VPN (Virtual Private Networks)

VPN innebär att man sätter upp krypterade förbindelser (tunnlar) på länknivå mellan maskiner eller nät. Dessa förbindelser kan via över oskyddade nät. Exempelvis kan en distansarbetande vara ansluten över VPN via någon bredbandsoperatör mot högskolans nät.

Det finns (minst) tre huvudfamiljer av VPN: IPSec, PPTP och SSL-varianter.

PPTP

PPTP är gammalt protokoll, RFC2637 från 1999 beskriver bara den existerande standarden. Ursprungligen nyttjat av Microsoft, numera finns det bl.a. även i Linux och MacOS. PPTP är osäkert. Använd det inte utan migrera till något av de som nämnts nedan!

IPSec

IPSec standardiserades av IETF 1998, RFC 2401 till 2412 (urspr rfc1825-1829 från 1995) upplevs som krångligt så är det den standard som vanligtvis används idag.

IPSec fungerar i två moder: tunnelmod och transportmod.

  • I tunnelmod krypteras hela paketet och kapslas in i ett yttre pkt för transport. Denna mod är avsedd för trafik mellan routrar eller datorer över osäkra nät.

  • I transportmod krypteras bara innehållet i paketen, huvudet sänds i klartext och paketet är således fullt routebart (dock inte NAT:bart). Nackdelen är givetvis att headerinfo blir tillgängliga för en lyssnare.

Det protokoll som nyttjas för nyckelutbyte är IKE (Internet Key Exchange).

De pakethuvud som nyttjas för IPSec är:

  • AH (Authentication Header) för autenticiering.

  • ESP (Encapsulating Security Payload) för kryptering av meddelandet.

med viss överlappning av funktionaliteten.

Numera ingår stöd för IPSec i de flesta operativsystem. Det som dock komplicerar införandet är nyckelutbytet. Det finns två metoder: man kan dela en symmetrisk nyckel som utbyts på ett säkert sätt. Alternativt kan man nyttja ett PKI för att distribuera certifikat.

SSL

SSL-baserade VPN har blivit vanligare på grund av enkelheten i installation och administration. Det finns kommersiella alternativ, open-source-alternativet OpenVPN är dock relativt vanligt, tunnlar trafiken över port 1194/udp. Det finns för de flesta operativ. Se även


IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt