Säker VPN kräver sina administratörer

Den vanligast använda tekniken kallas VPN (virtuella privata nät) och finns i två former. Dels en nät-till-nät koppling och dels enskild dator till nät. Första formen används för koppla ihop lokala nät med varandra och andra formen för att ansluta distansarbetare.

VPN tillhandahåller två funktioner: Identitetskontroll som visar att personen eller nätet i andra änden verkligen är den de ger sig ut för att vara samt skydd mot avlyssning genom att trafiken krypteras.

Det krävs säkra hem

Men VPN ger ett mycket begränsat skydd om inte företagets säkerhetspolicy är rätt utformad och följs upp. Till exempel får inte hemarbetare låta sina barn - eller sig själva - använda arbetsdatorn för spel och surfning, framförallt inte om den är konstant uppkopplad via »bredband». Tilllåts sådant får man förr eller senare intrång. Det är också nödvändigt att kontrollera datorerna, stänga av oanvända tjänster och installera senaste säkerhetsrättelserna med korta mellanrum. En VPN-förbindelse för distansarbete gör ju att distansarbetarens dator behandlas som om den satt på det interna nätet. Datorn och åtkomst till den måste alltså regleras ännu striktare än åtkomst till kontorslokalerna.

För VPN nät-till-nät är säkerheten inte ett lika stort problem. Det enda som exponeras utanför brandväggarna är ju VPN-routrarna - om nätet är rätt konfigurerat. Visserligen lider programvaran i VPN-routrar av fel, men i mycket lägre grad än operativsystem för persondatorer. Dock är det som med all annan utrustning: Routrarna måste underhållas och de senaste felrättningarna installeras regelbundet. Vidare måste kontroller göras så att konfigureringsportar för Telnet eller SSH (Secure Shell) inte är åtkomliga utifrån.

Fristående routrar att föredra

Kryptering tar ganska mycket processorkraft. Förr i tiden, när distansarbetare satt med uppringda förbindelser på 28,8 kbit/s och standard för fast anslutning var 64 kbit/s, krävdes inte så mycket kraft för kryptering. Men med dagens multimegabit-anslutningar tröttnar en klen VPN-router snabbt. Kontrollera i specifikationen att routern verkligen klarar att kryptera trafik med full hastighet.

För bägge typerna av VPN är fristående routrar att föredra framför serverbaserade lösningar. Serverbaserade lösningar är visserligen billigare och enklare att administrera, men att exponera en server med tillgång till användardatabasen ut mot Internet är aldrig tillrådligt. Bara att följa upp alla säkerhetshål för exempelvis Windows 2000 eller Redhat Linux tar en halvtidstjänst i anspråk. Vi koncentrera oss därför på fristående routrar.

Vilket eller vilka protokoll som ska användas för VPN-förbindelsen beror främst på klienterna och administrationen. Det som är »bäst», i den meningen att det är framtidssäkert och mest kompatibelt, är IPsec med eller utan L2TP (Layer 2 Tunneling Protocol). Men finns exempelvis distansarbetare med Windows NT4 är PPTP (Point to Point Tunneling Protocol) bättre eftersom det till skillnad från IPsec är inbyggt i operativsystemet. Windows 2000 hanterar i grundutförandet L2TP och IPsec, varför det är en bra protokollkombination för distansarbetare.

Anledningen till att L2TP används istället för »ren» IPsec är att L2TP efterliknar en uppringd förbindelse, vilket gör att operativsystemets funktioner för uppringda förbindelser kan återanvändas. I L2TP går det därmed att stoppa in valfria nätverksprotkoll som IPX eller rena Ethernetpaket för bryggning om så önskas. IPsec i sig hanterar bara IP.

IPsec är ett ramverk för säker IP-trafik. I ramverket ingår sådana funktioner som trafikskydd med kryptering (ingen kan läsa vad som skickas) och identitetskontroll (trafiken kommer verkligen från rätt avsändare). Dessutom finns ramverket ISAKMP som beskriver rutiner för hur kryptonycklar och certifikat (lösenord) ska hanteras och distribueras. Men det är upp till operativen och routrarna att välja rätt kryptoalgoritmer och nycklar för att få en säker lösning. (Se artikeln om IPsec i 09/2000 för mer information.)

Kolla operatören

Viktigt är också att kontrollera att distansarbetarnas Internetuppkoppling tillåter VPN-trafik. I många »bredbands»-installationer fungerar VPN inte utan vidare, exempelvis de som använder adressöversättning.

Administration och övervakning måste vara idiotsäkert, annars görs förr eller senare misstag. Nät-till-nät lösningar kräver oftast ett minimum av administration, medan distansarbetare är värre eftersom systemet hela tiden måste uppdateras allteftersom folk slutar och börjar. Oavsett vilken lösning för användarkatalog som används - NT-domän, NIS+, Active directory, LDAP (Light-weight Directory Access Protocol) och så vidare - bör routern klara att identifiera inkommande anrop mot den centrala katalogen. Helst ska också övervakningen vara centraliserad.

För organisationer med seriösa säkerhetskrav är det bara användaridentifikation med smarta kort som kan komma i fråga. Kortet innehåller användarens privata kryptonyckel som används för identifikation. Eftersom nyckeln aldrig lämnar kortet och inte kan läsas minimerar detta risken för ett intrång via exempelvis en hemdator. (Nyckeln kan också användas för att skydda känsliga data genom kryptering.) Smarta kort kräver dock mycket mer administration.

Översikt:

Virtuella privata nät med brandvägg

Alla tillverkare av maskin- och programvara för nätverk med självrespekt har VPN-lösningar i sortimentet. Priserna går från gratis (ingår i operativsystem, exempelvis Windows 2000) till miljoner kronor för snabba VPN-routrar för tusentals användare och med koppling till företagets övervakningsprogram.

 

I tabellen har vi tagit med ett urval fristående kombinerade brandväggar och VPN-lösningar för små till medelstora nät. De som skiljer de dyrare från de billigare är antalet samtidiga användare. I övrigt är de tämligen lika.

 

Priset för de enklaste fristående brandväggarna kompletterade med VPN-programmet (som ofta säljs separat) ligger ganska konstant runt tiotusen kronor. De klarar från 5 till 50 användare. De dyrare klarar några hundra.

Notera också att flera tillverkare tar kraftigt betalt för administrationsprogrammen.

  (20010405)