เครือข่ายส่วนตัวเสมือน

การเชื่อมต่อเครือข่ายส่วนตัวระหว่างอุปกรณ์ต่างๆ ผ่านอินเทอร์เน็ตเพื่อส่งข้อมูลอย่างปล

เครือข่ายส่วนตัวเสมือน (อังกฤษ: virtual private network: VPN) คือ เครือข่ายเสมือนที่ยอมให้กลุ่มของ site สามารถสื่อสารกันได้ นโยบายในการใช้งานใน VPN ถูกกำหนดโดยชุดของ admin policies ที่จุดทำขึ้นโดยสมาชิกในกลุ่มนั้น หรือถูกกำหนดอย่างเบ็ดเสร็จโดย Service Provider (SP) site ดังกล่าวอาจอยู่ภายในองค์กรเดียวกันหรือต่างองค์กรก็ได้ หรือ VPN อาจเป็น intranet หรือ extranet site ดังกล่าวอาจอยู่ในมากกว่าหนึ่ง VPN ก็ได้หรือ VPN อาจทับกัน, ทุก site ไม่จำเป็นต้องอยู่ภายใต้ SP เดียวกัน, VPN อาจกระจายอยู่หลาย SP

ตัวอย่างการเชื่อมโยงเครือข่ายส่วนตัวเสมือน

การส่งข้อมูลที่เป็นเครือข่ายส่วนตัว (Private Network) จะมีการเข้ารหัสแพ็กเก็ตก่อนการส่ง เพื่อสร้างความปลอดภัยให้กับข้อมูล และส่งข้อมูลไปตามเส้นทางที่สร้างขึ้นเสมือนกับอุโมงค์ที่อยู่ภายในเครือข่ายสาธารณะ (Public Network) นั่นก็คือเครือข่าย อินเทอร์เน็ต นั่นเอง เครือข่ายส่วนตัวเสมือนสามารถเชื่อมต่อเครือข่ายจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่งได้ VPN จะช่วยให้คุณสามารถส่งข้อมูลระหว่างเครื่องคอมพิวเตอร์ โดยผ่านระบบอินเทอร์เน็ต ทำให้ได้รับความสะดวกและรวดเร็วในการส่งข้อมูลในแต่ละครั้ง

เครือข่ายส่วนตัว (Private Network) เป็นระบบเครือข่ายที่จัดตั้งขึ้นไว้สำหรับหน่วยงานหรือองค์กรที่เป็นเจ้าของและมีการใช้ทรัพยากรร่วมกัน ซึ่งทรัพยากรและการสื่อสารต่างที่มีอยู่ในเครือข่ายจะมีไว้เฉพาะบุคคลในองค์กรเท่านั้นที่มีสิทธเข้ามาใช้ บุคคลภายนอกเครือข่ายไม่สามารถเข้ามาร่วมใช้งานบนเครือข่ายขององค์กรได้ ถึงแม้ว่าจะมีการเชื่อมโยงกันระหว่างสาขาขององค์กรและในเครือข่ายสาธารณะก็ตาม เพราะฉะนั้น ระบบเครือข่ายส่วนตัวจึงมีจุดเด่นในเรื่องของการรักษาความลับและเรื่องความปลอดภัย

ส่วนเครือข่ายสาธารณะ (Public Data Network) เป็นเครือข่ายที่รวมเอาเครือข่ายระบบต่างๆ ไว้ด้วยกันและสามารถแลกเปลี่ยนข้อมูลได้อย่างอิสระ เหมาะสำหรับบุคคลหรือองค์กรที่ไม่ต้องการวางเครือข่ายเอง โดยการไปเช่าช่องทางของเครือข่ายสาธารณะซึ่งองค์กรที่ได้รับสัมปทานจัดตั้งขึ้น สามารถใช้งานได้ทันทีและค่าใช้จ่ายต่ำกว่าการจัดตั้งระบบเครือข่ายส่วนตัว

ลักษณะการทำงาน แก้

ลักษณะการทำงานของเครือข่ายส่วนตัวเสมือน (Virtual Private Network) เป็นเครือข่ายที่มีเส้นทางทำงานอยู่ในเครือข่ายสาธารณะ ดังนั้นเรื่องความปลอดภัยของข้อมูลในเครือข่ายส่วนตัวจึงเป็นเรื่องที่ต้องคำนึงถึงเป็นอย่างมาก เครือข่ายส่วนตัวเสมือนจะมีการส่งข้อมูลในรูปแบบแพ็กเก็ตออกมาที่เครือข่ายอินเทอร์เน็ต โดยมีการเข้ารหัสข้อมูล (Data Encryption) ก่อนการส่งข้อมูลเพื่อสร้างความปลอดภัยให้กับข้อมูลและส่งข้อมูลผ่านอุโมงค์ (Tunneling) ซึ่งจะถูกสร้างขึ้นจากจุดต้นทางไปถึงปลายทางระหว่างผู้ให้บริการ VPN กับผู้ใช้บริการการเข้ารหัสข้อมูลนี้เอง เป็นการไม่อนุญาตให้บุคคลอื่นที่ไม่เกี่ยวข้องกับข้อมูล สามารถอ่านข้อมูลได้จนสามารถที่จะส่งไปถึงปลายทาง และมีเพียงผู้รับปลายทางเท่านั้นที่สามารถถอดรหัสข้อมูลและนำข้อมูลไปใช้ได้

การทำงานของระบบเครือข่ายส่วนตัว แก้

Authentication VPN
เป็นการตรวจสอบและพิสูจน์เพื่อยืนยันผู้ใช้งาน หรือยืนยันข้อมูล ความมีสิทธิ์ในการเข้าถึงเพื่อใช้งานเครือข่าย ซึ่งเป็นระบบรักษาความปลอดภัยให้กับข้อมูล การ Authentication เป็นขั้นตอนแรกในการทำงาน เมื่อมีการพิสูจน์เพื่อยืนยันผู้ใช้งานแล้ว จึงจะสามารถสร้างอุโมงค์หรือ Tunnel ได้ ถ้าหากว่าการยืนยันผิดพลาดก็ไม่สามารถที่จะสร้างอุโมงค์เพื่อเชื่อมโยงกันได้
Encryption
เป็นการเข้ารหัสข้อมูลซึ่งข้อมูลที่ส่งนั้นจะส่งไปเป็นแพ็กเก็ตและมีการเข้ารหัสข้อมูลก่อนการส่งเสมอทั้งนี้เพื่อรักษาความปลอดภัยให้กับข้อมูลและป้องกันการโจรกรรมจากบุคคลนอกองค์กร เมื่อข้อมูลส่งถึงปลายทางอุปกรณ์ปลายทางจะทำการถอดรหัสข้อมูล ให้เป็นเหมือนเดิม เพื่อนำมาใช้งานต่อไป การเข้ารหัสมีอยู่ 2 แบบคือ แบบ Symmetric-key encryption และ แบบ Public-key encryption
Tunneling
เป็นวิธีการสร้างอุโมงค์เพื่อเป็นช่องทางในการส่งข้อมูลระหว่างผู้ใช้กับองค์กรหรือระหว่างองค์กรทั้งสององค์กรที่มีการเชื่อมต่อกัน ซึ่งผู้ที่จะเข้ามาใช้งานได้ต้องเป็นผู้ที่มีสิทธิ์เท่านั้น เพราะฉะนั้นการสร้างอุโมงค์จึงเป็นการรักษาความปลอดภัยอย่างหนึ่งเนื่องจากเป็นการเชื่อมต่อเส้นทางบนเครือข่ายสาธารณะที่บุคคลอื่นมองไม่เห็น การสร้างอุโมงค์เป็นหน้าที่ของอุปกรณ์เชื่อมต่อ
Firewall
หรือระบบรักษาความปลอดภัย มีหน้าที่ในการให้อนุญาตและไม่อนุญาตผู้ที่ต้องการเข้ามาใช้งานในระบบเครือข่าย

รูปแบบการให้บริการของ VPN แก้

 
ตัวอย่างรูปแบบการให้บริการของ Intranet
 
ตัวอย่างรูปแบบการให้บริการของ Remote Access
Intranet VPN
เป็นรูปแบบของ VPN ที่ใช้เฉพาะภายในองค์กรเท่านั้น เช่น การเชื่อมต่อเครือข่ายระหว่างสำนักงานใหญ่กับสำนักงานย่อยในกรุงเทพและต่างจังหวัด โดยเป็นการเชื่อมต่ออินเทอร์เน็ตผ่านผู้ให้บริการท้องถิ่นแล้วจึงเชื่อมต่อเข้ากับเครือข่ายส่วนตัวเสมือนขององค์กร จากเดิมที่ทำการเชื่อมต่อโดยใช้ Leased Line หรือ Frame relay
Extranet VPN
มีรูปแบบการเชื่อมต่อที่คล้ายกับแบบ Intranet แต่มีการขยายวงออกไปยังกลุ่มต่างๆภายนอกองค์กร เช่น ซัพพลายเออร์ ลูกค้า เป็นต้น การเชื่อมต่อแบบนี้ก็คือการเชื่อมต่อ LAN ต่าง LAN กันนั่นเอง ปัญหาก็คือการรักษาความปลอดภัยให้กับข้อมูลเพราะฉะนั้นการเลือกผู้ให้บริการที่ดีจึงเป็นสิ่งที่สำคัญมากในการรักษาความปลอดภัยของข้อมูลเพราะถ้าผู้ให้บริการดีก็สามารถรักษาความปลอดภัยให้กับข้อมูลของผู้ใช้บริการได้อย่างดี
Remote Access VPN
เป็นรูปแบบการเข้าถึงเครือข่ายระยะไกลจากอุปกรณ์เคลื่อนที่ต่าง ๆ ซึ่งสามารถเข้าถึงเครือข่ายได้ใน 2 ลักษณะ ลักษณะแรก เป็นการเข้าถึงจากไคลเอ็นต์ทั่วไป ไคลเอ็นต์จะอาศัยผู้ให้บริการอินเทอร์เน็ตเป็นตัวกลางในการติดต่อและเข้ารหัสการส่งสัญญาณจากไคลเอ็นต์ไปยังเครื่องไอเอสพีและลักษณะที่สองเป็นการเข้าถึงจากเครื่องแอ็กเซสเซิร์ฟเวอร์ (Network Access Server-Nas)

รูปแบบการใช้งานของ VPN แก้

Software-Based VPN
เป็นซอฟต์แวร์ที่ทำงานในลักษณะของไคลเอนต์และเซิร์ฟเวอร์ จะทำงานโดยการใช้ซอฟต์แวร์ทำหน้าที่สร้างอุโมงค์ข้อมูลและมีหน้าที่ในการเข้ารหัสและการถอดรหัสข้อมูลบนคอมพิวเตอร์ โดยจะมีการติดตั้งซอฟต์แวร์เข้าไปในเครื่องไคลเอนต์เพื่อเชื่อมต่อกับ เซิร์ฟเวอร์ที่ติดตั้งซอฟต์แวร์ VPN จากนั้นจึงสร้างอุโมงค์เชื่อมต่อขึ้น ข้อดีคือสนับสนุนการทำงานบนระบบปฏิบัติการที่หลากหลาย ติดตั้งง่าย นำอุปกรณ์ที่มีอยู่เดิมมาประยุกต์ใช้ได้ ทำให้สามารถจัดการกับระบบได้ง่าย

Firewall-Based VPN แก้

องค์กรส่วนใหญ่ที่เชื่อมต่อกับอินเทอร์เน็ตมีไฟร์วอลล์อยู่แล้วเพียงแค่เพิ่มซอฟต์แวร์ที่เกี่ยวกับการเข้ารหัสข้อมูลและซอฟต์แวร์ที่เกี่ยวข้องเข้าไปยังตัวไฟร์วอลล์ก็สามารถดำเนินงานได้ทันที Firewall-Based VPN มีส่วนคล้ายกับรูปแบบของซอฟต์แวร์และมีการเพิ่มประสิทธิภาพเข้าไปในไฟร์วอลล์ แต่ประสิทธิภาพก็ยังด้อยกว่าฮาร์ดแวร์ เป็นรูปแบบ VPN ที่นิยมใช้แพร่หลายมากที่สุด แต่ก็ไม่ได้เป็นรูปแบบที่ดีที่สุด สนับสนุนการทำงานบนระบบปฏิบัติการที่หลากหลาย บางผลิตภัณฑ์สนับสนุน Load Balancing รวมทั้ง IPsec

Router-Based VPN
เป็นรูปแบบของ Hardware Base VPN มีอยู่ด้วยกัน 2 แบบ คือ แบบที่เพิ่มซอฟต์แวร์เข้าไปที่ตัว Router เพื่อเพิ่มการเข้ารหัสและถอดรหัสของข้อมูลที่จะวิ่งผ่าน Router เป็นการติดตั้งซอฟต์แวร์เข้าไปในชิบ แบบที่สองเป็นการเพิ่มการ์ดเข้าไปที่ตัวแท่นเครื่องของเราเตอร์ ข้อดีคือสามารถใช้เราเตอร์ของเราที่มีอยู่แล้วได้ ลดต้นทุนได้
Black Box-Based VPN
คือรูปแบบของฮาร์ดแวร์ VPN ที่มีลักษณะคล้ายกับเครื่องคอมพิวเตอร์ เป็นรูปแบบของ Hardware Base VPN อีกหนึ่งชนิด

ข้อดีและข้อเสียของการใช้งาน VPN แก้

สถาปัตยกรรม ข้อดี ข้อเสีย
Software-Based VPN สามารถนำอุปกรณ์เดิมมาประยุกต์

ใช้กับเทคโนโลยี VPN ได้ ทำงานได้

บนระบบปฏิบัติการที่หลากหลาย

การติดตั้งง่าย

ความสามารถในการเข้ารหัส

(Encryption) และการทำ Tunneling

ต่ำ

Firewall-Based VPN สามารถใช้ได้กับอุปกรณ์ที่มีอยู่เดิม

และทำงานได้บนระบบปฏิบัติการที่

หลากหลายเช่นเดียวกับ

Software-Based VPN

มีปัญหาคล้ายคลึงกับแบบ

Software-Based VPN

และอาจมีปัญหาเกี่ยวกับระบบ

ความปลอดภัย

Router-Based VPN เพิ่มเทคโนโลยีของ VPN

เข้าไปในอุปกรณ์ Router ที่มีอยู่

ได้ทำให้ไม่จำเป็นต้องเปลี่ยน

อุปกรณ์ ลดต้นทุน

อาจมีปัญหาในเรื่องของ

ประสิทธิภาพเนื่องจากมี

ความต้องการเพิ่มการ์ดอินเตอร์เฟส

ในบางผลิตภัณฑ์

Black Box-Based VPN ทำงานได้อย่างรวดเร็ว โดยจะ

สร้างอุโมงค์ได้หลายอุโมงค์ และ

มีการเข้ารหัสและถอดรหัสที่รวดเร็ว

การทำงานจำเป็นต้องใช้คอมพิวเตอร์

อีกเครื่อง เนื่องจาก Black Box ไม่

มีระบบบริหารจัดการโดยตรง

การทำ Tunnel แก้

Tunneling คือการสร้างอุโมงค์เสมือนเพื่อส่งข้อมูลผ่านอุโมงค์นี้เพื่อออกสู่เน็ตเวิร์คมี 2 แบบ

Voluntary Tunneling
เป็นการทำงานของ VPN Client ซึ่งมีหน้าที่ในการติดต่อเข้าไปยัง ISP หลังจากนั้นจึงสร้าง Tunnel เชื่อมต่อไปยัง VPN Server โดยจะเป็นการติดต่อกันโดยตรง (live connection)
Compulsory Tunneling
การเชื่อมต่อ VPN ในวิธีนี้จะเป็นหน้าที่ของ ISP คือเมื่อมีผู้ใช้เชื่อมต่อเข้ามายัง ISP ISP ก็จะจะทำการตรวจสอบจนเสร็จ จากนั้นก็จะทำการเชื่อมต่อเครื่องของผู้ใช้เข้ากับเครือข่าย VPN ของผู้ใช้

รูปแบบโพรโทคอลของการทำ Tunnel แก้

PPTP
PPTP ย่อมาจาก Point - to - Point Tunneling Protocol เป็นโพรโทคอลที่ผลิตและ ติดมากับระบบปฏิบัติการของ Microsoft ซึ่งร่วมกับบริษัทอื่นๆ 3 บริษัท พัฒนาขึ้น PPTP เป็นส่วนต่อเติมของโพรโทคอล PPP ดังนั้นจึงสนับสนุนเฉพาะการเชื่อมต่อแบบPoint-To-Point แต่ไม่สนับสนุนการเชื่อมต่อแบบ Point-To-Multipoint PPTP มีข้อได้เปรียบตรงที่สนับสนุนทั้งไคลเอ็นต์ และทันแนลเซิร์ฟเวอร์และยังได้รับการพัฒนาเพื่อให้เพิ่มประสิทธิภาพในด้านต่างๆขึ้นมาอีก ข้อดีคือสามารถใช้ได้กับทุกระบบปฏิบัติการ ใช้งานผ่าน NAT ได้ สะดวกในการติดตั้ง
L2F
L2F ย่อมาจาก Layer 2 Forwarding protocolพัฒนาโดยบริษัท CISCO System เป็นโพรโทคอลที่ทำงานบนเลเยอร์ที่ 2 โดยใช้พวกเฟรมรีเลย์หรือ ATM รวมถึง X.25 ในการทำทันแนล PPTP สามารถใช้เป็นแบบ client-initiated (ซึ่งทรานส์พาเรนต์สำหรับ ISP) หรือใช้เป็นแบบ client-transparent ก็ได้ L2F ต้องการการสนับสนุนในแอคเซสเซิร์ฟเวอร์และในเราท์เตอร์ ระบบการป้องกันของ L2F มีการจัดเตรียมบางอย่างที่ PPTP ไม่มีเช่นการ Authentication ของปลายทั้ง 2 ข้างของทันแนล
L2TP
L2TP ย่อมาจาก Layer 2 Tunneling Protocol การทำงานคล้ายๆกับ PPTP ต่างกันตรง L2TP จะใช้ User Datagram Protocol (UDP) ในการตกลงรายละเอียดในการรับส่งข้อมูลและสร้าง Tunnel ซึ่งเป็นการนำเอาข้อดีของทั้งสองโพรโทคอลมารวมไว้ด้วยกัน โดยนำโพรโทคอลในระดับ Layer 2 หรือ PPP มาหุ้มแพ็กเก็ตใน Layer 3 ก่อนที่จะหุ้มด้วย IP Packet อีกชั้น ดังนั้นจึงใช้วิธีพิสูจน์แบบ PPP L2TP ยังสนับสนุนการทำ Tunnel พร้อมกันหลายๆ อันบนไคลเอ็นต์เพียงตัวเดียว
IPSec
IPSec หรือ IP Security เป็นการรวม Protocol หลายๆอันมาไว้ด้วยกัน ประกอบด้วยการรักษาความปลอดภัยในการเข้ารหัส การตรวจสอบตัวตนและความถูกต้องของข้อมูล โดยมีการเข้ารหัส 2 แบบด้วยกัน คือ การเข้ารหัสเฉพาะส่วนของข้อมูลจะไม่มีการเข้ารหัส Header เรียกว่า Transport mode และวิธีที่ 2 คือ การเข้ารัหสทั้งส่วนของข้อมูลและ Header เรียกว่า Tunnel mode ซึ่งวิธีนี้จะทำให้ข้อมูลมีความปลอดภัยขึ้น
OPEN VPN
OPENVPN พัฒนาจาก SSL หรือ HTTPS ซึ่ง มีความปลอดภัยสูงมาก มีต้นกำเนิดมาจากระบบ LINUX ทำให้การใช้งาน จะต้องมี SERVER เป็น LINUX เข้ามาร่วมด้วย ในปัจจุบัน ADSL ROUTER สามารถ เปลี่ยน FIRMWARE เป็น LINUX แบบ OPEN SOURCE ได้เช่น DD-WRT (ADSL ROUTER ที่ขายทั่วไปใช้ LINUX แต่ ไม่ OPEN SOURCE) ทำให้สามารถใช้งาน OPEN VPN ได้ ง่ายๆ ไม่ต้องมี SERVER LINUX ความปลอดภัยที่มากขึ้น มาจากการ GEN CODE ของ KEY CA ขึ้นมา เพื่อใช้ในการ ตรวจสอบตัวตน และ มีการแก้ไข ปรับปรุงจาก VPN แบบ PPTP หรือ IPSEC เช่นการกำหนด PORT เปลี่ยนแปลง ได้โดยง่าย หรือ สามารถใช้งาน หลายๆ PORT ได้พร้อมๆ กัน ทำให้ OPEN VPN มีทั้งความปลอดภัย ความสะดวกในการติดตั้ง ปรับปรุง แต่ เพราะมีระบบ LINUX ทำให้ ผู้ใช้ (คนไทย) ยังกลัวกันอยู่จนถึงปัจจุบัน

ข้อดีและข้อเสียของระบบ VPN แก้

ข้อดีของระบบ VPN
  • สามารถขยายการเชื่อมต่อเครือข่ายได้แม้ว่าเครือข่ายนั้นจะอยู่สถานที่ต่างกัน
  • มีความยืดหยุ่นสูงเพราะสามารถใช้ VPN ที่ใดก็ได้ และยังสามารถขยาย Bandwidth ในการใช้งานได้ง่ายดาย โดยเฉพาะในการทำ Remote Access ให้ผู้ใช้ติดต่อเข้ามาใช้งานเครือข่ายได้จากสถานที่อื่น
  • สามารถเชื่อมโยงเครือข่ายและแลกเปลี่ยนข้อมูลออกภายนอกองค์กรได้อย่างปลอดภัย โดยใช้มาตรการระบบเปิดและมีการเข้ารหัสข้อมูลก่อนการส่งข้อมูลทุกครั้ง
  • สามารถลดค่าใช้จ่ายในการเชื่อมต่อ ง่ายต่อการดูแลรักษาการใช้งานและการเชื่อมต่อ
ข้อเสียของระบบ VPN
  • ไม่สามารถที่จะควบคุมความเร็ว การเข้าถึงและคุณภาพของ VPN ได้ เนื่องจาก VPN ทำงานอยู่บนเครือข่ายอินเทอร์เน็ตซึ่งเป็นเรื่องที่อยู่เหนือการควบคุมของผู้ดูแล
  • VPN ยังถือว่าเป็นเทคโนโลยีที่ค่อนข้างใหม่สำหรับประเทศไทยและมีความหลากหลายต่างกันตามผู้ผลิตแต่ละราย ฉะนั้นจึงยังไม่มีมาตรฐานที่สามารถใช้ร่วมกันได้แพร่หลาย
  • VPN บางประเภทต้องอาศัยความสามารถของอุปกรณ์เสริมเพื่อช่วยในการเข้ารหัส และต้องมีการอัพเกรดประสิทธิภาพ

อ้างอิง แก้

แหล่งข้อมูลอื่น แก้