ในสมัยก่อนการที่จะติดต่อสื่อสารระหว่างเครือข่ายภายในสองที่ ที่มีที่ตั้งอยู่ในระยะไกลกันนั้นจะต้องใช้การเชื่อมต่อเครือข่ายส่วนตัวในรูปแบบต่าง ๆ เช่น ใช้ Leased Line หรือ frame-relay เป็นต้น ซึ่งเป็นวิธีการที่มีค่าใช้จ่ายค่อนข้างสูง แต่ในปัจจุบันนี้ได้มีการใช้เทคโนโลยีที่เรียกว่า VPN (Virtual Private Network) มาเป็นอีกทางเลือกหนึ่ง ที่สามารถเชื่อมต่อเครือข่ายภายในขององค์กรผ่านเครือข่ายสาธารณะได้ โดยอาจจะใช้วิธีการสร้าง Tunnel ขึ้นมาระหว่างต้นทางและปลายทาง เพื่อให้สามารถส่งข้อมูลต่าง ๆ ขององค์กรได้เสมือนว่าอยู่บนเครือข่ายเดียวกัน และใช้วิธีการในการรักษาความปลอดภัยที่หลากหลาย เช่น SSL หรือ IPSec เป็นต้น เพื่อให้ข้อมูลมีความปลอดภัยมากขึ้น และมีค่าใช้จ่ายที่ต่ำกว่าการใช้งาน Leased Line มาก
สำหรับในวันนี้ผมจะขอแนะนำให้เพื่อน ๆ รู้จักกับ IPSec VPN ที่เป็นวิธีการใช้งาน VPN ที่แพร่หลายมากที่สุดกันก่อนนะครับ IPSec ย่อมาจากคำว่า Internet Protocol Security เป็นชุดของโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล โดยมีความสามารถในการรักษาความลับของข้อมูล, มีการตรวจสอบความถูกต้องในการรับ - ส่งข้อมูล, มีการพิสูจน์ตัวตน, การเข้ารหัสข้อมูล เป็นต้น ทำงานในระดับ Network Layer โดยจะทำการเข้ารหัสและสร้าง Header ขึ้นมาใหม่ไปใช้แทน Header เดิมที่ถูกเข้ารหัสเอาไว้
ก่อนที่จะรู้จักวิธีการในการทำงานของ IPSec VPN ก็ควรที่จะมาทำความรู้จักกับค่าต่าง ๆ ที่จะเกี่ยวข้องกับการทำงานของ IPSec VPN กันก่อนนะครับ
สำหรับในวันนี้ผมจะขอแนะนำให้เพื่อน ๆ รู้จักกับ IPSec VPN ที่เป็นวิธีการใช้งาน VPN ที่แพร่หลายมากที่สุดกันก่อนนะครับ IPSec ย่อมาจากคำว่า Internet Protocol Security เป็นชุดของโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล โดยมีความสามารถในการรักษาความลับของข้อมูล, มีการตรวจสอบความถูกต้องในการรับ - ส่งข้อมูล, มีการพิสูจน์ตัวตน, การเข้ารหัสข้อมูล เป็นต้น ทำงานในระดับ Network Layer โดยจะทำการเข้ารหัสและสร้าง Header ขึ้นมาใหม่ไปใช้แทน Header เดิมที่ถูกเข้ารหัสเอาไว้
ก่อนที่จะรู้จักวิธีการในการทำงานของ IPSec VPN ก็ควรที่จะมาทำความรู้จักกับค่าต่าง ๆ ที่จะเกี่ยวข้องกับการทำงานของ IPSec VPN กันก่อนนะครับ
- SA (Security Associations) เป็นข้อตกลงระหว่างอุปกรณ์ที่ใช้ในการทำ IPSec VPN กัน ว่าจะใช้รูปแบบในการรักษาความปลอดภัยของข้อมูลในรูปแบบใด เช่น จะใช้วิธีการใดในการเข้ารหัส เพื่อที่ว่าเมื่อส่งข้อมูลไปถึงปลายทางแล้วจะได้ใช้วิธีการในการถอดรหัสที่ถูกต้อง หรือจะใช้วิธีการตรวจสอบความถูกต้องของข้อมูลแบบใด เป็นต้น
- ESP (Encapsulating Security Payload) เป็นโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล สามารถทำการเข้ารหัสข้อมูล, การพิสูจน์ตัวตน, การตรวจสอบความถูกต้องของการส่งข้อมูลได้ โดยในปัจจุบันอุปกรณ์ของ Cisco จะใช้โปรโตคอลนี้ในการทำ IPSec VPN
- AH (Authentication Header) เป็นโปรโตคอลแบบ Connectionless รองรับเฉพาะการพิสูจน์ตัวตน แต่ไม่มีการเข้ารหัสข้อมูลที่ส่งออกไป ซึ่งในปัจจุบันบนอุปกรณ์รุ่นใหม่ ๆ ของ Cisco จะไม่รองรับการใช้งานโปรโตคอลนี้แล้ว
- IKE (Internet Key Exchange) เป็นโปรโตคอลที่ใช้ในในระหว่างขั้นตอนการสร้าง SA เพื่อการรักษาความปลอดภัยให้แก่ข้อมูลที่อุปกรณ์ที่ใช้ทำ IPSec VPN ส่งแลกเปลี่ยนกัน เพื่อตกลงกันว่าจะใช้รูปแบบในการรักษาความปลอดภัยแบบใด เช่นใช้ algorithm แบบใด หรือใช้การเข้ารหัสแบบใด เป็นต้น
- ISAKMP (Internet Security Association and Key Management Protocol) ทำหน้าที่ในการรักษาความปลอดภัยในการแลกเปลี่ยน IPSec SA, ทำการพิสูจน์ตัวตนของอุปกรณ์ที่ใช้ในการทำ IPSec VPN ด้วยวิธีการต่าง ๆ ดังนี้ RSA signature, RSA encrypted nonces, Pre-Shared keys ซึ่งในการตั้งค่าจะต้องทำการกำหนดรูปแบบที่ใช้ในการรักษาความปลอดภัยต่าง ๆ โดยจะเรียกรูปแบบที่ทำการกำหนดนี้ว่า ISAKMP Policy Set
- IPSec (Internet Protocol Security) เป็นชุดของโปรโตคอลที่ใช้ในการรักษาความปลอดภัยของข้อมูล ซึ่งในการตั้งค่าจะต้องทำการกำหนดรูปแบบของอัลกอรึทึมที่จะใช้ในการเข้ารหัสและตรวจสอบความถูกต้องของข้อมูลโดยจะเรียกรูปแบบนี้ว่า IPSec Transform Set ในการทำงานของ IPSec จะมีอยู่สองโหมดคือ Transport Mode และ Tunnel Mode โดยจะแตกต่างกันในเรื่องของรูปแบบที่ใช้ในการห่อหุ้ม Packet ดังนี้
- Tunnel Mode อุปกรณ์ที่ใช้ในการทำ IPSec VPN จะเป็นทางผ่านของเครื่องโฮสต์ภายในสู่เครือข่ายปลายทาง เครืองโฮสต์ภายในเครือข่ายจะสามารถใช้ IP Address ของตนเองในการติดต่อกับเครือข่ายปลายทางได้ โดยอุปกรณ์ที่ทำงานในโหมดนี้จะทำการเข้ารหัส Packet เดิมของผู้ใช้ทั้งหมดก่อนทำการส่งออกไป และจะมีการสร้าง IP Header ขึ้นมาใหม่โดยใช้ IP Address ของอุปกรณ์ที่ใช้ในการทำ IPSec VPN มาใช้แทน IP Header เดิมที่ถูกเข้ารหัสไปแล้ว ซึ่งโดย Default ของอุปกรณ์ Cisco จะทำงานในโหมดนี้
- Transport Mode ใช้โหมดนี้ในกรณีที่ปลายทางของการติดต่อสื่อสารเป็นอุปกรณ์ที่ใช้ในการทำ IPSec VPN หรือใช้ในกรณีที่เครื่องโฮสต์ภายในเครือข่ายใช้ IP Address ของอุปกรณ์ที่ใช้ในการทำ IPSec VPN เป็นต้วแทนในการติดต่อสื่อสารกับเครือข่ายปลายทาง โดยอุปกรณ์ที่ทำงานในโหมดนี้จะทำการเข้ารหัสเฉพาะส่วนของข้อมูล ในส่วนของ IP Header ของ Packet เดิมจะไม่ถูกเข้ารหัสและจะไม่มีการสร้าง IP Header ขึ้นมาใหม่(ทำให้ไม่สามารถใช้ IP Address ของเครื่องโฮสต์ในการติดต่อกับเครือข่ายปลายทางได้) จะมีขนาดของ Packet ที่เล็กกว่าการใช้ Tunnel Mode ทำให้ทำงานได้เร็วกว่า
No comments:
Post a Comment