Secure Socket Layer Virtual Private Network (SSL VPN)

เนื่องจากการใช้งานอินเตอร์เน็ตในปัจจุบันเป็นเรื่องใกล้ตัว และ เริ่มเข้ามามีบทบาทในชีวิตประจำวันมากขึ้น รวมถึงช่องสัญญาณในการใช้งานที่มีขนาดใหญ่ขึ้นเทียบกับค่าบริการที่ลดลง ทำให้การติดต่อสื่อสารระหว่างกันสามารถทำได้อย่างสะดวกสบายขึ้น แนวคิดของการทำงานได้จากทุกสถานที่ (Work Anywhere) จึงเริ่มมีการพูดถึงกันมากขึ้น ซึ่งการรักษาความลับของข้อมูลเป็นเรื่องสำคัญที่ต้องคำนึงถึง และ เทคโนโลยีหนึ่งที่เข้ามามีส่วนสำคัญในเรื่องนี้คือ ระบบเครือข่ายเสมือน (Virtual Private Network – VPN)

ในปัจจุบัน ด้วยภาวะการแข่งขันทางการตลาดของผู้ให้บริการ ทำให้มีรูปแบบการเชื่อมต่อใหม่ๆ ที่มีความเร็วในการเชื่อมต่อสูงเกิดขึ้น เช่น High speed ADSL, Wi-Fi 802.11n หรือ โครงข่าย 3G ซึ่งมีค่าใช้จ่ายที่ต่ำลงเทียบกับการเชื่อมต่อแบบเดิมๆ ทำให้ปัญหาเรื่องช่องทางการสื่อสารไม่เพียงพอหายไป การเชื่อมต่อแบบ VPN ระหว่าง บุคลากร – องค์กร จึงเริ่มมีการนำมาใช้งานมากขึ้น โดยในช่วงแรกจะใช้การสร้างโปรแกรมเสริมเพื่อนำไปลงบนระบบปฏิบัติการต่างๆ ขึ้นมาเพิ่มเติมเพื่อให้สามารถเชื่อมต่อระบบ IPSEC VPN กับอุปกรณ์ที่สำนักงานใหญ่มีอยู่ได้ แต่มีความยุ่งยากในเรื่องการใช้งาน และ การบำรุงรักษา ทำให้เกิดแนวคิดในการทำ VPN ในระดับที่สูงขึ้นซึ่งเทคโนโลยีดังกล่าวคือ Secure Socket Layer VPN หรือ SSL VPN นั่นเอง

SSL VPN


เป็นการสร้าง VPN ในระดับ Application Layer ผ่านพอร์ต 443 ซึ่งสามารถเชื่อมต่อได้ผ่าน Web Browser โดยทั่วไปที่รองรับการเรียกใช้งาน (HTTPS://) ซึ่ง Web Browser ในปัจจุบันการใช้งานดังกล่าวถือเป็นการทำงานพื้นฐานที่ต้องรองรับอยู่แล้ว เมื่อเทียบกับ IPSEC VPN แล้ว SSL VPN จะเพิ่มความสะดวกสบายให้กับผู้ใช้งาน รวมถึงช่วยอำนวยความสะดวกให้กับผู้ดูแลระบบในการบำรุงรักษา เนื่องจากผู้ใช้งาน “ไม่จำเป็นต้องติดตั้งโปรแกรมเสริม” ทำให้ปัญหาเนื่องจากการติดตั้ง และ การใช้งานน้อยลง นอกจากนี้ผู้ใช้งานยังไม่ถูกจำกัดการทำงานอยู่บนเครื่องใดเครื่องหนึ่งอีกด้วย

นมุมมองของการรักษาความปลอดภัยข้อมูล SSL-VPN จะใช้กลไกในการแลกเปลี่ยน Key สำหรับการเข้ารหัสข้อมูล โดยจะรับ Public Key ที่ถูกแจกจ่ายมาผ่านทาง Certificate Authority (CA) เพื่อใช้ในการถอดรหัสจาก Private Key ที่เครื่องแม่ข่าย หรือ อุปกรณ์ที่เปิดใช้งาน SSL VPN ไว้ ซึ่งเป็นกลไกที่ Web Browser โดยทั่วไปใช้สำหรับการเรียกใช้งาน SSL ผ่าน HTTPS อยู่แล้ว

เมื่อเทียบกันแล้ว IPSEC VPN จะเชื่อมต่อโดยใช้การสร้างท่อ และ จ่าย IP Address ภายในองค์กรให้ การควบคุมการใช้งานจะถูกจัดการที่อุปกรณ์ Layer 3 เช่น Router หรือ Firewall ซึ่งสามารถควบคุมการเข้าถึงเครื่องแม่ข่ายแต่ละเครื่องได้ แต่ไม่สามารถควบคุมชนิดของ Application ที่สามารถใช้งานในเครื่องแม่ข่ายแต่ละเครื่องได้ ซึ่งผิดกับ SSL VPN ที่เป็นการทำงานบน Application Layer ทำให้การควบคุมสิทธิเข้าใช้งานของผู้ใช้งานสามารถทำได้ละเอียดกว่า โดยสามารถระบุชนิดของ Application ที่ผู้ใช้งานแต่ละคนสามารถใช้ได้ เช่น File Sharing, Microsoft Exchange, Lotus Note, Web Application เป็นต้น ทำให้การกำหนดการใช้งานของพนักงานสามารถดำเนินการได้โดยยึดถือนโยบายขององค์กรเป็นสำคัญ

ดังนั้นสำหรับการทำงานของผู้ใช้งานที่ต้องอยู่ภายนอกองค์กร หรือ มีความจำเป็นต้องเดินทางอยู่บ่อยๆ แต่ยังคงต้องเรียกใช้งานแอพพลิเคชั่นสำหรับใช้งานภายในองค์กรแล้ว SSL VPN จึงมีความสะดวก และ เหมาะสมกว่า IPSEC VPN แต่ IPSEC VPN เองก็ยังคงมีการใช้งาน โดยนำไปใช้ในงานสำหรับการเชื่อมต่อที่มีขนาดใหญ่กว่า เช่น การเชื่อมต่อระหว่าง องค์กร กับ องค์กร ซึ่งมีปริมาณผู้ใช้งานที่มากกว่า

ที่มา : https://checkout.hidemyass.com/affiliate.php?ACCOUNT=PRIVAXLT&AFFILIATE=96402&PATH=https%3A%2F%2Fwww.hidemyass.com%2Faffiliate%2Favangate&AFFSRC=blogger

Read more »

การทำงานของ IPSec VPN

เอาล่ะครับ เมื่อทำความรู้จักกับค่าต่าง ๆ ที่เกี่ยวข้องเรียบร้อยแล้ว เราก็จะมาดูขั้นตอนในการทำงานของ IPSec VPN กันครับ

• ขั้นที่ 1 Interesting Traffic เป็นการคัดเลือกทราฟิกที่ต้องการใช้งาน IPSec VPN หรือเลือกทราฟิกที่ต้องการส่งเข้าไปใน Tunnel ไปยังเครือข่ายปลายทาง เนื่องจากในการใช้งานจริงนั้นอาจจะมีทราฟิกที่ต้องการใช้งานระหว่างเครือข่ายภายในที่ต้องการใช้งาน IPSec VPN กับทราฟิกทั่วไปที่ใช้งานปกติ เช่น เปิดอินเทอร์เน็ตหรือ E-mail ต่าง ๆ ที่ไม่ต้องการใช้งาน IPSec VPN ครับ ซึ่งในขั้นตอนการตั้งค่าในขั้นตอนนี้เราจะใช้ access-list ในการคัดเลือกทราฟิกครับ
• ขั้นที่ 2 IKE Phase 1 เป็นขั้นตอนในการเริ่มทำการติดต่อสื่อสารกันระหว่างอุปกรณ์ที่ใช้ในการทำ IPSec VPN โดยจะมีการแลกเปลี่ยน ISAKMP Policy Set ซึ่งเป็นรูปแบบที่ใช้ในการรักษาความปลอดภัยของข้อมูล ระหว่างอุปกรณ์ เพื่อจะนำมาสร้าง ISAKMP SA อีกทั้งยังมีการพิสูจน์ตัวตนระหว่างอุปกรณ์ที่ใช้ทำ IPSec VPN ตามรูปแบบที่กำหนดไว้ เช่น การตรวจสอบ Preshared key ที่กำหนดไว้บนอุปกรณ์ทั้งสองฝั่ง ว่าตรงกันหรือไม่อีกด้วย
• ขั้นที่ 2.5 IKE Phase 1.5 (ทางเลือก) เป็นขั้นตอนในการพิสูจน์ตัวตนของผู้ใช้เช่น การถาม username และ password ของผู้ใช้ โดยจะต่างจาก IKE Phase 1 ที่จะทำการพิสูจน์ตัวตนของอุปกรณ์ที่ใช้ในการทำ IPSec VPN ซึ่งในขั้นตอนนี้อาจจะไม่ถูกใช้งานเสมอไป โดยจะใช้งานเฉพาะการใช้ IPSec VPN แบบ Client to Site หรือ Easy VPN เท่านั้น
• ขั้นที่ 3 IKE Phase 2 เป็นขั้นตอนในการแลกเปลี่ยน IPSec Transform Set เพื่อนำมาสร้าง IPSec SA โดยข้อมูลที่รับ-ส่งกันในขั้นตอนนี้จะถูกรักษาความปลอดภัยตามรูปแบบที่ได้กำหนดไว้ใน ISAKMP SA เช่นการเข้ารหัสในรูปแบบต่าง ๆ เป็นต้น
• ขั้นที่ 4 Data Transfer เมื่อทำการสร้าง IPSec SA เสร็จเรียบร้อยแล้ว ก็จะสามารถที่จะรับ-ส่งข้อมูลกันระหว่างอุปกรณ์ที่ใช้ในการทำ IPSec VPN ได้ โดยข้อมูลที่รับ-ส่งกันนี้จะถูกรักษาความปลอดภัยโดยการเข้ารหัสและการตรวจสอบความถูกต้องตามที่ได้กำหนดไว้ใน IPSec SA ที่สร้างขึ้นมา
• ขั้นที่ 5 IPSec Termination เป็นขั้นตอนในการยุติการใช้งาน IPSec VPN เนื่องจากการยกเลิก Tunnel หรือ หมดเวลา lifetime ที่ได้กำหนดเอาไว้

ที่มา : http://running-config.blogspot.com/2011/01/ipsec-vpn.html

Read more »

IPSec VPN คืออะไร?

ในสมัยก่อนการที่จะติดต่อสื่อสารระหว่างเครือข่ายภายในสองที่ ที่มีที่ตั้งอยู่ในระยะไกลกันนั้นจะต้องใช้การเชื่อมต่อเครือข่ายส่วนตัวในรูปแบบต่าง ๆ เช่น ใช้ Leased Line หรือ frame-relay เป็นต้น ซึ่งเป็นวิธีการที่มีค่าใช้จ่ายค่อนข้างสูง แต่ในปัจจุบันนี้ได้มีการใช้เทคโนโลยีที่เรียกว่า VPN (Virtual Private Network) มาเป็นอีกทางเลือกหนึ่ง ที่สามารถเชื่อมต่อเครือข่ายภายในขององค์กรผ่านเครือข่ายสาธารณะได้ โดยอาจจะใช้วิธีการสร้าง Tunnel ขึ้นมาระหว่างต้นทางและปลายทาง เพื่อให้สามารถส่งข้อมูลต่าง ๆ ขององค์กรได้เสมือนว่าอยู่บนเครือข่ายเดียวกัน และใช้วิธีการในการรักษาความปลอดภัยที่หลากหลาย เช่น SSL หรือ IPSec เป็นต้น เพื่อให้ข้อมูลมีความปลอดภัยมากขึ้น และมีค่าใช้จ่ายที่ต่ำกว่าการใช้งาน Leased Line มาก

 สำหรับในวันนี้ผมจะขอแนะนำให้เพื่อน ๆ รู้จักกับ IPSec VPN ที่เป็นวิธีการใช้งาน VPN ที่แพร่หลายมากที่สุดกันก่อนนะครับ IPSec ย่อมาจากคำว่า Internet Protocol Security เป็นชุดของโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล โดยมีความสามารถในการรักษาความลับของข้อมูล, มีการตรวจสอบความถูกต้องในการรับ - ส่งข้อมูล, มีการพิสูจน์ตัวตน, การเข้ารหัสข้อมูล เป็นต้น ทำงานในระดับ Network Layer โดยจะทำการเข้ารหัสและสร้าง Header ขึ้นมาใหม่ไปใช้แทน Header เดิมที่ถูกเข้ารหัสเอาไว้

 ก่อนที่จะรู้จักวิธีการในการทำงานของ IPSec VPN ก็ควรที่จะมาทำความรู้จักกับค่าต่าง ๆ ที่จะเกี่ยวข้องกับการทำงานของ IPSec VPN กันก่อนนะครับ

• SA (Security Associations) เป็นข้อตกลงระหว่างอุปกรณ์ที่ใช้ในการทำ IPSec VPN กัน ว่าจะใช้รูปแบบในการรักษาความปลอดภัยของข้อมูลในรูปแบบใด เช่น จะใช้วิธีการใดในการเข้ารหัส เพื่อที่ว่าเมื่อส่งข้อมูลไปถึงปลายทางแล้วจะได้ใช้วิธีการในการถอดรหัสที่ถูกต้อง หรือจะใช้วิธีการตรวจสอบความถูกต้องของข้อมูลแบบใด เป็นต้น
• ESP (Encapsulating Security Payload) เป็นโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล สามารถทำการเข้ารหัสข้อมูล, การพิสูจน์ตัวตน, การตรวจสอบความถูกต้องของการส่งข้อมูลได้ โดยในปัจจุบันอุปกรณ์ของ Cisco จะใช้โปรโตคอลนี้ในการทำ IPSec VPN
• AH (Authentication Header) เป็นโปรโตคอลแบบ Connectionless รองรับเฉพาะการพิสูจน์ตัวตน แต่ไม่มีการเข้ารหัสข้อมูลที่ส่งออกไป ซึ่งในปัจจุบันบนอุปกรณ์รุ่นใหม่ ๆ ของ Cisco จะไม่รองรับการใช้งานโปรโตคอลนี้แล้ว
• IKE (Internet Key Exchange) เป็นโปรโตคอลที่ใช้ในในระหว่างขั้นตอนการสร้าง SA เพื่อการรักษาความปลอดภัยให้แก่ข้อมูลที่อุปกรณ์ที่ใช้ทำ IPSec VPN ส่งแลกเปลี่ยนกัน เพื่อตกลงกันว่าจะใช้รูปแบบในการรักษาความปลอดภัยแบบใด เช่นใช้ algorithm แบบใด หรือใช้การเข้ารหัสแบบใด เป็นต้น
• ISAKMP (Internet Security Association and Key Management Protocol) ทำหน้าที่ในการรักษาความปลอดภัยในการแลกเปลี่ยน IPSec SA, ทำการพิสูจน์ตัวตนของอุปกรณ์ที่ใช้ในการทำ IPSec VPN ด้วยวิธีการต่าง ๆ ดังนี้ RSA signature, RSA encrypted nonces, Pre-Shared keys ซึ่งในการตั้งค่าจะต้องทำการกำหนดรูปแบบที่ใช้ในการรักษาความปลอดภัยต่าง ๆ โดยจะเรียกรูปแบบที่ทำการกำหนดนี้ว่า ISAKMP Policy Set
• IPSec (Internet Protocol Security) เป็นชุดของโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล ซึ่งในการตั้งค่าจะต้องทำการกำหนดรูปแบบของอัลกอรึทึมที่จะใช้ในการเข้ารหัสและตรวจสอบความถูกต้องของข้อมูลโดยจะเรียกรูปแบบนี้ว่า IPSec Transform Set ในการทำงานของ IPSec จะมีอยู่สองโหมดคือ Transport Mode และ Tunnel Mode โดยจะแตกต่างกันในเรื่องของรูปแบบที่ใช้ในการห่อหุ้ม Packet ดังนี้ 

• Tunnel Mode อุปกรณ์ที่ใช้ในการทำ IPSec VPN จะเป็นทางผ่านของเครื่องโฮสต์ภายในสู่เครือข่ายปลายทาง เครืองโฮสต์ภายในเครือข่ายจะสามารถใช้ IP Address ของตนเองในการติดต่อกับเครือข่ายปลายทางได้ โดยอุปกรณ์ที่ทำงานในโหมดนี้จะทำการเข้ารหัส Packet เดิมของผู้ใช้ทั้งหมดก่อนทำการส่งออกไป และจะมีการสร้าง IP Header ขึ้นมาใหม่โดยใช้ IP Address ของอุปกรณ์ที่ใช้ในการทำ IPSec VPN มาใช้แทน IP Header เดิมที่ถูกเข้ารหัสไปแล้ว ซึ่งโดย Default ของอุปกรณ์ Cisco จะทำงานในโหมดนี้
• Transport Mode ใช้โหมดนี้ในกรณีที่ปลายทางของการติดต่อสื่อสารเป็นอุปกรณ์ที่ใช้ในการทำ IPSec VPN หรือใช้ในกรณีที่เครื่องโฮสต์ภายในเครือข่ายใช้ IP Address ของอุปกรณ์ที่ใช้ในการทำ IPSec VPN เป็นต้วแทนในการติดต่อสื่อสารกับเครือข่ายปลายทาง โดยอุปกรณ์ที่ทำงานในโหมดนี้จะทำการเข้ารหัสเฉพาะส่วนของข้อมูล ในส่วนของ IP Header ของ Packet เดิมจะไม่ถูกเข้ารหัสและจะไม่มีการสร้าง IP Header ขึ้นมาใหม่(ทำให้ไม่สามารถใช้ IP Address ของเครื่องโฮสต์ในการติดต่อกับเครือข่ายปลายทางได้) จะมีขนาดของ Packet ที่เล็กกว่าการใช้ Tunnel Mode ทำให้ทำงานได้เร็วกว่า

ที่มา : hhttps://checkout.hidemyass.com/affiliate.php?ACCOUNT=PRIVAXLT&AFFILIATE=96402&PATH=https%3A%2F%2Fwww.hidemyass.com%2Faffiliate%2Favangate&AFFSRC=blogger

Read more »

ดาวโหลดโปรแกรม VPN Hide My Ass!

ขั้นตอนการ ดาวโหลดโปรแกรม VPN มาใช้งานไม่ได้ยุ่งยากอะไรมากนัก ขออธิบายเป็นรายละเอียดดังนี้

1. เข้าหน้าเว็บ https://vpn.hidemyass.com/vpncontrol/signin จากนั้นก็กรอกรายละเอียดสมาชิก Username และ Password สำหรับเข้าสู่ระบบ

 2. เมื่อเข้าสู่ระบบแล้วก็มองเมนูทางด้านซ้ายมือจะมี Link ที่เขียนว่า Download software อยู่ ให้คลิกเข้าไปเพื่อ Download ได้เลย

3. จากนั้นก็เลือก Version สำหรับเครื่องคอมพิวเตอร์ที่จะติดตั้ง ทั้งนี้สำหรับโปรแกรม VPN Hide My Ass นั้นมีรองรับการใช้งานหลาย OS ดังนี้

• Windows XP / Vista / 7 (ดาวโหลดคลิก!)
• Mac - Leopard / Snow Leopard / Lion / Mountain Lion (ดาวโหลดคลิก!)
• Mac - Tiger (ดาวโหลดคลิก!)
• Linux (ดาวโหลดคลิก!)

 เพียงแค่นี้ก็สามารถดาวโหลดโปรแกรม VPN เรียบร้อย เมื่อได้โปรแกรมมาแล้วก็ติดตั้งบนเครื่องคอมพิวเตอร์ของคุณและใช้งานได้ทันที

Read more »

VPN Advantage & Disadvantage

VPN - Advantage

• ลดค่าใช้จ่ายจากการศึกษาของ IDC พบว่า VPN สามารถลดค่าใช้จ่ายในการเชื่อมต่อแบบ WAN ได้ราว 40 %
• ความยืดหยุ่นสูงขึน้ โดยเฉพาะอย่างยิ่งในกรณีการทำา Remote Access ให้ผู้ใช้ติดต่อเข้ามาใช้งานเครือข่าย จากนอกสถานที่

VPN - Disadvantage

• VPN ทำางานอยู่บน Internet ซึง่ ความเร็ว และการเข้าถึง และคุณภาพ (speed and access) เป็นเรื่องเหนือ การควบคุมของผู้ดูแลเครือข่าย
• VPN technologies ต่างกัน ตามผู้ขายแต่ละราย ยังไม่มีมาตรฐานที่ใช้ร่วมกันอย่างแพร่หลายมากนัก
• ต้องมีการพัฒนาเพื่อรองรับโปรโตคอลอื่นนอกจากโปรโตคอลที่อยู่ บนพื้นฐานของ IP

Read more »

VPN Security

ความปลอดภัยของ VPN ขึน้ อยู่กับ

• Firewalls VPN-to-Client  การแก้ปัญหาหน้างานที่อยู่ไกลๆ บางครั้งการเดินทางไปอาจจะทำให้เสียค่าใช้จ่ายไม่คุ่มกับการเดินทาง การที่เราจะเข้าไปควบคุมเครื่อง Server ที่อยู่ไกลเพื่อตรวจสอบความผิดปกติ หรือแก้ปัญหาการทำงานนั้นสามารถอาศัยวิธีการ Remote ผ่านระบบ VPN ได้
• Encryption การ Encryption ข้อมูลที่ต้องมีประสิทธิภาพ เพื่อปกป้องข้อมูล ระหว่างที่ส่งผ่านระบบเครือข่าย สิ่งสำคัญอีกอย่างหนึ่งก็คือ ต้องให้ความสำคัญกับ Applications ประเภท Sale และ Customer  Database Management, Document Exchange, Financial Transactions และ Inventory Database Management
• IPSec (Internet Protocol Security) เป็นชุดของโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล ซึ่งในการตั้งค่าจะต้องทำการกำหนดรูปแบบของอัลกอรึทึมที่จะใช้ในการเข้ารหัสและตรวจสอบความถูกต้องของข้อมูลโดยจะเรียกรูปแบบนี้ว่า IPSec Transform Set ในการทำงานของ IPSec จะมีอยู่สองโหมดคือ Transport Mode และ Tunnel Mode โดยจะแตกต่างกันในเรื่องของรูปแบบที่ใช้ในการห่อหุ้ม Packet
• AAA Server คือ Authenticate, Authorization และ Accounting server เป็นการเพิ่มความปลอดภัยในการใช้งานแบบ Remote-Access VPN ซึ่งเมื่อมีการเชื่อมต่อจาก Dial-up นั้นจะต้องผ่าน AAA Server ซึ่งจะมีการตรวจสอบ

Read more »

VPN Applications

Remote Access VPN ได้ถูกนำามาใช้งานสำาหรับผู้ใช้ที่มักอยู่นอกสำานักงาน (Remote Worker) หรือผู้ที่จำาเป็นต้องเดินทางบ่อยๆ เช่น นักธุรกิจที่ต้องทำางานที่บ้าน (Work at Home) ให้เข้าใช้งานทรัพยากรในระบบเครือข่ายของสำานักงานใหญ่ได้ เช่น การ รับ-ส่ง E-mail หรือข้อมูลต่างๆ โดยที่ไม่จำาเป็นต้องเข้าไปที่สำานักงานเลย

Site-to-Site Connectivity มีลักษณะการทำางานคล้ายๆกับ Remote Access Application แต่จะแตกต่างกันที่ ผู้ที่จะเข้ามาใช้งานในสำานักงาน ไม่ใช่พนักงาน หรือ Remote User แต่เป็นการเชื่อมต่อกันระหว่างสาขาใหญ่ กับสาขาที่อยู่ไกลออกไป เช่น ตางจังหวัดหรือต่างประเทศ

VPN-Base Extranets จะมีลักษณะการทำางานที่องค์กรนัน้ ๆ มีการบริการให้ลูกค้า เพื่อเชื่อมต่อ เข้ามาใช้งานข้อมูล และทรัพยากรที่กำาหนดไว้ให้ใช้ได้ ลักษณะการ ทำางานแบบนี้ จะต้องมีระบบ Firewall เข้ามาช่วย เพื่อความปลอดภัยยิ่งขึ้น

Read more »

VPN Type

1. Remote-access ซึ่ง สามารถเรียกได้อีกอย่างว่า VPDN (Virtual Private Dial-up Network) เป็นการติดต่อภายในเครือข่ายเดียวกันเช่น พนักงานของบริษัทสามารถติดต่อกับอีกเครือข่ายของบริษัทที่อยู่ไก ลออกไปได้ ซึง่ บริษัทจะทำาการสร้างระบบให้ใหญ่ เพื่อสร้าง ESP (Enterprise Service Provide) และ ESP จะทำาการสร้าง NAS ( Network Access Server ) และใช้ S/W ของเครื่อง VPN Client ภายในเครือข่าย เพื่อทำาการติดต่อเข้าไปในเครือข่าย บริษัทขนาดใหญ่ที่มีพนักงาน หลายร้อยคนควรใช้แบบ Remoteaccess เพราะมีการรักษาความปลอดภัยที่ดี
2. Site-to-Site เป็นการติดต่อกันระหว่างเครือข่ายหลายเครือข่าย เช่น บริษัทสำานักงานใหญ่ที่กรุงเทพฯ ต้องการติดต่อกับ บริษัทสาขาที่เชียงใหม่ เป็นต้น โดยจะเชื่อมต่อผ่านทาง เครือข่ายสาธารณะ ซึง่ แบบ Site-to-Site แบ่งออกเป็น 2 แบบคือ
1. Intranet-based เป็นการติดต่อกันภายในเครือข่ายเดียวกันแต่อยู่ห่างกันมาก เช่น การติดต่อกันระหว่างสำานักงานที่กรุงเทพฯ กับสำานักงานที่อยู่ต่างจังหวัด เสมือนกับ การทดแทน การเช่าวงจรลีสไลน์ ระหว่าง กรุงเทพกับต่างจังหวัด โดยที่แต่ละสาขาสามารถต่อเชื่อมเข้ากับผู้ให้บริการอินเทอร์เน็ต ในท้องถิ่นของตน เพื่อเชื่อมเข้า โครงข่าย VPN ขององค์กรอีกทีหนึง่ ซึง่ ในการเชื่อมต่อกันแบบ Intranet ควรเป็นเครือข่ายแบบ LAN ต่อกับ LAN
2. Extranet-based เป็นการติดต่อระหว่างเครือข่ายของเรากับเครือข่ายอื่น ๆ เช่น เครือข่ายของ ลูกค้า, ผู้ผลิต เป็นต้น เราจะใช้ Extranet ในการติดต่อเครือข่าย LAN ของเรากับเครือข่าย LAN อื่น ๆ เพื่อทำางานร่วมกัน เช่น สามารถใช้ข้อมูลหรือทรัพยากรต่าง ๆ ร่วมกันจุดสำาคัญอย่างหนึง่ ในการเลือกติดตัง้ VPN คือการเลือก ผู้ให้บริการอินเทอร์เน็ต ที่วางระบบรักษาความปลอดภัย เป็นอย่างดี มีส่วนอย่างมาก ในการส่งข้อมูลบน VPN ให้ปลอดภัยมากยิ่งขึน้ เพราะถ้า ไอเอสพี มีระบบรักษาความปลอดภัย ที่รัดกุม ก็จะช่วยให้ ข้อมูลที่ส่งมา มีความปลอดภัยมากขึ้น

Read more »

VPN Client Type

1. Client-initiated โดยทั่วไปออกแบบมาเพื่อให้ User สามารถเลือกทางที่จะ Access ผ่าน VPN ต่างๆได้หลายแห่งโดยไม่ต้องการจัดตัง้ ค่าการทำางานใหม่ลักษณะ ของระบบนี้ ได้แก่การที่ User สามารถตัดสินใจได้ว่าเมื่อไร หรือที่ไดที่จะจัดตัง้ การเชื่อมต่อ VPN ขึน้ และด้วยเหตุนีเ้ องจึงถูกเรียกว่า Voluntary VPN และเนื่องจาก NAS (Network Access Server)ของ ISP ไม่ได้เป็นผู้สร้าง Tunnel ขึน้ มา ดังนัน้ จึงสามารถเชื่อมต่อVPN ไปยังหลายๆที่ และผ่าน ISP หลายแห่งโดยไม่ต้องจัดตัง้ ค่าการทำางานเพิ่มเติม และการเข้ารหัสข่าวสารสามารถเกิดขึน้ ได้ระหว่าง VPN Server ในองค์กรกับ User
2. Client-transparent โดยจะทำาอยู่ที่ไซต์ส่วนกลางขององค์กร หรือทำาให้อยู่ที่จุดเชื่อมต่อของ ISP ซึง่ ให้บริการแก่ไซต์ส่วนกลางขององค์กรก็ได้ ด้วยการใช้ไคลเอ็นต์ซอฟต์แวร์ และทันแนลเซิร์ฟเวอร์ที่ไซต์ส่วนกลางขององค์กร ทำาให้ ISP ไม่จำาเป็นต้องสนับสนุนการทำาทันแนลแต่อย่างใด โดยไคลเอ็นต์ซอฟต์แวร์ และทันแนลเซิร์ฟเวอร์จะเริ่มสร้างทันแนล ต่อจากนัน้ จะตรวจสอบโดยใช้หมายเลขยูสเซอร์และรหัสผ่าน ในการติดต่อขัน้ นีก้ ็สามารถเข้ารหัสได้ เมื่อเชื่อมต่อเรียบร้อยแล้วการติดต่อสื่อสารสามารถทำาได้โดยเสมื อนว่าไม่มี ISP เป็นตัวเชื่อมการติดต่อ

Read more »