2/15/2554

VPN: IPsec

23:22    No comments

VPN ไม่ใช่ของใหม่ เป็นเทคโนโลยีที่ป้องกันข้อมูลหรือข้าวสารขณะสื่อสารผ่านอินเตอร์เน็ตหรือ เครือข่ายธรรมดาทั่วไปที่อาศัยการสร้างที่เรียกว่าอุโมงค์การเชื่อมต่อ รวมทั้งพิสูจน์สิทธิที่รัดกุม และการเข้ารหัสที่มีความสลับซับซ้อน  และการตรวจสอบความถูกต้องของข้อมูล  เพื่อให้แน่ใจว่าข้อมูลข่าวสารที่ได้รับไม่ใช่ข้อมูลที่ถูกดัดแปลงจากผู้บุก รุก  และสุดท้ายข้อมูลข่าวสารที่ได้รับจะต้องได้รับการตรวจสอบว่าเป็นของตัวจริง เสียงจริงหรือไม่

ออกแบบเครือข่าย IPSec VPN
เพื่อการสื่อสารที่ปลอดภัยมากยิ่งขึ้น และดูเป็นส่วนตัว คงต้องใช้ VPN หรือ Virtual Private Network การระวังความปลอดภัยในการสื่อสารข้อมูลระหว่างมีมาหลายทศวรรษ จนกระทั่งเครือข่ายและโครงข่ายบนอินเตอร์เน็ตได้รับการพัฒนาให้มีเทคโนโลยี การสื่อสารที่ทันสมัยมากขึ้นเป็นช่องทางที่จะทำให้มีเครือข่ายขององค์กรมา เชื่อมต่อให้ผู้บริการท้องถิ่นแล้วใช้โครงข่ายทางอินเตอร์เน็ตเพื่อการสื่อ สารระหว่างกัน แต่เนื่องจากโครงข่ายบนอินเตอร์เน็ตประกอบไปด้วยเครือข่าย และโครงข่ายจำนวนมาก  หากนำเครือข่ายขององค์กรไปเชื่อมต่อเครือข่ายขององค์หรือของผู้ใช้งานราย ย่อยที่ได้รับสิทธิอยู่อีกฝั่งหนึ่ง  ย่อมมีปัญหาที่เสี่ยงต่อความปลอดภัย  ซึ่งโดยปกติวิธีการที่จะให้เกิดความปลอดภัยในการสื่อสารในระดับนี้ต้องใช้ รหัสผ่านที่แข็งแกร่ง  รวมทั้งการเข้ารหัสข้อมูลต่างๆนั้น ย่อมรับประกันความปลอดภัยในระดับหนึ่งเท่านั้น  วิธีการที่จะทำให้การสื่อสารระหว่างองค์กรมีความปลอดภัยมากยิ่งขึ้น  อีกทั้งดูเป็นส่วนตัว และไม่สามารถถูกดักฟังข้อมูลได้โดยง่าย ควรต้องลองมองหา VPN หรือ  Virtual Private Network

VPN ไม่ใช่ของใหม่ เป็นเทคโนโลยีที่ป้องกันข้อมูลหรือข้าวสารขณะสื่อสารผ่านอินเตอร์เน็ตหรือ เครือข่ายธรรมดาทั่วไปที่อาศัยการสร้างที่เรียกว่าอุโมงค์การเชื่อมต่อ รวมทั้งพิสูจน์สิทธิที่รัดกุม และการเข้ารหัสที่มีความสลับซับซ้อน  และการตรวจสอบความถูกต้องของข้อมูล  เพื่อให้แน่ใจว่าข้อมูลข่าวสารที่ได้รับไม่ใช่ข้อมูลที่ถูกดัดแปลงจากผู้บุก รุก  และสุดท้ายข้อมูลข่าวสารที่ได้รับจะต้องได้รับการตรวจสอบว่าเป็นของตัวจริง เสียงจริงหรือไม่
VPN เป็นช่องทางการสื่อสารข้อมูลระหว่างเครือข่าย หรือระหว่างผู้ใช้งานกับเครือข่ายที่ให้บริการสื่อสารข้อมูลส่วนตัวผ่าน เครือข่าย สาธารณะ อย่างเช่น อินเตอร์เน็ต คำว่าข้อมูลส่วนตัวในที่นี้หมายถึงข้อมูลข่าวสารที่จัดส่งจะมีลักษณะเป็น เหมือนช่องทางเฉพาะที่ถูกจัดสร้างเพื่อติดต่อกันระหว่างผู้ใช้งานที่เกี่ยว ข้องเท่านั้น ข้อมูลข่าวสารจะได้รับการเข้ารหัสเกือบทั้งหมด โดยใช้เทคนิคที่เรียกว่า tunneling การใช้งาน VPN เป็นการใช้งานอินเตอร์เน็ตหรือเครือข่ายสาธารณะทั่วไปเป็นส่วนหนึ่งของ Backbone
VPN มีการพิสูจน์สิทธิแบบ End to end การพิสูจน์สิทธิทั้ง 2 ฝั่งข้ามไปมารวมทั้งการเข้ารหัสข้อมูลข่าวสารในรูปแบบต่างๆ ที่ทำให้มีความปลอดภัย ประหยัดเงินค่าโทรศัพท์ทางไกล และค่าบำรุงรักษาอีกมากมายและด้วยเทคโนโลยี tunneling ที่ทำให้เครือข่ายหนึ่งส่งข้อมูลไปอีกเครือข่ายหนึ่ง โดยการที่มีการห่อหุ้มหรือ Encapsulation  ในรูปของแพ็กเก็ตที่มาจากการทำงานในระดับ Network Layer

หัวใจสำคัญของ VPN
 - อุโมงค์เชื่อมต่อ(tunneling)
- การพิสูจน์สิทธิ์โดยยูสเซอร์และ VPN server
- การเข้ารหัสของข้อมูลข่าวสาร
- การควบคุมการ Access หรือการเข้าถึงข้อมูลข่าวสาร
- สามารถกันข้อมูลข่าวสารจากการถูกทำซ้ำขณะที่กำลังสื่อสารกันอยู่  และมีการใช้กุญแจลับเพื่อการเข้ารหัส
ข้อมูลข่าวสาร  ดังนั้นผู้ที่มีกุญแจเท่านั้นที่จะแก้ไขข้อมูลได้
- สามารถตรวจสอบความถูกต้องของข้อมูลเพื่อให้แน่ใจว่าข้อมูลไม่มีการเปลี่ยนแปลงจากผู้ใด  โดยการใช้ Hash
Algorithm  ซึ่งเป็นแบบ One-way Mathematical function  ข้อมูลข่าวสารที่จะเข้ารหัสจะใช้อัลกอริทึมอย่างใด
อย่างหนึ่ง เช่น DES , 3DES , IDEA , RC2 , RC4 , RC5 และ RIPEMD-160
- การบริหารจัดการกุญแจเข้ารหัส โดยการจัดส่งกุญแจลับที่ผ่านการเข้ารหัสอีกครั้งหนึ่งแก่ยูสเซอร์อย่างปลอดภัย
- การบริหารจัดการแอดเดรสโดยการซ่อนแอดเดรสขององค์กรไว้ภายใน รวมทั้งมีการแจก IP Address ให้แก่ผู้มี
สิทธิมาใช้งาน
img src=”http://www.thaiinternetwork.com/backend/imagefile/0229_fvs318v3.jpg” border=”0″ alt=”" width=”400″ height=”130″ />
ความต้องการขั้นพื้นฐานของ VPN
 การพิสูจน์สิทธิโดยตรงของยูสเซอร์ที่จะเข้ามาที่เครือข่าย
- การกำหนดแอดเดรสให้กับผู้มีสิทธิเข้ามาใช้งานแบบพลวัตร
- การเข้ารหัสข้อมูลข่าวสาร
- การห่อหุ้มแพ็กเก็ตที่สื่อสารกันระหว่างยูสเซอร์กับเครือข่าย
ลักษณะของงานที่ใช้ VPN
- Remote Access บนอินเตอร์เน็ต
- เชื่อมต่อระหว่างเครือข่ายผ่านทางอินเตอร์เน็ต หรือ Site- to – Site  VPN มี 2 รูปแบบได้แก่
1. Always-on VPN networking
2. Demand Dial VPN Networking
- เชื่อมต่อคอมพิวเตอร์บนอินทราเน็ตหรือ Internet Site-to – Site VPN
การทำงานของ Remote Access บนอินเตอร์เน็ตด้วย VPN
รูปแบบการทำงานเช่นนี้ได้แก่การที่ไคลแอนด์หรือยูสเซอร์กระทำการพิสูจน์ สิทธิผ่าน ISP เพื่อเข้าสู่อินเตอร์เน็ตโดยเบื้องต้นจากนั้นจะต้องล็อกอินเข้ามาที่ VPN server ขององค์กรเพื่อพิสูจน์สิทธิ์เสียก่อน โดยระบบพิสูจน์สิทธิ์ของ server ในองค์กรอาจประกอบไปด้วย RADIUS Server หรือ AAA โดยพิสูจน์ว่าถ้ามีสิทธิ์ก็มีสิทธิ์ใช้ได้ โดย VPN Server จะทำการสร้างอุโมงค์เชื่อมต่อจาก VPN Server ผ่านทาง ISP สู่อินเตอร์เน็ตปลายทาง ดังนั้นรูปแบบนี้ไคลแอนต์จะต้องร้องขอการพิสูจน์สิทธิ์ก่อนที่จะได้รับการ บริการจาดเครือข่ายภายใน
การเชื่อมต่อแบบ Site – to – site VPN

 รูปแบบนี้เป็นการเชื่อมระหว่างองค์กรโดยฝั่งหนึ่งอาจเป็นสำนักงานใหญ่ ขณะที่อีกฝั่งนั้นเป็นสาขาย่อย ซึ่งทั้งสองฝั่งจะต้องได้รับการติดตั้ง VPN Server โดยการเชื่อมต่ออาจต้องเชื่อมต่อผ่านทางเราท์เตอร์หรื่อการตั้งค่าการทำงาน ของเราท์เตอร์ให้เป็นส่วนหนึ่งของการทำงานแบบVPN และการจัดสร้างอุโมงค์ การเชื่อมต่อจะเริ่มที่เราท์เตอร์แทน รูปแบบการเชื่อมต่อนี้มีอยู่สองรูปแบบ คือ Always-On รูปแบบที่มีการเปิดอุโมงค์ตลอดเวลา และ   Demand Dial VPN Connection ต้องมีการร้องขอก่อนถึงจะเชื่อมต่อสื่อสารผ่าน VPN  ก่อนเพราะการสื่อสารปกติไม่ใช่ VPN
การเชื่อมต่อแบบ Internal Site-to-site
เป็นการเชื่อมต่อที่ทั้งคู่มี VPN Server เพื่อใช้ในการพิสูจน์สิทธิ์ระหว่างกัน การเชื่อมต่อระหว่างไซต์หรือเครือข่ายนี้อาจจะต้องใช้เราท์เตอร์สนับสนุนการ ทำงานของ VPN ได้

T u n n e l i n g   คืออะไร
เป็นวิธีใช้โครงสร้างและรูปแบบการเชื่อมต่อเครือข่ายเพื่อจัดส่งข้อมูลข่าว สารจากเครือข่ายหนึ่งไปยังเครือข่ายหนึ่ง โดยที่สามารถควบคุม และรักษาความปรอดภัย ใช้หลักการทำงานก็ต่อเมื่อมีการพิสูจน์เรียบร้อยแล้วและได้รับสิทธิ์เสีย ก่อน อุปกรณ์ที่เกี่ยวข้องเช่น VPN  Server หรือเราท์เตอร์ที่เกี่ยวข้องจัดอุโมงค์ดังกล่าวขึ้นมา ข้อมูลต่างๆนั้นอยู่ในรูปแบบ Frame หรือ Packet และห่อด้วย Header อีกชั้นหนึ่ง
โปรโตคอลที่ใช้สร้าง Tunneling
- การพิสูจน์สิทธิ์โดย User  โดย PPTP และ L2TP ใช้มาตรฐานวินโดว์ รวมทั้ง Radius และ EAP
- การแจกจ่าย IP Address เมื่อ User ได้รับรับอนุญาตให้เข้ามาใช้งานเครือข่าวแล้ว จะได้รับการแจกไอพีจาก
DHCP Server
- การบีบอัดข้อมูล PPTP และ L2TP สนับสนุนการบีบอัดข้อมูลภายใต้ PPP  เดิม
- การบริหารจัดการกับกุญแจ  ในการพิสูจน์สิทธิ์
บทบาทหน้าที่ของ VPN Tunneling Protocol
- ซ่อนแอดเดรสสวนตัว  สามารถซ่อนแพ็คแก็ตที่เป็นส่วนตัว รวมถึง IP Address  ที่เป็น Public  ของมันเพื่อให้
ไม่สามารถมองเห็นได้
- ถ่ายโอนข้อมูลข่าวสารที่ไม่ใช่ IP เช่นถ่ายโอนข้อมูลของ Apple Talk หรือ IPX Packet โดยการสร้าง IP
Header
- ส่งตรงถึงเป้าหมาย สามารถส่งข้อมูล ข่าวสารไปยังเครื่องเป้าหมายได้อย่างเฉพาะเจาะจง จึงตัดปัญหาเรื่องความ
ปลอดภัย
- มีระบบ Security ในตัว  Tunneling Protocol บางตัวไม่มี เช่น IPSec ไม่ได้ทำการเพิ่ม ระบบSecurity Layer

>ส่วนประกอบของ Tunneling  Protocol
- Carrier Protocal เป็นโปรโตคอลที่ใช้ถ่ายโอนข้อมูล ข่าวสารระหว่างเครือข่ายที่ใช้งาน โดยผ่าน TCP/IP
- Encapsulation  Protocol เป็นส่วนที่ดูแลเรื่องของการห่อหุ้มเครือข่ายระดับโปรโตคอล ได้แก่ GRE ,
IPSec ,L2F ,PPTP และ L2TP
- Passenger Protocol เป็นข้อมูลระหว่างเครือข่าย เช่น IPX , IP และ NetBEUI
ชนิดของ Tunnel
Tunnel ประกอบไปด้วย End – point (จดหมายปลายทาง) 2 แบบ
1.  Client to LAN Tunnel  หรือ Remote Access Tunneling โดยใช้ PPP เป็นพาหะในการสื่อสารระหว่าง
Client กับ  LAN Tunneling Protocol  ที่ใช้บน Remote Access VPN
- L2F (Layer 2 Forwording)  สนับสนุน PPP เท่านั้น
- PPTP( Point to Point Tunneling Protocol ) สนับสนุนการเข้ารหัส 40 และ 128 บิต
- L2TP สามารถนำมาใช้เป็น Encapsulate Protocol  สำหรับ VPN แบบ Site to Site รวมทั้ง Remote
Access VPN โดยปรกติแล้ว สามารถใช้ได้กับอุปกรณ์
- ระหว่างไคลแอนต์กับเราท์เตอร์
- ระหว่าง Network Access Server (NAS) กับเราท์เตอร์
- ระหว่างเราท์เตอร์ กับ เราท์เตอร์

2.  LAN  to LAN Tunneling หรือ Site to site Tunneling VPN ในรูปแบบที่มี Security Gateway ทั้ง 2 ด้านซึ่งทำหน้าที่เป็นอินเตอร์เฟซระหว่าง Tunneling กับเครือข่าย LAN  และมีการใช้ GER (Generic Routing Encapsulation) เพื่อขนถ่ายข้อมูลบน TCP/IP ในบางครั้ง IPSec ทำงานใน Tunnel mode เพื่อห่อหุ้มข้อมูลข่าวสาร จะใช้ได้ดีในระบบ Remote Access VPN และ Site to Site PVN

0 ความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)