När vi kopplar samman kontor, skolor, hem och datacenter över internet måste vi tänka på säkerheten. Internet är ett öppet och osäkert nätverk, en lösning för att hantera denna situation är VPN teknik.
I den här lektionen kommer vi att gå igenom vad ett VPN är, hur det fungerar, och varför det är så viktigt i moderna nätverk.

Virtuella privata nätverk

För att skydda nätverkstrafik mellan olika platser och användare använder organisationer virtuella privata nätverk, eller VPN. Ett VPN skapar en privat förbindelse från ände till ände – trots att trafiken egentligen går över ett offentligt nätverk, som internet.

Ordet virtuellt syftar på att det är en simulerad (logisk) förbindelse inom ett privat nätverk. Men den fysiska överföringen sker via en delad eller offentlig infrastruktur. Ordet privat innebär att trafiken är krypterad, vilket gör att den inte kan avlyssnas eller manipuleras av obehöriga medan den passerar det offentliga nätverket.

Figuren visar en samling olika typer av VPN-lösningar som hanteras från ett företags huvudanläggning. VPN-tunneln gör det möjligt för avlägsna kontor och användare att på ett säkert sätt få åtkomst till resurser i huvudkontorets nätverk.

Några komponenter i en VPN-lösning:

• Cisco ASA (Adaptive Security Appliance) – En brandvägg som möjliggör säker och kraftfull VPN-uppkoppling, inklusive fjärråtkomst för användare och filialkontor.
• SOHO (Small Office/Home Office) – Små kontor eller hemarbetsplatser som kan ansluta via en VPN-aktiverad router för att nå företagets nätverk.
• Cisco AnyConnect – Mjukvara som fjärranvändare installerar på sin dator för att skapa en klientbaserad VPN mot företagets nätverk.

Tidiga och moderna VPN-protokoll

De första VPN-lösningarna byggde på rena IP-tunnlar – utan någon form av autentisering eller kryptering. Ett exempel är GRE (Generic Routing Encapsulation), ett tunnlingsprotokoll utvecklat av Cisco. GRE används för att kapsla in IPv4- eller IPv6-paket i ett IP-tunnelpaket, vilket skapar en logisk punkt-till-punkt-förbindelse. Men GRE erbjuder alltså inte någon säkerhet i sig.

Dagens VPN-lösningar har däremot stöd för krypteringsfunktioner som:

• IPsec (Internet Protocol Security) – En uppsättning protokoll som skyddar IP-trafik med autentisering och kryptering.
• SSL (Secure Sockets Layer) VPN – Vanligt förekommande för webb- och fjärråtkomst.

Fördelar med VPN

Vanliga VPN implementationer

VPN kan implementeras i två huvudsakliga former:

• Site-to-Site VPN – En plats-till-plats VPN upprättas mellan två kontor eller nätverk. Båda sidor har VPN-enheter (gateway eller brandvägg) som är förkonfigurerade för att skapa en krypterad tunnel. Endast trafiken mellan dessa enheter krypteras – interna klienter är inte medvetna om att VPN används.

• Remote-Access VPN – En fjärråtkomst-VPN skapas dynamiskt när en användare (klient) ansluter till en VPN-gateway. Detta är vanligt när man t.ex. jobbar hemifrån eller loggar in på sin internetbank via webbläsaren.

VPN inom företag och tjänsteleverantörer

Det finns många alternativ för att säkra företagstrafik. Dessa lösningar varierar beroende på vem som hanterar VPN-anslutningen.

• Företagsägda VPN-lösningar (Enterprise VPN) – Företaget ansvarar själv för att skapa och hantera sina VPN – både site-to-site och fjärråtkomst – oftast med hjälp av IPsec eller SSL. Det ger kontroll över säkerhet, konfiguration och användarhantering.
• Tjänsteleverantörs-VPN (Service Provider VPN) – Här är det internetleverantören som bygger och underhåller VPN-tunnlar åt sina företagskunder. Det görs vanligtvis med
  • MPLS (Multiprotocol Label Switching) – En teknik som segmenterar kunders trafik logiskt på lager 2 eller 3. MPLS gör det möjligt att separera olika kunders trafik utan att behöva kryptera den själv, eftersom den är logiskt isolerad.
  • Frame Relay och ATM (Asynchronous Transfer Mode) – Äldre tekniker som föregick MPLS men ibland fortfarande förekommer i legacy-nät.