Virtual private network

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk
Skjema over et VPN-nettverk

Virtual private network (VPN), på norsk; virtuelt privat datanettverk, er betegnelsen på en datateknikk som anvendes for å skape «punkt-til-punkt»-forbindelser, såkalte «tunneler», gjennom et annet datanett (som for eksempel internett).

En VPN-tunnel kan være kryptert, noe som er viktig når man ikke kjenner, eller er usikker på sikkerheten gjennom et eventuelt offentlig datanett, som for eksempel internett.

Formål[rediger | rediger kilde]

Med en kryptert VPN kan man skape en sikker privat forbindelse over for eksempel et offentlig datanett, som for eksempel kan være en del av et ukryptert eller svakt kryptert datanett.

Flere organisasjoner har et internt oppbygd VPN, og flere ulike organisasjoner kan oppbygge et felles virtuelt datanett mellom seg for et spesielt formål. Eksempel på anvendelse av VPN-forbindelser er hvis noen vil koble seg opp mot virksomhetens ikke offentlig tilgjengelige servere og arbeide som om klienten var tilsluttet i LANet, eller for å koble to separate fysisk adskilte kontordatanett til et stort.

Virkemåte[rediger | rediger kilde]

Å starte en VPN-tunnel betyr at en datamaskin fungerer som om den sitter direkte på det datanettet som den kobler seg til. I tunnelen anvender datamaskinen faktisk en ip-adresse fra nettopp det datanettet den kobler seg til, og det kan for eksempel være en privat ip-adresse. Datamaskinen har adgang til alle de tjenester som finnes på det datanettet den er koblet til. Nettopp dette gjør at mange VPN-servere settes på en firewall DMZ, så mengden av tjenester man har tilgang til kan modereres.

VPN påvirker som oftest rutingen av nettverket, både for maskinen som kobler seg til og for nettet som står for tilkoblingen. VPN fungerer derfor på nettverkslaget, lag 3 i OSI-modellen.

Enkelte har imidlertid utviklet protokoller som fungerer på lag 2, datalink-laget.

Fordeler med VPN på lag 2 er
  • En kan bruke hvilke som helst slags protokoller på lag 3, uavhengig av utstyr.
  • En kobler seg direkte til lokalnettet der man skal jobbe. Alminnelig svitsjet nettverk er nok for å sende dataene videre dit de skal. Slikt utstyr fungerer på lag 2, en trenger bare å finne ut av MAC-adressen for å finne ut hvor pakken skal sendes videre, og på et begrenset nett er dette ganske fort gjort.
Ulemper er
  • Å koble til på lag 2 krever eget utstyr. MAC-adressen forteller bare hvilken node en datapakke kommer fra og hvor den skal til, systemet trenger mer informasjon om hvordan data skal sendes over rutere, brannmurer og andre nettverksenheter.

På internett, og på Unix/Linux/BSD-nettverk som stort sett bare bruker IP-protokollen på lag 3, er ikke dette så viktig. Det finnes mye bra standardutstyr for IP-nettverk.[trenger referanse] Men hvis en skal overføre andre lag 3-protokoller som IPX og NetBEUI over større avstander, blir det noe annet. Man får et heterogent nettverk, og man trenger utstyr for å takle det.

Eksempler på krypterte VPN-protokoller[rediger | rediger kilde]

Krypterte VPN-protokoller omfatter følgende:

  • IPsec (IP security), en obligatorisk del av IPv6.
  • SSL anvendes enten til å tunnelere et helt nettverksstakk, som i OpenVPN, eller for å sikre applikasjonstilgang, og her fungerer det som en webproxy. Selv om det siste ofte kalles SSL VPN av VPN-leverandører, er det ikke en full VPN. Sikkerhetsmessig kan nettopp det være en fordel, da man dermed kun tillater de web- og telnet-applikasjoner man ønsker. (Se også TUN/TAP.)
  • PPTP (point-to-point tunneling protocol), utviklet i fellesskap av flere virksomheter, heriblant Microsoft.
  • L2TP (Layer 2 Tunnelling Protocol), utviklet av Microsoft og Cisco i fellesskap.
  • L2TPv3 (Layer 2 Tunnelling Protocol version 3).

Eksempler på ikke-krypterte VPN-protokoller[rediger | rediger kilde]

Det finnes også trusted VPN, som ikke krypterer tunnelen og dermed forventer at sikkerheten er i datanettet eller i ens egen dataforbindelse gjennom tunnelen. Med andre ord, tunnelens eneste formål er å forbinde to eller flere delnettverk sammen, som om de var ett. Protokoller for trusted VPNs omfatter: