บทความที่ 8: Virtual Private Networks (VPN) – ยุทธศาสตร์การสร้างอุโมงค์ข้อมูลและการเชื่อมต่อโครงข่ายระดับสูง

cyberthai-adminMay 8, 20260 comments

บทความโดย: ดร. วิรินทร์ เมฆประดิษฐสิน

ในโลกของวิศวกรรมเครือข่าย “ระยะทาง” ไม่ควรเป็นอุปสรรคต่อความปลอดภัยครับ ไม่ว่าสาขาขององค์กรจะอยู่ที่เชียงใหม่ หรือพนักงานจะนั่งทำงานอยู่ที่ร้านกาแฟในกรุงเทพฯ ข้อมูลที่วิ่งผ่านอินเทอร์เน็ตสาธารณะต้องถูกปกป้องเหมือนวิ่งอยู่ในสายแลนเส้นเดียวกัน บทความนี้เราจะมาเจาะลึกเทคโนโลยี VPN บน FortiGate ซึ่งเป็นอุปกรณ์ที่ขึ้นชื่อว่ามีประสิทธิภาพในการทำ Encryption สูงที่สุดในตลาดตัวหนึ่ง เนื่องจากมีชิป ASIC NP (Network Processor) มาช่วยเร่งความเร็วนั่นเอง

1. Site-to-Site VPN (IPsec): การเชื่อมต่อกระดูกสันหลังขององค์กร

การเชื่อมต่อระหว่างสำนักงานใหญ่ (Headquarters) และสาขา (Branches) ส่วนใหญ่จะใช้ IPsec VPN เพราะมีความเสถียรสูงและรองรับทราฟฟิกจำนวนมากได้ดีกว่า SSL VPN  

1.1 โครงสร้างการต่อรอง (The Negotiation Process)

ผมมักจะสอนเสมอว่า IPsec คือการทำความตกลงระหว่าง “คนสองคน” ถ้าตกลงกันไม่ได้ อุโมงค์ก็ไม่เกิด

  • Phase 1 (Main/Aggressive Mode): คือการระบุตัวตนระหว่าง Firewall 2 ฝั่ง (Peer Authentication) เพื่อสร้างช่องทางที่ปลอดภัยเบื้องต้น โดยมีการตกลงเรื่อง Encryption (AES), Hash (SHA), และ Diffie-Hellman Group (DH Group)
  • Phase 2 (Quick Mode): คือการตกลงว่า “ข้อมูลชุดไหน” จะวิ่งเข้าอุโมงค์บ้าง (Proxy ID/Selectors) และจะใช้รหัสชุดไหนในการป้องกันข้อมูลจริง

1.2 Route-based vs Policy-based VPN

ใน FortiGate 7.6 เราเน้นการทำ Route-based VPN (Virtual Tunnel Interface – VTI)

  • VTI: ระบบจะสร้าง Interface เสมือนขึ้นมา (เช่น To_Branch_A) ทำให้เราสามารถเขียน Static Route หรือใช้ Routing Protocol (OSPF/BGP) วิ่งผ่านอุโมงค์ได้เหมือนสายแลนจริงๆ ซึ่งมีความยืดหยุ่นสูงกว่าแบบเดิมมาก

2. Remote Access VPN (Dial-up IPsec): ทางเลือกที่รวดเร็วและปลอดภัย

สำหรับพนักงานที่ต้องเข้าถึงทรัพยากรจำนวนมากจากภายนอก Dial-up IPsec มักจะถูกเลือกใช้เนื่องจากประสิทธิภาพ (Performance) ที่ดีกว่า SSL VPN และรองรับมาตรฐานความปลอดภัยระดับสูง

2.1 IKEv2 & NAT-Traversal (NAT-T)

ยุคนี้เราก้าวข้าม IKEv1 ไปสู่ IKEv2 แล้วครับ เพราะรองรับการเชื่อมต่อที่เสถียรกว่าและจัดการเรื่อง IP Address Pool ได้ดีกว่า

  • NAT-T: เป็นฟีเจอร์ที่ขาดไม่ได้ เพราะพนักงานส่วนใหญ่จะต่ออินเทอร์เน็ตผ่าน Router ที่ทำ NAT มาก่อน NAT-T จะช่วย “ห่อ” Packet IPsec ให้อยู่ใน UDP 4500 เพื่อให้วิ่งผ่านระบบ NAT ได้โดยไม่ถูกบล็อก

2.2 Multi-layered Security & FortiClient

การทำ Dial-up VPN ต้องใช้ความปลอดภัยหลายชั้น

  • XAuth / EAP: การเช็ค Username/Password นอกเหนือจากกุญแจหลัก (Pre-shared Key)
  • Digital Certificates: การบังคับว่าต้องเป็นเครื่องที่มีใบรับรองจากบริษัทเท่านั้นจึงจะเชื่อมต่อได้

3. SSL VPN: ความง่ายที่มาพร้อมกับความยืดหยุ่น

SSL VPN คือขวัญใจของผู้ใช้งานทั่วไป เพราะใช้งานง่ายผ่าน Browser (Web Mode) หรือจะใช้แอปเล็กๆ อย่าง FortiClient (Tunnel Mode) ก็ได้

3.1 Web Mode vs. Tunnel Mode

  • Web Mode (Clientless): ไม่ต้องลงโปรแกรมอะไรเลย เหมาะกับการเข้าถึงเว็บแอปพลิเคชันภายใน หรือไฟล์แชร์เบื้องต้น แต่ข้อเสียคือรองรับแอปพลิเคชันได้จำกัด
  • Tunnel Mode: ระบบจะสร้าง Network Adapter เสมือนขึ้นในเครื่องคอมพิวเตอร์ ทำให้ใช้งานได้ทุกโปรแกรมเหมือนนั่งอยู่ในออฟฟิศ เหมาะสำหรับ Programmer หรือ Engineer

3.2 ยุทธศาสตร์ Split Tunneling

ผมมักจะเน้นย้ำเรื่องนี้มากครับ

  • Enabled (Split-Tunnel): เฉพาะทราฟฟิกที่จะไปออฟฟิศเท่านั้นที่วิ่งเข้า VPN ทราฟฟิกดู YouTube ให้วิ่งออกเน็ตบ้านปกติ (ประหยัดแบนด์วิธของออฟฟิศ)
  • Disabled (Full-Tunnel): ทราฟฟิกทุกอย่างต้องวิ่งเข้าออฟฟิศก่อน เพื่อให้ Firewall ตรวจสอบความปลอดภัย (ปลอดภัยสูงสุดแต่กินเน็ตออฟฟิศมาก)

4. Advanced Debugging & Troubleshooting (วิชาแก้ปัญหาฉบับปรมาจารย์)

เมื่อ VPN ไม่เชื่อมต่อ วิศวกรต้องไม่เดาสุ่ม ผมขอแนะนำให้ใช้เครื่องมือใน CLI ดังนี้

4.1 ตรวจสอบ IPsec ด้วย diag debug app ike -1

นี่คือคำสั่งวิเศษที่จะบอกทุกอย่าง

  • ถ้าเห็นคำว่า no proposal chosen แสดงว่า Encryption หรือ DH Group ไม่ตรงกัน
  • ถ้าเห็นคำว่า pre-shared key mismatch แสดงว่ารหัสผ่านไม่ตรงกัน
  • ถ้าเห็นคำว่า peer is not responding แสดงว่า IP ปลายทางปิดเครื่อง หรือมี Firewall ระหว่างทางบล็อกพอร์ต 500/4500 อยู่

4.2 ตรวจสอบ SSL VPN ด้วย diag debug app sslvpn -1

ใช้ดูว่า User พยายาม Login เข้ามาแล้วติดขัดที่ขั้นตอนไหน เช่น รหัสผ่านผิด หรือ User Group ไม่ได้รับสิทธิ์เข้าใช้ Portal นั้นๆ

5. ยุทธศาสตร์ความปลอดภัยสูงสุด: การเชื่อมต่อที่ไม่มีช่องโหว่

การตั้งค่า VPN ให้ “ใช้ได้” นั้นง่าย แต่ตั้งให้ “ปลอดภัย” นั้นยากครับ

  1. Always-Up VPN: การตั้งค่าให้อุโมงค์เชื่อมต่อตลอดเวลา เพื่อป้องกันการหลุดของ Session ระหว่างวัน
  2. Dead Peer Detection (DPD): การหมั่นตรวจว่าอีกฝั่งยัง “มีชีวิต” อยู่ไหม ถ้าไม่อยู่ให้รีบลบ Session ทิ้งเพื่อรอการเชื่อมต่อใหม่
  3. MFA Integration: บังคับใช้ OTP (One-Time Password) ทุกครั้งที่มีการเชื่อมต่อ VPN เพื่อป้องกันการขโมย Username/Password

6. บทสรุป: บทบาทของ VPN ในยุคของ ZTNA

แม้ว่าโลกจะพยายามเปลี่ยนผ่านไปสู่ ZTNA แต่ VPN ยังคงมีที่ยืนที่มั่นคงในการเชื่อมต่อระดับ Data Center to Data Center หรือการทำ Backup Link ที่ต้องการความเสถียรเชิงโครงสร้าง วิศวกรที่เก่งต้องเลือกใช้ให้เป็นและปรับจูนให้แม่นยำ

ในบทความถัดไป (บทที่ 9) เราจะไปถึงหัวใจของการป้องกันเชิงรุก นั่นคือ Security Profiles & Threat Protection เราจะมาดูวิธีการตั้งค่า IPS, Web Filter และ Application Control ให้ “เอาโจรอยู่” โดยที่ “ผู้ใช้งานไม่อึดอัด”  

💡 เกร็ดความรู้จาก Lab

  • VPN Wizard: สำหรับมือใหม่ FortiGate มี Wizard ที่ช่วยตั้งค่า VPN ให้เสร็จใน 5 นาที แต่สำหรับการทำงานระดับ Enterprise ผมแนะนำให้ใช้โหมด Custom เพื่อที่คุณจะได้ควบคุมทุก Parameter ได้ด้วยตัวเอง
  • Offload Traffic: ตรวจสอบเสมอว่า IPsec VPN ของคุณถูกจัดการโดยชิป NP หรือไม่ ผ่านคำสั่ง get vpn ipsec tunnel details เพื่อให้มั่นใจว่าความเร็วจะไม่เป็นคอขวดครับ