Virtual Private Networking

บทความนี้ผมเขียนลงหนังสือพิมพ์กรุงเทพธุรกิจ เมื่อวันที่ 9 ธันวาคม 2547 ครับ

หลายๆ คนอาจจะเคยได้ยินคำนี้มาแล้ว แต่ว่าวันนี้ที่ผมจะพูดถึงคือการทำงานจากบ้านโดยอาศัย Hi-Speed Internet และเทคโนโลยีที่เรียกว่า VPN ย่อมาจาก Virtual Private Network ซึ่งหมายถึงการทำท่อเสมือน (Tunneling) เพื่อใช้ส่งข้อมูลระหว่างต้นทางกับปลายทาง ผ่านทางระบบ Network สาธารณะหรือ Internet นั่นเอง

เนื่องจากระบบ Internet เป็น Network สาธารณะ หรือ ระบบเปิด ถ้าคุณส่งข้อมูลจากบ้านผ่านไปยังที่ไหนก็แล้วแต่ Hacker ก็สามารถที่จะเข้ามาจับข้อมูลที่ถูกส่งเอาไปดูได้ว่า คุณกำลังส่งข้อมูลอะไรบ้าง ทีนี้ถ้าเราทำท่อส่วนตัวขึ้นมาโดยที่เราจะรับ-ส่งข้อมูลลอด “ท่อเสมือน” อันนี้เท่านั้นไปยังที่ทำงาน ทำให้ไม่มีใครสามารถที่จะมาดักจับข้อมูลของเราไปได้ครับ

 

เริ่มแรกเลย ผมจะพูดถึง IPSec (Internet Protocol Security) ซึ่งเป็นมาตรฐานในการสร้างท่อ (Tunneling), การเข้ารหัสข้อมูล (Encryption) และการตรวจสอบตัวตน (Authentication) บน Internet โดยที่มาตรฐาน IPSec นี้ ถูกออกแบบมาเพื่อป้องกันการส่งข้อมูลจาก Hacker โดยที่มีการระบุปัญหาที่จะต้องทำการแก้ไขไว้ 5 ข้อใหญ่ๆคือ

1. Access Control
2. Connection integrity
3. Authentication of data origin
4. Protection against replays
5. Traffic flow confidentiality

สำหรับ IPSec Protocol นั้นยอมให้มีการทำงานอยู่ 2 แบบก็คือ Transport Mode และ Tunnel Mode โดยที่ข้อแตกต่างระหว่างทั้ง 2 โหมดนี้ก็คือใน Transport Mode นั้น ข้อมูลชิ้นหนึ่งๆที่ถูกส่งออกไป (ยกเว้นส่วน IP Header) จะถูกป้องกัน ในขณะที่ใน Tunnel Mode นั้น ข้อมูลทั้งก้อนรวมทั้ง IP Header จะได้รับการปกป้อง โดยการสร้าง IP Header ชึ้นมาครอบข้อมูลทั้งก้อนนั้นอีกชั้นหนึ่ง เพื่อคลุมข้อมูลทั้งก้อนนั้นไว้ คล้ายๆกับการเอาข้อมูลทั้งชิ้นใส่ซองปิดผนึก แล้วก็เอาซองนั้นใส่ซองปิดผนึกอีกชั้นหนึ่ง รวมทั้งมีการจ่าหน้าซองใหม่ด้วยครับ

ย้อนหลังไป ในขณะที่ IPSec Protocol กำลังอยู่ระหว่างการพัฒนาอยู่นั้น ก็ได้มี Protocol อื่นๆ เกิดขึ้นมาเพื่อใช้ในระหว่างที่ IPSec ยังไม่เสร็จสมบูรณ์ Protocol เหล่านั้นมีชื่อว่า L2TP และ PPTP

PPTP (Point-to-Point Tunneling Protocol) เป็นมาตรฐานการ Encryption และ Authentication จาก PPTP Industry Forum ซึ่งมีบริษัทดังๆ เช่น Microsoft และ 3Com ร่วมอยู่ด้วย ซึ่งถ้าดูแล้ว ระบบการรักษาความปลอดภัย ยังไม่เข้มแข็งเท่ากับ L2TP/IPSec แต่ข้อดีของ PPTP ก็คือความสะดวกในการนำมาใช้งาน โดยที่ไม่ต้องลงทุนในเรื่องของ Hardware และ Software มากนัก สำหรับบริษัทใช้ PPTP อยู่ แต่ต้องการความปลอดภัยที่มากขึ้น ก็สามารถที่จะเพิ่มในส่วนของ Smart Card หรือ Token Card เข้าไป ซึ่งจะทำให้การ Hack ทำได้ยากยิ่งขึ้นไปอีก

ข้อดีอีกอย่างนึงของ PPTP ก็คือความสะดวกในการติดตั้งและใช้งาน โดยที่ PPTP สามารถที่จะใช้งานผ่าน NAT (Network Address Translator) ได้เลย โดยที่ไม่ต้องมีการแก้ไขใดๆทั้งสิ้น ไม่ว่าจะเป็นฝั่ง Client หรือ Server ในขณะที่ IPSec นั้น ไม่สามารถที่ทำงานผ่าน NAT ได้ ยกเว้นว่าทั้ง Server และ Client รองรับการทำงานที่เรียกว่า IPSec NAT traversal (IPSec NAT-T) ถึงอย่างไรก็ตามทาง Microsoft แนะนำให้วาง Microsoft Windows 2003 Server ที่ทำหน้าที่เป็น VPN Server ที่ใช้ IPSec NAT-T ไว้ข้างหน้าของ NAT โดยแนะนำให้ใช้ IP Address จริงสำหรับ Server เหล่านี้ นอกจากคำแนะนำเช่นนี้แล้ว ทาง Microsoft ก็ยังได้ตั้งค่า Default เกี่ยวกับ IPSec NAT-T ไว้ใน Windows XP Service Pack 2 ด้วย โดยที่ค่า Default นี้ จะไม่ยอมให้มีการเชื่อมต่อกับ VPN Server ที่ใช้ IPSec NAT-T ที่วางอยู่ข้างหลังของ NAT เป็นอันขาด อย่างไรก็ดี ค่า Default นี้ เราสามารถที่จะเข้าไปแก้ไขได้ แต่ทาง Microsoft แนะนำว่า “ไม่ควร” (อ้างอิงจาก http://support.microsoft.com/default.aspx?scid=kb;en-us;885348)

L2TP (Layer 2 Tunneling Protocol) เกิดจากการผสมผสานกันระหว่าง L2F (Layer 2 Forwarding) ของ Cisco Systems กับ PPTP โดยสามารถที่จะหุ้ม Protocol อื่นๆนอกจาก TCP/IP เช่น IPX, SNA และ AppleTalk ไว้ในซอง แล้วใช้บริการของ TCP/IP ในการส่งผ่าน Internet อย่างไรก็ตาม L2TP นั้น ไม่มีความสามารถในการเข้ารหัสข้อมูลภายในตัวเอง ทำให้ต้องใช้บริการการเข้ารหัสจาก Protocol ตัวอื่น เช่น L2TP/IPSec Protocol ก็ใช้ L2TP ร่วมกับ IPSec โดยที่ใช้ IPSec ในการเข้ารหัสข้อมูล

หลังจากเกริ่นกันมาพอสมควรแล้ว ทีนี้เรามาลองดูกันว่า ถ้าเราจะนำ VPN Technology มาใช้กับ Office ของเรานั้น จะต้องใช้อุปกรณ์อะไรบ้าง เอาแบบที่ลงทุนน้อยที่สุดก็แล้วกันนะครับ ถ้าจำได้ เมื่อหลายอาทิตย์ก่อน ผมได้แนะนำเกี่ยวกับ ADSL Router และก็ Wireless ADSL Router ไปแล้ว ก็พอจะเห็นได้ว่า Router หลายๆตัวมี function ของ VPN Server ติดมาด้วย เช่นในส่วนของ Wireless ADSL Router ก็ LevelOne WBR-3402A และ Linksys WAGG54G สำหรับ ADSL Router ก็เช่น LevelOne FBR-1407A เป็นต้น ถ้าคุณใช้อุปกรณ์เหล่านี้อยู่แล้ว คุณก็สามารถที่จะใช้ VPN ได้โดยที่เข้าไปเซตค่าที่ Router และก็ที่เครื่อง Client ที่จะสร้าง Virtual Private Network ผ่าน Internet เท่านั้นเองครับ

Windows XP และ Windows 2000 ได้รวม L2TP/IPSec VPN Client มาไว้ใน OS แล้ว แต่สำหรับเครื่อง Client ที่ใช้ Windows 98, Windows Me และ Windows NT Workstation 4.0 นั้น ก็สามารถที่จะเข้าไป Download Microsoft L2TP/IPSec VPN Client ได้ที่ http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/l2tpclient.asp ครับ ส่วนเครื่อง Client ที่เป็น Mac OS X 10.3 (Panther) และ Mac OS 10.2.8 (Jaguar) นั้น ทาง Apple ได้ให้ L2TP/IPSec Client มาพร้อมกับ OS แล้วครับ แต่สำหรับ Mac OS รุ่นก่อนหน้านั้น ก็คงที่จะต้องหา 3rd Party Software มาใช้ครับ

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>