การสร้างโครงข่ายส่วนตัวบนโครงข่ายสาธารณะ (Virtual Private Network)

การสร้างเครือข่ายส่วนตัวบนเครือข่ายอินเตอร์เน็ต (Virtual Private Network)

สุวรรณ อินแบน

แผนกวางแผน กองประมวลผล การสื่อสารแห่งประเทศไทย

บทนำ

ปัจจุบันอินเตอร์เน็ตกลายเป็นสิ่งยอดนิยมเนื่องจากเป็นเครือข่ายหลัก (Backbone Network) ที่มีการลงทุนที่ต่ำและมีขีดความสามารถในการติดต่อสื่อสารที่กว้างไกลเป็นปัจจัยกระตุ้นให้บริษัทต่างๆ พิจารณาสร้างเครือข่ายส่วนตัวบนเครือข่ายสาธารณะที่เราเรียกว่า Virtual Private Network หรือเรียกย่อๆว่า VPN

สิ่งที่ท้าทายให้มีการสร้าง VPN ขึ้นมาคือกระแสของการทำธุรกิจแบบไร้พรมแดน (Global Business) หลายๆบริษัทเริ่มตั้งคำถามว่า “จะนำอินเตอร์เน็ตมาใช้ให้เกิดประโยชน์สูงสุดกับธุรกิจของตัวเองอย่างไร?” โดยเริ่มแรกบริษัทต่างๆใช้ อินเทอร์เน็ตในการทำโปรโมชั่นภาพพจน์บริษัท, สินค้าและบริการต่างๆ โดยใช้เวบไซต์ อย่างไรก็ตามศักยภาพของอินเทอร์เน็ตมิได้หยุดยั้งเพียงเท่านี้หากยังโฟกัสไปยังการทำธุรกิจโดยผ่านโครงข่ายอิเล็คทรอนิกส์ (E- Business) อีกด้วย เนื่องจากการทำธุรกิจโดยผ่านโครงข่ายอิเล็คทรอนิกส์ (E- Business) ต้องการระบบรักษาความปลอดภัยของข้อมูลข่าวสารที่สูงและต้องการการลงทุนของเครือข่ายที่ต่ำซึ่ง VPN สามารถตอบสนองสิ่งเหล่านี้ได้

VPN คือการขยายอินทราเน็ตส่วนตัวของบริษัทหรือองค์กรโดยใช้เครือข่ายสาธารณะเป็นเครือข่ายหลัก (Backbone Network) เช่น อินเตอร์เน็ต โดยสร้างการเชื่อมต่อส่วนตัวที่มีระบบรักษาความปลอดภัยที่เรียกว่าอุโมงค์ข้อมูลส่วนตัว (Private Tunnel) VPNสามารถนำข้อมูลข่าวสารของบริษัทหรือองค์กรผ่านเครือข่ายอินเทอร์เน็ตเพื่อติดต่อสื่อสารกับผู้ใช้ที่อยู่ห่างไกล (Remote User), สาขาของบริษัทหรือองค์กร (Branch Office) และหุ้นส่วนธุรกิจ (Business Partner) ซึ่งนำมาสู่การทำระบบเครือข่ายร่วม (Corporate Network) ดังแสดงในรูป 1

รูป 1 Virtual Private Network

จากรายงานผลการวิจัยของ Infornetics Research, Inc ประมาณว่าค่าใช้จ่ายของระบบ Wide Area Network (WAN) จะลดลง 20 – 40 % เมื่อใช้ VPN แทนวงจรเช่า (Leased Line) ในการเชื่อมต่อกับผู้ใช้ที่อยู่ห่างไกล (Remote User), และผู้ใช้ที่อยู่ห่างไกล (Remote User ) จะประหยัดค่าใช้จ่าย 60 – 80 % ในการติดต่อกับ ระบบเครือข่ายร่วม (Corporate Network) โดยใช้การหมุนโทรศัพท์ติดต่อ (Dial Up Access) ปัจจุบันเทคโนโลยีของ VPN มีความหลากหลายขึ้นอยู่กับเทคโนโลยีของแต่ละบริษัทแต่กำลังปรับเข้าสู่ความเป็นมาตรฐานเดียวกัน ความไม่เป็นมาตรฐานเดียวกันนำความยุ่งยากมาสู่การทำระบบเครือข่ายร่วม (Corporate Network) อย่างไรก็ตาม VPN ที่อยู่บนพื้นฐานของ Internet Engineering Task Force (IETF) สามารถแก้ปัญหาเหล่านี้ได้

เราสามารถจำแนกเทคโนโลยีของ VPN ได้หลายวิธีแต่ที่ชัดเจนที่สุดคือการจำแนกตาม Protocol Layer ซึ่งสามารถจำแนกได้ดังนี้

Network Layer-Based (IPSec-Based)

Data link-based (Layer2-based)

นอกจากนี้ยังมีโปรโตคอลอื่นๆที่ทำงานบน layer ที่สูงกว่า network layer เพื่อเพิ่มประสิทธิภาพการทำงานของ VPN เช่นSOCKS, Secure Socket Layer (SSL) หรือ Secure Multipurpose Internet Mail Extension (S-MIME) ผู้ผลิตบางรายใช้โปรโตคอลที่ทำงานบน Layer สูงๆในการสร้าง VPN เช่น ใช้การทำงานร่วมกันของ SOCK V5 กับ SSL

รูป 2 TCP/IP และโปรโตคอลที่เกี่ยวข้องกับ VPN

2. VPN โปรโตคอล

2.1 IPSec-Based solution

IP Security Architecture (IPSec) เป็นข้อสรุปแรกของระบบ end-to-end protection และ segment-by--segment protection ซึ่งอยู่ภายใต้การทำงานและดูแลของ Internet Engineering Task Force (IETF) โดย IBM เลือก IPSec เพื่อใช้กับ IBM eNetwork VPN solution IPSecประกอบด้วยส่วนหลักๆ คือ

IP Authentication Header (AH) ทำหน้าที่ตรวจสอบว่าข้อมูลข่าวสารถูกส่งออกมาจากผู้ใช้ที่ได้รับอนุญาต (data origin authentication), ตรวจสอบว่าข้อมูลข่าวสารไม่ได้ถูกเปลี่ยนแปลงในขณะทำการส่ง (data integrity ) อันเนื่องมาจาก random noise และป้องกันการลักลอบดักจับข้อมูลข่าวสารแล้วทำการเปลี่ยนแปลง เพื่อส่งต่อไปยังผู้รับ ( replay protection)

IP Encapsulating Security Payload (ESP) ทำหน้าที่เกี่ยวกับการรักษาความลับของข้อมูล (data confidentiality) , data origin authentication, data integrity และ replay protection

Internet Security Association and Key Management Protocol (ISAKMP) ทำหน้าที่ตระเตรียมวิธีการตั้งระบบรักษาความปลอดภัยของข้อมูลอัตโนมัติและจัดการเกี่ยวกับคีย์ในการเข้ารหัสลับ (Cryptographic keys)

2.1.1 Authentication Header (AH)

IP Authentication Header (AH) ทำหน้าที่เกี่ยวกับ connectionless integrity และ data origin authentication สำหรับ IP datagram และ replay protection การทำ data integrity ถูกป้องกันด้วยเทคนิคการ checksum ซึ่งถูกสร้างโดย message authentication code ตัวอย่างเช่น MD5 การตรวจสอบว่าข้อมูลข่าวสารถูกส่งออกมาจากผู้ส่งที่ได้รับอนุญาต (data origin authentication) โดยใช้ secret shared key และ ป้องกันการ replay โดยใช้ การเรียงลำดับหมายเลขฟีลด์ภายใน AH header

2.1.2 Encapsulating Security Payload (ESP)

IP Encapsulating Security Payload ทำหน้าที่เกี่ยวกับการรักษาข้อมูลให้เป็นความลับ (data confidentially), connectionless integrity, data origin authentication และป้องกันการ replay โดยปกติ ESPทำหน้าที่เกี่ยวกับการรักษาข้อมูลให้เป็นความลับ (data confidentially) เป็นหลักและทำ data origin authentication, data integrity checking และป้องกันการ replay เป็นทางเลือก เมื่อเปรียบเทียบ ESP กับ AH จะเห็นได้ว่า ESP มีส่วนเพิ่มเข้ามาคือ ส่วนเข้ารหัสลับของข้อมูล ESP หรือ AH ถูกนำมาใช้เพียงลำพังหรือรวมกับโปรโตคอลอื่นๆซึ่งจะทำให้การทำ authentication และ/หรือ การเข้ารหัสลับของข้อมูลสามารถกระทำกันระหว่างโฮสต์กับโฮสต์, ระหว่าง firewall กับ firewall หรือ โฮสต์ กับ firewall ที่ติดต่อสื่อสารกัน

2.1.3 ISAKMP/Oakley

Security Association (SA ) ประกอบด้วยข่าวสารที่ชัดเจนที่ระบบสื่อสารต้องการเพื่อเอ็กซิคิวโปรโตคอล IPSec (AH หรือ ESP) เช่น SA ถูกใช้เพื่อระบุอัลกอริทึมที่ใช้ในการเข้ารหัสลับข้อมูล, key information และอุปกรณ์ที่มีส่วนร่วมในการทำงาน ISAKMP กำหนด frame work มาตรฐานที่สนับสนุนการเจรจาโต้ตอบของ SA โดยเริ่มด้วยการกำเนิดคีย์ที่ใช้ในการเข้ารหัสลับ และต่อมาจะทำการรีเฟรชคีย์ Oakley เป็นโปรโตคอลที่ได้รับมอบหมายให้จัดการกับคีย์ที่ถูกใช้ภายใน ISAKMP framework ISKMP สนับสนุนการเจรจาโต้ตอบของ SA, การสร้างและการรีเฟรชคีย์ที่ใช้ในการเข้ารหัสลับ โดยอัตโนมัติ

2.2 Layer2-Based VPN solution

Remote access dial-up solution สำหรับ mobile user เป็นรูปแบบง่ายๆ สำหรับ VPN ปกติใช้สนับสนุนการเรียกเข้าหาระบบเครือข่ายร่วม (Corporate Network ) โดยใช้โทรศัพท์เรียกเข้ามาซึ่งผู้ใช้ก็คือ พนักงานของบริษัทหรือองค์กรนั่นเอง วัตถุประสงค์ในการใช้ solution นี้ก็เพื่อหลีกเลี่ยงค่าใช้จ่ายในการใช้โทรศัพท์ทางไกลในการเรียกเข้าหาระบบเครือข่ายร่วม ( Corporate Network ) ในการใช้ VPN, Remote user สามารถเรียกเข้าหาระบบเครือข่ายร่วม (Corporate Network ) โดยผ่านเกตเวย์ ที่อยู่ในพื้นที่ที่ยูสเซอร์กำลังอยู่หรือบริเวณใกล้เคียง

รูป 3 Layer 2 Tunnel Protocol (L2TP) Scenario

IETF พัฒนา Tunneling Protocol ที่เรียกว่า Layer2 Tunnel Protocol (L2TP) ซึ่งเป็นการขยายขอบข่ายการเชื่อมต่อของโปรโตคอลแบบจุดต่อจุด (Point-to-Point Protocol หรือ PPP) แม้ว่า L2TP จะมีข้อได้เปรียบในเรื่องราคาของการ Access, Multiprotocol Transport และ Remote LAN access ก็ตาม แต่ยังมีข้อบกพร่องในเรื่องของประสิทธิภาพในการเข้ารหัสลับของข้อมูล ตัวอย่างเช่น

การ Authentication ที่ถูกกำหนดตรวจสอบแต่เฉพาะระดับอุโมงค์ข้อมูล (Tunnel) แต่มิได้ครอบคลุมถึงแพ็กเกจที่อยู่ภายในอุโมงค์ข้อมูล (Tunnel) ซึ่งอาจเป็นเหตุอุโมงค์ข้อมูลอาจถูกบุกรุกเพื่อทำการ Man-in-the-Middle (การลบข้อความ (delete message), การเปลี่ยนแปลงข้อความ (modification of message), การสะท้อนข้อมูลข่าวสารกลับไปยังผู้ส่ง (reflecting message back to the sender), การเปลี่ยนทิศทางของการส่งข้อมูล (redirection) ไปยังผู้รับอื่นที่ไม่ต้องการส่งไปถึง) และยังมีข้อด้อยอีกคือปราศจากการทำ integrity/packet ซึ่งเป็นไปได้ที่ denial-of-service (Messages ที่ถูกสร้างขึ้นมาใช้เพื่อระบุและกำจัด Messages ที่ไม่ถูกต้องโดยปราศจากความต้องการการทำงานอย่างเร่งด่วนของ Processor ที่ใช้ในการเข้ารหัสลับ) ถูกบุกรุกโดยสร้างข้อความที่ใช้ในการควบคุมปลอมขึ้นมา ข้อด้อยอีกประการหนึ่งคือเมื่อ payload ของ PPP packet ถูกเข้ารหัสลับ โปรโตคอล PPPไม่มีกลไกในการสร้างคีย์อัตโนมัติหรือการรีเฟรชคีย์อัตโนมัติ ซึ่งก่อให้เกิดปัญหาการลักลอบดักจับข้อมูลบนสายส่ง(Wire) อันนำมาซึ่งปัญหาคีย์ถูกละเมิดและผู้ละเมิดอาจก่อปํญหากับข้อมูลและโครงข่ายได้

เราสามารถสรุปได้ว่า layer 2 tunnel protocol มีจุดเด่นในเรื่องของการประหยัดค่าใช้จ่ายในการทำ remote access และเป็นเทคนิครักษาความปลอดภัยที่ดีเยี่ยมสำหรับระบบ Remote Access เมื่อใช้งานร่วมกับ IPSec อย่างไรก็ตาม L2PT ไม่มีประสิทธิภาพเกี่ยวกับระบบรักษาความปลอดภัยเพียงพอเมื่อถูกนำไปใช้เพียงลำพัง

4. โปรโตคอลต่างๆที่ใช้ร่วมกันกับ IPSec เพื่อเพิ่มประสิทธิภาพการทำงานของ VPN

บริการและโปรโตคอลต่างๆที่ใช้ร่วมกันกับ IPSec เพื่อเพิ่มประสิทธิภาพการรักษาความปลอดภัยของ VPN คือ (ดูรูป 2 ประกอบ)

4.1 Non-IPSec Network Layer เช่น Network Address Translation (NAT), Packet Filtering และ Quality-of-Service

Non-IPSec Application Layer เช่น SOCKS, Secure Socket Layer (SSL), Secure HTTP (S-HTPP) และ Secure Mail (S-MIME)

5. การประยุกต์ ใช้งาน VPN

เราสามารถแบ่งการประยุกต์ การใช้งาน VPN ออกได้เป็น 3 แบบ คือ

Branch Office Connection Network เป็นการเชื่อมต่อกันระหว่างสองเครือข่ายอินทราเน็ตภายในบริษัทหรือองค์กรเดียวกันโดยเน้นระบบรักษาความปลอดภัยทั้งการป้องกันเครือข่ายอินทราเน็ตขององค์กรจากโลกภายนอกและป้องกันข้อมูลขององค์กรที่ถูกส่งบนเครือข่ายสาธารณะ ดังรูป 4

Image9.gif (55910 bytes)

รูป 4 Branch Office Connection Network

- Business Partner/Supplier Network บริษัทชั้นนำนิยมใช้ระบบติดต่อสื่อสารที่มีราคาถูกและมีระบบรักษาความปลอดภัยที่ดีในการติดต่อกับหุ้นส่วนทางธุรกิจ, สาขา และ ผู้ขาย โดยบริษัทต่างๆมักจะเลือกที่จะใช้ frame relay หรือวงจรเช่า (leased line) ซึ่งในบางครั้งอาจมีราคาแพงเกินไปหรือมีอุปสรรคเกี่ยวกับสภาพภูมิศาสตร์ VPN Technology จึงเป็นทางเลือกในการสร้างเครือข่ายส่วนตัวให้กว้างไกลขึ้นโดยมีการลงทุนที่ต่ำดังรูป 5 Image10.gif (13792 bytes)

รูป 5 Business Partner/Supplier Network

Remote Access Network

ใช้สำหรับ Remote user ซึ่งอาจกำลังอยู่ที่บ้าน, อยู่บนยานพาหนะหรือใช้ mobile computer ต้องการระบบติดต่อสื่อสารที่มีราคาถูกและมีความปลอดภัยสูงเพื่อใช้ติดต่อกับระบบเครือข่ายร่วม (Corporate Network ) ดังรูป 6

Image11.gif (50943 bytes)

รูป 6 Remote Access Network