vpn ที่ย่อมาจาก เครือข่ายส่วนตัว ผ่านเครือข่ายสาธารณะ


1169 views

VPN
Virtual private network

Vpn เครื่อข่ายส่วนตัว ผ่านเครือข่ายสาธารณะ

เครือข่ายส่วนตัวเสมือน ( VPN ) ขยายเครือข่ายส่วนตัวผ่านเครือข่ายสาธารณะและช่วยให้ผู้ใช้สามารถส่งและรับข้อมูลผ่านเครือข่ายร่วมกันหรือที่สาธารณะเช่นถ้าอุปกรณ์คอมพิวเตอร์ของพวกเขาถูกเชื่อมต่อโดยตรงกับเครือข่ายส่วนตัว ดังนั้นแอปพลิเคชันที่ทำงานบน VPNอาจได้รับประโยชน์จากฟังก์ชันการทำงานความปลอดภัยและการจัดการเครือข่ายส่วนตัว การเข้ารหัสเป็นเรื่องปกติแม้ว่าจะไม่ใช่ส่วนหนึ่งของการเชื่อมต่อVPN โดยธรรมชาติ

เทคโนโลยี VPNได้รับการพัฒนาเพื่อให้เข้าถึงแอปพลิเคชันและทรัพยากรขององค์กรแก่ผู้ใช้ระยะไกล ผู้ใช้มือถือและสำนักงานสาขา เพื่อความปลอดภัยการเชื่อมต่อเครือข่ายส่วนตัวอาจสร้างขึ้นโดยใช้โปรโตคอล Tunnelingแบบเลเยอร์ที่เข้ารหัสและผู้ใช้อาจต้องผ่านวิธีการตรวจสอบความถูกต้องต่างๆเพื่อเข้าถึง VPNในแอปพลิเคชันอื่น ๆ ผู้ใช้อินเทอร์เน็ตอาจรักษาความปลอดภัยการเชื่อมต่อด้วยVPN

เพื่อหลีกเลี่ยงการปิดกั้นทางภูมิศาสตร์และการเซ็นเซอร์หรือเพื่อเชื่อมต่อกับพร็อกซีเซิร์ฟเวอร์เพื่อปกป้องข้อมูลประจำตัวและตำแหน่งที่ตั้งเพื่อไม่เปิดเผยตัวตนบนอินเทอร์เน็ต อย่างไรก็ตามบางเว็บไซต์ปิดกั้นการเข้าถึงที่อยู่ IP ที่รู้จักซึ่งใช้โดย VPNเพื่อป้องกันการหลีกเลี่ยงข้อ จำกัด ทางภูมิศาสตร์ของตนและผู้ให้บริการ VPNหลายรายได้พัฒนากลยุทธ์เพื่อหลีกเลี่ยงการปิดกั้นเหล่านี้ Google Photo

VPNถูกสร้างขึ้นโดยการสร้างการเชื่อมต่อแบบจุดต่อจุดเสมือนผ่านการใช้วงจรเฉพาะหรือด้วยโปรโตคอลการทันเนลบนเครือข่ายที่มีอยู่ VPNจากอินเทอร์เน็ตสาธารณะสามารถให้ประโยชน์บางประการของเครือข่ายบริเวณกว้าง (WAN) จากมุมมองของผู้ใช้ทรัพยากรที่มีอยู่ภายในเครือข่ายส่วนตัวสามารถเข้าถึงได้จากระยะไกล SLOTXO VPN

กาจัดประเภท

VPNมีอยู่สามหมวดหมู่กว้าง ๆ ได้แก่ การเข้าถึงระยะไกลการเข้าถึงไซต์ต่อไซต์บนอินทราเน็ตและไซต์ต่อไซต์ที่ใช้ระบบเอกซ์ทราเน็ต ในขณะที่ผู้ใช้แต่ละรายโต้ตอบกับVPN การเข้าถึงระยะไกลบ่อยที่สุด แต่ธุรกิจต่างๆก็ใช้ VPNแบบไซต์ต่อไซต์บ่อยขึ้น

เครือข่ายข้อมูลในช่วงต้นได้รับอนุญาตให้เชื่อมต่อ VPNสไตล์ไซต์ระยะไกลผ่านโมเด็ม dial-upหรือผ่านสายเช่าการเชื่อมต่อใช้X.25 , Frame RelayและAsynchronous การโอนโหมด (ATM) วงจรเสมือนให้บริการผ่านเครือข่ายที่เป็นเจ้าของและดำเนินการโดยผู้ให้บริการสื่อสารโทรคมนาคม เครือข่ายเหล่านี้ไม่ถือว่าเป็น VPNที่แท้จริง UFASTAR

เนื่องจากมีการรักษาความปลอดภัยข้อมูลที่ส่งผ่านโดยการสร้างสตรีมข้อมูลเชิงตรรกะ VPNเหล่านี้ถูกแทนที่ด้วย IP และ IP / Multi-protocol Label Switching (MPLS) Networks เนื่องจากการลดต้นทุนลงอย่างมากและแบนด์วิดท์ที่เพิ่มขึ้นจัดทำโดยเทคโนโลยีใหม่ ๆ เช่นสายการสมัครสมาชิกดิจิทัล (DSL) และเครือข่ายใยแก้วนำแสง

VPNสามารถกำหนดลักษณะเป็นโฮสต์กับเครือข่ายหรือการเข้าถึงระยะไกลโดยการเชื่อมต่อคอมพิวเตอร์เครื่องเดียวกับเครือข่ายหรือเป็นไซต์ต่อไซต์เพื่อเชื่อมต่อสองเครือข่าย ในการตั้งค่าขององค์กร VPNการเข้าถึงระยะไกลจะช่วยให้พนักงานสามารถเข้าถึงอินทราเน็ตของ บริษัท ได้จากภายนอกสำนักงาน PLAY CARD

VPNแบบไซต์ต่อไซต์ช่วยให้ผู้ทำงานร่วมกันในสำนักงานที่แตกต่างกันทางภูมิศาสตร์สามารถแชร์เครือข่ายเสมือนเดียวกันได้ นอกจากนี้ VPN ยังสามารถใช้เพื่อเชื่อมต่อเครือข่ายที่คล้ายกันสองเครือข่ายผ่านเครือข่ายกลางที่แตกต่างกันเช่นเครือข่ายIPv6สองเครือข่ายที่เชื่อมต่อผ่านเครือข่ายIPv4

ระบบ VPNอาจแบ่งตาม:

  • โปรโตคอลอุโมงค์ที่ใช้ในอุโมงค์จราจร
  • ตำแหน่งจุดสิ้นสุดของอุโมงค์เช่นบนขอบของลูกค้าหรือขอบผู้ให้บริการเครือข่าย
  • ประเภทของโทโพโลยีของการเชื่อมต่อเช่นไซต์ต่อไซต์หรือเครือข่ายสู่เครือข่าย
  • ระดับความปลอดภัยที่มีให้
  • ชั้น OSIพวกเขานำเสนอการเชื่อมต่อกับเครือข่ายเช่นชั้นที่ 2 หรือชั้นวงจรการเชื่อมต่อเครือข่าย 3
  • จำนวนการเชื่อมต่อพร้อมกัน
กลไกลการรักษาความปลอดภัย

VPNไม่สามารถทำการเชื่อมต่อออนไลน์แบบไม่ระบุตัวตนได้ แต่โดยปกติแล้วจะสามารถเพิ่มความเป็นส่วนตัวและความปลอดภัยได้ เพื่อป้องกันการเปิดเผยข้อมูลส่วนตัวโดยทั่วไป VPNจะอนุญาตเฉพาะการเข้าถึงระยะไกลที่ได้รับการพิสูจน์ตัวตนโดยใช้โปรโตคอลการสร้างอุโมงค์และเทคนิค การเข้ารหัส

รูปแบบความปลอดภัย

การรักษาความลับเช่นนี้แม้ว่าการรับส่งข้อมูลเครือข่ายจะถูกดมกลิ่นในระดับแพ็กเก็ต (ดูNetwork snifferและการตรวจสอบแพ็คเก็ตแบบลึก ) ผู้โจมตีจะเห็นเฉพาะข้อมูลที่เข้ารหัส
การตรวจสอบผู้ส่งเพื่อป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงVPN
ความสมบูรณ์ของข้อความเพื่อตรวจจับกรณีการปลอมแปลงข้อความที่ส่ง

วงจรชีวิตของ IPSec Tunnel ในเครือข่ายส่วนตัวเสมือน
โปรโตคอล VPN ที่ปลอดภัยมีดังต่อไปนี้:

  • Internet Protocol Security ( IPsec ) ได้รับการพัฒนาโดยInternet Engineering Task Force (IETF) สำหรับIPv6ซึ่งจำเป็นในการใช้งานIPv6 ที่เป็นไปตามมาตรฐานทั้งหมดก่อนที่RFC 6434จะทำให้เป็นเพียงคำแนะนำเท่านั้น นี้โปรโตคอลการรักษาความปลอดภัยตามมาตรฐานนอกจากนี้ยังใช้กันอย่างแพร่หลายกับIPv4และเลเยอร์ 2 Tunneling Protocol การออกแบบตรงตามเป้าหมายด้านความปลอดภัยส่วนใหญ่ ได้แก่ความพร้อมใช้งานความสมบูรณ์และการรักษาความลับ. IPsec ใช้การเข้ารหัสห่อหุ้มแพ็กเก็ต IP ภายในแพ็กเก็ต IPsec De-encapsulation เกิดขึ้นที่ส่วนท้ายของช่องสัญญาณซึ่งแพ็กเก็ต IP ดั้งเดิมจะถูกถอดรหัสและส่งต่อไปยังปลายทางที่ต้องการ
  • ขนส่งเลเยอร์ความปลอดภัย ( SSL / TLS ) อุโมงค์สามารถเข้าชมเครือข่ายทั้งหมดของ (เช่นเดียวกับในOpenVPNโครงการและSoftEther VPNโครงการ ) หรือการรักษาความปลอดภัยการเชื่อมต่อของแต่ละบุคคล ผู้ให้บริการหลายรายให้บริการ VPN แบบเข้าถึงระยะไกลผ่าน SSL SSL VPN สามารถเชื่อมต่อจากสถานที่ที่ IPsec ประสบปัญหากับการแปลที่อยู่เครือข่ายและกฎไฟร์วอลล์
  • Datagram Transport Layer Security ( DTLS ) – ใช้ใน Cisco AnyConnect VPNและในOpenConnect VPNเพื่อแก้ปัญหาที่SSL / TLSมีกับการทันเนลผ่านTCP (การสร้างอุโมงค์ TCP ผ่าน TCP อาจทำให้เกิดความล่าช้าและการเชื่อมต่อถูกยกเลิก )
  • Microsoft Point-to-Point Encryption ( MPPE ) ทำงานร่วมกับPoint-to-Point Tunneling Protocolและในการใช้งานที่เข้ากันได้หลายอย่างบนแพลตฟอร์มอื่น ๆ
  • Microsoft Secure Socket Tunneling Protocol ( SSTP ) ช่องสัญญาณPoint-to-Point Protocol (PPP) หรือ Layer 2 Tunneling Protocol รับส่งข้อมูลผ่านช่องสัญญาณSSL / TLS (SSTP ถูกนำมาใช้ในWindows Server 2008และในWindows Vista Service Pack 1)
  • Multi Path Virtual Private Network (MPVPN) Ragula Systems Development Company เป็นเจ้าของเครื่องหมายการค้าจดทะเบียน “MPVPN”
  • Secure Shell (SSH) V P N – OpenSSHนำเสนอ VPNtunneling (แตกต่างจากการส่งต่อพอร์ต ) เพื่อรักษาความปลอดภัยการเชื่อมต่อระยะไกลไปยังเครือข่ายหรือการเชื่อมโยงระหว่างเครือข่าย เซิร์ฟเวอร์ OpenSSH มีช่องสัญญาณพร้อมกันจำนวน จำกัด คุณสมบัติ VPNเองไม่รองรับการรับรองความถูกต้องส่วนบุคคลWireGuardเป็นโปรโตคอล ในปี 2020 มีการเพิ่มการรองรับ WireGuard ให้กับทั้งเคอร์เนล Linux และ Android โดยเปิดให้ผู้ให้บริการ VPN นำไปใช้ โดยค่าเริ่มต้น WireGuard ใช้Curve25519สำหรับการแลกเปลี่ยนคีย์และChaCha20สำหรับการเข้ารหัส แต่ยังรวมถึงความสามารถในการแชร์คีย์สมมาตรล่วงหน้าระหว่างไคลเอนต์และเซิร์ฟเวอร์

การรับรองความถูกต้อง

ปลายทางของ Tunnel ต้องได้รับการพิสูจน์ตัวตนก่อนที่จะสร้างอุโมงค์VPN ที่ปลอดภัยได้ ที่ผู้ใช้สร้างVPNs การเข้าถึงระยะไกลอาจจะใช้รหัสผ่าน , ชีวภาพ , ตรวจสอบสองปัจจัยหรืออื่น ๆ ที่เข้ารหัสลับวิธีการ อุโมงค์เครือข่ายไปยังเครือข่ายมักจะใช้รหัสผ่านหรือใบรับรองดิจิทัล พวกเขาจัดเก็บคีย์อย่างถาวรเพื่อให้อุโมงค์สร้างโดยอัตโนมัติโดยไม่มีการแทรกแซงจากผู้ดูแล

การกำหนดเส้นทาง

โปรโตคอล Tunneling สามารถทำงานในโทโพโลยีเครือข่ายแบบจุดต่อจุด ซึ่งในทางทฤษฎีแล้วจะไม่ถือว่าเป็น VPNเนื่องจากVPN ตามคำจำกัดความคาดว่าจะรองรับโดยพลการและการเปลี่ยนชุดของโหนดเครือข่าย แต่เนื่องจากการใช้งานเราเตอร์ส่วนใหญ่สนับสนุนอินเทอร์เฟซทันเนลที่กำหนดโดยซอฟต์แวร์VPN ที่ลูกค้าจัดเตรียมไว้มักเป็นเพียงอุโมงค์ที่กำหนดไว้ซึ่งใช้โปรโตคอลการกำหนดเส้นทางแบบเดิม

หน่วยการสร้าง VPNที่จัดเตรียมโดยผู้ให้บริการ

ขึ้นอยู่กับว่าVPN (PPVPN) ที่จัดเตรียมโดยผู้ให้บริการทำงานในเลเยอร์ 2 หรือเลเยอร์ 3 แบบสำเร็จรูปที่อธิบายด้านล่างอาจเป็นเฉพาะ L2 เท่านั้น L3 เท่านั้นหรือทั้งสองอย่างรวมกัน ฟังก์ชันMulti-protocol label switching (MPLS) ทำให้ข้อมูลประจำตัว L2-L3 พร่ามัว

RFC 4026ทั่วไปข้อกำหนดต่อไปนี้เพื่อให้ครอบคลุม L2 MPLS VPNsและ L3 (BGP) VPNsแต่พวกเขาเป็นที่รู้จักในRFC 2547

อุปกรณ์ของลูกค้า (C)
อุปกรณ์ที่อยู่ในเครือข่ายของลูกค้าและไม่ได้เชื่อมต่อโดยตรงกับเครือข่ายของผู้ให้บริการ อุปกรณ์ C ไม่รู้จัก VPN

อุปกรณ์ Customer Edge (CE)
อุปกรณ์ที่อยู่ขอบเครือข่ายของลูกค้าซึ่งให้การเข้าถึง PPVPN บางครั้งเป็นเพียงจุดแบ่งเขตระหว่างความรับผิดชอบของผู้ให้บริการและลูกค้า ผู้ให้บริการรายอื่นอนุญาตให้ลูกค้ากำหนดค่าได้

อุปกรณ์ขอบผู้ให้บริการ (PE)
อุปกรณ์หรือชุดอุปกรณ์ที่ขอบของเครือข่ายผู้ให้บริการซึ่งเชื่อมต่อกับเครือข่ายลูกค้าผ่านอุปกรณ์ CE และนำเสนอมุมมองของผู้ให้บริการเกี่ยวกับไซต์ของลูกค้า PE ตระหนักถึงVPN ที่เชื่อมต่อผ่านและรักษาสถานะVPN

อุปกรณ์ผู้ให้บริการ (P)
อุปกรณ์ที่ทำงานภายในเครือข่ายหลักของผู้ให้บริการและไม่เชื่อมต่อโดยตรงกับปลายทางของลูกค้าใด ๆ ตัวอย่างเช่นอาจมีการกำหนดเส้นทางสำหรับอุโมงค์ที่ดำเนินการโดยผู้ให้บริการจำนวนมากซึ่งเป็นของ PPVPN ของลูกค้าที่แตกต่างกัน แม้ว่าอุปกรณ์ P จะเป็นส่วนสำคัญในการใช้งาน PPVPN แต่ก็ไม่ได้เป็นตัวของVPN

และไม่รักษาสถานะVPN บทบาทหลักของมันคือการอนุญาตให้ผู้ให้บริการปรับขนาดข้อเสนอ PPVPN ของตนเช่นโดยทำหน้าที่เป็นจุดรวมสำหรับ PE หลาย ๆ ตัว การเชื่อมต่อแบบ P-to-P ในบทบาทดังกล่าวมักเป็นการเชื่อมโยงออปติคอลความจุสูงระหว่างสถานที่สำคัญของผู้ให้บริการ

อัพเดทล่าสุด : 19 พฤษภาคม 2021

joker joker joker