Virtual private network
Virtual private network (VPN), på svenska ”virtuellt privat nätverk”, är en teknik som används för att skapa säkra förbindelser, så kallade tunnlar, mellan två punkter i ett osäkert datanätverk (såsom Internet).
Länkarna mellan noderna i ett VPN skapas över logiska anslutningar eller virtuella kretsar mellan värdar i det större nätverket. Länklagerprotokollen i det virtuella nätverket sägs tunnlas genom det underliggande transportnätverket. I en typisk VPN-tillämpning initierar klienten en virtuell punkt-till-punkt-anslutning till en fjärråtkomstserver via internet. Fjärråtkomstservern svarar på anropet, autentiserar anroparen och överför data mellan VPN-klienten och organisationens privata nätverk.
Data kapslas in ett huvud för att emulera en punkt-till-punkt-länk. I huvudet finns routningsinformation som gör att data kan skickas över det delade eller det offentliga nätverket på väg mot slutmålet. Vid emulering av en privat länk krypteras de data som skickas av säkerhetsskäl. Paket som avlyssnas på det delade eller offentliga nätverket kan inte dekrypteras utan krypteringsnycklarna. Den länk som de privata data kapslas in i och krypteras kallas för en VPN-anslutning.
Med ett VPN kan man skapa en säker privat förbindelse över ett publikt nätverk som Internet. Många organisationer har internt uppbyggda VPN, och olika organisationer kan även bygga upp ett gemensamt virtuellt nätverk mellan sig för ett speciellt ändamål. Exempel på användning av VPN-förbindelser är att någon på resande fot kopplar upp sig mot företagets server för att arbeta som om klienten var ansluten i det lokala nätverket. Ett annat exempel är att koppla ihop två fysiskt separata kontorsnätverk till ett stort logiskt.
VPN kan också användas för att maskera IP–adressen på individuella datorer inom Internet för att, till exempel, kunna surfa anonymt på webben eller att få tillgång till områdesrestriktiva tjänster, såsom Internet–television.
Innehåll |
VPN-anslutningar [redigera]
Fjärråtkomst-VPN [redigera]
Oavsett vilken Internetanslutning man har, och med hjälp av VPN, kan man tillhandahålla företagets nätverksresurser över Internet på ett säkert sätt för, till exempel, anställda som är på resande fot eller anställda som jobbar hemifrån. Med en Internetanslutning kan man därefter, med en VPN-programvara, skapa en virtuell tunnel mellan fjärranvändaren och företagets server. Fjärråtkomst (eng. Remote Access) är det vanligaste och mest spridda användningsområdet för VPN-tillämpningar. Fjärråtkomst är den lättaste av tillämpningarna att implementera och har de mest påtagliga resultaten. Tillämpning ger också den snabbaste ekonomiska vändpunkten genom kostnadsbesparingar. Det publika nätverkets infrastruktur är inte relevant för klienter när anslutningen väl är etablerad. Hur paketen routas mellan klienten och server spelar ingen roll, ur klientens synvinkel är VPN-anslutning en punkt-till-punkt-förbindelse mellan klienten och tunnelservern
Plats-till-plats-VPN [redigera]
Om man som ett stort etablerat företag har flera kontor runt om i världen och vill ha ett gemensamt nätverk så kommer VPN-tekniken till mycket god användning. Förr i tiden var man tvungna att hyra fasta ledningar av någon teleoperatör för att skapa en nätverksförbindelse mellan åtskilda platser. Fördelen med att ha fasta ledningar är att man får mycket pålitliga och stabila förbindelser mellan platserna. Den stora nackdelen är kostnaden, det är mycket dyrt att hyra ledningar och kostnaden ökar kraftigt i takt med avståndet. Med VPN-tekniken blir det avsevärt billigare. Man ersätter alla fasta ledningar med tunnlar som förbinder samman separata platser och filialer. Användaren märker dock ingen skillnad mellan en VPN-anslutning och hyrda förbindelser när routningen väl är konfigurerad. Man kan kalla plats-till-plats-VPN för ad-hoc-nätverk när det bara är mellan två datorer.
Egenskaper för VPN-anslutningar [redigera]
VPN-anslutningar som använder PPTP, L2TP/IPsec och SSTP har följande egenskaper:
- Inkapsling
- Autentisering
- Datakryptering
Inkapsling [redigera]
Data kapslas in med ett huvud som innehåller routningsinformation med hjälp av VPN-teknik som gör att data kan skickas över överföringsnätverket.
Autentisering [redigera]
Autentisering kan ske på tre olika nivåer vid VPN–anslutning:
- 1. Autentisering på användarnivå med hjälp av PPP–autentisering
När en VPN–anslutning ska upprättas autentiseras den VPN–klient som försöker ansluta av VPN–servern med hjälp av PPP–metoden (Point-to-Point Protocol) för autentisering på användarnivå. En kontroll sker för att bekräfta att VPN–klienten har rätt auktorisering. Även ömsesidig autentisering kan användas. Detta sker då genom att en autentisering av VPN–servern körs hos VPN–klienten för att skydda mot datorer som utger sig för att vara VPN-servrar.
- 2. Autentisering på datornivå med hjälp av IKE (Internet Key Exchange)
När en IPsec–säkerhetsassociation upprättas använder både VPN–servern och VPN-klienten IKE–protokollet för att utbyta antingen ett datorcertifikat eller en i förväg delad nyckel. I båda dessa fall så autentiserar VPN–servern och VPN–klienten varandra på datornivå. Autentisering genom datorcertifikat är den bättre metoden eftersom det är en betydligt starkare autentiseringsmetod. Autentisering på datornivå utförs endast vid L2TP-/IPsec–anslutningar.
- 3. Autentisering av dataursprung och dataintegritet
För att verifiera att de data som skickas via VPN – anslutningen kommer från andra ändan av anslutningen och inte har ändrats på vägen innehåller data en krypterad kontrollsumma som bygger på en krypteringsnyckel som endast avsändaren och mottagaren känner till. Autentisering av dataursprung och dataintegritet är endast tillgänglig för L2TP-/IPsec–anslutningar.
Tunnling [redigera]
All trafik som går mellan två noder går via en säker kanal, med hjälp av en kryptering. Trafiken slussas in i kanalerna för att sedan släppas ut på andra sidan. Man kallar detta för att tunnla trafik mellan två ändpunkter. När tunneln är upprättad, så kan trafik flöda genom tunneln som om det nätverk tunneln upprättats över inte finns. Nätverken förbinder två noder med en krypteringstunnel över Internet och som då upplevs att man sitter i samma nätverk.
Trafiken som skickas ut i tunnlarna kan direkt kommunicera med varandra mellan två nätverk. Detta eftersom tunneln följer en direkt logisk väg istället för att följa den fysiska vägen. Applikationerna kommunicerar med varandra helt ovetande om hur många hopp det är på vägen, det vill säga antalet routrar som passeras, istället uppfattar applikationer det som ett hopp.
Datakryptering [redigera]
Genom att data krypteras av avsändaren och dekrypteras av mottagaren så garanteras datasekretessen vid färden över det delade eller offentliga överföringsnätverket. Processer som kryptering och dekryptering utförs i är beroende av att avsändaren och mottagaren använder samma krypteringsnyckel.
Om paketen som skickas via VPN-anslutningen blir avlyssnade så framställs informationen som oläslig för personer som inte har tillgång till krypteringsnyckeln. Eftersom det finns beräkningstekniker för att fastställa krypteringsnyckeln så är dess längd en viktig säkerhetsparameter. Ju större en krypteringsnyckel blir desto mer datorkraft och beräkningstid tar det att fastställa den. Av den anledning är det därför viktigt att använda största möjliga nyckel för att garantera datasekretessen.
