เทคโนโลยี VPN คืออะไร

 VPN ย่อมาจาก Virtual Private Network เป็นเทคโนโลยีการเชื่อมต่อเครือข่ายนอกอาคาร (WAN - Wide Area Network) เป็นระบบเครือข่ายภายในองค์กร ซึ่งเชื่อมเครือข่ายในแต่ละสาขาเข้าด้วยกัน โดยอาศัย Internet เป็นตัวกลาง มีการทำ Tunneling หรือการสร้างอุโมงค์เสมือนไว้รับส่งข้อมูล มีระบบเข้ารหัสป้องกันการลักลอบใช้ข้อมูล เหมาะสำหรับองค์กรขนาดใหญ่ซึ่งต้องการความคล่องตัวในการติดต่อรับส่งข้อมูลระหว่างสาขา

มีประสิทธิภาพเช่นเดียวกับ Private Network 

นอกจากนี้ยังสามารถกำหนดหมายเลข  IP เป็นเครือข่ายเดียวกัน และเจ้าหน้าที่ ที่ปฏิบัตินอกบริษัทฯ ยังสามารถ login เข้ามาใช้เครือข่ายภายในองค์กรได้

 

            PN : Private Network  คือเครือข่ายภายในของแต่ละบริษัท, Private Network เกิดจากการที่บริษัทต้องการเชื่อมเครือข่ายของแต่ละสาขาเข้าด้วยกัน (กรณีพวกที่เชื่อมต่อด้วย TCP / IP เลขที่  IP ก็จะกำหนดเป็น 10.xxx.xxx.xxx หรือ 192.168.xxx.xxx หรือ 172.16.xxx.xxx) ในสมัยก่อนจะทำการเชื่อมต่อด้วย leased line หลังจากที่เกิดการเติบโตของการใช้งาน Internet และการพัฒนาเทคโนโลยีที่เกี่ยวข้อง การปรับปรุงในเรื่อง ความเร็วของการเชื่อมต่อ ทำให้เกิดแนวคิดในการแทนที่ leased line หรือ Frame Relay  ซึ่งมีราคาแพง  ด้วย Internet ที่มีราคาถูกกว่า แล้วตั้งชื่อว่า Virtual Private Network

 

และจากการที่มีคนได้กำหนดความหมายของ VPN เป็นภาษาอังกฤษไว้ว่า "VPN is Private Communications Network Existing within a Shared or Public network Especially the Internet" จะสามารถสรุปความหมาย ได้ดังนี้

•        เทคโนโลยี VPN จะทำการเชื่อมต่อองค์ประกอบข้อมูลและทรัพยากรต่างๆ ของระบบเครือข่ายหนึ่ง ให้เข้ากับระบบเครือข่ายหนึ่ง
•        เทคโนโลยี VPN จะทำงานโดยยอมให้ผู้ใช้งานสร้างท่ออุโมงค์ เสมือนเพื่อใช้ในการรับส่งข้อมูลผ่านระบบ เครือข่ายอินเตอร์เน็ต
•        ส่วนประกอบที่สำคัญหรือหัวใจหลักในการทำ VPN  ก็คือการใช้งานอินเตอร์เน็ต

เทคโนโลยี วีพีเอ็นเปรียบเสมือนการสร้างอุโมงค์เพื่อการสื่อสาร

ทำไมถึงต้องใช้ VPN?

 

                เนื่องจากปัจจุบันการติดต่อสื่อสารถือว่าเป็นสิ่งที่มีความจำเป็นมากขึ้นเรื่อยๆ โดยถ้าเราต้องการการเชื่อมต่อที่มีประสิทธิภาพ มีความปลอดภัยระหว่าง Network บริการที่ดีที่สุดคือ การเช่าสายสัญญาณ (leased line) ซึ่งจะทำการเชื่อมต่อระบบเน็ตเวิร์คของเราด้วยการใช้สายสัญญาณตรงสู่ปลายทาง ทำให้มีความปลอดภัยสูงเพราะไม่ต้องมีการใช้สื่อกลางร่วมกับผู้อื่น และมีความเร็วคงที่ แต่การเช่าสาสัญญาณนั้นใข้อเสียคือ ค่าใช้จ่ายในการใช้บริการนั้นสูงมาก เมื่อเทียบกับความเร็วที่ได้รับ ซึ่งบริษัทขนาดเล็กนั้นคงไม่สามารถทำได้

                เทคโนโลยี VPN ได้เข้ามาเป็นอีกทางเลือกหนึ่ง เนื่องจากได้ใช้สื่อกลางคือ Internet ที่มีการติดตั้งอยู่อย่างแพร่หลายเข้ามาสร้างระบบเน็ตเวิร์คจำลอง โดยมีการสร้างอุโมงค์ข้อมูล (Tunnel) เชื่อมต่อกันระหว่างต้นทางกับปลายทาง ทำให้เสมือนว่าเป็นระบบเน็ตเวิร์คเดียวกัน สามารถส่งข้อมูลต่างๆที่ระบบเน็ตเวิร์คทำได้ โดยข้อมูลที่ส่งนั้นจะถูกส่งผ่านไปในอุโมงค์ข้อมูล ทำให้มีความปลอดภัยสูง ใกล้เคียงกับ leased line แต่ค่าใช้จ่าในการทำ VPN นั้นต่ำกว่าการเช่าสายสัญาณมาก

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

VPN Architecture

                สามารถแบ่งได้ออกเป็น 3 ชนิด คือ  Remote access VPN, Intranet VPN และ Extranet VPN

Remote access VPN

                สามารถทำการเชื่อมต่อระหว่าง Users ที่ไม่ได้อยู่ที่องค์กรหรือบริษัท เข้ากับ Server โดยผ่านทาง ISP (Internet Services Provider), Remote access VPN ยังอนุญาตให้ Users สามารถเชื่อมต่อกับตัวองค์กร หรือบริษัท เมื่อไหร่ก็ได้ตามที่ต้องการ โดยที่ Users จะทำการเชื่อมต่อผ่านทาง ISP ที่รองรับเทคโนโลยี VPN เมื่อ VPN devices ของ ISP ยอมรับการ Login ของ Users แล้ว จะทำการสร้าง Tunnel ไปยัง VPN devices ทางฝั่ง Office ขององค์กรหรือบริษัท จากนั้นจะทำการส่ง Packets ผ่านทาง Internet   

 

ข้อดีของ Remote access VPN ได้แก่

§         ลดต้นทุนจากจัดซื้ออุปกรณ์พวก Modem หรือ อุปกรณ์ Server ปลายทาง

§         สามารถเพิ่มจำนวนได้มาก และ เพิ่ม  Users ใหม่ ได้ง่าย

§         ลดรายจ่ายจากการสื่อสารทางไกล

 

           

รูปแสดง Remote Access VPN

 

 

 

Intranet VPN

                Intranet VPN จะเป็นการสร้าง Virtual circuit ระหว่าง Office สาขาต่างๆ ขององค์กร เข้ากับ ตัวองค์กร หรือว่า ระหว่างสาขาต่างๆ ของ Office เข้าด้วยกัน จากเดิมที่ทำการเชื่อมต่อโดยใช้ Leased Line หรือ Frame relay

จะมีราคาสูง หากใช้ Intranet VPN จะเป็นการประหยัดค่าใช้จ่ายมากกว่า

 

สิ่งสำคัญของ Intranet VPN ก็คือ การ Encryption ข้อมูลที่ต้องมีประสิทธิภาพ เพื่อปกป้องข้อมูล ระหว่างที่ส่งผ่านระบบเครือข่าย สิ่งสำคัญอีกอย่างหนึ่งก็คือ ต้องให้ความสำคัญกับ Applications ประเภท Sale และ Customer

Database Management, Document Exchange, Financial Transactions และ Inventory Database Management

โครงสร้างของ IP WAN ใช้ IPSec หรือ GRE ทำการสร้าง Tunnel ที่มีความปลอดภัย ระหว่างเครือข่าย

 

ข้อดีของ Intranet VPN ก็คือ

§         ลดค่าใช้จ่ายจาก WAN Bandwidth, ใช้ WAN Bandwidth ได้อย่างมีประสิทธิภาพ

§         Topologies ที่ยืดหยุ่น

§         หลีกเลี่ยงการเกิด Congestion โดยการใช้ Bandwidth management traffic shaping

 

รูปแสดง Intranet VPN

 

 

Extranet VPN

                Extranet VPN เป็นที่รู้จักกันในชื่อ Internet-based VPN, Concept ของการติดตั้ง Extranet VPN นั้นเหมือนกับ Intranet VPN ส่วนที่ต่างกันก็คือ Users, Extranet VPN จะสร้างไว้เพื่อ Users ประเภทลูกค้า, ผู้ผลิต, องค์กรต่างองค์กรที่ต้องการเชื่อมต่อกัน หรือว่าองค์กรที่มีหลายสาขา

Internet Security Protocol (IPSec) ถูกใช้โดยยอมรับเป็นมาตรฐานของ Extranet VPN

รูปแสดง Extranet VPN

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Tunneling

           

            การทำงานหลักๆของ VPN ก็คือการส่งข้อมูลผ่านอุโมงค์ข้อมูล (Tunnel) ไปสู่ระบบเน็ตเวิร์คปลายทาง เนื่องจากอุโมงค์ข้อมูลที่ส้รางขึ้นนั้นสร้างผ่านระบบอินเตอร์เน็ต (Internet) และการส่งข้อมูลต้องมีการจัดการ Packet ต่างๆให้ผ่านไปตามอุโมงค์อย่างถูกต้อง การสร้าง Tunnel นั้นประกอบด้วย รูปแบบโปรโตคอล (Protocol) 3 แบบ คือ

§         Carrier protocol

§         Encapsulating protocol

§         Passenger Protocol

 

Carrier protocol

 

            เป็นโปรโตคอลที่ระบบเน็ตเวิร์ค จะใช้ส่งข้อมูลผ่านอุโมงค์ โดยจะเป็นตัวส่ง Encapsulate โปรโตคอลไปยังปลายทาง

Encapsulating protocol

                เป็นโปรโตคอลที่ทำการห่อหุ้มข้อมูลที่จะส่งไว้ ข้อมูลที่ถูกส่งทั้งหมดจะถูกใส่ผ่าน Packet ของโปรโตคอลต่างๆ โปรโตคอลที่มีการใช้งานได้แก่

 

·         GRE

 

GRE ย่อมากจาก Generic routing encapsulation ซึ่งเป็น encapsulating protocol พื้นฐานโดยจะทำหน้าที่ห่อ Packet ของ passenger โปรโตคอลไว้เพื่อที่จะส่งผ่านอุโมงค์ข้อมูล GRE จะเพิ่มข้อมูลในส่วนของชนิดของ Packet ที่ได้ Encapsulate และข้อมูลเกี่ยวกับ Connection ระหว่างทั้งสองระบบด้วย ส่วนใหญ่ GRE นั้นจะใช้ในการใช้งานแบบ VPN ระหว่าง site-to-site

 

·         PPTP

 

PPTP หรือ Point to Point Tunneling Protocols เป็นโปรโตคอลแรกสุดที่ออกมา โดยจะกล่าวถึงมาตรฐานการ Encryption และ Authentication  ซึ่งพัฒนาจากบิรษัทต่างๆ โดยมี Microsoft และ 3Com ได้ร่วมอยู่ด้วย ดังนั้นจึงเป็นโปรโตคอลที่เป็น Default ของวินโดว์ที่จะใช้งาน VPN ซึ่งโปรโตคอลนี้ มีพื้นฐานอยู่บน PPP ทำให้โปรแกรมที่ใช้โปรโตคอลนี้ เป็นการเชื่อมต่อในลักษณะคอมพิวเตอร์เครื่องเดียวทำการเชื่อมวีพีเอ็นต่อไปยังระบบเน็ตเวิร์กที่รองรับการใช้งาน PPTP นั้นมีข้อดีคือความสะดวกในการนำมาใช้งาน ที่ไม่ต้องมีการลงทุนทั้งในด้าน software และ hardware มากนัก แต่ในด้านความปลอกภัยนั้น ถือว่ายังด้วยกว่า IPsec ที่ออกมาทีหลังอยู่ โดยมีข้อดีและข้อเสียที่สรุบได้ดังนี้คือ

ข้อดีของโปรโตคอล PPTP

 

§         ใช้โอเวอร์เฮดในการทำงานน้อย

§         สามารถใช้ได้กับทุกระบบปฏิบัติการ ต้องการเพีงแค่ PPTP Client เท่านั้น

§         สามารถใช้งานผ่าน NAT ได้

ข้อเสียของโปรโตคอล PPTP

 

§         การเข้ารหัสของ PPTP จะเริ่มหลังจากการทำ authenticate ดังนั้นในระหว่างนั้นอาจถูกดักอ่านข้อมูลได้

§         การ authenticate ของ PPTP จะทำในระดับผู้ใช้เพียงระดับเดียวเท่านั้น อาจทำให้ระดับความปลอดภัยต่ำ

 

 

·         L2F

 

คือ Layer Two Forwarding ซึ่งมีลักษณะการทำงานที่คล้ายกัย PPTP คือ จะสร้าง Tunnel ห่อหุ้ม PPP ไว้ แต่จะแตกต่างกันตรงที่ PPTP นั้นเป็นการทำงานที่เลเอยร์ที่ 3 ส่วน L2F จะทำงานที่เลเยอร์ที่ 2 แทน โดยใช้พวกเฟรมรีเลย์หรือ ATM ใช้ในการทำ Tunnel

 

·         L2TP

 

L2PT ย่อมาจาก Layer 2 Tunneling Protocol ซึ่งพัฒนามาจากโปรโตคอล PPTP และ L2F โดยสามารถที่จะหุ้ม Protocol อื่นๆนอกจาก TCP/IP เช่น IPX, SNA และ AppleTalk ไว้ในซอง แล้วใช้บริการของ TCP/IP ในการส่งผ่าน Internet อย่างไรก็ตาม L2TP นั้น ไม่มีความสามารถในการเข้ารหัสข้อมูลภายในตัวเอง ทำให้ต้องใช้บริการการเข้ารหัสจาก Protocol ตัวอื่น เช่น L2TP/IPSec Protocol ก็ใช้ L2TP ร่วมกับ IPSec โดยที่ใช้ IPSec ในการเข้ารหัสข้อมูล

นอกจากนั้น L2TP ยังสนับสนุนการทำ Tunnel หลาย ๆ อันพร้อมกันบนไคลเอ็นต์เพียงตัวเดียว ซึ่งคุณสมบัตินี้ยิ่งทวีความสำคัญมากขึ้นในอนาคต เมื่อทันแนลสามารถสนับสนุนการจองแบนด์วิดธ์และ QoS

ข้อดีของ L2TP with IPSec

 

§         การ authenticate ของ L2TP with IPSec ทำทั้งในระดับผู้ใช้และในระดับโฮสต์โดยการตรวจสอบ Certificate ของโฮสต์

§         IPSec ให้ความปลอดภัยในด้านของความถูกต้องและความลับของข้อมูลเป็นอย่างดี

 

ข้อเสียของ L2TP

 

§         จำเป็นต้องมี Certificate เพราะ IPSec จะต้องทำการแลกเปลี่ยน Key เพื่อการเข้ารหัสข้อมูล

§         ไม่สามารถใช้งานกับระบบปฏิบัติการรุ่นเก่าตั้งแต่ Windows98 ลงไป

§         ไม่สามารถใช้งานผ่าน NAT ได้

 

 

·         IPSec

 

IP Security เป็นการรวม Protocol หลายๆอันมาไว้ด้วยกัน ซึ่งปัจจุบันนั้นมีความนิยมเนื่องจากมีความสามารถทางด้านความปลอดภัยสูง ซึ่งจะทำงานที่ Layer ที่ 3 โดยการทำงานนั้น IPSec จะมีการเข้ารหัส 2 แบบด้วยกันคือ

§         Transport mode คือ จะมีการเข้ารหัสเฉพาะส่วนของข้อมูล แต่ส่วนของง Header จะยังไม่มีการเข้ารหัส ซึ่งใน Mode นี้โดยส่วนมากจะนำไปทำงานร่วมกับโปรโตคอลอื่นๆ เช่น ร่วมกับโปรโตคอล L2TP

 

Transport Mode

 

§         Tunnel mode จะเป็นการเข้ารัหสทั้งส่วนของข้อมูลและ Header ซึ่งทำให้ข้อมูลมีความปลอดภัยสูงขึ้น

 

Tunnel Mode

 

 

            นอกจากนี้แล้ว โปรแกมประเภท VPN Client บางตัวนั้นได้มีการสร้าง Protocol ของตัวเองขึ้นมาใช้งานด้วย เช่นโปรแกรม CIPE เป็นต้น

 

·         MPLS

 

คือ Multiprotocol Label Switching เป็นเทคโนโลยีที่เพิ่งเกิดขึ้น มีการทำงานในรูปแบบเดียวกันกับข้อมูลต่างๆ ที่มีการส่งผ่านไปมาในระบบเครือข่าย โดยจะมีการติดเครื่องหมาย (Label) ให้กับแต่ละหน่วยของแพ็คเก็ท (Packet)