได้ ก็ได้ข้อมูลที่เข้ารหัสยาก ซึ่งยากต่อการถอดรหัส เพราะเป็นรหัสที่ต้องการคีย์ถอดรหัส รวมถึงมีการสร้างอุโมงค์สื่อสาร (Tunneling) การพิสูจน์บุคคล หรือการจำกัดสิทธิ์ในการเชื่อมต่อ
สามารถสรุปวิธีการที่นำมาใช้ เพื่อให้ VPN มีความสามารถในการรักษาและดูแลเครือข่ายและข้อมูลให้ปลอดภัยมากขึ้น ได้ดังนี้
2.1) Firewall จะเป็นการติดตั้งตัวกั้นกลางระหว่าง network ของเรากับ Internet โดยตัว Firewall จะสามารถจำกัดจำนวนของ port รวมทั้งลักษณะของ packet และ protocol ที่จะมาใช้งาน
2..2) Encryption (การเข้ารหัส) เป็นกระบวนการที่นำข้อมูลจากเครื่องคอมพิวเตอร์หนึ่งเครื่องไปทำการเข้ารหัสก่อนที่จะส่งไปยังเครือข่ายคอมพิวเตอร์อื่น
2.3) IPSec หรือ Internet Protocol Security Protocol เป็นการเข้ารหัสที่ช่วยให้ระบบรักษาความปลอดภัยทำงานได้ดียิ่งขึ้น เช่น การเข้ารหัสแบบ Algorithm และการตรวจสอบผู้ใช้ โดยทั่วไป IPSec มีการเข้ารหัส 2 แบบด้วยกันคือ
- tunnel จะทำการเข้ารหัสทั้งหัวของข้อความ (header) และข้อมูลในแต่ละ Packet
(payload of each packet)
- transport จะเข้ารหัสเฉพาะตัวข้อมูลเท่านั้น
อย่างไรก็ดี IPSec จะใช้ได้กับระบบ อุปกรณ์ และ Firewall ของแต่ละเครือข่ายที่มีการติดตั้งระบบ
ความปลอดภัยที่เหมือนกันเท่านั้น
3. มีความยืดหยุ่นสูง
โดยเฉพาะอย่างยิ่งในกรณีการทำ Remote Access ให้ผู้ใช้ติดต่อเข้ามาใช้งานเครือข่ายจากนอก
สถานที่ เช่น พวกผู้บริหาร หรือฝ่ายขาย ที่ออกไปทำงานนอกสถานที่สามารถเชื่อมต่อเข้าเครือข่ายของบริษัทเพื่อเช็คข่าว อ่านเมล์ หรือใช้งานโปรแกรม เพื่อเรียกดูข้อมูล เป็นต้น การใช้ VPN สามารถ login เข้าสู่ระบบงานของบริษัทโดยใช้โปรแกรมจำพวก VPN Client เช่น Secureremote ของบริษัท Checkpoint เป็นต้น วิธีการอย่างนี้ทำให้เกิดความคล่องตัวในการทำงานเป็นอย่างมาก และยังสามารถขยาย Bandwidth ในการใช้งาน VPN ได้อย่างไม่ยุ่งยากอีกด้วย
4. จัดการและดูแลได้ง่าย
การบริหารและการจัดการเครือข่าย ทำได้ดีและสะดวกต่อการขยายและวางแผนการขยาย โดยเน้นการสนับสนุนการทำงาน และการดูแลได้อย่างมีประสิทธิภาพ
5. สามารถกำหนดหมายเลข IP เป็นเครือข่ายเดียวกันได้
การแยกเครือข่าย 2 เครือข่าย ระบบ IPจะต้องแยกกัน แต่การสร้าง VPN จะทำให้ 2 เครือข่ายนี้ เสมือนเป็นเครือข่ายเดียวกัน ดังนั้นจึงใช้หมายเลข IP และ Domain เดียวกันได้
6. ประสิทธิภาพการรับส่งข้อมูล
เทียบเท่ากับการเช่า Leased Line เชื่อมโยงสาขาโดยตรง
• ข้อเสีย
1. เทคโนโลยีที่สับสน
การตัดสินใจว่าจะนำเอาเทคโนโลยี VPN ชนิดใดมาใช้งานอาจเป็นเรื่องที่ค่อนข้างสับสน เนื่องจาก
การที่มีตัวเลือกมากมาย และการใช้มาตรฐาน VPN ที่แตกต่างกัน รวมทั้งการตีความเพื่อใช้งานที่ต่างกัน และปัญหาความสามารถในการทำงานร่วมกันระหว่างอุปกรณ์ VPN บางชนิดอาจทำให้เครือข่ายมีความซับซ้อนเพิ่มขึ้นได้
2. คุณภาพของการบริการ
VPN ทำงานอยู่บน Internet ซึ่งความเร็ว ,การเข้าถึง และคุณภาพ (Speed and access) เป็นเรื่อง
เหนือการควบคุมของผู้ดูแลเครือข่าย และเนื่องจากมีสัญญาณอาจเดินทางข้ามเครือข่ายจำนวนมาก ดังนั้นเมื่อมีการทำงานผ่านเครือข่าย IP ของผู้ให้บริการสื่อสารรายใดรายหนึ่ง ผู้ให้บริการรายนี้อาจไม่ทราบว่าสัญญาณเป็นแบบ IP VPN ดังนั้นทางบริษัทจึงให้บริการที่คิดว่า "ดีที่สุด" เหมือนกับสัญญาณ IP อื่นๆ แทน
3. Technology ที่ต่างกัน
VPN มี technologies แตกต่างกันตามผู้ขายแต่ละราย โดยยังไม่มีมาตรฐานที่ใช้ร่วมกันอย่าง
แพร่หลายมากนัก ต้องมีการพัฒนาเพื่อรองรับ Protocol อื่นๆ นอกจาก Protocol ที่อยู่บนพื้นฐานของ IP
แหล่งที่มา
http://www.cad.go.th/ewtadmin/ewt/netgrp/download/VPN.pdf
VPN ย่อมาจาก Virtual Private Network เป็นเทคโนโลยีการเชื่อมต่อเครือข่ายนอกอาคาร
(WAN -Wide Area Network) เป็นระบบเครือข่ายภายในองค์กร ซึ่งเชื่อมเครือข่ายในแต่ละสาขาเข้าด้วยกัน โดยอาศัย Internet เป็นตัวกลาง มีการทำ Tunneling หรือการสร้างอุโมงค์เสมือนไว้รับส่งข้อมูล มีระบบเข้ารหัสป้องกัน การลักลอบใช้ข้อมูล เหมาะสำหรับองค์กรขนาดใหญ่ซึ่งต้องการความคล่องตัวในการติดต่อรับส่งข้อมูลระหว่างสาขา
มีประสิทธิภาพเช่นเดียวกับ Private Network
นอกจากนี้ยังสามารถกำหนดหมายเลข IP เป็นเครือข่ายเดียวกัน และเจ้าหน้าที่ ที่ปฏิบัตินอกบริษัทฯ ยังสามารถ login เข้ามาใช้เครือข่ายภายในองค์กรได้
PN : Private Network คือเครือข่ายภายในของแต่ละบริษัท, Private Network เกิดจากการที่บริษัทต้องการเชื่อมเครือข่ายของแต่ละสาขาเข้าด้วยกัน (กรณีพวกที่เชื่อมต่อด้วย TCP / IP เลขที่ IP ก็จะกำหนดเป็น 10.xxx.xxx.xxx หรือ 192.168.xxx.xxx หรือ 172.16.xxx.xxx) ในสมัยก่อนจะทำการเชื่อมต่อด้วย leased line หลังจากที่เกิดการเติบโตของการใช้งาน Internet และการพัฒนาเทคโนโลยีที่เกี่ยวข้อง การปรับปรุงในเรื่อง ความเร็วของการเชื่อมต่อ ทำให้เกิดแนวคิดในการแทนที่ leased line หรือ Frame Relay ซึ่งมีราคาแพง ด้วย Internet ที่มีราคาถูกกว่า แล้วตั้งชื่อว่า Virtual Private Network
และจากการที่มีคนได้กำหนดความหมายของ VPN เป็นภาษาอังกฤษไว้ว่า "VPN is Private
Communications Network Existing within a Shared or Public network Especially the Internet"
จะสามารถสรุปความหมาย ได้ดังนี้
• เทคโนโลยี VPN จะทำการเชื่อมต่อองค์ประกอบข้อมูลและทรัพยากรต่างๆ ของระบบเครือข่าย
หนึ่ง ให้เข้ากับระบบเครือข่ายหนึ่ง
• เทคโนโลยี VPN จะทำงานโดยยอมให้ผู้ใช้งานสร้างท่ออุโมงค์ เสมือนเพื่อใช้ในการรับส่งข้อมูล
ผ่านระบบ เครือข่ายอินเตอร์เน็ต
• ส่วนประกอบที่สำคัญหรือหัวใจหลักในการทำ VPN ก็คือการใช้งานอินเตอร์เน็ต
เทคโนโลยี วีพีเอ็นเปรียบเสมือนการสร้างอุโมงค์เพื่อการสื่อสาร
ทำไมถึงต้องใช้ VPN?
เนื่องจากปัจจุบันการติดต่อสื่อสารถือว่าเป็นสิ่งที่มีความจำเป็นมากขึ้นเรื่อยๆ โดยถ้าเราต้องการการเชื่อมต่อที่มีประสิทธิภาพ มีความปลอดภัยระหว่าง Network บริการที่ดีที่สุดคือ การเช่าสายสัญญาณ (leased line) ซึ่งจะทำการเชื่อมต่อระบบเน็ตเวิร์คของเราด้วยการใช้สายสัญญาณตรงสู่ปลายทาง ทำให้มีความปลอดภัย สูงเพราะไม่ต้องมีการใช้สื่อกลางร่วมกับผู้อื่น และมีความเร็วคงที่ แต่การเช่าสาสัญญาณนั้นมีข้อเสียคือ ค่าใช้จ่าย ในการใช้บริการนั้นสูงมาก เมื่อเทียบกับความเร็วที่ได้รับ ซึ่งบริษัทขนาดเล็กนั้นคงไม่สามารถทำได้
เทคโนโลยี VPN ได้เข้ามาเป็นอีกทางเลือกหนึ่ง เนื่องจากได้ใช้สื่อกลางคือ Internet ที่มีการติดตั้งอยู่ อย่างแพร่หลายเข้ามาสร้างระบบเน็ตเวิร์คจำลอง โดยมีการสร้างอุโมงค์ข้อมูล (Tunnel) เชื่อมต่อกันระหว่างต้น ทางกับปลายทาง ทำให้เสมือนว่าเป็นระบบเน็ตเวิร์คเดียวกัน สามารถส่งข้อมูลต่างๆที่ระบบเน็ตเวิร์คทำได้ โดย ข้อมูลที่ส่งนั้นจะถูกส่งผ่านไปในอุโมงค์ข้อมูล ทำให้มีความปลอดภัยสูง ใกล้เคียงกับ leased line แต่ค่าใช้จ่าย ในการทำ VPN นั้นต่ำกว่าการเช่าสายสัญญาณมาก
VPN Architecture
สามารถแบ่งได้ออกเป็น 3 ชนิด คือ Remote access VPN, Intranet VPN และ Extranet VPN
Remote access VPN
สามารถทำการเชื่อมต่อระหว่าง Users ที่ไม่ได้อยู่ที่องค์กรหรือบริษัท เข้ากับ Server โดยผ่านทาง ISP (Internet Services Provider), Remote access VPN ยังอนุญาตให้ Users สามารถเชื่อมต่อกับตัว องค์กร หรือบริษัท เมื่อไหร่ก็ได้ตามที่ต้องการ โดยที่ Users จะทำการเชื่อมต่อผ่านทาง ISP ที่รองรับ เทคโนโลยี VPN เมื่อ VPN devices ของ ISP ยอมรับการ Login ของ Users แล้ว จะทำการสร้าง Tunnel ไปยัง VPN devices ทางฝั่ง Office ขององค์กรหรือบริษัท จากนั้นจะทำการส่ง Packets ผ่านทาง Internet
ข้อดีของ Remote access VPN ได้แก่
�� ลดต้นทุนจากจัดซื้ออุปกรณ์พวก Modem หรือ อุปกรณ์ Server ปลายทาง
�� สามารถเพิ่มจำนวนได้มาก และ เพิ่ม Users ใหม่ ได้ง่าย
�� ลดรายจ่ายจากการสื่อสารทางไกล
รูปแสดง Remote Access VPN
Intranet VPN
Intranet VPN จะเป็นการสร้าง Virtual circuit ระหว่าง Office สาขาต่างๆ ขององค์กร เข้ากับ ตัว องค์กร หรือว่า ระหว่างสาขาต่างๆ ของ Office เข้าด้วยกัน จากเดิมที่ทำการเชื่อมต่อโดยใช้ Leased Line หรือ Frame relay จะมีราคาสูง หากใช้ Intranet VPN จะเป็นการประหยัดค่าใช้จ่ายมากกว่า
สิ่งสำคัญของ Intranet VPN ก็คือ การ Encryption ข้อมูลที่ต้องมีประสิทธิภาพ เพื่อปกป้องข้อมูล ระหว่างที่ส่งผ่านระบบเครือข่าย สิ่งสำคัญอีกอย่างหนึ่งก็คือ ต้องให้ความสำคัญกับ Applications ประเภท Sale และ Customer Database Management, Document Exchange, Financial Transactions และ Inventory Database Management
โครงสร้างของ IP WAN ใช้ IPSec หรือ GRE ทำการสร้าง Tunnel ที่มีความปลอดภัย ระหว่าง เครือข่าย
ข้อดีของ Intranet VPN ก็คือ
�� ลดค่าใช้จ่ายจาก WAN Bandwidth, ใช้ WAN Bandwidth ได้อย่างมีประสิทธิภาพ
�� Topologies ที่ยืดหยุ่น
�� หลีกเลี่ยงการเกิด Congestion โดยการใช้ Bandwidth management traffic shaping
รูปแสดง Intranet VPN
Extranet VPN
Extranet VPN เป็นที่รู้จักกันในชื่อ Internet-based VPN, Concept ของการติดตั้ง Extranet VPN นั้นเหมือนกับ Intranet VPN ส่วนที่ต่างกันก็คือ Users, Extranet VPN จะสร้างไว้เพื่อ Users ประเภทลูกค้า, ผู้ผลิต, องค์กรต่างองค์กรที่ต้องการเชื่อมต่อกัน หรือว่าองค์กรที่มีหลายสาขา Internet Security Protocol (IPSec) ถูกใช้โดยยอมรับเป็นมาตรฐานของ Extranet VPN
รูปแสดง Extranet VPN
Tunneling
การทำงานหลักๆของ VPN ก็คือการส่งข้อมูลผ่านอุโมงค์ข้อมูล (Tunnel) ไปสู่ระบบเน็ตเวิร์ค ปลายทาง เนื่องจากอุโมงค์ข้อมูลที่สร้างขึ้นนั้นสร้างผ่านระบบอินเตอร์เน็ต (Internet) และการส่งข้อมูลต้องมี การจัดการ Packet ต่างๆให้ผ่านไปตามอุโมงค์อย่างถูกต้อง การสร้าง Tunnel นั้นประกอบด้วย รูปแบบ
โปรโตคอล (Protocol) 3 แบบ คือ
�� Carrier protocol
�� Encapsulating protocol
�� Passenger Protocol
Carrier protocol
เป็นโปรโตคอลที่ระบบเน็ตเวิร์ค จะใช้ส่งข้อมูลผ่านอุโมงค์ โดยจะเป็นตัวส่ง Encapsulate
โปรโตคอลไปยังปลายทาง
Encapsulating protocol
เป็นโปรโตคอลที่ทำการห่อหุ้มข้อมูลที่จะส่งไว้ ข้อมูลที่ถูกส่งทั้งหมดจะถูกใส่ผ่าน Packet ของ
โปรโตคอลต่างๆ โปรโตคอลที่มีการใช้งานได้แก่
• GRE
GRE ย่อมากจาก Generic routing encapsulation ซึ่งเป็น encapsulating protocol พื้นฐานโดยจะทำหน้าที่ห่อ Packet ของ passenger โปรโตคอลไว้เพื่อที่จะส่งผ่านอุโมงค์ข้อมูล GRE จะเพิ่มข้อมูลในส่วน ของชนิดของ Packet ที่ได้ Encapsulate และข้อมูลเกี่ยวกับ Connection ระหว่างทั้งสองระบบด้วย ส่วน ใหญ่ GRE นั้นจะใช้ในการใช้งานแบบ VPN ระหว่าง site-to-site
• PPTP
PPTP หรือ Point to Point Tunneling Protocols เป็นโปรโตคอลแรกสุดที่ออกมา โดยจะกล่าวถึง
มาตรฐานการ Encryption และ Authentication ซึ่งพัฒนาจากบริษัทต่างๆ โดยมี Microsoft และ 3Com ได้
ร่วมอยู่ด้วย ดังนั้นจึงเป็นโปรโตคอลที่เป็น Default ของวินโดว์ที่จะใช้งาน VPN ซึ่งโปรโตคอลนี้ มีพื้นฐานอยู่ บน PPP ทำให้โปรแกรมที่ใช้โปรโตคอลนี้ เป็นการเชื่อมต่อในลักษณะคอมพิวเตอร์เครื่องเดียวทำการเชื่อมวีพีเอ็นต่อไปยังระบบเน็ตเวิร์กที่รองรับการใช้งาน PPTP นั้นมีข้อดีคือความสะดวกในการนำมาใช้งาน ที่ไม่ต้องมีการลงทุนทั้งในด้าน software และ hardware มากนัก แต่ในด้านความปลอกภัยนั้น ถือว่ายังด้วยกว่า IPsec ที่ออกมาทีหลังอยู่ โดยมีข้อดีและข้อเสียที่สรุปได้ดังนี้คือ
ข้อดีของโปรโตคอล PPTP
�� ใช้โอเวอร์เฮดในการทำงานน้อย
�� สามารถใช้ได้กับทุกระบบปฏิบัติการ ต้องการเพียงแค่ PPTP Client เท่านั้น
�� สามารถใช้งานผ่าน NAT ได้
ข้อเสียของโปรโตคอล PPTP
�� การเข้ารหัสของ PPTP จะเริ่มหลังจากการทำ authenticate ดังนั้นในระหว่างนั้นอาจถูกดักอ่าน
ข้อมูลได้
�� การ authenticate ของ PPTP จะทำในระดับผู้ใช้เพียงระดับเดียวเท่านั้น อาจทำให้ระดับความ
ปลอดภัยต่ำ
ความปลอดภัยในระบบ VPN
การจะทำให้ระบบ VPN ปลอดภัยนั้น ประกอบไปด้วยหลายๆวิธีที่สามารถทำได้ โดยในที่นี้จะกล่าวถึงวิธีดังต่อไปนี้
• Firewalls
เป็นการสร้างความปลอดภัยหระว่างระบบเน็ตเวิร์คกับอินเตอร์เน็ต โดย Firewalls จะเป็นตัวควบคุมการเปิด-ปิด Portsต่างๆ ซึ่งสามารถทำให้เราควบคุมได้ว่าต้องการให้ Protocols ไหนสามารถใช้งานได้บ้างPacket ที่เข้ามานั้นจะอนุญาตให้ผ่านหรือไม่ และจะปิด port ทีไม่ได้ใช้งานไว้ สามารถป้องกันการบุกรุกจากพอร์ทที่ไม่ได้ใช้งานได้
• Encryption
Encryption คือ การเข้ารหัสของข้อมูลที่จะทำการส่งไปยังคอมพิวเตอร์เครื่องอื่น ซึ่งเมื่อข้อมูลที่ผ่านการ Encrypt ถูกส่งไปถึงผู้รับ ผู้รับจะต้องทำการ Decode เพื่อให้ได้ข้อมูลที่ผู้ส่งต้องการส่งคืนมา จะทำให้ข้อมูลมี ความปลอดภัยเพราะระหว่างทางนั้นถ้าผู้อื่นได้รับข้อมูลไปก็ไม่สามารถรู้ได้ว่าข้อมูลนั้นเป็นอะไร การ Encrypt
นั้นสามารถแบ่งออกได้เป็น 2 ลักษณะ คือ
�� Symmetric-key encryption
ในแต่ละเครื่องจะมี Code เฉพาะในการใช้เข้ารหัสข้อมูลก่อนที่จะส่งไปให้อีกเครื่องหนึ่ง
การใช้ Symmetric-key เราต้องรู้ว่าเราจะส่งข้อมูลไปที่เครื่องไหนและเราต้องทำการลง key เดียวกัน
ไว้ในเครื่องที่เราต้องการส่งไปด้วย ทำให้ key นี้จะรู้กันแค่ผู้ส่งและผู้รับเท่านั้น เพื่อที่จะทำการ
Encrypt และ Decode ได้ถูกต้อง และผู้อื่นก็จะถอดรหัสข้อมูลได้
�� Public-key encryption
การใช้งานจะเป็นการทำงานร่วมกันระหว่าง Public key และ Private key โดย Public
key นั้นจะถูกให้ไปในคอมพิวเตอร์ที่ต้องการจะติดต่อกับเครื่องเรา ซึ่งผุ้ที่รู้ key เป็นกลุ่มของ
คอมพิวเตอร์ต่างกับ Symmetric ที่เป็น key สำหรับ 2 เครื่อง สำหรับการ Decode นั้น จะใช้ Public
key ร่วมกับ Private key ที่ต่างกันในแต่ละเครื่อง โดย Public key ที่เป็นที่นิยมใช้งานคือ Pretty
Good Privacy (PGP) ซึ่งสามารถจะ Encrypt ข้อมูลได้ทุกชนิดที่ต้องการส่ง
• IPSec
เป็น โปรโตคอลทีมีความปลอดภัยเมื่อนำมาใช้งานในการส่งข้อมูลผ่าน VPN ซึ่งลักษณะของ
โปรโตคอล IPSec นี้ได้อธิบายไว้แล้วในหัวข้อ Encapsulation protocol ในเรื่องของ Tunnel ที่ผ่านมา
• AAA Server
AAA Server คือ Authenticate, Authorization และ Accounting server เป็นการเพิ่มความ
ปลอดภัยในการใช้งานแบบ Remote-Access VPN ซึ่งเมื่อมีการเชื่อมต่อจาก Dial-up นั้นจะต้องผ่าน AAA
Server ซึ่งจะมีการตรวจสอบกังนี้ คือ
�� คุณเป็นใคร Who you are (authentication)
�� คุณได้รับอนุญาตให้ทำอะไรบ้าง What you are allowed to do (authorization)
�� คุณทำอะไรไปบ้าง What you actually do (accounting)
ส่วนประกอบที่ใช้ในการสถาปัตยกรรมแบบ VPN
ส่วนประกอบที่ใช้นั้นแบ่งออกเป็น 2 ประเภท คือ Hardware และ Software
รูปแบบ Hardware-Based VPN
1. Router สามารถแบ่งออกเป็น 2 แบบ ได้แก่
1.1) เพิ่มซอฟต์แวร์เข้าไปที่ตัว Router เพื่อเพิ่มกระบวนการ เข้ารหัส/ถอดรหัส ข้อมูลที่จะวิ่งผ่าน Router ลักษณะนี้เป็นการติดตั้งซอฟต์แวร์เข้าไปที่ชิป ซึ่งอาจเป็นไปในรูปแบบของ NVRAM (Non-Volatile RAM) หรืออาจเป็นชุดของ Flash Memory ก็เป็นได้ ระบบนี้มีข้อดีตรงที่สามารถอัพเกรดการทำงานของซอฟต์แวร์ได้
1.2) เพิ่มการ์ดเข้าไปที่ตัวแท่นเครื่องของ Router ซึ่งอาจเป็นไปในรูปแบบของโมดูลเล็ก ๆ ภายในตัวRouter หรือไม่ก็เป็นแบบโมดูลที่ติดตั้งบน Router แบบ Chassis (Router ที่สามารถถอดหรือใส่แผงวงจร
ได้โดยตรง) รูปแบบนี้เป็นการใช้โมดูลที่เสริมเข้ามาเพื่อทำงานร่วมกับซีพียูบน Router โดยตรง
ผู้ผลิตบางรายได้ผลิต Router ที่เป็นแบบโมดูลให้สามารถถอดเปลี่ยนแผงวงจรได้โดยไม่ต้องปิด
เครื่อง อีกทั้งมีระบบที่เรียกว่า Redundancy กล่าวคือ หากพบว่ามีปัญหาที่แผงวงจรใดก็จะมีแผงวงจรอีกแผงหนึ่งที่ติดตั้งประกบคู่อยู่แล้วทำงานแทนได้ทันที ดังนั้นการเพิ่มเติมโมดูล VPN เข้าไปที่ Router สามารถทำได้โดยไม่ต้องปิดเครื่อง ทำให้งานขององค์กรไม่สะดุด
2. Black Box
ส่วนใหญ่จะมีรูปร่างคล้ายกับคอมพิวเตอร์เครื่องหนึ่ง หรือไม่ก็เป็นลักษณะคล้ายกับอุปกรณ์
Switching Hub หรือ Router อย่างใดอย่างหนึ่ง ซึ่งอุปกรณ์นี้จะมีการติดตั้งซอฟต์แวร์ที่ใช้สร้างอุโมงค์
เชื่อมต่อและเข้ารหัสข้อมูลข่าวสารในอุโมงค์ ขณะที่ยังมีบางผลิตภัณฑ์มาพร้อมกับซอฟต์แวร์ที่ทำงานบนDesktop PC ของ Client เพื่อใช้บริหารจัดการกับอุปกรณ์ Black Box นี้ ทำให้ท่านสามารถจัดตั้ง
Configuration ผ่านทาง Web Browser ได้อีกด้วยBlack Box VPN เป็นอุปกรณ์แยกต่างหากที่สนับสนุนการเข้ารหัสในหลายรูปแบบ เช่น 40 Bit DES(มาตรฐานสำหรับนานาชาติ) และ 3DES สำหรับอเมริกาและแคนาดา เชื่อกันว่าผลิตภัณฑ์ VPN ในรูปแบบ Black Box นี้ทำงานได้เร็วกว่า Software VPN แน่นอน เนื่องจากตัวโปรเซสเซอร์ที่ถูกออกแบบมาทำหน้าที่ดูแลการทำงานของ VPN เป็นการเฉพาะ โดยจะสร้างอุโมงค์ได้หลาย ๆ อุโมงค์ รวมทั้งการเข้ารหัสและการถอดรหัสได้อย่างรวดเร็ว อย่างไรก็ดี จะทำงานโดยอาศัย Black Box เพียงลำพังไม่ได้ เนื่องจากระบบนี้ไม่มีส่วนของการบริหารจัดการโดยตรง อีกทั้งการจัดตั้ง Configuration ต่าง ๆ เช่น การกำหนดกติกาของการพิสูจน์สิทธิ (Authentication) จำเป็นต้องใช้คอมพิวเตอร์อีกตัวหนึ่ง รวมทั้งการอ่านค่าต่าง ๆ ที่มีการบันทึกไว้ก็ต้องอ่านจากคอมพิวเตอร์เช่นกันปกติอุปกรณ์ Black Box VPN จะติดตั้งไว้ด้านหลังของ Firewall เสมอ เนื่องจาก Firewall มีประสิทธิภาพในการป้องกันการก้าวล่วงเข้ามาใช้งานในองค์กรได้ดี แต่ไม่สามารถป้องกันข้อมูลที่วิ่งเข้าวิ่งออกระหว่างองค์กรกับผู้ใช้งาน และในทางกลับกัน VPN ไม่สามารถป้องกันการโจมตีจากผู้หวังดีแต่ประสงค์ร้ายที่อาจสร้างความเสียหายแก่เครือข่ายของท่าน ดังนั้นการจัดตั้งค่าใน Firewall จึงต้องระมัดระวังการทำงานของVPN ด้วย เนื่องจาก Firewall จะต้องตรวจสอบ Packet ต่าง ๆ ที่วิ่งเข้าวิ่งออก ดังนั้นท่านต้องทำให้มั่นใจว่าFirewall จะยอมให้เฉพาะ Packet ที่ผ่านการเข้ารหัสจาก VPN สามารถผ่านสู่ระบบได้ตามปกติ ดังรูป
รูปแบบ Firewall-Based VPN
Firewall-Based VPN ดูเหมือนจะเป็นรูปแบบ VPN ที่เป็นปกติธรรมดาและนิยมใช้แพร่หลายมากที่สุด มีผู้ผลิตจำนวนไม่น้อยที่เสนอรูปแบบการเชื่อมต่อแบบนี้ อย่างไรก็ตามมิได้หมายความว่าลักษณะนี้เป็นรูปแบบที่ดีที่สุด เพียงแต่องค์กรส่วนใหญ่ที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่จะมีไฟร์วอลล์อยู่แล้ว ดังนั้นการเพิ่มซอฟต์แวร์ที่เกี่ยวกับการเข้ารหัสข้อมูล รวมถึงซอฟต์แวร์ที่เกี่ยวข้องเข้าไปยังตัวไฟร์วอลล์ก็สามารถดำเนินงานได้ทันที
Firewall-Based VPN ปกติจะอยู่ในรูปแบบของซอฟต์แวร์ แต่ผู้ผลิตบางรายอาจเพิ่มประสิทธิภาพ
ของ VPN เข้าไปในผลิตภัณฑ์ไฟร์วอลล์ของตน ซึ่งประสิทธิภาพการทำงานย่อมจะด้อยกว่าฮาร์ดแวร์อย่างแน่นอน อย่างไรก็ดีผู้ผลิตซอฟต์แวร์ VPN บางรายได้ผลิตซอฟต์แวร์ที่เป็น VPN แต่สามารถทำงานร่วมกับซอฟต์แวร์ไฟร์วอลล์ได้เป็นอย่างดี ซึ่งซอฟต์แวร์เหล่านี้ทำงานบนระบบปฏิบัติการต่าง ๆ เช่น UNIX, LINUX, Windows NT หรือ Windows 2000 เป็นต้น
รูปด้านล่าง แสดงลักษณะการเชื่อมต่อ VPN แบบที่นิยมใช้กันแพร่หลาย ซึ่งเรียกว่า Firewall-
Based VPN รูปแบบนี้เป็นที่นิยมทั่วไปในหมู่องค์กรต่าง ๆ ดังนั้นการเพิ่มเติมซอฟต์แวร์ VPN เข้าไปจึง
ไม่ใช่เรื่องยาก เพียงแต่ว่าจะต้องเลือกโปรโตคอลที่ต้องการจะใช้ เช่น PPTP, L2TP หรือ IPSec เป็นต้น
หากคิดว่า Firewall-Based VPN เป็นรูปแบบที่ต้องการ จะต้องพิจารณาผลิตภัณฑ์ไฟร์วอลล์ที่เหมาะสม
และซอฟต์แวร์ VPN ที่นำมาใช้ร่วมกับไฟร์วอลล์นี้จะต้องส่งเสริมการทำงานซึ่งกันและกัน
แสดงรูปแบบการเชื่อมต่อแบบ Firewall Based VPN
รูปแบบ Software-Based VPN
Software-Based VPN โดยแท้จริงแล้วเป็นซอฟต์แวร์ซึ่งทำหน้าที่จัดตั้งอุโมงค์การเชื่อมต่อ การเข้ารหัสและการถอดรหัสข้อมูลบนคอมพิวเตอร์ เป็นซอฟต์แวร์ที่ทำงานในลักษณะของไคลเอนต์และเซิร์ฟเวอร์ ตัวอย่างเช่น VPN ที่ใช้โปรโตคอล PPTP จะมีการติดตั้งซอฟต์แวร์เข้าไปที่เครื่องของไคลเอนต์และเชื่อมต่อกับเซิร์ฟเวอร์ที่ติดตั้งซอฟต์แวร์ VPN และจัดตั้งอุโมงค์เชื่อมต่อ VPN ขึ้น เมื่อเลือกใช้ซอฟต์แวร์ VPN จะต้องมีการขบวนการบริหารจัดการกับกุญแจรักษาความปลอดภัยที่ดี และเป็นไปได้ที่จะต้องการระบบการพิสูจน์สิทธิแบบที่เรียกว่า Certificate Authority การใช้ Software-Based VPN อาจต้องพิจารณากุญแจรักษาความปลอดภัยต่าง ๆ เช่น Public และ Private Key ลักษณะนี้คอมพิวเตอร์ทุกเครื่องไม่ว่าจะเป็นภายในหรือภายนอกองค์กรจะได้รับการพิสูจน์สิทธิก่อนจะส่งข้อมูลระหว่างกัน ซึ่งจะเห็นได้ว่าระบบซอฟต์แวร์ VPN นี้มีความยืดหยุ่นพอสมควร ยกตัวอย่างเช่น
รูปแสดงรูปแบบการเชื่อมต่อแบบ Software-Based VPN
ข้อดีและข้อเสียของ VPN
• ข้อดี
1. ประหยัดค่าใช้จ่าย
การสร้างวงจรเสมือนจริงผ่านเครือข่าย Internet ใช้หลักการให้เครือข่ายย่อยเชื่อมกับ Internet ที่ท้องถิ่น ซึ่งจะเสียค่าเช่าวงจรเฉพาะท้องถิ่น และค่าบริการ Internet เท่านั้น (ในองค์กรที่มีหลายสาขา จึงไม่จำเป็นต้องเช่า Leased Line หลายสายอีกต่อไป) การสร้าง VPN ยังทำได้กับเครือข่ายขนาดเล็กที่ใดก็ได้ โดยต้องมีระบบเครือข่ายที่รองรับ คือ ต้องมี Router ที่สนับสนุน Protocol แบบ VPN ได้ จากการศึกษาของ IDC พบว่า VPN สามารถลดค่าใช้จ่ายในการเชื่อมต่อแบบ WAN ได้ราว 40 %
2. มีการรักษาความปลอดภัยของข้อมูล
การสร้างวงจรเสมือนจริง ผ่านเครือข่ายสาธารณะ มีจุดเด่นคือ Router ต้นทาง และ Router ปลายทาง
ของเครือข่ายที่สร้างวงจรเสมือนจริงนี้ จะทำการเข้ารหัสข้อมูลและบีบอัดข้อมูลเข้าไว้ใน Packet IP ทำให้ข้อมูลที่วิ่งไปในเครือข่าย Internet ได้รับการป้องกัน ซึ่งถ้ามีใครแอบดักข้อมูล หรือ IP Packet ไปได้ ก็ได้ข้อมูลที่เข้ารหัสยาก ซึ่งยากต่อการถอดรหัส เพราะเป็นรหัสที่ต้องการคีย์ถอดรหัส รวมถึงมีการสร้างอุโมงค์สื่อสาร (Tunneling) การพิสูจน์บุคคล หรือการจำกัดสิทธิ์ในการเชื่อมต่อ
สามารถสรุปวิธีการที่นำมาใช้ เพื่อให้ VPN มีความสามารถในการรักษาและดูแลเครือข่ายและข้อมูลให้ปลอดภัยมากขึ้น ได้ดังนี้
2.1) Firewall จะเป็นการติดตั้งตัวกั้นกลางระหว่าง network ของเรากับ Internet โดยตัว Firewall จะสามารถจำกัดจำนวนของ port รวมทั้งลักษณะของ packet และ protocol ที่จะมาใช้งาน
2..2) Encryption (การเข้ารหัส) เป็นกระบวนการที่นำข้อมูลจากเครื่องคอมพิวเตอร์หนึ่งเครื่องไปทำการเข้ารหัสก่อนที่จะส่งไปยังเครือข่ายคอมพิวเตอร์อื่น
2.3) IPSec หรือ Internet Protocol Security Protocol เป็นการเข้ารหัสที่ช่วยให้ระบบรักษาความปลอดภัยทำงานได้ดียิ่งขึ้น เช่น การเข้ารหัสแบบ Algorithm และการตรวจสอบผู้ใช้ โดยทั่วไป IPSec มีการเข้ารหัส 2 แบบด้วยกันคือ
- tunnel จะทำการเข้ารหัสทั้งหัวของข้อความ (header) และข้อมูลในแต่ละ Packet
(payload of each packet)
- transport จะเข้ารหัสเฉพาะตัวข้อมูลเท่านั้น
อย่างไรก็ดี IPSec จะใช้ได้กับระบบ อุปกรณ์ และ Firewall ของแต่ละเครือข่ายที่มีการติดตั้งระบบ
ความปลอดภัยที่เหมือนกันเท่านั้น
3. มีความยืดหยุ่นสูง
โดยเฉพาะอย่างยิ่งในกรณีการทำ Remote Access ให้ผู้ใช้ติดต่อเข้ามาใช้งานเครือข่ายจากนอก
สถานที่ เช่น พวกผู้บริหาร หรือฝ่ายขาย ที่ออกไปทำงานนอกสถานที่สามารถเชื่อมต่อเข้าเครือข่ายของบริษัทเพื่อเช็คข่าว อ่านเมล์ หรือใช้งานโปรแกรม เพื่อเรียกดูข้อมูล เป็นต้น การใช้ VPN สามารถ login เข้าสู่ระบบงานของบริษัทโดยใช้โปรแกรมจำพวก VPN Client เช่น Secureremote ของบริษัท Checkpoint เป็นต้น วิธีการอย่างนี้ทำให้เกิดความคล่องตัวในการทำงานเป็นอย่างมาก และยังสามารถขยาย Bandwidth ในการใช้งาน VPN ได้อย่างไม่ยุ่งยากอีกด้วย
4. จัดการและดูแลได้ง่าย
การบริหารและการจัดการเครือข่าย ทำได้ดีและสะดวกต่อการขยายและวางแผนการขยาย โดยเน้นการสนับสนุนการทำงาน และการดูแลได้อย่างมีประสิทธิภาพ
5. สามารถกำหนดหมายเลข IP เป็นเครือข่ายเดียวกันได้
การแยกเครือข่าย 2 เครือข่าย ระบบ IPจะต้องแยกกัน แต่การสร้าง VPN จะทำให้ 2 เครือข่ายนี้ เสมือนเป็นเครือข่ายเดียวกัน ดังนั้นจึงใช้หมายเลข IP และ Domain เดียวกันได้
6. ประสิทธิภาพการรับส่งข้อมูล
เทียบเท่ากับการเช่า Leased Line เชื่อมโยงสาขาโดยตรง
• ข้อเสีย
1. เทคโนโลยีที่สับสน
การตัดสินใจว่าจะนำเอาเทคโนโลยี VPN ชนิดใดมาใช้งานอาจเป็นเรื่องที่ค่อนข้างสับสน เนื่องจาก
การที่มีตัวเลือกมากมาย และการใช้มาตรฐาน VPN ที่แตกต่างกัน รวมทั้งการตีความเพื่อใช้งานที่ต่างกัน และปัญหาความสามารถในการทำงานร่วมกันระหว่างอุปกรณ์ VPN บางชนิดอาจทำให้เครือข่ายมีความซับซ้อนเพิ่มขึ้นได้
2. คุณภาพของการบริการ
VPN ทำงานอยู่บน Internet ซึ่งความเร็ว ,การเข้าถึง และคุณภาพ (Speed and access) เป็นเรื่อง
เหนือการควบคุมของผู้ดูแลเครือข่าย และเนื่องจากมีสัญญาณอาจเดินทางข้ามเครือข่ายจำนวนมาก ดังนั้นเมื่อมีการทำงานผ่านเครือข่าย IP ของผู้ให้บริการสื่อสารรายใดรายหนึ่ง ผู้ให้บริการรายนี้อาจไม่ทราบว่าสัญญาณเป็นแบบ IP VPN ดังนั้นทางบริษัทจึงให้บริการที่คิดว่า "ดีที่สุด" เหมือนกับสัญญาณ IP อื่นๆ แทน
3. Technology ที่ต่างกัน
VPN มี technologies แตกต่างกันตามผู้ขายแต่ละราย โดยยังไม่มีมาตรฐานที่ใช้ร่วมกันอย่าง
แพร่หลายมากนัก ต้องมีการพัฒนาเพื่อรองรับ Protocol อื่นๆ นอกจาก Protocol ที่อยู่บนพื้นฐานของ IP
แหล่งที่มา
http://www.cad.go.th/ewtadmin/ewt/netgrp/download/VPN.pdf
ไม่มีความคิดเห็น:
แสดงความคิดเห็น