virtual private network · virtual private network นายสุมินท์...
TRANSCRIPT
171
Virtual Private Network นายสมนท พลพทกษ
บทท 9
Virtual Private Network
VPN (Virtual Private Network)
VPN หรอ Virtual Private Network คอการสรางเครอขายเสมอนสวนบคคลขนมาบนเครอขายทใชงาน
อยจรง ซงมกจะเปนเครอขายสาธารณะ เชน อนเทอรเนต เปนตน เครองหรอระบบเครอขายทเชอมตอกน
ดวย VPN จะเสมอนหนงวาอยในเครอขายหรอระบบ LAN เดยวกนหรออธบายอกนยหนงคอเปรยบเสมอน
มทอส าหรบรบสงขอมลทมองไมเหนเชอมถงกนอยนนเองทอรบสงขอมลดงกลาวนในทาง LAN จะเรยกวา
Tunnel ทแปลวาอโมงคนนเอง
อยางไรกตามในเชงเทคนคแลว VPN กคอเทคนคทใชในการสรางชองทางการล าเลยงขอมลทปลอดภย
ขนระหวางตนทางและปลายทาง โดยอาศยเทคนคทใชในการสรางชองทางการล าเลยงขอมลทปลอดภย
ขนระหวางตนทางและปรายทาง โดยอาศยเทคนคการเขารหสขอมล (Encryption) เพอปองกนไมใหขอมล
ทถกดกหรอขโมยระหวางทางถกน าไปถอดรหสหรอน าไปใชประโยชนตอได นอกจากนยงประกอบไปดวย
เทคนคการปองกนการปลอมแปลงขอมล การตรวจยนยนตวผ ใช และการตรวจยนยนตวระหวางตนทาง
และปลายทางเพอปองกนการสวมรอย
ประเภทของ VPN
VPN แบงออกเปน 2 ประเภทตามลกษณะของการใชงาน คอ Remote Access VPN และ Site-to-site
VPN ดงมรายละเอยดดงน
รปท 9.1 VPN
ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 334
172
Virtual Private Network นายสมนท พลพทกษ
Remote Access VPN
Remote Access VPN คอ การเชอมตอ VPN จากเครองคอมพวเตอรเดยวๆ ทอยภายนอก หรอ
อนเทอรเนตเขากบระบบ LAN ภายใน (หรอทเรยกวา Client-to-LAN หรอ Client-to Gateway) โดยผาน
อปกรณทเรยก VPN Server ซงในกรณนตวอปกรณ Firewall ทวๆ ไปมกจะมความสามารถเปน VPN
Server ไดในตว อยางไรกตามในตวระบบปฏบตการทวๆ ไป เชน Windows หรอ Linux กมความสามารถ
เปน VPN Server ไดดวยเชนกน เครองคอมพวเตอรภายนอกจะตองไดการตดตงโปรแกรมหรอซอฟแวรท
เรยกวา VPN Client ซงมกจะตดมาใหกบชดอปกรณของ Firewall อยแลวแตในกรณของระบบ ปฏบตการ
Windows รนปจจบนกมกจะมความสามารถในการเชอมตอ Remote Access VPN ไดในตวโดยไมตอง
ตดตงซอฟตแวรหรอโปรแกรมเพม แตกตองตงคาใหถกตองดวย ส าหรบโปรโตคอลทใชในการเชอมตอ
Remote Access VPN ไดแก PPTP , L2F , L2TP , L2TP/IPSec และ IPSec
Site-to-Site VPN
Site-to-Sire VPN คอการเชอมตอ VPN ระหวางระบบ LAN 2 ระบบเขาดวยกน (หรอทเรยกวา LAN-to-
LAN หรอ Gateway-to-Gateway) โดยอาศยอปกรณทเรยกวา VPN Gateway ทตดตงไวในระบบ LAN ทง
2 ฝง เปนตวเชอมตออปกรณ Firewall โดยทวๆ ไปจะมความสามารถในการท าตวเปน VPN Gateway ได
ตวอยางเชน การเชอมตอระบบ LAN ระหวางสาขา และส านกงานใหญเขาดวยกนโดยอาศยการท างาน
Site-to-site VPN ผานอนเตอรเนต การสรางทอรบสงขอมลหรอ Tunnel จะเกดขนระหวาง VPN Gateway
เทานน เครองลกขายภายในระบบ LAN แตละฝงจะสามารถตดตอสอสารกบอกฝงหนงไดโดยไมตองตดตง
ซอฟตแวรหรอตงคาใดๆ ในเครองเพม อธบายงายๆ กคอเครองลกขายจะไมรบรวามการเชอมตอระหวาง
ระบบ LAN ทงสองฝงดวย VPN กนอย ส าหรบโปรโตคอลทสามารถใชในการท างาน Site-to-Site VPN ก
คอ PPTP , L2F , L2TP , L2TP/IPSec และ IPSec(Tunnel mode) แตทเปนมาตรฐานและนยมใชกน
โดยทวไปคอ IPSec
ความสามารถจรงแลวการเชอมตอแบบ Site-to-Site โดยไมผาน VPN นน สามารถท าไดโดยการเชอม
ผาน Leased Line หรอ Frame Relay แตเนองจากตองเสยคาใชจายหรอคาบรการทคอนขางสง ดงนนจง
เปนทมาของ Site-to-Site VPN นนเอง จดเดนของ Site-to-Site VPN กคอคาใชจายต า ในขณะทไดความ
ปลอดภยของขอมลในระดบสงหรออาจเทยบเทากบ Leased Line หรอ Frame Relay ได แตกตองขนอย
173
Virtual Private Network นายสมนท พลพทกษ
กบเทคโนโลย VPN ทเลอกใชดวย ส าหรบจดออนกคอเรองของความเรวในการรบสงขอมลทอาจจะ
เทยบเทา Leased Line หรอ Frame Relay ไมได
Remote Access VPN
ในทนจะอธบายเฉพาะ Remote Access VPN ซงเปน VPN ประเภททใชกนอยทวไปเปนสวนใหญ
ส าหรบ Site-to-Site VPN ซงเปนประเภททใชนอยกวานนจะไมอธบาย รายละเอยดของ Remote Access
VPN มดงตอไปน
Compulsory และ Voluntary Tunnel
ในกรณของ Remote Access VPN นนเครองลกขายสามารถทจะสรางทอรบสงขอมลส าหรบ Tunnel
ไดใน 2 ลกษณะตามการใชงาน ไดแก
Compulsory Tunnel (หรอ Mandatory Tunnel ) คอการเชอมตอ Remote Access VPN โดย
วธการหมนโมเดมผายสายโทรศพทจากเครองลกขายไปยงอปกรณ Remote Access Server
(RAS ) ทมกจะตงอยในทท าการของผ ใหบรการอนเตอรเนต การสรางทอรบสงขอมล หรอ Tunnel
จะเกดขนระหวางอปกรณ RAS และ VPN SERVER เทานน การใชงาน VPN ในลกษณะนมกจะ
เปนบรการพเศษของผใหบรการอนเตอรเนตทหากตองการใชกตองเสยคาบรการเพม
Voluntary Tunnel คอการเชอมตอ Remote Access VPN โดยทการสรางทอรบสงขอมลหรอ
Tunnel เกดขนตงแตเครองลกขายจนถงตว VPN Server เลย เครองลกขายสามารถเชอมตอ
อนเทอรเนตโดยการหมนโมเดม, ADSL หรอแชรอนเทอรเนตจากระบบ LAN ภายในองคกรกได
การใชงาน Remote Access VPNในปจจบนสวนใหญจะเปนแบบนเนองจากไมตองสนใจวา
อปกรณ RAS ของผใหบรการอนเทอรเนตจะสนบสนนการเชอมตอกบ VPN Server ไดหรอไม
PPP (Point-to-Point Protocol)
PPP คอ โปโตคอลทเอออ านวยใหเครองลกขายสามารถเชอมตอหรอเขาถงระบบเครอขายภายใน
องคกรไดจากระยะไกล (Remote Access) ดวยวธการหมนโมเดมผานสายโทรศพท (Dial-up) ภายในตว
โปโตคอล PPP นนจะมกลไกการรกษาความปลอดภยของขอมลพรอมสรรพในตวมนเอง เชน การตรวจ
ยนยนตวผใช (User Authentication) และ การเขารหสขอมล (Encryption) เปนตน
174
Virtual Private Network นายสมนท พลพทกษ
รปท 9.2 โครงสรางของโปรโตคอล PPP
ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 336
โครงสรางของโปรโตคอล PPP นนสามารถบรรจแพกเกตของโปรโตคอลในระดบทสงกวาไวภายในตวได
เชน IP, IPX และ NetBEUI เปนตน ดงแสดงในรปท 9.2 ซงในกรณน PPP จะท าหนาทขนถายแพกเกตของ
โปรโตคอลในระดบสงเหลานนใหไปถงอปกรณ RAS จะท าการถอดโครงสรางสวนหว (Header) ของ PPP
ออกใหเหลอเฉพาะเนอขอมล (Data) ซงกคอแพกเกตของโปรโตคอลระดบสงทบรรจอยขางใน จากนนจง
สงตอเขาไปยงระบบ LAN ภายในองคกรเพอใหแพกเกตนนไปถงเครองปลายทางได
รปท 9.3 การใชงานอนเทอรเนตโดยวธหมนโมเดม
ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 336
ส าหรบกลไกการรกษาความปลอดภยของขอมลของ PPP นนจะประกอบดวย การตรวจยนยนตวผ ใช
(User Authentication) ทกระท าโดยฝงทเปนอปกรณ RAS และ การเขารหสขอมล (Encryption) ระหวาง
ตนทางและปลายทาง โดยทวไปในระบบปฏบตการ Windows รนใหมๆ นนจะมความสามารถในการ
เชอมตอกบอปกรณ RAS หรอสามารถท าตวเปน RAS ไดในตวแตกตองตงคาใหถกตองดวย
175
Virtual Private Network นายสมนท พลพทกษ
PPP และหลกการท างานของ VPN
ดงทไดอธบายไปแลววา PPP คอโปรโตคอลทมการรกษาความปลอดภยของขอมลพรอมสรรพในตวมน
เอง เชน การตรวจยนยนตวผ ใช และ การเขารหสขอมล ดงนนจงเหมาะทจะน ามาใชในการขนถายขอมล
ผานอนเทอรเนตหรอเครอขาย IP แตเนองจาก PPP ถกออกแบบมาใหท างานเฉพาะการเชอมตอผาน
โมเดมและสายโทรศพทเทานน หากสามารถท าให PPP สามารถเดนทางขามเครอขายอนเทอรเนตหรอ
เครอขาย IP ประเภทตางๆ เชนระบบ LAN ไดกจะเปนการเพมขอบเขตการท างานของ PPP ออกไปได
ดงนน วธการและทงหมดทอธบายไปขางตนกคอหลกการท างานของ VPN นนเอง
โปรโตคอลทใชส าหรบ VPN
PPTP (Point-to-Point Tunneling Protocol)
PPTP (Point-to-Point Tunneling Protocol) คอโปรโตคอลทใชส าหรบการท า VPN ในรนแรกๆ และยง
ใชกนอยในปจจบน พฒนาขนโดยบรษทไมโครซอฟท โดยทวไปมกใชส าหรบการเชอมตอเครองลกขาย
เดยวๆ จากระบบเครอขายภายนอกหรออนเทอรเนตเขาสระบบ LAN ภายในบรษทหรอทเรยกวา Remote
Access VPN (Client-to-LAN) โดยสามารถสนบสนนการสรางทอรบสงขอมลหรอ Tunnel ไดทงแบบ
Compulsory Tunnel และ Voluntary Tunnel
รปท 9.4 PPTP โปรโตคอล
ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 338
176
Virtual Private Network นายสมนท พลพทกษ
L2F (Layer 2 Forwarding)
L2F คอโปรโตคอลทพฒนาโดยบรษท Cisco Systems เพอใชท า Remote Access VPN ในอปกรณ
ยหอ Cisco เชน Router หรอ Firewall เปนหลก ทอหรอ Tunnel ทสรางขนจะอยระหวางอปกรณ NAS ซงก
คออปกรณ RAS ทมความสามารถในการเชอมตอกบอปกรณ Cisco ทท าหนาทเปน VPN Server จะ
เรยกวา Home Gateway ดงแสดงในรปท 9.5
รปท 9.5 L2F โปรโตคอล
ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 341
L2F จะสนบสนนการท า Remote Access VPN แบบ Compusory Tunnel เทานนกลาวคอการสราง
ทอรบสงขอมลหรอ Tunnel นน จะเกดขนระหวางอปกรณ NAS และ Home Gateway เทานน ระหวาง
เครองลกขายและ NAS จะเปนการเชอมตอตามปกต ภายในทอรบสงขอมลสามารถรองรบการขนถาย
ขอมลจากเครองลกขายไดหลายเครองพรอมกน
L2F ท างานในระดบ Data Link Layar หรอ Layar 2 ของดมเดล OSI สามารถขนถายไดทง PPP และ
SLIP ซงเปนโปรโตคอลทใชงานบนสายโทรศพทหรอโมเดมในรนแรกๆ แตปจจบนถกแทนทโดย PPP ไป
แลว
ใน PPTP นนจะมการเปดคอนเนคชนแบบ TCP เพมอก 1 คอนเนคชนทเรยกวา PPTP Control
Connection โดยผานพอรต 1723 เพอใชส าหรบแลกเปลยนขอมลทใชควบคมการท างานของทอรบสง
ขอมล แตส าหรบใน L2F นนจะอาศยการแลกเปลยนขอมลทใชควบคมการท างานโดยใชชองทางเดยวกน
177
Virtual Private Network นายสมนท พลพทกษ
กบการสงขอมลปกตภายในทอทสรางขนนนเอง อธบายอกนยหนงคอ L2F จะอาศยโปรโตคอล UDP ผาน
พอรต 1701 ในการสรางทอรบสงขอมลหรอ Tunnel พรอมกบการขนถายขอมลภายในทอ ดงนนการ
เชอมตอผาน Firewall จงตองเปดพอรต UDP หมายเลข 1701 ดวย
L2F จะใชวธการตรวจยนยนตวผ ใชเชนเดยวกบ PPTP นนคอจะไปอาศยกลไกภายในตวของ PPP เอง
แตกยงสามารถเลอกใชการตรวจยนยนตวผ ใชดวยวธอนๆ ไดอก เชน TACACS+ และ RADIUS ส าหรบ
การเขารหสขอมลนนกใชวธเดยวกนกบทใชใน PPTP ในปจจบน L2F ไมนยมใชกนแลวเพราะถกแทนทโดย
L2TP และ IPSec ทจะอธบายตอไป
L2TP (Layer 2 Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol) คอโปรโตคอลทเกดจากการน าเอาขอดของ PPTPและ L2F มา
ผสมกน แตคอนขางจะเอนเอยงไปทาง L2F มากหนอย และยงคงใชหลกการเดมคอการขนถายแพกเกต
ของ PPP ใหสามารถเดนทางผานเครอขายอนเทอรเนตหรอระบบเครอขายแบบ IP นนเอง ดงนนการ
เขารหสขอมลและการตรวจยนยนตวผใชยงคงใชกลไกภายในตว PPP เองอยเชนเดยวกบ PPTP และ L2F
ใน L2TP นนจะนยมเรยกอปกรณ VPN Server วา LNS (L2TP Network Server) และเรยกอปกรณ
หรอเครองทเชอมตอกบ VPN Server วา LAC (L2TP Access Concentrator) โดยท LAC นนจะหมายถง
อปกรณ Remote Access Server ทมความสามารถในการตดตอกบ LNS ดวยโปรโตคอล L2TP ได
โดยตรงนนเอง
L2TP/IPSec
L2TP/IPSec (อานวา L2TP over IPSec) คอการผสมผสานระหวาง L2TP และ IPSec ทท างานในแบบ
Transport Mode ทงนกเนองจากวากลไกการรกษาความปลอดภยของขอมลภายในตวของ PPP นนยงจด
อยในระดบทไมคอยปลอดภยมากนก การน า IPSec มาชวยในเรองของการเขารหสขอมลและการตรวจ
ยนยนแหลงทมาของแพกเกตใหกบ L2TP จงชวยแกปญหาดงกลาวขางตน ประกอบกบภายในตวของ
L2TP เองนนกยงมความสามารถในการตรวจยนยนตวผ ใชดวยรหสผ ใชและรหสผานทตดมากบแพกเกต
ของ PPP ทบรรจอยขางในดวย ดงนน L2TP/IPSec จงนบเปนโปรโตคอลทใหความปลอดภยของขอมลสง
178
Virtual Private Network นายสมนท พลพทกษ
มาก อยางไรกตามขอเสยของ L2TP/IPSec กคอไมสามารถท างานผานอปกรณ NAT โดยทวๆ ไปได ซง
ขอเสยนกเปนขอเสยเดยวกนกบ IPSec นนเอง
ในระบบปฏบตการ Windows นน ตว VPN Client จะสนบสนนการท า Remote Access VPN โดยผาน
L2TP/IPSec โดยอตโนมต แตถาคณตองการใช L2TP เพยวๆ โดยไมม IPSec เขามาชวยกสามารถท าได
โดยการแกไขขอมลใน Registry รายละเอยดสามารถศกษาไดจากบทความ support.microsoft.com
/kb/310109 ในเวบไซตของไมโครซอฟต
IPSec (IP Security)
IPSec (IP Security) เปนโปรโตคอลทใชในการปกปองขอมลในแพกเกตของ IP ใหปลอดภยจากการถก
ดกอานขอมลภายในแพกเกตและการปลอมแปลงแพกเกต ส าหรบเทคนคทใชใน IPSec ประกอบดวย การ
เขารหสขอมล (Encryption) การปองกนการแกไขหรอปลอมแปลงแพกเกต และการตรวจยนยนแหลงทมา
ของแพกเกต (Authentication) เปนตน โดยทวไปแพกเกตของ IP มกจะบรรจโปรโตคอลในระดบสงขนไปไว
ภายใน เชน TCP หรอ UDP เปนตน ดงนน โปรโตคอลเหลานจะไดรบการปกปองโดย IPSec ไปดวย IPSec
จะท างานในระดบ Layer 3 หรอ Network Layer ของโมเดล OSI ซงเปนระดบเดยวกบ IP และเนองจาก
IPSec จะอาศยกลไกการปกปองขอมลทออกแบบไวในมาตรฐานของ TCP/IP เอง ดงนนมนจงใชงานได
เฉพาะในเครอขายแบบ IP เทานน ในปจจบนผผลตอปกรณ Firewall หรอ VPN โดยสวนใหญจะสนบสนน
การท า VPN โดยใช IPSec กนเปนหลก โดยสามารถใชงานไดทงในแบบ Site-to-Site และ Remote
Access VPN
สวนประกอบของ IPSec
IPSec ประกอบดวยโปรโตคอลยอยอนๆ อกหลายตวทท างานรวมกน แตทส าคญและขาดไมได
1. Encapsulated Security Payload (ESP) คอโปรโตคอลทใชในการเขารหสขอมลโดยใชหลกการของ
Symmetric Cryptography หรอการใชกญแจการเขาและการถอดรหสรวมกนทงตนทางและปลายทาง
แพกเกตของ IP ทตองการความปลอดภยของขอมลสามารถใช ESP ในการเขารหสขอมลกอนสงได แต
ขอบเขตการปกปองขอมลในแพกเกตนนจะมผลเฉพาะในสวนของเนอขอมล (IP Data) ของแพกเกตเทานน
179
Virtual Private Network นายสมนท พลพทกษ
2. Authentication Header (AH) คอโปรโตคอลทใชในการปองกนการแกไขหรอปลอมแปลงแพกเกต
โดยอาศยการค านวณคา Checksum ซงไดจากการน าเอาขอมลจากโครงสรางสวนหวและเนอขอมลของ
แพกเกตพรอมดวยกญแจการเขารหสมาเขาสตรการค านวณทางคณตศาสตรแลวน าคาทไดไปบนทกไวใน
โครงสรางสวนหวของแพกเกตเพอใหทงตนทางและปลายทางสามารถใชในการตรวจสอบวาแพกเกตทได
รบมานนไมไดผานการปลอมแปลงมา และเนองจาก AH ใชทงขอมลในโครงสรางสวนหวและเนอขอมล
ของแพกเกตมาค านวณคาChecksum ดงนนขอบเขตการปกปองขอมลจะมผลครอบคลมทกสวนของแพก
เกตดวย
3. Internet Key Exchange (IKE) Protocol คอโปรโตคอลทใชในการตกลงรายละเอยดหรอวธการทจะ
ใชในการสรางชองทางการสอสารทปลอดภยขนระหวางตนทางและปลายทาง การท างานของ IKE จะแบง
ออกเปน 2 ขนตอน ดงน
3.1. Phase 1 เปนการตกลงรายละเอยดหรอวธการทจะใชในการสรางชองทางการสอสารทปลอดภย
ขนระหวางตนทางและปลายทาง เชน วธการเขารหสขอมล วธการปองกนการแกไขหรอปลอมแปลงแพก
เกต การสรางกญแจการเขารหสขอมลทจะใชรวมกน และวธการตรวจยนยนตวระหวางกน เปนตน ชอง
ทางการสอสารทสรางขนในขนตอนนยงถกใชงานตอเนองในขนตอนท 2 ดวย ส าหรบวธการตรวจยนยนตว
ระหวางกนนนแบงออกไดเปน 3 วธหลกๆ คอ
1. Pre-shared Key คอการก าหนดรหสลบซงคลายๆ กบรหสผานเพอใหตนทางและปลายทางใช
ในการยนยนตวระหวางกน
2. Digital Signature คอการทฝงตนทางใช Private Key ของตวเองซงถกเกบเปนความลบไวมา
ทดลองเขารหสขอมลเพอสงไปใหปลายทางทดลองถอดรหสดวย Public Key ทเผยแพรไว โดยฝงตนทาง
เพอใหใชคกน หากปลายทางสามารถถอดรหสไดกแสดงวาขอมลทไดรบนนมาจากตนทางท
3. Self Signed certificate คอการใชเทคนคและวธการของ Digital Certificate นนเอง แตท
ตางกนคอ Self Signed Certificate นนจะออกโดยผดแลระบบเพอใชภายในองคกรเอง ท าใหประหยด
คาใชจายในการขอม และยงสะดวกในการบรการอกดวย
180
Virtual Private Network นายสมนท พลพทกษ
3.2. Phase 2 เปนการตกลงรายละเอยดหรอวธการทใชในการปกปองระหวางตนทางและปลายทาง
เพอใชในการท างานของโปรโตคอล ESP และ AH โดยอาศยชองทางการสอสารทสอสารขนในขนตอนนจะ
มการตกลงระหวางตนทางและปลายทางเพอสรางกญแจการเขารหสขอมลส าหรบ ESP และ AH ทใช
รวมกนทงสองฝายขนใหมจ านวน 2 ชด โดยชดท 1 ใชส าหรบการสงขอมล และ ชดท 2 ใชส าหรบการรบ
ขอมล กญแจเขารหสดงกลาวนจะหมดอายภายในเวลาสนๆ และตองมการสรางขนใหมอยเปนระยะๆ
ตลอดการสอสารทงนเพอเปนการเพมความปลอดภยของขอมลใหมากยงขนนนเอง
สรปขอดขอเสยของ IPSec
คณสมบตของ IPSec ทเปนจดเดนกคอเรองของการเขารหสขอมล การปองกนการปลอมแปลงแพกเกต
และการตรวจยนยนแหลงทมาของแพกเกตได สามารถปองการ Replay ได (การ Replay หมายถงการแอบ
เกบบนทกแพกเกตทเกดจากการสอสารระหวางเครอง 2 เครอง ไวจากนนอาจมการเปลยนแปลงหรอแกไข)
SSL VPN ( Secure Sockets Layer Virtual Private Network )
SSL VPN หรอมชอเรยกอกอยางหนงคอ SSL/TLS VPN โดยท SSL คอ Secure Socket Layer และ
TLS คอ (Transport Layer Security) แตในทนจะขอเรยกเปน SSL VPN
SSL VPN คอเทคนคทเปดโอกาสใหผ ใชหรอเครองลกขายทอยภายนอกหรออนเตอรเนตสามารถเขาใช
งานแอพพลเคชนภายในระบบ LAN ไดอยางปลอดภยโดยอาศยโปรแกรมเวบบราวเซอรควบคกบการ
เขารหสขอมลดวยเทคโนโลยของ SSL นนเอง การใชโปรแกรมเวบบราวเซอรควบคกบเทคโนโลยของ SSL
นนเอง การใชโปรแกรมเวบบราวเซอรควบคกบเทคโนโลยของ SSL นนไมใชของใหมแตอยางใด เพยงแตวา
ในอดตนนมนถกใชเพอการท าธรกจหรอธรกรรมผานอนเตอรเนตเสยสวนใหญ แตในปจจบนกลบไดรบ
ความนยมในการน ามาประยกตใชกบ Remote Access VPN ดวย
181
Virtual Private Network นายสมนท พลพทกษ
รปท 9.6 SSL VPN
ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 369
ขอดของ SSL VPN คอเครองลกขายทเชอมตอผานอนเตอรเนตจะไมจ าเปนตองตดตงโปรแกรม หรอ
ซอรฟแวรประเภท VPN Client เหมอน IPSec หรอ PPTP แตอยางใด ขอเพยงมโปรแกรมบราวเซอรใน
เครองกสามารถใชงานไดแลว นอกจากนในฝงของVPN Server หรอ SSL VPN Gateway ทอยหลง
อปกรณกไมตองมการเซตอพ ใหยงยากแตอยางใด สามารถใชงานงานผานอปกรณ NAT ไดโดยไมม
ปญหาเนองจากมนอาศยโปรโตคอล HTTP และ HTTPS ในการท างาน นอกจากนยงสามารถหรอจ ากด
โปรแกรมทตองการเปดใหใชไดเปนตวๆ ไป หรอทเราเรยกวา Publish แทนทจะเปดใหเครองลกขาย
สามารถมองเหนหรอเขาถงไดทงระบบเครอขายเหมอนในกรณของ IPSes, PPTP หรอ L2TP
จดออนของ SSL VPN กคอการตรวจยนยนตว (Authentication) หรอการแสดงตนวาเปนเครอง
คอมพวเตอรทเปนตวจรงหรอไมใช เครองทปลอมแปลงขนมานน มกจะกระท าแคเพยงในฝงของเครอง
เซรฟเวอร (เครองทท าหนาท SSL VPN Gateway) เทานน ซงโดยทวไปจะใชวธการจดทะเบยนเพอขอรบ
SSL Certificate จากบรษทหรอตวแทน CA (Certificate Authority) แลวน ามาตดตงลงในเครอง ในขณะท
ทางฝงเครองลกขายนนมกจะใชวธการตรวจยนยนตวโดยใชรหสผ ใชและรหสผานซงอาจเปนชองโหวใน
การถกบกรกหรอโจมตดวยวธ MIMT (Man-in-the-middle) Attack ได
182
Virtual Private Network นายสมนท พลพทกษ
อยางไรกตามหากตองการใชวธการตรวจยนยนตวของเครองลกขายโดยใช SSL Certificate เหมอนทาง
ฝงเซรฟเวอรนนกสามารถท าไดเชนกน แตกตองไปขอจดทะเบยน SSL Certificate กบ CA ใหกบเครองลก
ขายแตละเครอง ซงอาจเสยคาใชจายและคาดแลรกษาเพมอกพอสมควร แตผดแลระบบสามารถเลยงไปใช
วธทเรยกวา Self Signed Certificate หรอการออก SSL Certificate เพอใชเองภายในองคกร
SSL VPN นนมกจะถกน ามาเปรยบเทยบกบ IPSec ซงนยมใชกนเปนสวนใหญในปจจบน โดยมขอดใน
แงทวา ไมตองตดตงซอฟตแวรหรอโปรแกรมใดๆ ในเครองขอเพยงมโปรแกรมบราวเซอรในเครองกพอ ท า
ใหงายตอการใชงาน อกทงยงชวยลดปญหาตางๆ ทอาจเกดขนจากการใชงาน Remote Access VPN ผาน
IPSec
โปรโตคอลของ VPN สมยใหมๆ
Open VPN
ความหมายของค าวา SSL VPN ตามทไดอธบายไปแลวขางตนนน ปจจบนมหลายคนโตแยงวา SSL
VPN ไมนาจะจดเปนเทคโนโลยของ VPN เลย และควรจะเรยกเปน Application Gateway ซงจดเปน
Reverse Proxy Server ชนดหนงไปเลยมากกวา แตเนองจากมผผลตหลายรายตางกเรยกผลตภณฑของ
ตนทท างานในลกษณะของ Application Gateway วาเปน SSL VPN Gateway กนไปหมดแลว จะดวย
ความจงใจหรอเขาใจผดกตาม จงท าใหเกดความสบสนในกลมผ ใชหรอผบรโภคไปทว ประกอบกบใน
ปจจบนยงมซอฟตแวรทเปน Open Source ตวหนงทเรยกวา Open VPN จะไมไดเกยวของกบโปรแกรม
เวบบราวเซอรเพอเนนวาเปน “Clientless” แตอยางใด
Open VPN นนจะมลกษณะหรอหลกการท างานทคลายคลงกบ IPSec มากกวา เครองลกขายท
ตองการเชอมตอโดยใช Open VPN จะตองตดตงซอฟตแวร Open VPN Client เพมเหมอนในกรณของ
IPSec และมการสรางทอ (Tunnel) ระหวางเครอง Open VPN Client และ Open VPN Server โดยใช
เทคนคการเขารหสของ SSL ซงเปนเทคนคการเขารหสในระดบ Transport Layer (เขารหสเฉพาะในสวน
ของเนอขอมลในแพกเกตของ TCP หรอ UDP) ดงนนมนจงไมมปญหาในการท างานผานอปกรณ NAT
เหมอนดงกรณ IPSec ส าหรบพอรตทใชโดย Open VPN ในปจจบนจะใชพอรต UDP 1194 เปนพอรต
มาตรฐาน (หรอสามารถตงเองโดยผดแลระบบได) ดงนนในกรณทตองใช Open VPN Server อยภายหลง
อปกรณ NAT หรอ Firewall กตองท า Port mapping หรอเปดพอรตใหถกตองตรงกนไวดวย
183
Virtual Private Network นายสมนท พลพทกษ
SSTP (Secure Socket Tunneling Protocol)
SSTP กคอโปรโตคอล VPN ตวใหมของไมโครซอฟต ทอาศยโปรโตคอล HTTPS และเทคนคของ SSL
ในการเขารหสขอมล เชนเดยวกบ SSL VPN ดงนนบางคนจงเรยก SSTP วา Microsoft SSL VPN เรมมใช
กนใน Windows รนใหมๆ เชน Vista Service Pack 1 และ Windows Server 2008 ส าหรบพอรตทใชโดย
SSTP กคอพอรต TCP 443 ทใชโดยโปรโตคอล HTTPS นนเอง อยางไรกตามในการใชงาน SSTP เครองท
ท าหนาทเปน VPN Server (SSTP VPN Server) จะไมจ าเปนตองตดตงหรอเปดบรการเวบเซรฟเวอร IIS ไว
แตอยางใด เนองจากไมเกยวของกนอธบายเพมเตมคอ พอรต 443 ทใชนนจะถกจดการโดยบรการ
Routing and Remote Access Service ตวใหมทใชใน Windows Server 2008 อยางไรกตามตว IIS และ
Routing and Remote Access Service สามารถท างานดวยกนไดโดยไมมปญหา SSTP ยงสามารถ
รองรบ IPv6 ดวย คาดวาในอนาคต SSTP คงจะมาแทนทเทคโนโลยของ VPN เดมๆทใชกนใน Windows
รนปจจบน เชน PPTP และ L2TP/IPSec เนองจากมนมขอดคอ สามารถผานเขาออกตวอปกรณ NAT หรอ
Firewall ไดโดยไมมปญหา