ในสมัยก่อน การติดต่อสื่อสารระหว่างเครือข่ายส่วนตัวที่อยู่ห่างไกลกันนั้น จะต้องใช้บริการอย่างเช่น leased-line หรือ frame relay ที่มีราคาที่ค่อนข้างสูง แต่ในปัจจุบันนี้ ได้มีการใช้งาน VPN ซึ่งมีความสามารถในการเชื่อมต่อเครือข่ายส่วนตัวเข้าด้วยกันผ่านเครือข่ายสาธารณะได้ โดยมีค่าใช้จ่ายที่น้อยกว่าการใช้งาน leased-line พร้อมทั้งมีการรักษาความปลอดภัยในการส่งข้อมูล โดยการเข้ารหัสข้อมูลที่ทำการส่งออกไป ซึ่งโปรโตคอลที่นำมาใช้ในการเข้ารหัสข้อมูลนี้ก็มีหลากหลายรูปแบบ ยกตัวอย่างเช่น IPSec ที่เคยได้แนะนำให้เพื่อน ๆ ได้ทำความรู้จักกันไปบ้างแล้วในบทความเก่า ๆ แต่ในวันนี้ ผมจะขอแนะนำให้เพื่อน ๆ ได้รู้จักกับ VPN อีกประเภทหนึ่ง ที่ใช้ SSL (Secure Socket Layer) ในการรักษาความปลอดภัยของขัอมูล นั่นก็คือการใช้งาน WebVPN นั่นเองครับ
สำหรับอุปกรณ์ที่รองรับกับการนำมาใช้งานเป็น WebVPN Server นั้น สามารถใช้ได้ทั้ง Cisco IOS Router หรือจะใช้ Cisco ASA Firewall ก็ได้ โดยจะมีรูปแบบการใช้งานที่เหมือนกัน แต่จะแตกต่างกันในรายละเอียดในการตั้งค่า ซึ่งจะกล่าวถึงในบทความต่อ ๆ ไปนะครับ
Cisco WebVPN มีรูปแบบการใช้งานอยู่ 3 รูปแบบ ดังนี้
- Clientless
- Thin-client (Port-forwarding Java applet)
- Tunnel mode (SVC)
Clientless Mode
ผู้สามารถเชื่อมต่อเข้าสู่ WebVPN Server เพื่อใช้งานทรัพยากรภายในเครือข่ายได้ด้วยการใช้งาน Web Browser โดยไม่ต้องทำการติดตั้งซอฟต์แวร์พิเศษใด ๆ เพิ่มเติม แต่จะสามารถใช้งานทรัพยากรของเครือข่ายภายใน ได้ในรูปแบบของ Web Application เท่านั้น เช่น การใช้งานเวปไซต์ภายใน intranet หรือการใช้ CIFS ผ่านหน้าเวปไซต์ เป็นต้น เป็นการเชื่อมต่อเข้าใช้งานในระดับ Application Layer ซึ่งรองรับการใช้งานเฉพาะบาง Application เท่านั้น ไม่สามารถใช้งานทรัพยากรของเครือข่ายภายในได้ทุก ๆ อย่าง
ข้อดีของการใช้งาน Clientless Mode
- ผู้ใช้สามารถเชื่อมต่อเพื่อใช้งานทรัพยากรต่าง ๆ ในรูปแบบ Web Based จากที่ใดก็ได้ที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้
- ผู้ใช้ไม่จำเป็นที่จะต้องลงซอฟต์แวร์พิเศษใด ๆ เพิ่มเติม เพียงแค่ใช้งาน Web Browser ทั่วไปก็ได้
- รองรับการใช้งาน Web Application ทั้งแบบ HTML และ JavaScript
- รองรับการใช้งานในรูปแบบ ดังนี้ Intranet, Citrix, Windows file share(Common Internet File System(CIFS))
- รองรับการใช้งานร่วมกับ Web Browser ที่หลากหลาย
Thin-Client Mode (Port-forwarding)
ในโหมดนี้ จะสามารถใช้ Web Browser ในการเชื่อมต่อเข้ามา เพื่อใช้งาน Application ในรูปแบบ TCP-Based ได้ ต่างจาก Clientless Mode ที่สามารถใช้งานได้เฉพาะ Web Application เท่านั้น โดย Application ที่รองรับจะต้องใช้งาน TCP Well-known port ที่ใช้ Static Port เท่านั้น (ไม่รองรับการใช้งานกับ Application ที่ใช้ Dynamic port) โดยทั่วไป Application ที่ใช้งานโหมดนี้จะเป็นพวก e-mail เช่น POP3, SMTP, IMAP หรือจำพวก Application ที่ใช้งาน Static port เช่น Telnet, SSH, SNMP เป็นต้น
การทำงานในโหมดนี้ เครื่องของผู้ใช้จะต้องทำการดาวน์โหลด Java Applet โดยการคลิ้กลิ้งค์ที่มีอยู่บนหน้าเวปเพจ เพื่อนำมาใช้งานเสมือนเป็น TCP Proxy บนเครื่องของผู้ใช้ เพือให้ผู้ใช้สามารถใช้งานตาม Application ที่ได้กำหนดไว้ได้
ข้อดีของการใช้งาน Thin-Client Mode
- ผู้ใช้สามารถใช้งาน Application ที่อยู่นอกเหนือจากรูปแบบ Web Based ได้ ยกตัวอย่างเช่น
POP, SMTP, IMAP e-mail - Instant messaging
- Calendar
- Client-initiated TCP-based applications อย่างเช่น Telnet
ข้อจำกัดในการใช้งาน Thin-Client Mode
- ผู้ใช้จะต้องอนุญาตและทำการติดตั้ง Java Applet
- ไม่สามารถใช้งานกับ Application ที่มีการใช้งานแบบ Dynamic Port ได้ เช่น FTP
- ในบาง Application ต้องการสิทธิการใช้งานในระดับ Administrator เพื่อการใช้งานที่ต่อเนื่อง
Tunnel Mode (SVC)
ในโหมดนี้ ผู้ใช้จะทำการสร้าง SSL Tunnel เข้ามายัง WebVPN Server โดยจะเป็นการเชื่อมต่อในระดับ Network Layer ซึ่งจะต่างกับ Clientless Mode ที่จะเป็นการเชื่อมต่อในระดับ Application Layer เท่านั้น ทำให้ Tunnel Mode นี้ รองรับการใช้งาน Application ได้ทุก ๆ อย่าง ที่ทำงานในรูปแบบ IP-Based เหมือนกับการใช้งาน IPSec VPN โดยเมื่อผู้ใช้ทำการเชื่อมต่อเข้ามาใช้งาน จะเสมือนว่ากำลังใช้งานอยู่บนเครือข่ายเดียวกันกับเครือข่ายภายในขององค์กร จะสามารถใช้งาน Application ได้ทุกอย่าง เหมือนกับเครื่องที่ติดตั้งใช้งานอยู่ภายในองค์กร ซึ่งเราสามารถที่จะทำการกำหนดสิทธิการใช้งานของผู้ใช้ที่ทำการเชื่อมต่อผ่าน WebVPN เข้ามาได้ ด้วยการตั้งค่า Group Policy เพื่อควบคุมการใช้งานต่าง ๆ ของผู้ใช้ได้
การที่จะใช้งาน WebVPN ในโหมดนี้ บนเครื่องคอมพิวเตอร์ของผู้ใช้จะต้องทำการดาวน์โหลด Cisco SVC(SSL VPN Client) ซึ่งเป็น Application ที่ใช้สำหรับสร้าง SSL Tunnel ไปยัง WebVPN Server ที่มีขนาดประมาณ 250 KB ไปติดตั้งในเครื่องคอมพิวเตอร์ของผู้ใช้ เพื่อให้สามารถทำการเชื่อมต่อเข้ามายัง WebVPN Server ได้ และโดยปกติ Cisco SVC จะถูกถอนการติดตั้งออกไปเมื่อ ยกเลิกหรือหยุดการเชื่อมต่อ
ในวันนี้ผมก็ขอแนะนำให้เพื่อน ๆ ได้รู้จักกับ Cisco WebVPN (SSL VPN) เพียงเท่านี้ก่อนนะครับ ในโอกาสหน้าจะมาแนะนำการตั้งค่า WebVPN ในรูปแบบต่าง ๆ บนอุปกรณ์ Cisco กันต่อไปครับ… ^_^
No comments:
Post a Comment