เครื่องมือ
เครือข่ายส่วนตัวเสมือน
เครือข่ายส่วนตัวเสมือน (อังกฤษ: Virtual Private Network: VPN) คือ เครือข่ายที่มีการติดต่อเชื่อมโยงโดยอาศัยเส้นทางจากเครือข่ายสาธารณะในการเชื่อมต่อกัน แต่เครือข่ายชนิดนี้จะเชื่อมต่อกันได้ภายในองค์กรเดียวกันเท่านั้น การส่งข้อมูลที่เป็นเครือข่ายส่วนตัว (Private Network) จะมีการเข้ารหัสแพ็กเก็ตก่อนการส่ง เพื่อสร้างความปลอดภัยให้กับข้อมูล และส่งข้อมูลไปตามเส้นทางที่สร้างขึ้นเสมือนกับอุโมงค์ที่อยู่ภายในเครือข่ายสาธารณะ (Public Network) นั่นก็คือเครือข่าย อินเทอร์เน็ต นั่นเอง เครือข่ายส่วนตัวเสมือนสามารถเชื่อมต่อเครือข่ายจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่งได้ VPN จะช่วยให้คุณสามารถส่งข้อมูลระหว่างเครื่องคอมพิวเตอร์ โดยผ่านระบบอินเทอร์เน็ต ทำให้ได้รับความสะดวกและรวดเร็วในการส่งข้อมูลในแต่ละครั้ง
เครือข่ายส่วนตัว(Private Network) เป็นระบบเครือข่ายที่จัดตั้งขึ้นไว้สำหรับหน่วยงานหรือองค์กรที่เป็นเจ้าของและมีการใช้ทรัพยากรร่วมกัน ซึ่งทรัพยากรและการสื่อสารต่างที่มีอยู่ในเครือข่ายจะมีไว้เฉพาะบุคคลในองค์กรเท่านั้นที่มีสิทธเข้ามาใช้ บุคคลภายนอกเครือข่ายไม่สามารถเข้ามาร่วมใช้งานบนเครือข่ายขององค์กรได้ ถึงแม้ว่าจะมีการเชื่อมโยงกันระหว่างสาขาขององค์กรและในเครือข่ายสาธารณะก็ตาม เพราะฉะนั้น ระบบเครือข่ายส่วนตัวจึงมีจุดเด่นในเรื่องของการรักษาความลับและเรื่องความปลอดภัย ส่วนเครือข่ายสาธารณะ (Public Data Network) เป็นเครือข่ายที่รวมเอาเครือข่ายระบบต่างๆ ไว้ด้วยกันและสามารถแลกเปลี่ยนข้อมูลได้อย่างอิสระ เหมาะสำหรับบุคคลหรือองค์กรที่ไม่ต้องการวางเครือข่ายเอง โดยการไปเช่าช่องทางของเครือข่ายสาธารณะซึ่งองค์กรที่ได้รับสัมปทานจัดตั้งขึ้น สามารถใช้งานได้ทันทีและค่าใช้จ่ายต่ำกว่าการจัดตั้งระบบเครือข่ายส่วนตัว
ลักษณะการทำงานของเครือข่ายส่วนตัวเสมือน (Virtual Private Network) เครือข่ายส่วนตัวเสมือน หรือ Virtual Private Network เป็นเครือข่ายที่มีเส้นทางทำงานอยู่ในเครือข่ายสาธารณะ ดังนั้นเรื่องความปลอดภัยของข้อมูลในเครือข่ายส่วนตัวจึงเป็นเรื่องที่ต้องคำนึงถึงเป็นอย่างมาก เครือข่ายส่วนตัวเสมือนจะมีการส่งข้อมูลในรูปแบบแพ็กเก็ตออกมาที่เครือข่ายอินเทอร์เน็ต โดยมีการเข้ารหัสข้อมูล (Data Encryption) ก่อนการส่งข้อมูล เพื่อสร้างความปลอดภัยให้กับข้อมูลและส่งข้อมูลผ่านอุโมงค์ (Tunneling) ซึ่งจะถูกสร้างขึ้นจากจุดต้นทางไปถึงปลายทางระหว่างผู้ให้บริการ VPN กับผู้ใช้บริการ การเข้ารหัสข้อมูลนี้เอง เป็นการไม่อณุญาตให้บุคคลอื่นที่ไม่เกี่ยวข้องกับข้อมูล สามารถอ่านข้อมูลได้จนสามารถที่จะส่งไปถึงปลายทาง และมีเพียงผู้รับปลายทางเท่านั้นที่สามารถถอดรหัสข้อมูลและนำข้อมูลไปใช้ได้
เนื้อหา |
[แก้] การทำงานของระบบเครือข่ายส่วนตัวมีองค์ประกอบดังต่อไปนี้
[แก้] Authentication VPN
เป็นการตรวจสอบและพิสูจน์เพื่อยืนยันผู้ใช้งาน หรือยืนยันข้อมูล ความมีสิทธิ์ในการเข้าถึงเพื่อใช้งานเครือข่าย ซึ่งเป็นระบบรักษาความปลอดภัยให้กับข้อมูล การ Authentication เป็นขั้นตอนแรกในการทำงาน เมื่อมีการพิสูจน์เพื่อยืนยันผู้ใช้งานแล้ว จึงจะสามารถสร้างอุโมงค์หรือ Tunnel ได้ ถ้าหากว่าการยืนยันผิดพลาดก็ไม่สามารถที่จะสร้างอุโมงค์เพื่อเชื่อมโยงกันได้
[แก้] Encryption
เป็นการเข้ารหัสข้อมูลซึ่งข้อมูลที่ส่งนั้นจะส่งไปเป็นแพ็กเก็ตและมีการเข้ารหัสข้อมูลก่อนการส่งเสมอทั้งนี้เพื่อรักษาความปลอดภัยให้กับข้อมูลและป้องกันการโจรกรรมจากบุคคลนอกองค์กร เมื่อข้อมูลส่งถึงปลายทางอุปกรณ์ปลายทางจะทำการถอดรหัสข้อมูล ให้เป็นเหมือนเดิม เพื่อนำมาใช้งานต่อไป การเข้ารหัสมีอยู่ 2 แบบคือ แบบ Symmetric-key encryption และ แบบPublic-key encryption
[แก้] Tunneling
เป็นวิธีการสร้างอุโมงค์เพื่อเป็นช่องทางในการส่งข้อมูลระหว่างผู้ใช้กับองค์กรหรือระหว่างองค์กรทั้งสององค์กรที่มีการเชื่อมต่อกัน ซึ่งผู้ที่จะเข้ามาใช้งานได้ต้องเป็นผู้ที่มีสิทธิ์เท่านั้น เพราะฉะนั้นการสร้างอุโมงค์จึงเป็นการรักษาความปลอดภัยอย่างหนึ่งเนื่องจากเป็นการเชื่อมต่อเส้นทางบนเครือข่ายสาธารณะที่บุคคลอื่นมองไม่เห็น การสร้างอุโมงค์เป็นหน้าที่ของอุปกรณ์เชื่อมต่อ
[แก้] Firewall
หรือระบบรักษาความปลอดภัย มีหน้าที่ในการให้อนุญาตและไม่อนุญาตผู้ที่ต้องการเข้ามาใช้งานในระบบเครือข่าย
[แก้] รูปแบบการให้บริการของ VPN
[แก้] Intranet VPN
เป็นรูปแบบของ VPN ที่ใช้เฉพาะภายในองค์กรเท่านั้น เช่น การเชื่อมต่อเครือข่ายระหว่างสำนักงานใหญ่กับสำนักงานย่อยในกรุงเทพและต่างจังหวัด โดยเป็นการเชื่อมต่ออินเทอร์เน็ตผ่านผู้ให้บริการท้องถิ่นแล้วจึงเชื่อมต่อเข้ากับเครือข่ายส่วนตัวเสมือนขององค์กร จากเดิมที่ทำการเชื่อมต่อโดยใช้ Leased Line หรือ Frame relay
[แก้] Extranet VPN
มีรูปแบบการเชื่อมต่อที่คล้ายกับแบบ Intranet แต่มีการขยายวงออกไปยังกลุ่มต่างๆภายนอกองค์กร เช่น ซัพพลายเออร์ ลูกค้า เป็นต้น การเชื่อมต่อแบบนี้ก็คือการเชื่อมต่อ LAN ต่าง LAN กันนั่นเอง ปัญหาก็คือการรักษาความปลอดภัยให้กับข้อมูลเพราะฉะนั้นการเลือกผู้ให้บริการที่ดีจึงเป็นสิ่งที่สำคัญมากในการรักษาความปลอดภัยของข้อมูลเพราะถ้าผู้ให้บริการดีก็สามารถรักษาความปลอดภัยให้กับข้อมูลของผู้ใช้บริการได้อย่างดี
[แก้] Remote Access VPN
เป็นรูปแบบการเข้าถึงเครือข่ายระยะไกลจากอุปกรณ์เคลื่อนที่ต่าง ๆ ซึ่งสามารถเข้าถึงเครือข่ายได้ใน 2 ลักษณะ ลักษณะแรก เป็นการเข้าถึงจากไคลเอ็นต์ทั่วไป ไคลเอ็นต์จะอาศัยผู้ให้บริการอินเทอร์เน็ตเป็นตัวกลางในการติดต่อและเข้ารหัสการส่งสัญญาณจากไคลเอ็นต์ไปยังเครื่องไอเอสพีและลักษณะที่สองเป็นการเข้าถึงจากเครื่องแอ็กเซสเซิร์ฟเวอร์ (Network Access Server-Nas)
[แก้] รูปแบบการใช้งานของ VPN
[แก้] Software-Based VPN
เป็นซอฟต์แวร์ที่ทำงานในลักษณะของไคลเอนต์และเซิร์ฟเวอร์ จะทำงานโดยการใช้ซอฟต์แวร์ทำหน้าที่สร้างอุโมงค์ข้อมูลและมีหน้าที่ในการเข้ารหัสและการถอดรหัสข้อมูลบนคอมพิวเตอร์ โดยจะมีการติดตั้งซอฟต์แวร์เข้าไปในเครื่องไคลเอนต์เพื่อเชื่อมต่อกับ เซิร์ฟเวอร์ที่ติดตั้งซอฟต์แวร์ VPN จากนั้นจึงสร้างอุโมงค์เชื่อมต่อขึ้น ข้อดีคือสนับสนุนการทำงานบนระบบปฏิบัติการที่หลากหลาย ติดตั้งง่าย นำอุปกรณ์ที่มีอยู่เดิมมาประยุกต์ใช้ได้ ทำให้สามารถจัดการกับระบบได้ง่าย
[แก้] Firewall-Based VPN
องค์กรส่วนใหญ่ที่เชื่อมต่อกับอินเทอร์เน็ตมีไฟร์วอลล์อยู่แล้วเพียงแค่เพิ่มซอฟต์แวร์ที่เกี่ยวกับการเข้ารหัสข้อมูลและซอฟต์แวร์ที่เกี่ยวข้องเข้าไปยังตัวไฟร์วอลล์ก็สามารถดำเนินงานได้ทันที Firewall-Based VPN มีส่วนคล้ายกับรูปแบบของซอฟต์แวร์และมีการเพิ่มประสิทธิภาพเข้าไปในไฟร์วอลล์ แต่ประสิทธิภาพก็ยังด้อยกว่าฮาร์ดแวร์ เป็นรูปแบบ VPN ที่นิยมใช้แพร่หลายมากที่สุด แต่ก็ไม่ได้เป็นรูปแบบที่ดีที่สุด สนับสนุนการทำงานบนระบบปฏิบัติการที่หลากหลาย บางผลิตภัณฑ์สนับสนุน Load Balancing รวมทั้ง IPsec
[แก้] Router-Based VPN
เป็นรูปแบบของ Hardware Base VPN มีอยู่ด้วยกัน 2 แบบ คือ แบบที่เพิ่มซอฟต์แวร์เข้าไปที่ตัว Router เพื่อเพิ่มการเข้ารหัสและถอดรหัสของข้อมูลที่จะวิ่งผ่าน Router เป็นการติดตั้งซอฟต์แวร์เข้าไปในชิบแบบที่สองเป็นการเพิ่มการ์ดเข้าไปที่ตัวแท่นเครื่องของเราเตอร์ ข้อดีคือสามารถใช้เราเตอร์ของเราที่มีอยู่แล้วได้ ลดต้นทุนได้
[แก้] Black Box-Based VPN
คือรูปแบบของฮาร์ดแวร์ VPN ที่มีลักษณะคล้ายกับเครื่องคอมพิวเตอร์ เป็นรูปแบบของ Hardware Base VPN อีกหนึ่งชนิด
[แก้] ข้อดีและข้อเสียของการใช้งาน VPN
| สถาปัตยกรรม | ข้อดี | ข้อเสีย |
|---|---|---|
| Software-Based VPN | สามารถนำอุปกรณ์เดิมมาประยุกต์
ใช้กับเทคโนโลยี VPN ได้ ทำงานได้ บนระบบปฏิบัติการที่หลากหลาย การติดตั้งง่าย |
ความสามารถในการเข้ารหัส
(Encryption) และการทำ Tunneling ต่ำ |
| Firewall-Based VPN | สามารถใช้ได้กับอุปกรณ์ที่มีอยู่เดิม
และทำงานได้บนระบบปฏิบัติการที่ หลากหลายเช่นเดียวกับ Software-Based VPN |
มีปัญหาคล้ายคลึงกับแบบ
Software-Based VPN และอาจมีปัญหาเกี่ยวกับระบบ ความปลอดภัย |
| Router-Based VPN | เพิ่มเทคโนโลยีของ VPN
เข้าไปในอุปกรณ์ Router ที่มีอยู่ ได้ทำให้ไม่จำเป็นต้องเปลี่ยน อุปกรณ์ ลดต้นทุน |
อาจมีปัญหาในเรื่องของ
ประสิทธิภาพเนื่องจากมี ความต้องการเพิ่มการ์ดอินเตอร์เฟส ในบางผลิตภัณฑ์ |
| Black Box-Based VPN | ทำงานได้อย่างรวดเร็ว โดยจะ
สร้างอุโมงค์ได้หลายอุโมงค์ และ มีการเข้ารหัสและถอดรหัสที่รวดเร็ว |
การทำงานจำเป็นต้องใช้คอมพิวเตอร์
อีกเครื่อง เนื่องจาก Black Box ไม่ มีระบบบริหารจัดการโดยตรง |
[แก้] การทำ Tunnel
Tunneling คือการสร้างอุโมงค์เสมือนเพื่อส่งข้อมูลผ่านอุโมงค์นี้เพื่อออกสู่เน็ตเวิร์คมี 2 แบบ
[แก้] Voluntary Tunneling
เป็นการทำงานของ VPN Client ซึ่งมีหน้าที่ในการติดต่อเข้าไปยัง ISP หลังจากนั้นจึงสร้าง Tunnel เชื่อมต่อไปยัง VPN Server โดยจะเป็นการติดต่อกันโดยตรง (live connection)
[แก้] Compulsory Tunneling
การเชื่อมต่อ VPN ในวิธีนี้จะเป็นหน้าที่ของ ISP คือเมื่อมีผู้ใช้เชื่อมต่อเข้ามายัง ISP ISP ก็จะจะทำการตรวจสอบจนเสร็จ จากนั้นก็จะทำการเชื่อมต่อเครื่องของผู้ใช้เข้ากับเครือข่าย VPN ของผู้ใช้
[แก้] รูปแบบโพรโทคอลของการทำ Tunnel
[แก้] PPTP
PPTP ย่อมาจาก Point - to - Point Tunneling Protocol เป็นโพรโทคอลที่ผลิตและ ติดมากับระบบปฏิบัติการของ Microsoft ซึ่งร่วมกับบริษัทอื่นๆ 3 บริษัท พัฒนาขึ้น PPTP เป็นส่วนต่อเติมของโพรโทคอล PPP ดังนั้นจึงสนับสนุนเฉพาะการเชื่อมต่อแบบPoint-To-Point แต่ไม่สนับสนุนการเชื่อมต่อแบบ Point-To-Multipoint PPTP มีข้อได้เปรียบตรงที่สนับสนุนทั้งไคลเอ็นต์ และทันแนลเซิร์ฟเวอร์และยังได้รับการพัฒนาเพื่อให้เพิ่มประสิทธิภาพในด้านต่างๆขึ้นมาอีก ข้อดีคือสามารถใช้ได้กับทุกระบบปฏิบัติการ ใช้งานผ่าน NAT ได้ สะดวกในการติดตั้ง
[แก้] L2F
L2F ย่อมาจาก Layer 2 Forwarding protocolพัฒนาโดยบริษัท CISCO System เป็นโพรโทคอลที่ทำงานบนเลเยอร์ที่ 2 โดยใช้พวกเฟรมรีเลย์หรือ ATM รวมถึง X.25 ในการทำทันแนล PPTP สามารถใช้เป็นแบบ client-initiated (ซึ่งทรานส์พาเรนต์สำหรับ ISP) หรือใช้เป็นแบบ client-transparent ก็ได้ L2F ต้องการการสนับสนุนในแอคเซสเซิร์ฟเวอร์และใเราท์เตอร์ ระบบการป้องกันของ L2F มีการจัดเตรียมบางอย่างที่ PPTP ไม่มีเช่นการ Authentication ของปลายทั้ง 2 ข้างของทันแนล
[แก้] L2TP
L2TP ย่อมาจาก Layer 2 Tunneling Protocol การทำงานคล้ายๆกับ PPTP ต่างกันตรง L2TP จะใช้ User Datagram Protocol (UDP) ในการตกลงรายละเอียดในการรับส่งข้อมูลและสร้าง Tunnel ซึ่งเป็นการนำเอาข้อดีของทั้งสองโพรโทคอลมารวมไว้ด้วยกัน โดยนำโพรโทคอลในระดับ Layer 2 หรือ PPP มาหุ้มแพ็กเก็ตใน Layer 3 ก่อนที่จะหุ้มด้วย IP Packet อีกชั้น ดังนั้นจึงใช้วิธีพิสูจน์แบบ PPP L2TP ยังสนับสนุนการทำ Tunnel พร้อมกันหลายๆ อันบนไคลเอ็นต์เพียงตัวเดียว
[แก้] IPSec
IPSec หรือ IP Security เป็นการรวม Protocol หลายๆอันมาไว้ด้วยกัน ประกอบด้วยการรักษาความปลอดภัยในการเข้ารหัส การตรวจสอบตัวตนและความถูกต้องของข้อมูล โดยมีการเข้ารหัส 2 แบบด้วยกัน คือ การเข้ารหัสเฉพาะส่วนของข้อมูลจะไม่มีการเข้ารหัส Header เรียกว่า Transport mode และวิธีที่ 2 คือ การเข้ารัหสทั้งส่วนของข้อมูลและ Header เรียกว่า Tunnel mode ซึ่งวิธีนี้จะทำให้ข้อมูลมีความปลอดภัยขึ้น
[แก้] ข้อดีและข้อเสียของระบบ VPN
[แก้] ข้อดีของระบบ VPN
- สามารถขยายการเชื่อมต่อเครือข่ายได้แม้ว่าเครือข่ายนั้นจะอยู่สถานที่ต่างกัน
- มีความยืดหยุ่นสูงเพราะสามารถใช้ VPN ที่ใดก็ได้ และยังสามารถขยาย Bandwidth ในการใช้งานได้ง่ายดาย โดยเฉพาะในการทำ Remote Access ให้ผู้ใช้ติดต่อเข้ามาใช้งานเครือข่ายได้จากสถานที่อื่น
- สามารถเชื่อมโยงเครือข่ายและแลกเปลี่ยนข้อมูลออกภายนอกองค์กรได้อย่างปลอดภัย โดยใช้มาตรการระบบเปิดและมีการเข้ารหัสข้อมูลก่อนการส่งข้อมูลทุกครั้ง
- สามารถลดค่าใช้จ่ายในการเชื่อมต่อ ง่ายต่อการดูแลรักษาการใช้งานและการเชื่อมต่อ
[แก้] ข้อเสียของระบบ VPN
- ไม่สามารถที่จะควบคุมความเร็ว การเข้าถึงและคุณภาพของ VPN ได้ เนื่องจากVPN ทำงานอยู่บนเครือข่ายอินเทอร์เน็ตซึ่งเป็นเรื่องที่อยู่เหนือการควบคุมของผู้ดูแล
- VPN ยังถือว่าเป็นเทคโนโลยีที่ค่อนข้างใหม่สำหรับประเทศไทยและมีความหลากหลายต่างกันตามผู้ผลิตแต่ละราย ฉะนั้นจึงยังไม่มีมาตรฐานที่สามารถใช้ร่วมกันได้แพร่หลาย
- VPN บางประเภทต้องอาศัยความสามารถของอุปกรณ์เสริมเพื่อช่วยในการเข้ารหัส และต้องมีการอัพเกรดประสิทธิภาพ
[แก้] อ้างอิง
- Virtual private network คืออะไร
- Tunneling โพรโทคอลสำหรับการทำ Tunnel
- ชนิดของการทำ Tunnel ภาพตัวอย่างการ Tunneling
- ความปลอดภัยของ VPN การเข้ารหัส (Encryption)
- โพรโทคอล Tunneling
- ข้อเสียของโพรโทคอล PPTPคณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง
- ระบบเครือข่าย VPNลักษณะการทำงานของ VPN
- การประยุกต์ใช้งานของ VPN ดร.วิรินทร์ เมฆประดิษฐสิน
- ข้อดีของเทคโนโลยี VPN Allied Telesyn
- รูปแบบของ Tunneling และ โพรโทคอลต่างๆ Sompong Thahan
- ความปลอดภัย ข้อดีและข้อเสียของ VPN
- รูปตัวอย่าง PPTP
[แก้] แหล่งข้อมูลอื่น
- siamcafe.net เว็บสยามคาเฟ่ (ไทย)
- web.acc.chula.ac.th เว็บมหาวิทยาลัยจุฬาลงกรณ์ (ไทย)
- cs.science.cmu.ac.th เว็บมหาวิทยาลัยเชียงใหม่ (ไทย)
- eng.sut.ac.th เว็บมหาวิทยาลัยเทคโนโลยีสุรนารี (ไทย)
- vcharkarn.com เว็บวิชาการ (ไทย)
- kmitl.ac.th เว็บสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง (ไทย)
 |
เครือข่ายส่วนตัวเสมือน เป็นบทความเกี่ยวกับ คอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ หรือ เครือข่าย ที่ยังไม่สมบูรณ์ ต้องการตรวจสอบ เพิ่มเนื้อหา หรือเพิ่มแหล่งอ้างอิง คุณสามารถช่วยเพิ่มเติมหรือแก้ไข เพื่อให้สมบูรณ์มากขึ้น ข้อมูลเกี่ยวกับ เครือข่ายส่วนตัวเสมือน ในภาษาอื่น อาจสามารถหาอ่านได้จากเมนู ภาษาอื่น ด้านซ้ายมือ หรือ ดูเพิ่มที่ สถานีย่อย:เทคโนโลยีสารสนเทศ |
