Hoppa till innehållet

Virtuellt privat nätverk

Från Wikipedia

Virtuellt privat nätverk (VPN) (engelska: virtual private network) är en teknik som används för att skapa en säker förbindelse eller "tunnel" mellan två punkter i ett icke-säkert datanätverk (till exempel internet).

Länkarna mellan noderna i ett virtuellt privat nätverk skapas över logiska anslutningar eller virtuella kretsar mellan värdar i det underliggande nätverket. Länklagerprotokollen i det virtuella nätverket sägs "tunnlas" genom det underliggande transportnätverket. I en typisk VPN-tillämpning initierar klienten en virtuell punkt-till-punkt-anslutning till en fjärråtkomstserver via internet. Fjärråtkomstservern svarar på anropet, autentiserar anroparen och hanterar därefter överföringen av data mellan VPN-klienten och organisationens privata nätverk.

Data kapslas in i ett huvud för att emulera en punkt-till-punkt-länk. I huvudet finns routningsinformation som gör att data kan skickas över det delade eller det offentliga nätverket på väg mot slutmålet. Vid emulering av en privat länk krypteras de data som skickas av säkerhetsskäl. Paket som avlyssnas på det delade eller offentliga nätverket kan inte dekrypteras utan krypteringsnycklarna. Den länk som de privata data kapslas in i och krypteras kallas för en VPN-anslutning.

Med en VPN-anslutning kan en säker privat förbindelse skapas över ett publikt nätverk som internet. Många organisationer har internt uppbyggda virtuella privata nätverk, och olika organisationer kan även bygga upp ett gemensamt virtuellt nätverk mellan sig för ett specifikt ändamål. Exempel på användning av VPN-anslutningar är att någon på resande fot kopplar upp sig mot företagets server för att arbeta som om klienten var ansluten i det lokala nätverket. Ett annat exempel är att koppla ihop två fysiskt separata kontorsnätverk till ett större logiskt nätverk.

VPN kan också användas för att maskera IP-adressen på individuella datorer inom internet för att, till exempel, kunna surfa anonymt på webben, få tillgång till geoblockerade tjänster eller skydda sin information på publika nätverk[1]. Det är inte ovanligt att VPN används för att komma åt en geoblockerad strömningstjänst, det vill säga att få tjänsten att tro att användaren befinner sig någon annanstans än den faktiskt gör. När användaren startar VPN-appen på sin dator eller mobil tunnlas all trafik från den via VPN-tjänstens servrar. För strömningstjänsten ser det ut som att det är VPN-servrarna som vill strömma material, och strömningstjänsten kan inte se att strömmen sedan skickas vidare till användaren. I Sverige och resten av EU samt i de flesta andra länder är VPN-tekniken laglig då det är något som höjer integritet och stärker säkerhet.[2] Även om de flesta VPN-tjänsterna tillåter innehåll som är blockerat i ens eget land har de flesta streamingtjänsterna blivit bättre på att blocka en VPN.

Många företag driver egna VPN-servrar så att medarbetarna kan ansluta till företagsnätverket när de arbetar på distans. Användningen av VPN höjer då också säkerheten för medarbetarna om de ansluter från publika wifi-nät.[2]

Användare uppmanas att välja VPN-tjänst med omsorg då det även existerar oseriösa VPN-tjänster som exempelvis spionerar på sina användare.[3]

VPN-anslutningar

[redigera | redigera wikitext]

Fjärråtkomst-VPN

[redigera | redigera wikitext]

Oavsett vilken internetanslutning man har, och med hjälp av VPN, kan man tillhandahålla företagets nätverksresurser över internet på ett säkert sätt för, till exempel, anställda som är på resande fot eller anställda som jobbar hemifrån. Med en internetanslutning kan man därefter, med en VPN-programvara, skapa en virtuell tunnel mellan fjärranvändaren och företagets server. Fjärråtkomst (en. Remote Access) är det vanligaste och mest spridda användningsområdet för VPN-tillämpningar. Fjärråtkomst är den lättaste av tillämpningarna att implementera och har de mest påtagliga resultaten. Tillämpning ger också ekonomiska kostnadsbesparingar. Det publika nätverkets infrastruktur är inte relevant för klienter när anslutningen väl är etablerad. Hur paketen routas mellan klienten och server spelar ingen roll, ur klientens synvinkel är VPN-anslutning en punkt-till-punkt-förbindelse mellan klienten och tunnelservern.

Plats-till-plats-VPN

[redigera | redigera wikitext]

Ett vanligt användningsområde för VPN-teknik är när större företag med kontor på geografiskt skilda platser över hela världen behöver ett gemensamt internt nätverk. En lösning som tidigare var vanligt förekommande[när?] byggde på fasta ledningar som hyrdes av en teleoperatör och som användes för att skapa en nätverksförbindelse mellan geografiskt åtskilda platser. Fördelen med fasta ledningar är att förbindelsen mellan platserna blir synnerligen pålitlig och stabil. Den stora nackdelen är det är dyrt att hyra ledningar jämfört med VPN-teknik, och kostnaden ökar kraftigt i takt med avståndet. För användaren är det dock ingen skillnad mellan en VPN-anslutning och hyrda förbindelser när routningen väl är konfigurerad. Ett VPN-nätverk av typen plats-till-plats kallas även för "ad-hoc-nätverk" om nätverket bara består av en förbindelse mellan två datorer.

Egenskaper för VPN-anslutningar

[redigera | redigera wikitext]

VPN-anslutningar som använder PPTP, L2TP/IPsec och SSTP har följande egenskaper:

  • Inkapsling
  • Autentisering
  • Datakryptering

Data kapslas in med ett huvud som innehåller routningsinformation med hjälp av VPN-teknik som gör att data kan skickas över överföringsnätverket.

Autentisering

[redigera | redigera wikitext]

Autentisering kan ske på tre olika nivåer vid VPN-anslutning:

1. Autentisering på användarnivå med hjälp av PPP-autentisering

När en VPN-anslutning ska upprättas autentiseras den VPN-klient som försöker ansluta av VPN-servern[4] med hjälp av PPP-metoden (Point-to-Point Protocol) för autentisering på användarnivå. En kontroll sker för att bekräfta att VPN-klienten har rätt auktorisering. Även ömsesidig autentisering kan användas. Detta sker då genom att en autentisering av VPN-servern körs hos VPN-klienten för att skydda mot datorer som utger sig för att vara VPN-servrar.

2. Autentisering på datornivå med hjälp av IKE (Internet Key Exchange)

När en IPsec-säkerhetsassociation upprättas använder både VPN-servern och VPN-klienten IKE-protokollet för att utbyta antingen ett datorcertifikat eller en i förväg delad nyckel. I båda dessa fall så autentiserar VPN-servern och VPN-klienten varandra på datornivå. Autentisering genom datorcertifikat är den bättre metoden eftersom det är en betydligt starkare autentiseringsmetod. Autentisering på datornivå utförs endast vid L2TP-/IPsec-anslutningar.

3. Autentisering av dataursprung och dataintegritet

För att verifiera att de data som skickas via VPN – anslutningen kommer från andra ändan av anslutningen och inte har ändrats på vägen innehåller data en krypterad kontrollsumma som bygger på en krypteringsnyckel som endast avsändaren och mottagaren känner till. Autentisering av dataursprung och dataintegritet är endast tillgänglig för L2TP-/IPsec-anslutningar.

All trafik som går mellan två noder går via en säker kanal, med hjälp av en kryptering. Trafiken slussas in i kanalerna för att sedan släppas ut på andra sidan. Man kallar detta för att trafiken "tunnlas" mellan två ändpunkter. När tunneln är upprättad kan trafik flöda genom tunneln som om det nätverk tunneln upprättats över inte finns. Nätverken förbinder två noder med en krypteringstunnel över internet och som då upplevs att man sitter i samma nätverk.

Trafiken som skickas ut i tunnlarna kan direkt kommunicera med varandra mellan två nätverk. Detta eftersom tunneln följer en direkt logisk väg istället för att följa den fysiska vägen. Applikationerna kommunicerar med varandra helt ovetande om hur många hopp det är på vägen, det vill säga antalet routrar som passeras, istället uppfattar applikationer det som ett hopp.

Datakryptering

[redigera | redigera wikitext]

Genom att data krypteras av avsändaren och dekrypteras av mottagaren så garanteras datasekretessen vid färden över det delade eller offentliga överföringsnätverket. Processer som kryptering och dekryptering utförs i är beroende av att avsändaren och mottagaren använder samma krypteringsnyckel.

Om paketen som skickas via VPN-anslutningen blir avlyssnade så framställs informationen som oläslig för personer som inte har tillgång till krypteringsnyckeln. Eftersom det finns beräkningstekniker för att fastställa krypteringsnyckeln så är dess längd en viktig säkerhetsparameter. Ju större en krypteringsnyckel blir desto mer datorkraft och beräkningstid tar det att fastställa den. Av den anledning är det därför viktigt att använda största möjliga nyckel för att garantera datasekretessen.

Olika protokoll

[redigera | redigera wikitext]

Externa länkar

[redigera | redigera wikitext]