What is VPN Part 2

ရှေ့တခေါက်တွေကတော့ VPN ဆိုတာဘာလဲဆိုတာရယ်နဲ့ Site-to-Site VPN အကြောင်းတွေကို Network Engineer Point Of View ကနေ ပြောပြလို့ပြီးပါပြီ။ အခုဒီတခါကတော့ Remote Access VPN အကြောင်းပါ။ ဘာဖြစ်လို့ Remote Access VPN လို့ခေါ်ရသလဲဆိုရင် Internet Connection ရှိရုံနဲ့ Geographically အရ မတူညီတဲ့ နေရာကနေ မိမိရဲ့ Organization ထဲက Network Devices တွေကို Remote Connection နဲ့ Manage, Configure, Monitor လုပ်လို့ရလို့ပဲဖြစ်ပါတယ်။ ဥပမာအားဖြင့် မိမိရဲ့ ရုံးမှာရှိတဲ့ Network Device တွေမှာ တခုခု Changes လုပ်ချင်တာဖြစ်ဖြစ်၊ Health Status, Route Status, WAN-Uplink Monitoring, Internet Connection Testing စတာတွေကို မိမိအိမ်ကနေ လှမ်းပြီးလုပ်ချင်တဲ့အခါမျိုးမှာဖြစ်ဖြစ်၊ နောက်တခုက မိမိက တခြားနိုင်ငံ ရောက်နေတယ်ဆိုရင်တောင်မှ ကိုယ့်ရုံးက Devices တွေကို Remote Access နဲ့ ခုနကပြောတာတွေ လုပ်တာ မျိုးပေါ့နော်၊ အတိုချုံးရမယ်ဆိုရင်တော့ Internet Connection ရှိရုံနဲ့ ဘယ်နေရာကမဆို လှမ်းဝင်ပြီး Monitoring, Configuring, Testing စတာတွေကို လုပ်လို့ရမယ့် Technology တခုပဲဖြစ်ပါတယ်။ နောက်တခုကတော့ အခုလက်ရှိ ကျွန်တော်တို့ အသုံးပြုနေတဲ့ 1.1.1.1 WARP, Turbo VPN, Psiphon VPN စတာတွေကလည်း Remote Access VPN အမျိုးအစားပဲဖြစ်ပါတယ်။

ပထမဦးဆုံးအနေနဲ့ မိတ်ဆွေတို့နဲ့ ရင်းနှီးနေတဲ့ ခုနက VPN တွေဘယ်လို အလုပ်လုပ်သလဲဆိုတာရှင်းပြပါမယ်။ ကျွန်တော်တို့က VPN Client Software ကိုအသုံးပြုပြီး ချိတ်လိုက်တာနဲ့ ကျွန်တော်တို့ရဲ့ Connection က သက်ဆိုင်ရာ ISP ကနေမှတဆင့် VPN Server ဆီရောက်သွားမယ်၊ အဲဒီတော့ VPN Server ဘက်မှာ Public IP ရှိဖို့လိုအပ်ပါတယ်။ အဲဒီတော့မှသက်ဆိုင်ရာ ISP ကနေတဆင့် Public Internet ကိုဖြတ်ပြီး VPN Server ဆီကိုရောက်သွားမှာဖြစ်ပါတယ်။ နောက်တခုက VPN Server ဘက်မှာလည်း Authentication, Authorization Process တွေလုပ်ထားဖို့လိုအပ်ပါတယ်။ တစ်နည်းအားဖြင့် သတ်မှတ်ထားတဲ့ VPN Client Software ကနေလှမ်းချိတ်တဲ့ Connection တခုတည်းကိုပဲ Permit လုပ်မှာဖြစ်ပြီး တခြား Third-Party VPN Software နဲ့ Server ရဲ့ Public IP ကိုတိုက်ရိုက်လာချိတ်မယ်ဆိုရင်တော့ Deny လုပ်မယ့် Process လိုမျိုးတွေပါမယ်ပေါ့။ နောက်တခုက Free User ဆိုရင်တော့ ဒီလောက်ပဲရမယ်၊ Premium User ဆိုရင်တော့ Bandwidth ကအစ များမယ်၊ ဘယ်လို Feature မျိုးတွေထပ်ရမယ်ဆိုတဲ့ Authorization Process မျိုးတွေ၊ နောက်တခုကတော့ WARP လိုမျိုးဆိုရင် Server ရွေးစရာမလိုပဲ အနီးဆုံး Server နဲ့ သွားပြီးချိတ်တဲ့ Anycast Connection လိုမျိုးတွေ အဓိက Configure လုပ်ရမှာဖြစ်ပါတယ်၊ ဒါကတော့ လက်ရှိ VPN Software တွေနဲ့ ပတ်သက်ပြီး ကျနော်သိသလောက် မှတ်သလောက် ပြောပြရခြင်းဖြစ်ပါတယ်။ နောက်ကွယ်မှာအလုပ်လုပ်နေတဲ့ Process တွေအကုန်လုံးတော့ ကျွန်တော်ကိုယ်တိုင်မပါဝင်ထားတဲ့အတွက်အသေးစိတ်မသိနိုင်ပါ (ဤကားစကားချပ်)။ သေချာတာ တခုကတော့ Virtual Private Network (VPN) ဖြစ်တဲ့အတွက် သွားတဲ့ User Traffic တွေအကုန်လုံးကတော့ Encrypted ဖြစ်နေမှာပါ။

နောက်တခုကတော့ ကျွန်တော်တို့ Organization တစ်ခုမှာ Remote Access VPN ဘယ်လို Configure လုပ်ရမလဲပေါ့နော်။ မရှိမဖြစ်လိုအပ်တာကတော့ သက်ဆိုင်ရာ Internet Edge Device (Firewall or Router) မှာ Public IP ပါတဲ့ Direct Internet Access (DIA) လိုင်းတခုရှိရပါမယ်။ Public IP ဖြစ်တဲ့အတွက် ဘယ်နေရာကမဆို Internet Connection ရှိရုံနဲ့ Access လုပ်လို့ရမှာပါ။ နောက်တခုကတော့ IP Pool တခုသတ်မှတ်ပေးရမယ်၊ ဘယ်လိုမျိုးလဲဆိုရင် ကျွန်တော်တို့ Configure လုပ်လိုက်တဲ့ Remote Access VPN Server (Internet Edge Device) ကိုလာချိတ်မယ့် User တွေကို IP Address တစ်ခု Assign ချပေးရပါမယ်။ အများစုကတော့ /28, /27, /24 စသဖြင့် သတ်မှတ်ကြပါတယ်။ User တစ်ယောက်လာချိတ်တာနဲ့ အဲ User Device (Mobile Phone or Computer) မှာ Virtual Network Card (Virtual NIC) တစ်ခုရောက်ရှိနေမှာဖြစ်ပြီး အဲဒီ့ Virtual NIC မှာ ကျွန်တော်တို့ သတ်မှတ်ပေးထားတဲ့ IP Pool ထဲက IP တစ်ခု Assign ကျနေမှာဖြစ်ပါတယ်။ ဆိုတော့ Dynamically Assign လုပ်မှာဖြစ်တဲ့အတွက် Remote Access VPN Server မှာ DHCP Service လိုပါတယ်။ နောက်တခုက Assign ချမယ့် IP Pool သည် Public IP ဖြစ်စရာမလိုပါဘူး၊ Private IP ပဲဖြစ်ရမှာပါ။ ဘာလို့ဆိုတော့ User ဘက်ကနေ တကယ့် Actual IP Header မှာပါမယ့် Source IP, Destination IP က private IP ပဲဖြစ်မှာပါ။ အပြင်က Encapsulated လုပ်ထားတဲ့ Outer IP Header ထဲက ‌IP တွေကသာ Internet ပေါ်မှာသွားလို့ရဖို့အတွက် Public IP ဖြစ်ရမှာပါ။ အဲတာကတော့ Generic Routing Encapsulation (GRE) လို နည်းပညာမျိုးနဲ့သွားမှာဖြစ်ပါတယ်။ ဒီတော့ User တွေဆီကလာမယ့် Connection ကတော့ရပါပြီ။ အဲ Traffic တွေကို ဘယ် Network ကိုပေးသွားမှာလဲဆိုတာ ကတော့ လက်ရှိ Remote Access VPN Server နဲ့ ပေးသွားမယ့် Network တွေက Connectivity ရှိလား မရှိလား အရင် Ping Test ရပါမယ်။ လိုအပ်ရင် Back-Route (Static Route) ဖြစ်ဖြစ်၊ OSPF ဖြစ်ဖြစ် Configure ပေးရပါမယ်။ နောက်တစ်ခုက မိမိ Organization မှာ Network တွေအများကြိးရှိတယ်၊ အဲဒီထဲကမှ ဘယ် Network ကိုပဲ ပေးသွားမယ်ဆိုတာမျိုး၊ Traffic ကိုကန့်သတ်မယ်ဆိုရင်တော့ Router မှာ Access List နဲ့ကန့်သတ် လို့ရသလို၊ Firewall မှာဆိုရင်တော့ Firewall Policy နဲ့ကန့်သတ်ရမှာဖြစ်ပါတယ်။ အထူးသဖြင့် Management VLAN လိုမျိုး Management Network တစ်ခုကန့်သတ်ထားပြီး အဲဒီထဲမှာမှ Jump Host (Windows or Linux OS) ထားမယ်။ Remote Access နဲ့လာတဲ့သူတွေကလည်း အဲဒီ Jump Host ကိုပဲ Access ရမယ်ပေါ့။ အဲ Jump Host ကနေတစ်ဆင့် တစ်ခြား Network Devices, Servers တွေကို Access ရမှာပေါ့နော်၊ ဒီလိုပုံစံမျိုးလည်း တစ်ချို့သော Enterprise တွေမှာ တွေ့ရတတ်ပါတယ်။

အဲတာဆိုရင်တော့ User ဖက်ကနေ Internet ရှိရုံနဲ့ သက်ဆိုင်ရာ VPN Client Software ကနေတစ်ဆင့် VPN ချိတ်လို့ရပါပြီ။ ဒါကတော့ VPN Configuration နဲ့ဆိုင်တာပေါ့နော်။ ဥပမာ - Remote Access VPN Server က FotiGate Firewall မှာဆိုရင် FotiClient လိုမယ်။ Palo Alto မှာဆိုရင်တော့ Global Protect, Cisco ASA, Firepower မှာဆိုရင်တော့ Cisco AnyConnect စသဖြင့်ရှိသလို Windows Server မှာဆိုရင်တော့ User သုံးထားတဲ့ OS က Windows ဆိုရင် Build-In ပါတဲ့ VPN မှာ Username, Password ထည့်၊ သက်ဆိုင်ရာ Protocol ထည့်ပြီး မှန်ကန်တယ်ဆိုရင်တော့ ချိတ်လို့ရပါပြီ။ တစ်ချို့တွေမေးကြတယ်။ Remote Access VPN ချိတ်ရင် Internet မရတော့ဘူးဆိုပြီးတော့ပေါ့နော်။ အဲတာကတော့ ကိုယ်လုပ်တဲ့ Device Vendor ပေါ်မူတည်သလို Configuration ပေါ်လည်းမူတည်ပါသေးတယ်။ ဥပမာ - SSL VPN မျိုးဆိုရင် Automatically Split-Over Internet Function ပါကြတာမျိုးသလို Vendor တော်တော်များများလည်း Support လုပ်ပါတယ်။ IPSec ဆိုရင်တော့ Iplit-Over Internet ကို သီးသန့် Config လုပ်ပေးရမှာပေါ့နော်။ များသောအားဖြင့်ကတော့ Firewall တွေမှာကတော့ SSL VPN ကိုပဲအသုံးပြုတာများကြပါတယ်။ HTTP Based ဖြစ်တဲ့အတွက် Secure Socket Layer (SSL) တို့၊ Transport Layer Security (TLS) တို့လည်းပါမယ်ပေါ့။ နောက်ထပ် Knowledge တစ်ခုပေးချင်တာကတော့ အခုလက်ရှိမှာ Remote Access VPN တွေကလည်း ထိုက်သင့်သလောက် Secure မဖြစ်တော့တဲ့အတွက် Zero Trust Network Access (ZTNA) လိုမျိုး VPN ကို Background လိုမျိုးအသုံးပြုပြီးတော့ Centralized Management လုပ်လို့ရတဲ့ SD-WAN လို Technology, အဲတာကိုမှာ Cloud-Native Architecture ထပ်ပေါင်းပြီး ပိုမို Secure ဖြစ်အောင်လုပ်ထားတဲ့ Secure Access Service Edge (SASE) လိုမျိုး Solution တွေ၊ VPN ကိုချိတ်တဲ့ End-User တွေကိုပါ Secure ဖြစ်စေမယ့် Endpoint Solution မျိုးတွေကိုလည်း နောက်ပိုင်းမှာ ထပ်တွေ့ရမှာ ဖြစ်ပါတယ်။ ဒီနေ့ကတော့ ဒီလောက်ပါပဲ။ နောက်ထပ် စိတ်ဝင်စားစရာ Topic တစ်ချို့နဲ့အတူပြန်လာပါဦးမယ်ခင်ဗျာ။

ZTNA vs. VPN – What's the Better Cybersecurity Solution? | Fortinet
Written By Aung Khant Moe
PreviousHow To Change File System with No Format?NextNAT Types And NAT Work

Last updated