Virtual private network

Från Wikipedia
Hoppa till: navigering, sök

Virtuellt privat nätverk (VPN, en. Virtual Private Network) är en teknik som används för att skapa en säker förbindelse eller "tunnel" mellan två punkter i ett icke-säkert datanätverk (till exempel Internet).

Länkarna mellan noderna i ett virtuellt privat nätverk skapas över logiska anslutningar eller virtuella kretsar mellan värdar i det underliggande nätverket. Länklagerprotokollen i det virtuella nätverket sägs "tunnlas" genom det underliggande transportnätverket. I en typisk VPN-tillämpning initierar klienten en virtuell punkt-till-punkt-anslutning till en fjärråtkomstserver via Internet. Fjärråtkomstservern svarar på anropet, autentiserar anroparen och hanterar därefter överföringen av data mellan VPN-klienten och organisationens privata nätverk.

Data kapslas in ett huvud för att emulera en punkt-till-punkt-länk. I huvudet finns routningsinformation som gör att data kan skickas över det delade eller det offentliga nätverket på väg mot slutmålet. Vid emulering av en privat länk krypteras de data som skickas av säkerhetsskäl. Paket som avlyssnas på det delade eller offentliga nätverket kan inte dekrypteras utan krypteringsnycklarna. Den länk som de privata data kapslas in i och krypteras kallas för en VPN-anslutning.

Med en VPN-anslutning kan en säker privat förbindelse skapas över ett publikt nätverk som Internet. Många organisationer har internt uppbyggda virtuella privata nätverk, och olika organisationer kan även bygga upp ett gemensamt virtuellt nätverk mellan sig för ett specifikt ändamål. Exempel på användning av VPN-anslutningar är att någon på resande fot kopplar upp sig mot företagets server för att arbeta som om klienten var ansluten i det lokala nätverket. Ett annat exempel är att koppla ihop två fysiskt separata kontorsnätverk till ett större logiskt nätverk.

VPN kan också användas för att maskera IP–adressen på individuella datorer inom Internet för att, till exempel, kunna surfa anonymt på webben eller att få tillgång till områdesrestriktiva tjänster, såsom Internettelevision.

VPN-anslutningar[redigera | redigera wikitext]

Fjärråtkomst-VPN[redigera | redigera wikitext]

Oavsett vilken Internetanslutning man har, och med hjälp av VPN, kan man tillhandahålla företagets nätverksresurser över Internet på ett säkert sätt för, till exempel, anställda som är på resande fot eller anställda som jobbar hemifrån. Med en Internetanslutning kan man därefter, med en VPN-programvara, skapa en virtuell tunnel mellan fjärranvändaren och företagets server. Fjärråtkomst (en. Remote Access) är det vanligaste och mest spridda användningsområdet för VPN-tillämpningar. Fjärråtkomst är den lättaste av tillämpningarna att implementera och har de mest påtagliga resultaten. Tillämpning ger också den snabbaste ekonomiska vändpunkten genom kostnadsbesparingar. Det publika nätverkets infrastruktur är inte relevant för klienter när anslutningen väl är etablerad. Hur paketen routas mellan klienten och server spelar ingen roll, ur klientens synvinkel är VPN-anslutning en punkt-till-punkt-förbindelse mellan klienten och tunnelservern

Plats-till-plats-VPN[redigera | redigera wikitext]

Ett vanligt användningsområde för VPN-teknik är när större företag med kontor på geografiskt skilda platser över hela världen behöver ett gemensamt internt nätverk. En lösning som tidigare var vanligt förekommande[när?] byggde på fasta ledningar som hyrdes av en teleoperatör och som användes för att skapa en nätverksförbindelse mellan geografiskt åtskilda platser. Fördelen med fasta ledningar är att förbindelsen mellan platserna blir synnerligen pålitlig och stabil. Den stora nackdelen är det är dyrt att hyra ledningar jämfört med VPN-teknik, och kostnaden ökar kraftigt i takt med avståndet. För användaren är det dock ingen skillnad mellan en VPN-anslutning och hyrda förbindelser när routningen väl är konfigurerad. Ett VPN-nätverk av typen plats-till-plats kallas även för "ad-hoc-nätverk" om nätverket bara består av en förbindelse mellan två datorer.

Egenskaper för VPN-anslutningar[redigera | redigera wikitext]

VPN-anslutningar som använder PPTP, L2TP/IPsec och SSTP har följande egenskaper:

  • Inkapsling
  • Autentisering
  • Datakryptering

Inkapsling[redigera | redigera wikitext]

Data kapslas in med ett huvud som innehåller routningsinformation med hjälp av VPN-teknik som gör att data kan skickas över överföringsnätverket.

Autentisering[redigera | redigera wikitext]

Autentisering kan ske på tre olika nivåer vid VPN–anslutning:

1. Autentisering på användarnivå med hjälp av PPP–autentisering

När en VPN–anslutning ska upprättas autentiseras den VPN–klient som försöker ansluta av VPN–servern med hjälp av PPP–metoden (Point-to-Point Protocol) för autentisering på användarnivå. En kontroll sker för att bekräfta att VPN–klienten har rätt auktorisering. Även ömsesidig autentisering kan användas. Detta sker då genom att en autentisering av VPN–servern körs hos VPN–klienten för att skydda mot datorer som utger sig för att vara VPN-servrar.

2. Autentisering på datornivå med hjälp av IKE (Internet Key Exchange)

När en IPsec–säkerhetsassociation upprättas använder både VPN–servern och VPN-klienten IKE–protokollet för att utbyta antingen ett datorcertifikat eller en i förväg delad nyckel. I båda dessa fall så autentiserar VPN–servern och VPN–klienten varandra på datornivå. Autentisering genom datorcertifikat är den bättre metoden eftersom det är en betydligt starkare autentiseringsmetod. Autentisering på datornivå utförs endast vid L2TP-/IPsec–anslutningar.

3. Autentisering av dataursprung och dataintegritet

För att verifiera att de data som skickas via VPN – anslutningen kommer från andra ändan av anslutningen och inte har ändrats på vägen innehåller data en krypterad kontrollsumma som bygger på en krypteringsnyckel som endast avsändaren och mottagaren känner till. Autentisering av dataursprung och dataintegritet är endast tillgänglig för L2TP-/IPsec–anslutningar.

Tunnling[redigera | redigera wikitext]

All trafik som går mellan två noder går via en säker kanal, med hjälp av en kryptering. Trafiken slussas in i kanalerna för att sedan släppas ut på andra sidan. Man kallar detta för att trafiken "tunnlas" mellan två ändpunkter. När tunneln är upprättad kan trafik flöda genom tunneln som om det nätverk tunneln upprättats över inte finns. Nätverken förbinder två noder med en krypteringstunnel över Internet och som då upplevs att man sitter i samma nätverk.

Trafiken som skickas ut i tunnlarna kan direkt kommunicera med varandra mellan två nätverk. Detta eftersom tunneln följer en direkt logisk väg istället för att följa den fysiska vägen. Applikationerna kommunicerar med varandra helt ovetande om hur många hopp det är på vägen, det vill säga antalet routrar som passeras, istället uppfattar applikationer det som ett hopp.

Datakryptering[redigera | redigera wikitext]

Genom att data krypteras av avsändaren och dekrypteras av mottagaren så garanteras datasekretessen vid färden över det delade eller offentliga överföringsnätverket. Processer som kryptering och dekryptering utförs i är beroende av att avsändaren och mottagaren använder samma krypteringsnyckel.

Om paketen som skickas via VPN-anslutningen blir avlyssnade så framställs informationen som oläslig för personer som inte har tillgång till krypteringsnyckeln. Eftersom det finns beräkningstekniker för att fastställa krypteringsnyckeln så är dess längd en viktig säkerhetsparameter. Ju större en krypteringsnyckel blir desto mer datorkraft och beräkningstid tar det att fastställa den. Av den anledning är det därför viktigt att använda största möjliga nyckel för att garantera datasekretessen.

Olika protokoll[redigera | redigera wikitext]

Se även[redigera | redigera wikitext]

Externa länkar[redigera | redigera wikitext]