VPN คืออะไร? ทำงานอย่างไร และมีเทคโนโลยีอะไรบ้าง (อธิบายละเอียด)

Virtual Private Network แปลว่า:

• Virtual: จำลองขึ้นมา ไม่ใช่สายจริง
• Private: เป็นส่วนตัว มีการเข้ารหัส
• Network: เครือข่าย

เปรียบเทียบง่ายๆ:

• VPN เหมือนการลากสาย LAN ข้ามฟ้า
• เชื่อมต่อ 2 จุดเข้าด้วยกัน
• ผ่านโลก Internet แต่ปลอดภัย

องค์ประกอบ:

1. VPN Client: อุปกรณ์ของเรา (โน้ตบุ๊ค, มือถือ)
2. VPN Server: ปลายทางที่ต่อไป
3. Tunnel: ท่อเข้ารหัสที่เชื่อมต่อทั้งสอง

ก่อนมี VPN ใช้ Port Forward:

• เปิด Port ให้เข้าถึง Server จากภายนอก
• ไม่มี Authentication ใครก็เข้าได้
• Hacker สแกนหา Port ที่เปิดอยู่
• Brute Force รหัสผ่านได้

ข้อจำกัด Port Forward:

1. ต้องเพิ่ม Port ทุกครั้งที่มี Service ใหม่
2. รองรับเฉพาะ TCP/UDP
3. อันตราย - ถูกโจมตีได้ง่าย

VPN แก้ปัญหานี้:

• ปิด Port ทั้งหมด ไม่ให้เข้าตรงๆ
• ต้อง Login ก่อนถึงจะต่อ Tunnel ได้
• เข้าถึงทุก Service ได้หลัง Connect

ขั้นตอนการเชื่อมต่อ:

1. ติดตั้ง VPN Client บนเครื่อง
2. Client สร้าง Virtual Interface
3. กด Connect ไปยัง VPN Server
4. Server ยืนยันตัวตน (Authentication)
5. สร้าง Tunnel เชื่อมต่อ 2 ฝั่ง
6. ได้รับ IP จาก VPN Pool
7. เข้าถึง Network ภายในได้

สิ่งที่เกิดขึ้น:

• Data ทั้งหมดวิ่งผ่าน Tunnel
• ถูกเข้ารหัส (Encryption)
• เหมือนอยู่ใน Network เดียวกัน
• Private IP คุยกันได้

1995: PPTP

• Point-to-Point Tunneling Protocol
• พัฒนาโดย Microsoft + Cisco
• Protocol แรกของโลก
• ปัจจุบันไม่ปลอดภัยแล้ว

ปัจจุบัน:

ทำไมองค์กรเลือก IPSec:

• Cisco, Fortinet, Palo Alto, AWS ใช้หมด
• เป็น Protocol Suite (ชุดรวม)
• อัพเกรด Encryption ได้ไม่กระทบ Config เดิม

องค์ประกอบ:

1. IKE (Phase 1): ยืนยันตัวตน
2. ESP (Phase 2): เข้ารหัส Data

ข้อดี:

• 800 สาขา เปลี่ยน Encryption ได้พร้อมกัน
• แค่ Update Firmware แล้วเปลี่ยน Option
• รองรับการเติบโตในอนาคต

OpenVPN:

• Open Source พัฒนาต่อเนื่อง
• นิยมในสาย Linux Server
• ยืดหยุ่น Config ได้หลายแบบ
• ทำงานผ่าน TCP หรือ UDP ก็ได้

WireGuard:

• Protocol ใหม่ (2019)
• Code น้อยกว่า OpenVPN มาก
• เร็วมาก ใช้ CPU ต่ำ
• Throughput สูงกว่า

ข้อควรระวัง WireGuard:

• ยังใหม่ ไม่ผ่านการทดสอบนาน
• Config ผิดก็ไม่ปลอดภัย
• ต้องรอดูอีกสักพัก

การเข้ารหัส (Encryption):

• AES-128, AES-256 เป็นมาตรฐาน
• ยิ่งเข้ารหัสแรง ยิ่งใช้ CPU มาก
• Throughput อาจลดลง 10-50%

การยืนยันตัวตน (Authentication):

1. User + Password: พื้นฐาน ไม่ปลอดภัยพอ
2. MFA/OTP: เพิ่มความปลอดภัย
3. Hardware Key: ต้องเสียบ USB Key
4. Certificate: ใบรับรองจากองค์กร
5. Passkey/Biometric: ใช้ลายนิ้วมือ/หน้า

Military Grade Encryption?

• AES ใช้กันทั่วไป ทั้งทหารและ 7-Eleven
• ไม่ได้พิเศษกว่าคนอื่น

การโจมตี MITM:

1. Hacker ตั้ง Fake WiFi ชื่อเหมือนร้านกาแฟ
2. ยิง Deauthentication ให้คนหลุดจาก WiFi จริง
3. เหยื่อต่อกลับมาเจอ Fake WiFi
4. Hacker ดัก Traffic ทั้งหมด

VPN ช่วยได้:

• Data ถูกเข้ารหัสตั้งแต่ออกจากเครื่อง
• แม้ Hacker ดักได้ก็อ่านไม่ออก
• ต้องถอดรหัส AES ซึ่งยากมาก

แต่ไม่ใช่ 100% ปลอดภัย:

• ถ้า Config ไม่ดี ก็มีช่องโหว่
• Password ง่ายก็ถูก Brute Force ได้