Fungerande IT-Lösningar

Active.se
Arbeta med oss
Finansiering
Frågor och svar
Företaget
Kontakt och besöksinfo
Kunskaper
Leverantörer
Länkar
Nyheter
  Nytt
  Tidigare
    Administratör (2007-07-05)
    Svarta hatten (från 1998)
    VPN (från 2001-05-19)
Produkter
Sök
Tjänsteområden
Webbplatsen
Verktyg
Utskriftsvänlig version 

VPN - Hot eller möjlighet

Takten varmed nya mjukvaror släpps ökar hela tiden. Ny trender sprids snabbt, så snabbt att det ofta inte finns kunskaper som motsvarar behoven. Ligger sedan ansvaret för beslutsfattande på en nivå där den tekniska kompetensen är liten är det lätt saker och ting skenar.

En av de nya modetrenderna inom nätverk är Virtuella Privata Nätverk, VPN. Alla har läst om dem. Alla har åsikter om dem men de som verkligen vet vad tekniken innebär är ganska få.

Virtuella Privata Nätverk

Ett virtuellt privat Nätverk är precis vad det låter som. Det är en teknik som ger oss möjlighet att skapa nätverk där vi inte längre behöver koppla ihop maskinerna med fysiska kablar utan vi kan använda en LAN eller WAN-förbindelse i stället för kabel. I denna detta virtuella privata nätverk kan vi sedan kommunicera precis om vi vore lokalt anslutna.

Detta är givetvis en underbar lösning där publika nätverks som Internet kan användas för att skapa direkt förbindelser mellan olika punkter utan att en direktansluten kabel behövs.

För att skydda trafiken som går över de publika nätverken kan trafiken krypteras. Detta gör att informationen inte kan läsas eller manipuleras längs vägen.

VPN Tekniken kan användas för att koppla ihop hela nätverk eller för att koppla enskilda maskiner till ett nätverk.

Bredband

I och med en allt mer utökade bredbandsutbyggnaden ökar också intresset för VPN. Medarbetare med bra brandbredd skulle kunna sitta hemma och arbeta. En 512 kbit/s ADSL förbindelse upplevs som fullt användbar. En uppringd ISDN kan fungera om datamängderna är små. Gäller det bara elektronisk post eller terminaltrafik går till och med uppringa 56 kbit/s förbindelser att använda. Medarbetare och företagsledning jublar. Ett sjukt barn behöver inte längre innebära en katastrof för projektplanen. Men hur är det med säkerheten.

Säkerheten på en tunnel

En kedja är aldrig starkare än sin svagaste länk

Dagens tekniker för VPN med krypterad trafik får upplevas som mycket säker. Men det är troligen inte själva tunneln som är problemet. Även om tunneln är svår att byta sig in i och även om krypteringen är tillfredställande så är säkerheten inte större för tunneln än dess ändpunkter.

Den ände som finns på företaget är ofta innanför en brandvägg. Företagets interna nätverk skyddas av paketfilter, NAT, regler och övervakning. Men hur är det med den ände som finns ute hos klienten. Det är inte ovanligt att användare i sina hemma maskiner använder Windows/95/98/ME. Kanske har man delat ut resurser. Kanske har man ett blankt lösenord. Plötsligt kommer en sådan maskin att utgöra ändpunkt i en tunnel vars andra ände finns innanför företagets brandvägg.

Genom att attackera den VPN-anslutna klienten skulle vi kunna skaffa oss tillträde till miljön innanför brandväggen. Vi har alltså med hjälp av VPN utlokaliserat säkerhetsproblemet till våra användares hemdatorer.

VPN-maskin med virus
Vad händer om en VPN ansluten maskin är virussmittad?

Om en virussmittad maskin ansluter via VPN anslutning är det lika stor skada som om den satt direkt på det lokala nätverket. Den kan smitta andra dokument eller förstöra filer.

Detta innebär att vi måste begränsa trafiken i de maskiner som är VPN anslutna. Vi bör alltså inte tillåta VPN-trafik och vanlig trafik samtidigt i en och samma maskin. Är man uppkopplad vi VPN’et så måste all trafik gå den vägen.

VPN-Maskin med trojan
Vad händer om vi via VPN ansluter en maskin som smittats med en trojan?

Plötsligt har vi maskin på insidan av vår brandvägg som har en trojan! Är precis lika farligt som en intern maskin med en trojan. Kanske till och med farligare. När tunneln är uppkopplad kommer den ut det interna nätverket och när tunneln är bortkopplad kan det skicka vad som helst vidare var som helst.

För att skydda sig mot detta måste man ha en bra mjukvara för att upptäcka trojaner och virus. Vi måste utbilda användarna. Kanske måste vi också se till att vi begänsar användningen av den lokala maskinen.

Den slutgiltiga lösningen

Det som vid den första anblicken verkar vara en väldigt bra ide visar sig alltså kunna skapa en hel del problem. Så vad gör man? Det finns ett antal olika åtgärder. Som vanligt har dess både för och nackdelar.

Karantänlåda

Vi kanske ska begränsa användarens möjligheter att arbeta i nätverket då man är ansluten vi VPN. Kanske ska vi sätta andra behörigheter för de användare som arbetar den vägen. Vi kan till och med gå så långt att vi bara har en speciell katalog som kan kommas ut den vägen och så måste användare i förväg placera de filer etc som skall arbetas med i denna katalog. Saknas något får man ringa till en kollega.

Webbgränssnitt på e-mail

Ofta är det e-post som användarna vill komma åt. Om vi skapar en lösning där användaren kan läsa sin e-post via webgränssnitt ökar vi säkerheten ytterligare. Kanske kan vi till och med hoppa över tunnelns och i stället köra SLL med certifikat direkt mod mailservern.

Terminalserver

Om man har en terminalserver på insidan och bara tillåter terminaltrafik via VPN-kopplingen ökas säkerheten drastiskt. Ett virus som attackerar andra maskiner via Termial Server gränssnittet är inte lika vanligt förekommande.

Genom att köra en lösning där man flyttar bildskärm och tangentbord till en annan maskin kan man i viss mån göra sig fri från vissa prestandaproblem. Vi behöver inte längre överföra filer utan kan arbeta direkt i den interna miljön. Vi behöver inte heller se till att alla mjukvaror som våra användare behöver finns installerade i de lokala maskinerna.

Nackdelen med terminalserver är att det krävs en relativt kraftfull maskin på insidan.

 Tillbaka till förstasidan
Kontakt VPN
Vill du veta mer kontakta:
info via , eller tfn 08-449 19 29
Logga in:
Anvnamn:
Lösenord:
Copyright © 2006 Active IT Sweden AB