171

Virtual Private Network นายสมนท พลพทกษ

บทท 9

Virtual Private Network

VPN (Virtual Private Network)

VPN หรอ Virtual Private Network คอการสรางเครอขายเสมอนสวนบคคลขนมาบนเครอขายทใชงาน

อยจรง ซงมกจะเปนเครอขายสาธารณะ เชน อนเทอรเนต เปนตน เครองหรอระบบเครอขายทเชอมตอกน

ดวย VPN จะเสมอนหนงวาอยในเครอขายหรอระบบ LAN เดยวกนหรออธบายอกนยหนงคอเปรยบเสมอน

มทอส าหรบรบสงขอมลทมองไมเหนเชอมถงกนอยนนเองทอรบสงขอมลดงกลาวนในทาง LAN จะเรยกวา

Tunnel ทแปลวาอโมงคนนเอง

อยางไรกตามในเชงเทคนคแลว VPN กคอเทคนคทใชในการสรางชองทางการล าเลยงขอมลทปลอดภย

ขนระหวางตนทางและปลายทาง โดยอาศยเทคนคทใชในการสรางชองทางการล าเลยงขอมลทปลอดภย

ขนระหวางตนทางและปรายทาง โดยอาศยเทคนคการเขารหสขอมล (Encryption) เพอปองกนไมใหขอมล

ทถกดกหรอขโมยระหวางทางถกน าไปถอดรหสหรอน าไปใชประโยชนตอได นอกจากนยงประกอบไปดวย

เทคนคการปองกนการปลอมแปลงขอมล การตรวจยนยนตวผ ใช และการตรวจยนยนตวระหวางตนทาง

และปลายทางเพอปองกนการสวมรอย

ประเภทของ VPN

VPN แบงออกเปน 2 ประเภทตามลกษณะของการใชงาน คอ Remote Access VPN และ Site-to-site

VPN ดงมรายละเอยดดงน

รปท 9.1 VPN

ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 334

172

Virtual Private Network นายสมนท พลพทกษ

Remote Access VPN

Remote Access VPN คอ การเชอมตอ VPN จากเครองคอมพวเตอรเดยวๆ ทอยภายนอก หรอ

อนเทอรเนตเขากบระบบ LAN ภายใน (หรอทเรยกวา Client-to-LAN หรอ Client-to Gateway) โดยผาน

อปกรณทเรยก VPN Server ซงในกรณนตวอปกรณ Firewall ทวๆ ไปมกจะมความสามารถเปน VPN

Server ไดในตว อยางไรกตามในตวระบบปฏบตการทวๆ ไป เชน Windows หรอ Linux กมความสามารถ

เปน VPN Server ไดดวยเชนกน เครองคอมพวเตอรภายนอกจะตองไดการตดตงโปรแกรมหรอซอฟแวรท

เรยกวา VPN Client ซงมกจะตดมาใหกบชดอปกรณของ Firewall อยแลวแตในกรณของระบบ ปฏบตการ

Windows รนปจจบนกมกจะมความสามารถในการเชอมตอ Remote Access VPN ไดในตวโดยไมตอง

ตดตงซอฟตแวรหรอโปรแกรมเพม แตกตองตงคาใหถกตองดวย ส าหรบโปรโตคอลทใชในการเชอมตอ

Remote Access VPN ไดแก PPTP , L2F , L2TP , L2TP/IPSec และ IPSec

Site-to-Site VPN

Site-to-Sire VPN คอการเชอมตอ VPN ระหวางระบบ LAN 2 ระบบเขาดวยกน (หรอทเรยกวา LAN-to-

LAN หรอ Gateway-to-Gateway) โดยอาศยอปกรณทเรยกวา VPN Gateway ทตดตงไวในระบบ LAN ทง

2 ฝง เปนตวเชอมตออปกรณ Firewall โดยทวๆ ไปจะมความสามารถในการท าตวเปน VPN Gateway ได

ตวอยางเชน การเชอมตอระบบ LAN ระหวางสาขา และส านกงานใหญเขาดวยกนโดยอาศยการท างาน

Site-to-site VPN ผานอนเตอรเนต การสรางทอรบสงขอมลหรอ Tunnel จะเกดขนระหวาง VPN Gateway

เทานน เครองลกขายภายในระบบ LAN แตละฝงจะสามารถตดตอสอสารกบอกฝงหนงไดโดยไมตองตดตง

ซอฟตแวรหรอตงคาใดๆ ในเครองเพม อธบายงายๆ กคอเครองลกขายจะไมรบรวามการเชอมตอระหวาง

ระบบ LAN ทงสองฝงดวย VPN กนอย ส าหรบโปรโตคอลทสามารถใชในการท างาน Site-to-Site VPN ก

คอ PPTP , L2F , L2TP , L2TP/IPSec และ IPSec(Tunnel mode) แตทเปนมาตรฐานและนยมใชกน

โดยทวไปคอ IPSec

ความสามารถจรงแลวการเชอมตอแบบ Site-to-Site โดยไมผาน VPN นน สามารถท าไดโดยการเชอม

ผาน Leased Line หรอ Frame Relay แตเนองจากตองเสยคาใชจายหรอคาบรการทคอนขางสง ดงนนจง

เปนทมาของ Site-to-Site VPN นนเอง จดเดนของ Site-to-Site VPN กคอคาใชจายต า ในขณะทไดความ

ปลอดภยของขอมลในระดบสงหรออาจเทยบเทากบ Leased Line หรอ Frame Relay ได แตกตองขนอย

173

Virtual Private Network นายสมนท พลพทกษ

กบเทคโนโลย VPN ทเลอกใชดวย ส าหรบจดออนกคอเรองของความเรวในการรบสงขอมลทอาจจะ

เทยบเทา Leased Line หรอ Frame Relay ไมได

Remote Access VPN

ในทนจะอธบายเฉพาะ Remote Access VPN ซงเปน VPN ประเภททใชกนอยทวไปเปนสวนใหญ

ส าหรบ Site-to-Site VPN ซงเปนประเภททใชนอยกวานนจะไมอธบาย รายละเอยดของ Remote Access

VPN มดงตอไปน

Compulsory และ Voluntary Tunnel

ในกรณของ Remote Access VPN นนเครองลกขายสามารถทจะสรางทอรบสงขอมลส าหรบ Tunnel

ไดใน 2 ลกษณะตามการใชงาน ไดแก

Compulsory Tunnel (หรอ Mandatory Tunnel ) คอการเชอมตอ Remote Access VPN โดย

วธการหมนโมเดมผายสายโทรศพทจากเครองลกขายไปยงอปกรณ Remote Access Server

(RAS ) ทมกจะตงอยในทท าการของผ ใหบรการอนเตอรเนต การสรางทอรบสงขอมล หรอ Tunnel

จะเกดขนระหวางอปกรณ RAS และ VPN SERVER เทานน การใชงาน VPN ในลกษณะนมกจะ

เปนบรการพเศษของผใหบรการอนเตอรเนตทหากตองการใชกตองเสยคาบรการเพม

Voluntary Tunnel คอการเชอมตอ Remote Access VPN โดยทการสรางทอรบสงขอมลหรอ

Tunnel เกดขนตงแตเครองลกขายจนถงตว VPN Server เลย เครองลกขายสามารถเชอมตอ

อนเทอรเนตโดยการหมนโมเดม, ADSL หรอแชรอนเทอรเนตจากระบบ LAN ภายในองคกรกได

การใชงาน Remote Access VPNในปจจบนสวนใหญจะเปนแบบนเนองจากไมตองสนใจวา

อปกรณ RAS ของผใหบรการอนเทอรเนตจะสนบสนนการเชอมตอกบ VPN Server ไดหรอไม

PPP (Point-to-Point Protocol)

PPP คอ โปโตคอลทเอออ านวยใหเครองลกขายสามารถเชอมตอหรอเขาถงระบบเครอขายภายใน

องคกรไดจากระยะไกล (Remote Access) ดวยวธการหมนโมเดมผานสายโทรศพท (Dial-up) ภายในตว

โปโตคอล PPP นนจะมกลไกการรกษาความปลอดภยของขอมลพรอมสรรพในตวมนเอง เชน การตรวจ

ยนยนตวผใช (User Authentication) และ การเขารหสขอมล (Encryption) เปนตน

174

Virtual Private Network นายสมนท พลพทกษ

รปท 9.2 โครงสรางของโปรโตคอล PPP

ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 336

โครงสรางของโปรโตคอล PPP นนสามารถบรรจแพกเกตของโปรโตคอลในระดบทสงกวาไวภายในตวได

เชน IP, IPX และ NetBEUI เปนตน ดงแสดงในรปท 9.2 ซงในกรณน PPP จะท าหนาทขนถายแพกเกตของ

โปรโตคอลในระดบสงเหลานนใหไปถงอปกรณ RAS จะท าการถอดโครงสรางสวนหว (Header) ของ PPP

ออกใหเหลอเฉพาะเนอขอมล (Data) ซงกคอแพกเกตของโปรโตคอลระดบสงทบรรจอยขางใน จากนนจง

สงตอเขาไปยงระบบ LAN ภายในองคกรเพอใหแพกเกตนนไปถงเครองปลายทางได

รปท 9.3 การใชงานอนเทอรเนตโดยวธหมนโมเดม

ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 336

ส าหรบกลไกการรกษาความปลอดภยของขอมลของ PPP นนจะประกอบดวย การตรวจยนยนตวผ ใช

(User Authentication) ทกระท าโดยฝงทเปนอปกรณ RAS และ การเขารหสขอมล (Encryption) ระหวาง

ตนทางและปลายทาง โดยทวไปในระบบปฏบตการ Windows รนใหมๆ นนจะมความสามารถในการ

เชอมตอกบอปกรณ RAS หรอสามารถท าตวเปน RAS ไดในตวแตกตองตงคาใหถกตองดวย

175

Virtual Private Network นายสมนท พลพทกษ

PPP และหลกการท างานของ VPN

ดงทไดอธบายไปแลววา PPP คอโปรโตคอลทมการรกษาความปลอดภยของขอมลพรอมสรรพในตวมน

เอง เชน การตรวจยนยนตวผ ใช และ การเขารหสขอมล ดงนนจงเหมาะทจะน ามาใชในการขนถายขอมล

ผานอนเทอรเนตหรอเครอขาย IP แตเนองจาก PPP ถกออกแบบมาใหท างานเฉพาะการเชอมตอผาน

โมเดมและสายโทรศพทเทานน หากสามารถท าให PPP สามารถเดนทางขามเครอขายอนเทอรเนตหรอ

เครอขาย IP ประเภทตางๆ เชนระบบ LAN ไดกจะเปนการเพมขอบเขตการท างานของ PPP ออกไปได

ดงนน วธการและทงหมดทอธบายไปขางตนกคอหลกการท างานของ VPN นนเอง

โปรโตคอลทใชส าหรบ VPN

PPTP (Point-to-Point Tunneling Protocol)

PPTP (Point-to-Point Tunneling Protocol) คอโปรโตคอลทใชส าหรบการท า VPN ในรนแรกๆ และยง

ใชกนอยในปจจบน พฒนาขนโดยบรษทไมโครซอฟท โดยทวไปมกใชส าหรบการเชอมตอเครองลกขาย

เดยวๆ จากระบบเครอขายภายนอกหรออนเทอรเนตเขาสระบบ LAN ภายในบรษทหรอทเรยกวา Remote

Access VPN (Client-to-LAN) โดยสามารถสนบสนนการสรางทอรบสงขอมลหรอ Tunnel ไดทงแบบ

Compulsory Tunnel และ Voluntary Tunnel

รปท 9.4 PPTP โปรโตคอล

ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 338

176

Virtual Private Network นายสมนท พลพทกษ

L2F (Layer 2 Forwarding)

L2F คอโปรโตคอลทพฒนาโดยบรษท Cisco Systems เพอใชท า Remote Access VPN ในอปกรณ

ยหอ Cisco เชน Router หรอ Firewall เปนหลก ทอหรอ Tunnel ทสรางขนจะอยระหวางอปกรณ NAS ซงก

คออปกรณ RAS ทมความสามารถในการเชอมตอกบอปกรณ Cisco ทท าหนาทเปน VPN Server จะ

เรยกวา Home Gateway ดงแสดงในรปท 9.5

รปท 9.5 L2F โปรโตคอล

ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 341

L2F จะสนบสนนการท า Remote Access VPN แบบ Compusory Tunnel เทานนกลาวคอการสราง

ทอรบสงขอมลหรอ Tunnel นน จะเกดขนระหวางอปกรณ NAS และ Home Gateway เทานน ระหวาง

เครองลกขายและ NAS จะเปนการเชอมตอตามปกต ภายในทอรบสงขอมลสามารถรองรบการขนถาย

ขอมลจากเครองลกขายไดหลายเครองพรอมกน

L2F ท างานในระดบ Data Link Layar หรอ Layar 2 ของดมเดล OSI สามารถขนถายไดทง PPP และ

SLIP ซงเปนโปรโตคอลทใชงานบนสายโทรศพทหรอโมเดมในรนแรกๆ แตปจจบนถกแทนทโดย PPP ไป

แลว

ใน PPTP นนจะมการเปดคอนเนคชนแบบ TCP เพมอก 1 คอนเนคชนทเรยกวา PPTP Control

Connection โดยผานพอรต 1723 เพอใชส าหรบแลกเปลยนขอมลทใชควบคมการท างานของทอรบสง

ขอมล แตส าหรบใน L2F นนจะอาศยการแลกเปลยนขอมลทใชควบคมการท างานโดยใชชองทางเดยวกน

177

Virtual Private Network นายสมนท พลพทกษ

กบการสงขอมลปกตภายในทอทสรางขนนนเอง อธบายอกนยหนงคอ L2F จะอาศยโปรโตคอล UDP ผาน

พอรต 1701 ในการสรางทอรบสงขอมลหรอ Tunnel พรอมกบการขนถายขอมลภายในทอ ดงนนการ

เชอมตอผาน Firewall จงตองเปดพอรต UDP หมายเลข 1701 ดวย

L2F จะใชวธการตรวจยนยนตวผ ใชเชนเดยวกบ PPTP นนคอจะไปอาศยกลไกภายในตวของ PPP เอง

แตกยงสามารถเลอกใชการตรวจยนยนตวผ ใชดวยวธอนๆ ไดอก เชน TACACS+ และ RADIUS ส าหรบ

การเขารหสขอมลนนกใชวธเดยวกนกบทใชใน PPTP ในปจจบน L2F ไมนยมใชกนแลวเพราะถกแทนทโดย

L2TP และ IPSec ทจะอธบายตอไป

L2TP (Layer 2 Tunneling Protocol)

L2TP (Layer 2 Tunneling Protocol) คอโปรโตคอลทเกดจากการน าเอาขอดของ PPTPและ L2F มา

ผสมกน แตคอนขางจะเอนเอยงไปทาง L2F มากหนอย และยงคงใชหลกการเดมคอการขนถายแพกเกต

ของ PPP ใหสามารถเดนทางผานเครอขายอนเทอรเนตหรอระบบเครอขายแบบ IP นนเอง ดงนนการ

เขารหสขอมลและการตรวจยนยนตวผใชยงคงใชกลไกภายในตว PPP เองอยเชนเดยวกบ PPTP และ L2F

ใน L2TP นนจะนยมเรยกอปกรณ VPN Server วา LNS (L2TP Network Server) และเรยกอปกรณ

หรอเครองทเชอมตอกบ VPN Server วา LAC (L2TP Access Concentrator) โดยท LAC นนจะหมายถง

อปกรณ Remote Access Server ทมความสามารถในการตดตอกบ LNS ดวยโปรโตคอล L2TP ได

โดยตรงนนเอง

L2TP/IPSec

L2TP/IPSec (อานวา L2TP over IPSec) คอการผสมผสานระหวาง L2TP และ IPSec ทท างานในแบบ

Transport Mode ทงนกเนองจากวากลไกการรกษาความปลอดภยของขอมลภายในตวของ PPP นนยงจด

อยในระดบทไมคอยปลอดภยมากนก การน า IPSec มาชวยในเรองของการเขารหสขอมลและการตรวจ

ยนยนแหลงทมาของแพกเกตใหกบ L2TP จงชวยแกปญหาดงกลาวขางตน ประกอบกบภายในตวของ

L2TP เองนนกยงมความสามารถในการตรวจยนยนตวผ ใชดวยรหสผ ใชและรหสผานทตดมากบแพกเกต

ของ PPP ทบรรจอยขางในดวย ดงนน L2TP/IPSec จงนบเปนโปรโตคอลทใหความปลอดภยของขอมลสง

178

Virtual Private Network นายสมนท พลพทกษ

มาก อยางไรกตามขอเสยของ L2TP/IPSec กคอไมสามารถท างานผานอปกรณ NAT โดยทวๆ ไปได ซง

ขอเสยนกเปนขอเสยเดยวกนกบ IPSec นนเอง

ในระบบปฏบตการ Windows นน ตว VPN Client จะสนบสนนการท า Remote Access VPN โดยผาน

L2TP/IPSec โดยอตโนมต แตถาคณตองการใช L2TP เพยวๆ โดยไมม IPSec เขามาชวยกสามารถท าได

โดยการแกไขขอมลใน Registry รายละเอยดสามารถศกษาไดจากบทความ support.microsoft.com

/kb/310109 ในเวบไซตของไมโครซอฟต

IPSec (IP Security)

IPSec (IP Security) เปนโปรโตคอลทใชในการปกปองขอมลในแพกเกตของ IP ใหปลอดภยจากการถก

ดกอานขอมลภายในแพกเกตและการปลอมแปลงแพกเกต ส าหรบเทคนคทใชใน IPSec ประกอบดวย การ

เขารหสขอมล (Encryption) การปองกนการแกไขหรอปลอมแปลงแพกเกต และการตรวจยนยนแหลงทมา

ของแพกเกต (Authentication) เปนตน โดยทวไปแพกเกตของ IP มกจะบรรจโปรโตคอลในระดบสงขนไปไว

ภายใน เชน TCP หรอ UDP เปนตน ดงนน โปรโตคอลเหลานจะไดรบการปกปองโดย IPSec ไปดวย IPSec

จะท างานในระดบ Layer 3 หรอ Network Layer ของโมเดล OSI ซงเปนระดบเดยวกบ IP และเนองจาก

IPSec จะอาศยกลไกการปกปองขอมลทออกแบบไวในมาตรฐานของ TCP/IP เอง ดงนนมนจงใชงานได

เฉพาะในเครอขายแบบ IP เทานน ในปจจบนผผลตอปกรณ Firewall หรอ VPN โดยสวนใหญจะสนบสนน

การท า VPN โดยใช IPSec กนเปนหลก โดยสามารถใชงานไดทงในแบบ Site-to-Site และ Remote

Access VPN

สวนประกอบของ IPSec

IPSec ประกอบดวยโปรโตคอลยอยอนๆ อกหลายตวทท างานรวมกน แตทส าคญและขาดไมได

1. Encapsulated Security Payload (ESP) คอโปรโตคอลทใชในการเขารหสขอมลโดยใชหลกการของ

Symmetric Cryptography หรอการใชกญแจการเขาและการถอดรหสรวมกนทงตนทางและปลายทาง

แพกเกตของ IP ทตองการความปลอดภยของขอมลสามารถใช ESP ในการเขารหสขอมลกอนสงได แต

ขอบเขตการปกปองขอมลในแพกเกตนนจะมผลเฉพาะในสวนของเนอขอมล (IP Data) ของแพกเกตเทานน

179

Virtual Private Network นายสมนท พลพทกษ

2. Authentication Header (AH) คอโปรโตคอลทใชในการปองกนการแกไขหรอปลอมแปลงแพกเกต

โดยอาศยการค านวณคา Checksum ซงไดจากการน าเอาขอมลจากโครงสรางสวนหวและเนอขอมลของ

แพกเกตพรอมดวยกญแจการเขารหสมาเขาสตรการค านวณทางคณตศาสตรแลวน าคาทไดไปบนทกไวใน

โครงสรางสวนหวของแพกเกตเพอใหทงตนทางและปลายทางสามารถใชในการตรวจสอบวาแพกเกตทได

รบมานนไมไดผานการปลอมแปลงมา และเนองจาก AH ใชทงขอมลในโครงสรางสวนหวและเนอขอมล

ของแพกเกตมาค านวณคาChecksum ดงนนขอบเขตการปกปองขอมลจะมผลครอบคลมทกสวนของแพก

เกตดวย

3. Internet Key Exchange (IKE) Protocol คอโปรโตคอลทใชในการตกลงรายละเอยดหรอวธการทจะ

ใชในการสรางชองทางการสอสารทปลอดภยขนระหวางตนทางและปลายทาง การท างานของ IKE จะแบง

ออกเปน 2 ขนตอน ดงน

3.1. Phase 1 เปนการตกลงรายละเอยดหรอวธการทจะใชในการสรางชองทางการสอสารทปลอดภย

ขนระหวางตนทางและปลายทาง เชน วธการเขารหสขอมล วธการปองกนการแกไขหรอปลอมแปลงแพก

เกต การสรางกญแจการเขารหสขอมลทจะใชรวมกน และวธการตรวจยนยนตวระหวางกน เปนตน ชอง

ทางการสอสารทสรางขนในขนตอนนยงถกใชงานตอเนองในขนตอนท 2 ดวย ส าหรบวธการตรวจยนยนตว

ระหวางกนนนแบงออกไดเปน 3 วธหลกๆ คอ

1. Pre-shared Key คอการก าหนดรหสลบซงคลายๆ กบรหสผานเพอใหตนทางและปลายทางใช

ในการยนยนตวระหวางกน

2. Digital Signature คอการทฝงตนทางใช Private Key ของตวเองซงถกเกบเปนความลบไวมา

ทดลองเขารหสขอมลเพอสงไปใหปลายทางทดลองถอดรหสดวย Public Key ทเผยแพรไว โดยฝงตนทาง

เพอใหใชคกน หากปลายทางสามารถถอดรหสไดกแสดงวาขอมลทไดรบนนมาจากตนทางท

3. Self Signed certificate คอการใชเทคนคและวธการของ Digital Certificate นนเอง แตท

ตางกนคอ Self Signed Certificate นนจะออกโดยผดแลระบบเพอใชภายในองคกรเอง ท าใหประหยด

คาใชจายในการขอม และยงสะดวกในการบรการอกดวย

180

Virtual Private Network นายสมนท พลพทกษ

3.2. Phase 2 เปนการตกลงรายละเอยดหรอวธการทใชในการปกปองระหวางตนทางและปลายทาง

เพอใชในการท างานของโปรโตคอล ESP และ AH โดยอาศยชองทางการสอสารทสอสารขนในขนตอนนจะ

มการตกลงระหวางตนทางและปลายทางเพอสรางกญแจการเขารหสขอมลส าหรบ ESP และ AH ทใช

รวมกนทงสองฝายขนใหมจ านวน 2 ชด โดยชดท 1 ใชส าหรบการสงขอมล และ ชดท 2 ใชส าหรบการรบ

ขอมล กญแจเขารหสดงกลาวนจะหมดอายภายในเวลาสนๆ และตองมการสรางขนใหมอยเปนระยะๆ

ตลอดการสอสารทงนเพอเปนการเพมความปลอดภยของขอมลใหมากยงขนนนเอง

สรปขอดขอเสยของ IPSec

คณสมบตของ IPSec ทเปนจดเดนกคอเรองของการเขารหสขอมล การปองกนการปลอมแปลงแพกเกต

และการตรวจยนยนแหลงทมาของแพกเกตได สามารถปองการ Replay ได (การ Replay หมายถงการแอบ

เกบบนทกแพกเกตทเกดจากการสอสารระหวางเครอง 2 เครอง ไวจากนนอาจมการเปลยนแปลงหรอแกไข)

SSL VPN ( Secure Sockets Layer Virtual Private Network )

SSL VPN หรอมชอเรยกอกอยางหนงคอ SSL/TLS VPN โดยท SSL คอ Secure Socket Layer และ

TLS คอ (Transport Layer Security) แตในทนจะขอเรยกเปน SSL VPN

SSL VPN คอเทคนคทเปดโอกาสใหผ ใชหรอเครองลกขายทอยภายนอกหรออนเตอรเนตสามารถเขาใช

งานแอพพลเคชนภายในระบบ LAN ไดอยางปลอดภยโดยอาศยโปรแกรมเวบบราวเซอรควบคกบการ

เขารหสขอมลดวยเทคโนโลยของ SSL นนเอง การใชโปรแกรมเวบบราวเซอรควบคกบเทคโนโลยของ SSL

นนเอง การใชโปรแกรมเวบบราวเซอรควบคกบเทคโนโลยของ SSL นนไมใชของใหมแตอยางใด เพยงแตวา

ในอดตนนมนถกใชเพอการท าธรกจหรอธรกรรมผานอนเตอรเนตเสยสวนใหญ แตในปจจบนกลบไดรบ

ความนยมในการน ามาประยกตใชกบ Remote Access VPN ดวย

181

Virtual Private Network นายสมนท พลพทกษ

รปท 9.6 SSL VPN

ทมา : คมอดแลระบบ Network ฉบบมออาชพ, 2551 : 369

ขอดของ SSL VPN คอเครองลกขายทเชอมตอผานอนเตอรเนตจะไมจ าเปนตองตดตงโปรแกรม หรอ

ซอรฟแวรประเภท VPN Client เหมอน IPSec หรอ PPTP แตอยางใด ขอเพยงมโปรแกรมบราวเซอรใน

เครองกสามารถใชงานไดแลว นอกจากนในฝงของVPN Server หรอ SSL VPN Gateway ทอยหลง

อปกรณกไมตองมการเซตอพ ใหยงยากแตอยางใด สามารถใชงานงานผานอปกรณ NAT ไดโดยไมม

ปญหาเนองจากมนอาศยโปรโตคอล HTTP และ HTTPS ในการท างาน นอกจากนยงสามารถหรอจ ากด

โปรแกรมทตองการเปดใหใชไดเปนตวๆ ไป หรอทเราเรยกวา Publish แทนทจะเปดใหเครองลกขาย

สามารถมองเหนหรอเขาถงไดทงระบบเครอขายเหมอนในกรณของ IPSes, PPTP หรอ L2TP

จดออนของ SSL VPN กคอการตรวจยนยนตว (Authentication) หรอการแสดงตนวาเปนเครอง

คอมพวเตอรทเปนตวจรงหรอไมใช เครองทปลอมแปลงขนมานน มกจะกระท าแคเพยงในฝงของเครอง

เซรฟเวอร (เครองทท าหนาท SSL VPN Gateway) เทานน ซงโดยทวไปจะใชวธการจดทะเบยนเพอขอรบ

SSL Certificate จากบรษทหรอตวแทน CA (Certificate Authority) แลวน ามาตดตงลงในเครอง ในขณะท

ทางฝงเครองลกขายนนมกจะใชวธการตรวจยนยนตวโดยใชรหสผ ใชและรหสผานซงอาจเปนชองโหวใน

การถกบกรกหรอโจมตดวยวธ MIMT (Man-in-the-middle) Attack ได

182

Virtual Private Network นายสมนท พลพทกษ

อยางไรกตามหากตองการใชวธการตรวจยนยนตวของเครองลกขายโดยใช SSL Certificate เหมอนทาง

ฝงเซรฟเวอรนนกสามารถท าไดเชนกน แตกตองไปขอจดทะเบยน SSL Certificate กบ CA ใหกบเครองลก

ขายแตละเครอง ซงอาจเสยคาใชจายและคาดแลรกษาเพมอกพอสมควร แตผดแลระบบสามารถเลยงไปใช

วธทเรยกวา Self Signed Certificate หรอการออก SSL Certificate เพอใชเองภายในองคกร

SSL VPN นนมกจะถกน ามาเปรยบเทยบกบ IPSec ซงนยมใชกนเปนสวนใหญในปจจบน โดยมขอดใน

แงทวา ไมตองตดตงซอฟตแวรหรอโปรแกรมใดๆ ในเครองขอเพยงมโปรแกรมบราวเซอรในเครองกพอ ท า

ใหงายตอการใชงาน อกทงยงชวยลดปญหาตางๆ ทอาจเกดขนจากการใชงาน Remote Access VPN ผาน

IPSec

โปรโตคอลของ VPN สมยใหมๆ

Open VPN

ความหมายของค าวา SSL VPN ตามทไดอธบายไปแลวขางตนนน ปจจบนมหลายคนโตแยงวา SSL

VPN ไมนาจะจดเปนเทคโนโลยของ VPN เลย และควรจะเรยกเปน Application Gateway ซงจดเปน

Reverse Proxy Server ชนดหนงไปเลยมากกวา แตเนองจากมผผลตหลายรายตางกเรยกผลตภณฑของ

ตนทท างานในลกษณะของ Application Gateway วาเปน SSL VPN Gateway กนไปหมดแลว จะดวย

ความจงใจหรอเขาใจผดกตาม จงท าใหเกดความสบสนในกลมผ ใชหรอผบรโภคไปทว ประกอบกบใน

ปจจบนยงมซอฟตแวรทเปน Open Source ตวหนงทเรยกวา Open VPN จะไมไดเกยวของกบโปรแกรม

เวบบราวเซอรเพอเนนวาเปน “Clientless” แตอยางใด

Open VPN นนจะมลกษณะหรอหลกการท างานทคลายคลงกบ IPSec มากกวา เครองลกขายท

ตองการเชอมตอโดยใช Open VPN จะตองตดตงซอฟตแวร Open VPN Client เพมเหมอนในกรณของ

IPSec และมการสรางทอ (Tunnel) ระหวางเครอง Open VPN Client และ Open VPN Server โดยใช

เทคนคการเขารหสของ SSL ซงเปนเทคนคการเขารหสในระดบ Transport Layer (เขารหสเฉพาะในสวน

ของเนอขอมลในแพกเกตของ TCP หรอ UDP) ดงนนมนจงไมมปญหาในการท างานผานอปกรณ NAT

เหมอนดงกรณ IPSec ส าหรบพอรตทใชโดย Open VPN ในปจจบนจะใชพอรต UDP 1194 เปนพอรต

มาตรฐาน (หรอสามารถตงเองโดยผดแลระบบได) ดงนนในกรณทตองใช Open VPN Server อยภายหลง

อปกรณ NAT หรอ Firewall กตองท า Port mapping หรอเปดพอรตใหถกตองตรงกนไวดวย

183

Virtual Private Network นายสมนท พลพทกษ

SSTP (Secure Socket Tunneling Protocol)

SSTP กคอโปรโตคอล VPN ตวใหมของไมโครซอฟต ทอาศยโปรโตคอล HTTPS และเทคนคของ SSL

ในการเขารหสขอมล เชนเดยวกบ SSL VPN ดงนนบางคนจงเรยก SSTP วา Microsoft SSL VPN เรมมใช

กนใน Windows รนใหมๆ เชน Vista Service Pack 1 และ Windows Server 2008 ส าหรบพอรตทใชโดย

SSTP กคอพอรต TCP 443 ทใชโดยโปรโตคอล HTTPS นนเอง อยางไรกตามในการใชงาน SSTP เครองท

ท าหนาทเปน VPN Server (SSTP VPN Server) จะไมจ าเปนตองตดตงหรอเปดบรการเวบเซรฟเวอร IIS ไว

แตอยางใด เนองจากไมเกยวของกนอธบายเพมเตมคอ พอรต 443 ทใชนนจะถกจดการโดยบรการ

Routing and Remote Access Service ตวใหมทใชใน Windows Server 2008 อยางไรกตามตว IIS และ

Routing and Remote Access Service สามารถท างานดวยกนไดโดยไมมปญหา SSTP ยงสามารถ

รองรบ IPv6 ดวย คาดวาในอนาคต SSTP คงจะมาแทนทเทคโนโลยของ VPN เดมๆทใชกนใน Windows

รนปจจบน เชน PPTP และ L2TP/IPSec เนองจากมนมขอดคอ สามารถผานเขาออกตวอปกรณ NAT หรอ

Firewall ไดโดยไมมปญหา