Det är dags att granska operatörernas VPN-tjänster! Flera
operatörer säljer VPN-tjänster baserad på VLAN-teknik!
VPN, Virtual Private Network, är ett säkert sätt att skapa tunnlar
över osäkra nät såsom Internet. Den används för att sammankoppla
företagsinterna nätverk via Internet. Tekniken använder
basfunktioner såsom stark identifiering och kryptering.
Basfunktioner som gör lösningen säkrare än konventionella
punkt-till-punkt förbindelser.
Bygger man ett VPN, så har man två val. Antingen förlitar man sig
på en operatör som tillhandahåller tjänsterna, eller så
införskaffar man själv utrustning för att möjliggöra VPN. Väljer
man det sistnämnda, så har man stora möjligheter att välja form av
identifiering och nivå av kryptering och sist men inte minst, vilka
standards som används. Oavsett om man väljer att köpa tjänsten
eller producera den själv, så måste man ha god beställarkompetens.
Har man inte det, så rekommenderar jag att man tar hjälp vid
upphandlingen.
Fallgroparna hittills, har varit att man väljer
leverantörsspecifika tekniker, som utvecklats utan någon som helst
insyn. Skräckexemplet kanske är Microsofts PPTP, Point to Point
Tunneling Protocol. Microsoft skapade ett eget protokoll för
identifiering, en egen funktion för hantering av checksummor och en
egen algoritm för att generera nycklar. När det väl kom till
implementationsstadiet så gjordes en rad misstag som ytterliggare
försämrade lösningen. Allt detta gjorde Microsoft som sagt utan
insyn, vilket för med sig att ingen utomstående har haft möjlighet
att nagelfara lösningen, något som visade sig när PPTP nådde
marknaden. Det var en lösning som långt ifrån höll måttet som en
säker VPN-lösning.
I dag öppnar sig nya fallgropar, tjänsteproducerande operatörer
som säljer VPN baserad på VLAN-teknik. VLAN, Virtual Local Area
Network, baserar sig i normalt på standarden 802.1Q. Standarden
innebär att man utökar Ethernet-paketen med 2 byte, varav 12 bitar
används för att bestämma VLAN tillhörighet. Tekniken används
vanligtvis vid separering av lokala nät. Exempelvis kan man
bestämma att port 1 och 2 i switch A skall tillhöra samma nät som
port 7 och 9 i switch B. Övriga portar i switch A och B är
separerade från detta nät. När switch A och B sammankopplas, så
används standarden 802.1Q för att bestämma vilka paket som tillhör
vilket VLAN. Notera att trafiken inte är krypterad och att det inte
används någon form av stark identifiering.
Om man från allmänt håll kritiserade PPTP som VPN-lösning, så är
PPTP i jämförelse med VLAN, en extremt bra lösning. De som säljer
VLAN som en VPN-lösning gör sig i mina ögon skyldiga till ett
mycket grovt övertramp.
Stark identifiering och kryptering är hörnstenarna i en
VPN-lösning. Dessa skall i sin tur baseras på erkända och öppna
standards såsom IPsec. Här hör VLAN inte hemma. VLAN är en teknik
som lämpar sig för att separera likartade nätverk på hemma plan,
inte över osäkra nät såsom Internet.
© 2002 Thomas Nilsson, Certezza AB
