VPN

tapa, jolla kaksi tai useampia verkkoja voidaan yhdistää julkisen verkon yli muodostaen näennäisesti yksityisen verkon

VPN (virtual private network) eli virtuaalinen erillisverkko on tapa, jolla kaksi tai useampia yrityksen verkkoja voidaan yhdistää julkisen verkon yli muodostaen näennäisesti yksityisen verkon. Nykyisin VPN-määritelmä on laajennettu koskemaan myös yksittäisten etätyöasemien liittämistä yrityksen verkkoon.

VPN-verkon yksityisyys ja tietoturva voidaan hoitaa joko fyysisesti tai salauksella. Asiakkaan verkkoja yhdistävä VPN voi siis perustua jommallekummalle seuraavista:

  • Perinteiset suljetut verkot, kuten operaattoriverkot fyysisellä suojauksella
  • Julkiset ja avoimet verkot, kuten salattu Internet

Suljetut verkot

muokkaa

Puhelinverkoissa VPN:iä tehtiin teleoperaattorin verkolla jo 1980-luvulla.

Tietoverkkojen yhdistämisessä verkot liitetään runkoverkkoon esimerkiksi xDSL, Frame Relay, ATM, tai Ethernet-pohjaisia tekniikoita käyttäen. Runkoverkoissa käytetään useimmiten useiden asiakkaiden liikenteen erotteluun MPLS:ää, ATM:ää tai yksinkertaisimmillaan IP-osoitekohtaisia pääsylistoja.

Myös IPsec-protokollaa käytetään suljetuissa operaattori-VPN:issä, muttei tietoturvan vaan konfiguroinnin vuoksi. IPsec-tunneleiden konfigurointi operaattorin runkoverkon reunareitittimien välillä yksinkertaistaa konfiguraatiota IP-pääsylistoista huomattavasti, ja ei ole riskiä, että asiakkaiden verkkojen liikenteet pääsisivät sekaantumaan.

Salatut yhteydet

muokkaa

Salattu yhteys on käytännössä aina fyysisesti suojattua yhteyttä halvempi, koska se voi käyttää mitä tahansa fyysistä yhteyttä, suojattua tai ei. Eri toimipisteiden fyysiset liittymät voi myös hankkia miltä tahansa operaattorilta, vaatimuksena on ainoastaan liikennöintimahdollisuus julkiseen Internetiin.

Salausprotokollat

muokkaa

Salaus-VPN:issä voidaan käyttää melkein mitä tahansa tunnelointiprotokollaa salauksella. Julkisesti standardoidut vaihtoehdot ovat:

  • IPsec-protokolla, ESP-tunnelointimoodissa. Sitä voi sinällään käyttää niin lähiverkkojen yhdistämiseen kuin etäkäyttöönkin.
  • L2TP-tunnelointiprotokolla, jota voi käyttää ainoastaan etäkäyttöön. Siinä ei tosin ole omaa salaustaan, vaan sen kanssa käytetään IPsec-protokollaa salaukseen.
  • L2F-tunnelointiprotokollaa voi käyttää vain lähiverkkojen yhdistämiseen. Se on Ciscon protokolla, jonka päälle L2TP:kin paljolti perustuu. Se käyttää PPP:n Point-to-point Encryption Protocol (ECP) -protokollaa salaukseen.
  • PPTP on Microsoftin oma etäkäyttöprotokolla, joka käyttää Microsoft Point-to-Point Encryption (MPPE) -protokollaa salaukseen.

IPsec-protokollan odotetaan yleisesti dominoivan VPN-markkinoita etenkin tulevaisuudessa, mutta PPTP:llä on vahva jalansija hyvän Windows-tukensa ansiosta. Windows 95:eenkin on saatavilla PPTP-tuki uusimmassamilloin? Dial-Up Networking -päivityksessä.

Uusimilloin? hieman edellisistä poikkeava ratkaisu on SSL VPN, missä tarjotaan pääsy yrityksen tietojärjestelmiin salatun liikenteen kautta, mutta varsinaista pakettiliikennettä ei päästetä yrityksen verkkoihin.

IPsec- ja IP-osoitteiden hallinta

muokkaa

IPsec-standardissa ei ole määritetty IP-osoitteiden hallintaa. Etäyhteyden ottajalle pitäisi käytännössä olla ennalta staattisesti konfiguroitu IP-osoiteasetukset ja muut tiedot työasemalle.

Ratkaisuna ongelmaan IKE-neuvotteluprotokollaan on spesifioitu IP-osoitteistuksen konfigurointimääreet, joita ei vielämilloin? käytetä tuotteissa. Toinen ratkaisu jota käytettiin etenkin siirtymävaiheessa vanhoista protokollista IPSeciin oli tunnelointiprotokollien kuten L2TP:n käyttö, joiden päällä ajettiin samaa PPP:tä kuin vanhoissa sisäänsoittosarjoissakin. PPP:llä on oma IPCP-protokollansa, jolla IP-osoitteistus hoidetaan.

Tällä hetkellämilloin? yleisin ratkaisu IP-osoitteistuksen hallintaan ovat valmistajakohtaiset ratkaisut. Käytännössä, jos yritys tahtoo etäkäyttöratkaisun, se ostaa VPN-laitteen valmistajalta, ja laitteen mukana tulee esimerkiksi rajaton määrä lisenssejä VPN-ohjelmistoihin.

Muita salauksen käyttökohteita

muokkaa

IPsec on protokollana todistettu kohtalaisen turvalliseksikenen mukaan? ja hyvä ohjelmistotuki on antanut sille jalansijan moniin muihinkin käyttötarkoituksiin VPN:ien lisäksi. Muun muassa langattomissa WLAN-lähiverkoissa voidaan käyttää joko WLAN:ien omien suojausten sijasta tai lisäksi IPsec-protokollaa.

VPN-markkinat

muokkaa

Erään tutkimuksen mukaan Yhdysvalloissa ollaan VPN-markkinoissa Eurooppaa perässäkenen mukaan?. Siellä noin 400 000 yritystä on yhdistänyt toimipisteensä Frame Relay -tekniikkaa käyttäen ja samat 400 000 luottaa salaaviin VPN-ratkaisuihin. Euroopassa luku on tiettävästikenen mukaan? jo huomattavasti kallellaanselvennä salaaviin VPN-ratkaisuihin päin.

Tietoturvaongelmat

muokkaa

Tammikuussa 2019 raportoitiin monien ilmaisten VPN-sovellusten tietoturvaongelmista. Osa ilmaisista mobiililaitteiden VPN-ohjelmista paljastui tosiasiallisesti vakoiluohjelmiksi, jotka eivät piilottaneet käyttäjän todellista IP-osoitetta eikä sijaintia. Sen sijaan ne keräsivät käyttäjän laitteelta tarpeettoman paljon tietoa. Sovellus saattoi haluta esimerkiksi lukea, muokata tai poistaa puhelimessa olevaa dataa, urkkia laitteelle talletettuja puhelinnumeroita sekä selvittää kännykän sijainnin. Lisäksi jotkut sovellukset saattoivat häiritä käyttäjiä mainoksilla.[1] Yli puolet Applen App Storen ja Google Play -latauspalvelujen suosituimmasta ilmaisesta, mutta tietoturvaltaan puutteellisesta VPN-sovelluksesta oli vuoden 2018 lopulla omistuspohjaltaan kiinalaisten tahojen valmistamia, vaikka ne usein esiintyivät muualle rekisteröidyn osoitteen ja yritysnimen kautta. Selvitys oli tehty näiden latauspalvelujen brittiläisten ja yhdysvaltalaisten toimipisteiden latausmäärien perusteella.[2]

Katso myös

muokkaa

Lähteet

muokkaa
  1. Yli 100 ilmaista vpn-sovellusta on täynnä ongelmia – varo erityisesti näitä neljää 23.1.2019. Kauppalehti, kauppalehti.fi. Viitattu 24.1.2019.
  2. Simon Migliano: Free VPN Apps: Chinese Ownership, Secretive Companies & Weak Privacy 17.12.2018. Metric Labs Ltd., top10vpn.com. Viitattu 24.1.2019. (englanniksi)

Aiheesta muualla

muokkaa