ถ้าผมออกแบบ Single Gateway

Artiya
2 min readFeb 20, 2022

--

Shadow of a man using a phone, Bangkok, 2022 by @artiya4u

เมื่อไม่กี่วันมานี้ รมต กระทรวงดิจิตอลเพื่อเศรฐกิจและสังคม ได้พูดถึงโครงการ Single Gateway ขึ้นมา หลายๆ คนก็คงคิดเหมือนกับผมว่า มึงจะเอาอีกแล้วหรอ? จะหาทางริบรอนสิทธิเสรีภาพในการแสดงออกของประชาชนอีกแล้วใช่มั๊ย ไม่ยอมให้เกิดเป็นอันขาด แต่พอผมสงบสิติอารมณ์ลงได้ ผมก็กลับมานั่งคิดว่าถ้ารัฐบาลเป็นรัฐบาลของประชาชนทำเพื่อผลประโยชน์ของประชาชนจริงๆ การปิดกั้นข้อมูลบางอย่างที่มันบิดเบือน มัลแวร์ เว็บข่าวปลอม เว็บฟิชชิ่ง ป้องกันภัยทางไซเบอร์ การสร้างความมั่นคงทางไซเบอร์และความมั่นคงทางข้อมูลของประเทศก็ยังเป็นเรื่องที่ขาดไปไม่ได้ หลักการทำ Single Gateway มันก็พอช่วยได้ ทุกคนอย่าจับคราดจับจอบจับเสียมมาล่าผมนะ ถ้าออกแบบดีๆ ผมก็คิดว่ามันก็ช่วยได้จริงๆ และตอนนี้ก็มีเทคโนโลยีพร้อมแล้วที่จะทำของแบบนั้นด้วย

ลองนึงสภาพประเทศเราบริษัทแห่งหนึ่งที่พนักงานทำงานจากที่ไหนก็ได้ ถ้าจะทำงานก็ต่อเข้า VPN บริษัทเพื่อให้เข้าถึงข้อมูลภายในต่างๆ ได้ บริษัทมีการสิทธิ์ในการควบคุมได้ว่าพนักงานคนไหนสามารถเข้าไปดูข้อมูลอะไรได้บ้าง ดู log ได้ว่าเข้าไปที่ไหนอย่างไร เข้ารหัสข้อมูลอีกชั้น มีการบล็อคเว็บโป๊ เว็บพนัน เว็บโฆษณา เว็บฟิชชิ่งเว็บปลอมที่จะหลอกลวงพนักงานได้ ความปลอดภัยไอทีของบริษัทก็จะสูงขึ้นได้นั่นเอง อาจจะไม่ใช่ปลอดภัยทั้งหมด แต่ก็ช่วยได้ระดับหนึ่ง

ผมจะตั้งชื่อระบบที่ผมคิดไว้ว่า SAFE Net (Safe And Fast Environment Network)ละกันเพื่อสลัดคราบความเป็น Single Gateway

SAFE Net จะมีส่วนประกอบหลายส่วนดังนี้

1. Mesh overlay network

หลักๆ SAFE Net คือ VPN ที่ไร้ศูนย์กลาง คอนฟิกได้ง่าย มีการเข้ารหัสที่ทันสมัย ทำงานได้อยากรวดเร็วและประสิทธิภาพสูง ตอนนี้มีเทคโนโลยีที่ทำอย่างนี้ได้แล้วคือ WireGuard

ปัญหาคือ VPN ปกติต้องต่อไปยัง hub ที่ทำตัวเป็น Single Gateway เป็นศูนย์กลางเกิน ทุกคนที่จะใช้ต้องเข้ามาต่อมัน ล่มเอาง่ายๆ ได้ ช้าด้วย ทางแก้ก็คือแต่ทุกโหนดเข้าหากันโดยตรง ทำเป็น mesh network แบบ peer to peer นั่นเอง แต่พอเป็น p2p ทุกอย่างก็ยากขึ้น ติดไฟร์วอล ถ้าเป็นมือถือก็ต่อๆ หลุดๆ ตลอดเวลา จะมีการใช้ server กลางเพื่อช่วยในการคุยกันได้ว่าใครๆ พอจะต่อกันจริงๆ ก็ไปคุยกันตรงๆ ใช้ NAT Travesal เทคนิคหลายอันช่วยให้คุยทะลุ NAT ได้ เช่น STUN กับ ICE

ถ้าต้องการใช้งาน Wiregruad ได้เต็มประสิทธิภาพ รัฐจะต้องพยายามให้ผู้ให้บริการเว็บไซต์ออนไลน์ต่างๆ ติดตั้ง Wiregruad Endpoint เพื่อเป็นโหนดๆ นึงในเครือข่ายด้วย เพื่อให้บริการอย่างประสิทธิภาพสูงสุด

2. Server กลางช่วยประสานงานที่ช่วยควบคุมการเข้าถึงข้อมูล

รัฐสามารถอนุญาติให้มีการให้บริการเว็บไซต์พิเศษได้เช่น เว็บสื่อลามก เว็บพนันอย่างถูกกฎหมาย ควบคุมการเข้าถึงของผู้ใช้แต่ละคนในเครือข่ายนี้ได้ จำกัดสิทธิ์ตามอายุได้ โดยจะมี Server กลางเป็นตัวประสานงานการแจกจ่ายคีย์เข้ารหัสที่ทำให้เข้าถึงโฮสต์อื่นในเครือข่ายได้ Server นี้ไม่ได้ทำงานหนักมากเพราะมีไว้แรกเปลี่ยนคีย์ซึ่งขนาดนิดเดียว Server คุมว่าใครดูอะไรได้ไม่ได้ ถึงล่มไปผู้ใช้ก็ยังปิด SAFE Net นี้ไป ใช้งานเว็บตามปกติได้ Server กลางนี้ยังใช้ทำ login เพื่อระบบตัวตนผู้ใช้ด้วย

3. สามารถเก็บ Audit log ได้

เนื่องจากว่าระบบไม่ได้ออกแบบให้เน็ตวิ่งผ่านระบบศูนย์กลาง log จะเก็บอยู่ในเครื่องผู้ใช้เอง และอีกที่ที่เครื่องผู้ให้บริการที่เป็น endpoint ด้วย ถ้าผู้ใช้เกิดปัญหาอะไรเจ้าหน้าที่ก็สามารถของ log มาดูได้ช่วยจับกุมผู้กระทำผิดได้ จริงก็สามารถ stream log เข้าส่วนกลางได้ด้วยถ้าจะทำนะ แต่เพื่อความไว้วางใจของผู้ใช้ควรพัฒนาแบบที่ไม่มี log เลย

4. DNS Server ประสิทธิภาพสูงที่มีการคัดกรองเนื้อหา

ใน VPN สามารถตั้งค่า DNS Server ที่ได้รับการมีการคัดกรอง ถ้ามีการถามหาเว็บไซต์ที่ไม่ปลอดภัย เนื้อหาไม่เหมาะสม หรือหลอกลวง ก็จะพาเข้าไปยังหน้าบล็อค และให้สามารถรายงานการบล็อคที่ผิดพลาดได้ เว็บไชต์อื่นที่ปลอดภัยก็เข้าได้ตามปรกติ DNS Server ที่จะบริการนี้จะต้องมีประสิทธิภาพสูงสุด ตอบได้เร็วๆ latency ต่ำสุดๆ ถึงจะได้ประโยชน์จากระบบนี้ มีการเข้ารหัส query ด้วย สามารถให้ประชาชนตรวจสอบได้ว่าบล็อคอะไรไป มีการอัพเดตที่สม่ำเสมอ

ตัวอย่าง เมื่อเข้าถึงเว็บไซต์ที่ถูกปิดกั้นสมัยก่อน

ประสบการณ์ใช้งานของผู้ใช้จะเป็นยังไง

ก่อนอื่นเลยต้องบอกว่า SAFE Net นี้ไม่ได้ทำตัวเป็น Single Gateway จริงๆ ที่จะขวางทางอินเทอร์เน็ตทุกอย่างของประเทศ มันทำตัวเป็นแค่เครือข่ายเสมือนที่จะช่วยคัดกรองเนื้อหา เข้ารหัสข้อมูลทุกอย่างให้ปลอดภัย ข้อมูลเป็นส่วนตัวแทรคโดยคนอื่นไม่ได้ เข้าถึงข้อมูลได้เร็วขึ้น คิดซะว่ามันเป็น VPN ตัวนึง มันเป็นทางเลือกในการใช้งาน ไม่บังคับ เหมือนถุงยางที่ใส่ก่อนใช้เน็ต ใส่ก็ปลอดภัยกว่า ไม่ใส่ก็รับความเสี่ยงกันเอง ที่ดาวน์โหลดและติดตั้งบนเครื่องหรือมือถือได้ เข้าใช้งานโดยใช้รหัสประชาชนและ OTP จากโทรศัพท์

อะไรที่จะทำให้คนอยากใช้ SAFE Net

  • ความเร็ว มี DNS Server ที่รวดเร็ว ลด latency ได้ มีการเข้ารหัส query
  • ความปลอดภัย ปกป้องการเข้าถึงเว็บหลอกลวง ไม่เหมาะสม ผิดกฎหมายได้
  • มีความเป็นส่วนตัว เข้ารหัสทุกข้อมูลที่มีการเชื่อมต่อ ไม่ให้บุคคลที่สามดูข้อมูลได้ แม้แต่ผู้ให้บริการอินเตอร์เน็ต
  • เข้าถึงข้อมูลที่ไม่เหมาะสมได้โดยอย่างถูกกฏหมายเช่น เว็บสื่อลามก เว็บพนัน เว็บหวย เพราะว่ารัฐสามารถควบคุมการเข้าถึงได้รายบุคคล
  • ผลประโยชน์อื่นจากนโยบายรัฐบาลเช่น รัฐบาลออกค่าเน็ตลดค่าเน็ตให้ถ้าใช้กับบริการบนเครือข่ายนี้ เพื่อชักจูงให้เกิดบริการใหม่ในประเทศแทนการใช้งานบริการจากต่างประเทศด้วย

ความเป็นไปได้ในทางเทคนิคการพัฒนา SAFE Net

เนื่องจาก SAFE Net เป็นเครือข่ายเสมือนที่ทำงานบนเครื่อข่ายที่มีอยู่แล้วจึงไม่มีอะไรที่ต้องเปลี่ยนแปลง แต่เพิ่มเติมก็คือเมื่อมีบริการเว็บที่อยากเปิดให้บริการในประเทศ ก็ให้รันโปรแกรมเพื่อทำตัวเป็น endpoint (edge, node)เพื่มเข้าไปเรื่อยๆ ไม่จำเป็นต้องตั้ง server ในไทย สุดท้ายความมั่นคงในด้านข้อมูลก็จะเสมือนอยู่ในประเทศ รัฐสามารถป้องกันช่วยป้องกันภัยคุกคามทางไซเบอร์ได้ให้กับประชาชนที่ใช้ระบบนี้โดยไม่มีการบังคับ รัฐเองไม่ต้องลงทุนโครงสร้างพื้นฐานใหม่หมดมากมายเพื่อให้บริการ SAFE Net นี้เลย

ตัวอย่างของที่คล้ายๆ SAFE Net ที่มีอยู่ในปัจจุบัน

1.1.1.1 Warp ใช้ DNS Server ที่เร็วๆ ของ Cloudflare และข้อมูลเข้ารหัสทั้งหมด คล้ายๆ สิ่งที่ผมคิดไว้มากที่สุด

TailScale สำหรับบริษัทที่ต้องการใช้งาน VPN อย่างง่าย ที่ประยุกต์ใช้เทคโนโลยี WireGuard

อ้างอิง

https://blog.cloudflare.com/1111-warp-better-vpn/ https://tailscale.com/blog/how-tailscale-works/ https://en.wikipedia.org/wiki/WireGuard

--

--