06. Virtual Private Network

VPN (Virtual Private Network)

เครือข่ายส่วนตัวเสมือน คือการติดต่อสื่อสารข้อมูลระหว่างสองเครือข่าย ด้วยการเข้ารหัสข้อมูลทั้งผู้รับและผู้ส่ง โดยข้อมูลจะส่งผ่านสื่อกลางเครือข่ายสาธารณะ (Public network) ซึ่งข้อมูลที่ถูกห่อหุ้มด้วยการเข้ารหัสนี้เปรียบเสมือนการสร้างท่ออุโมงค์ (Tunneling) ทำให้เสมือนว่าทั้งสองเครือข่ายเป็นเครือข่ายส่วนตัว (Private network) ด้วยการเข้ารหัสข้อมูลเพื่อความปลอดภัยของข้อมูลทั้งผู้รับและผู้ส่ง

เครือข่ายสาธารณะ (Public network)

เครือข่ายสาธารณะ หรือเครือข่ายอินเทอร์เน็ต หมายถึงการเชื่อมต่อเครือข่ายย่อยต่างๆ เข้าด้วยกัน โดยอาศัยอุปกรณ์เราเตอร์ (Router) ทำหน้าที่หาเส้นทางการส่งข้อมูลและส่งข้อมูลไปตามเส้นหาที่กำหนดขึ้น ซึ่งข้อมูลที่ส่งออกจากต้นทางไปถึงปลายทางทุกข้อมูลอาจจะไม่ใช้เส้นทางเดียวกันก็ได้ แต่ข้อมูลต้องไปถึงปลายทางอย่างถูกต้องและตรงตามเวลาที่กำหนด ข้อมูลที่สัญจรอยู่บนเครือข่ายสาธารณะมีหลายรูปแบบ เช่น ข้อมูล ภาพ เสียง ไฟล์ เป็นต้น รวมถึงข้อมูลที่มีการเข้ารหัส และไม่เข้ารหัสด้วยเช่นกัน ฉะนั้นข้อมูลที่สัญจรอยู่บนเครือข่ายสาธารณะมีความเสี่ยงต่อการถูกดักจับข้อมูลสูง ซึ่งไม่ปลอดภัยต่อการติดต่อสื่อสารแบบต้องการความเป็นส่วนตัว หรือต้องการความปลอดภัยสูง

หากยังนึกภาพไม่ออก ให้เปรียบเทียบข้อมูลที่ถูกส่งผ่านอินเทอร์เน็ตว่าเหมือนกับข้อความที่ถูกเขียนลงบนโปสการ์ด โดยหากคุณส่งโปสการ์ดแบบไม่ใส่ซองปิดผนึก ไม่ว่าใครก็ตามที่หยิบจับมันก็สามารถอ่านข้อความนั้นได้ เช่นเดียวกับการส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ทุกคนสามารถดักจับข้อมูลและสามารถอ่านข้อมูลของคุณได้เหมือนกัน ซึ่งข้อมูลจะไม่เป็นความลับ ดังนั้น ถ้าต้องการความปลอดภัยสูงขึ้น คุณต้องเขียนข้อความบนกระดาษแล้วใส่ซองปิดผนึกก่อนที่จะส่งไปรษณีย์ ซึ่งเป็นวิธีที่ต้องเพิ่มขั้นตอนขึ้นอีกนิด แต่ก็ไม่มีผู้ใดเห็นข้อความนั้นได้ เช่นเดียวกับระบบ VPN ที่ทำการเข้ารหัสข้อมูลไว้ ขณะที่เดินเดินทางจากผู้ส่งถึงผู้รับบนระบบเครือข่ายอินเทอร์เน็ต

เครือข่ายส่วนตัว (Private network)

เครือข่ายส่วนตัว หรือเครือข่ายท้องถิ่น หมายถึงการสื่อสารข้อมูลภายในเครือข่ายย่อยเท่านั้น โดยอาศัยอุปกรณ์สวิตซ์ (Switch) ฮับ (Hub) หรือเราเตอร์ได้เช่นกัน ทำหน้าที่รับส่งข้อมูลภายในเครือข่าย ซึ่งข้อมูลจะไม่สามารถออกนอกเครือข่ายท้องถิ่นไปสู่เครือข่ายสาธารณะได้ เพราะไม่ทำการเชื่อมต่อ ดังนั้นข้อมูลภายในเครือข่ายท้องถิ่นจึงมีความปลอดภัยจากผู้ไม่ประสงค์ดีภายนอก และไม่สามารถถูกดักจับข้อมูลจากภายนอกด้วยเช่นกัน

การสื่อสารข้อมูลของเครือข่ายท้องถิ่น เช่น การเชื่อมต่อภายในอาคาร การเชื่อมต่อเฉพาะระหว่างอาคาร การเชื่อมต่อภายในบ้าน รวมถึงการเชื่อมต่อระหว่างคอมพิวเตอร์สองเครื่องด้วยเช่นกัน ข้อมูลที่ถูกส่งผ่านภายในเครือข่ายท้องถิ่นจะไม่มีการเข้ารหัสข้อมูล แต่จะปลอดภัยจากผู้ดักจับข้อมูลภายนอก เพราะไม่ทำการเชื่อมต่อกับเครือข่ายสาธารณะ

การสื่อสารข้อมูลบนเครือข่ายสาธารณะให้ปลอดภัยด้วย VPN

จากที่ได้กล่าวแล้วข้างต้น สังเกตุได้ว่าข้อมูลที่รับส่งผ่านเครือข่ายสาธารณะจะไม่มีความปลอดภัย เพราะไม่มีการเข้ารหัสข้อมูล ข้อมูลที่รับส่งผ่านเครือข่ายสาธารณะเมื่อถูกดักจับไป ข้อมูลจะสามารถเปิดอ่านได้ทันทีโดยไม่มีการเข้ารหัสข้อมูลป้องกันไว้ ซึ่งเรียกข้อมูลประเภทนี้ว่า Plain text

การรับส่งข้อมูลบนเครือข่ายสาธารณะผ่าน VPN จะมีการรักษาความปลอดภัยของข้อมูลตั้งแต่เริ่มจนสิ้นสุดการเชื่อมต่อ กระบวนการเริ่มจากเครื่องคอมพิวเตอร์ที่ต้องการเชื่อมต่อแบบ VPN ร้องขอไปที่ VPN Device ของเครือข่ายที่จะเชื่อมต่อ จากนั้นทำการการตรวจสอบบัญชีผู้ใช้และรหัสผ่าน เมื่อถูกต้อง VPN Device จะแจกชุดไอพีแอดเดรส (IP Address, Subnet Mask, Gateway, DNS) เป็นการสิ้นสุดการเชื่อมต่อ (รวมทั้งสร้างอุโมงค์เชื่อมต่อเรียบร้อยแล้วเช่นกัน) หลังจากนี้ข้อมูลที่รับส่งผ่าน VPN จะได้รับความปลอดภัยด้วยการเข้ารหัสข้อมูลตลอดเวลาการเชื่อมต่อ จนกว่าจะยกเลิกการเชื่อมต่อผ่าน VPN ซึ่งข้อมูลที่ถูกเข้ารหัสจะถูกเรียกว่า Cipher text

ประโยชน์ของ VPN

1. การรับส่งข้อมูลได้รับการรักษาความปลอดภัยด้วยการเข้ารหัส 2. ข้อมูลที่ถูกดักจับไป ไม่สามารถนำไปใช้งานหรือเข้าใจข้อมูลได้ เพราะข้อมูลถูกเข้ารหัส 3. ประหยัดค่าใช้จ่าย เพราะการเชื่อมต่อแบบ Leased line และ Frame relay เพื่อให้ได้เครือข่ายส่วนตัวต้องเสียค่าใช้จ่ายสูง และลดค่าใช้จ่ายในส่วนของการดูแลรักษาระบบด้วยเช่นกัน ขณะที่ VPN ไม่ต้องเสียค่าใช้งานเพิ่มเติมสำหรับ VPN แต่อย่างใด เสียค่าใช้จ่ายในส่วนของการเชื่อมต่ออินเทอร์เน็ตเท่านั้น 4. มีความยืดหยุ่นสูง โดยเฉพาะรูปแบบการเชื่อมต่อระยะไกล (Remote Access) ผู้ใช้สามารถติดต่อเข้ามาใช้งานเครือข่ายขององค์กรจากภายนอก หรือจากเครือข่ายสาธารณะทุกที่ทุกเวลาได้ เช่น ผู้ใช้ออกทำงานนอกสถานที่ หรือออกไปอบรมต่างจังหวัด และสามารถเชื่อมต่ออินเทอร์เน็ตได้ ก็จะสามารถเชื่อมต่อ VPN เพื่อเข้าสู่ระบบงานของบริษัท เช็คเมล์ ส่งไฟล์ 5. จัดการดูแลได้ง่าย ดูแลเพียงส่วนของระบบ VPN เท่านั้น 6. สามารถกำหนดหมายเลขไอพีแอดเดรส (IP Address) เป็นเครือข่ายเดียวกันได้ เพราะเครือข่ายแต่ละที่จะมี ชุดของไอพีแอดเดรสแตกต่างกัน แต่การสร้าง VPN จะทำให้เครือข่ายที่แยกกัน เสมือนเป็นเครือข่ายเดียวกัน เพราะมีการกำหนดชุดไอพีแอดเดรส และโดเมน (Domain) เดียวกันได้ 7. ประสิทธิภาพการรับส่งข้อมูลเทียบเท่าการเชื่อมต่อแบบ Leased line เพื่อเชื่อมโยงสาขาโดยตรง 8. เชื่อมต่อ VPN ได้ทุกที่ทุกเวลา ด้วยซอฟต์แวร์ VPN Client ต่างๆ

รูปแบบบริการของ VPN

1. Remote access VPN       เป็นรูปแบบการเข้าถึงเครือข่าย VPN ผ่านเครือข่ายสาธารณะด้วยซอฟต์แวร์ VPN Client (ผู้ใช้ต้องติดตั้งซอฟต์แวร์ VPN Client บนเครื่องคอมพิวเตอร์ที่ต้องการติดต่อ VPN ก่อน) ซึ่งการเข้าถึงเครือข่าย VPN ทำได้ 2 ลักษณะ ลักษณะแรกเครื่องคอมพิวเตอร์ต้องเชื่อมต่ออินเทอร์เน็ตได้ โดยอาศัยเครือข่ายอินเทอร์เน็ตของไอเอสพี (ISP) เป็นสื่อกลางในการรับส่งข้อมูล เช่น ADSL, Metro LAN, Leased line, Network IP เป็นต้น และเชื่อมต่อเครือข่าย VPN ด้วยซอฟต์แวร์ VPN Client และลักษณะที่สองเครื่องคอมพิวเตอร์เชื่อมต่ออินเทอร์เน็ตผ่าน Dial-up เช่น ผู้ใช้หมุนโมเด็ม (MODEM) ติดต่อไปยังไอเอสพี และเชื่อมต่อเครือข่าย VPN ด้วยซอฟต์แวร์ VPN Client หลังจากการเชื่อมต่อสำเร็จเครื่องคอมพิวเตอร์จะได้ไอพีแอดเดรสของเครือข่าย VPN และได้รับความปลอดภัยด้วยการเข้ารหัสข้อมูล

2. Intranet VPN

เป็นการเชื่อมต่อระหว่างสาขาขององค์กร เช่น สาขากรุงเทพเชื่อมต่อกับสาขาเชียงใหม่ ซึ่งจากเดิมจะใช้การเชื่อมต่อผ่าน Leased line หรือ Frame relay เป็นต้น (มีค่าใช้จ่ายสูง) โดยทั้งสองสาขาทำการเชื่อมต่อกับเครือข่ายอินเทอร์เน็ตสาธารณะ เช่น ไอเอสพีต่างๆ ในท้องถิ่นของตน จากนั้นจึงทำการเชื่อมต่อทั้งสองสาขาด้วย VPN Gateway การเชื่อมต่อผ่านเกต์เวย์จะช่วยรักษาสถานะการเข้ารหัสข้อมูลให้ตลอดเวลา เพราะ Tunnel ถูกสร้างที่ VPN Gateway ซึ่งเครื่องคอมพิวเตอร์ไม่ต้องสร้างการเชื่อมต่อเหมือน VPN Client ขณะที่การเชื่อมต่อแบบ Intranet VPN ไม่ใช้การเชื่อมต่อแบบ VPN Gateway ได้เช่นกัน และสามารถเชื่อมต่อ VPN ด้วยซอฟต์แวร์ VPN Client เฉพาะการเชื่อมต่อที่ต้องการความปลอดภัยด้วยได้ ยกตัวอย่าง เช่น LAN A ต้องการติดต่อไปยัง LAN B เครื่องคอมพิวเตอร์ที่ LAN A จะต้องสร้างการเชื่อมต่อ (Connection) ไปยัง VPN Server B ซึ่งขั้นตอนการสร้างการเชื่อมต่อจะมีการถามยูสเซอร์เนมและพาสเวอร์ด ซึ่งถ้าถูกต้อง ตัว VPN Server B ก็จะจ่ายไอพีแอดเดรส (IP ที่อยู่ในกลุ่มของ LAN B) มาให้ พร้อมกับการสร้างอุโมงค์ (Tunneling) ระหว่าง LAN A กับ VPN Server B ทำให้เครื่องคอมพิวเตอร์ของ LAN A มีไอพีแอดเดรสอยู่ในกลุ่มเดียวกันกับ LAN B จึงสามารถติดต่อรับส่งข้อมูลกับ LAN B ได้ ส่วนการใช้งานจาก LAN B มายัง LAN A ก็เป็นแบบเดียวกันกับที่กล่าวมา

3. Extranet VPN

เป็นการเชื่อมต่อที่คล้ายกับ Intranet VPN แต่ต่างกันที่ Users ที่เข้าใช้งาน เช่น กลุ่มลูกค้า กลุ่มผู้ผลิด ซัพพลายเออร์ และพาร์ตเนอร์ เป็นต้น Credit : http://vpn.swu.ac.th/knowledge.php