Virtuelt privat netværk

Virtuelt privat netværk (VPN)

VPN er et stærkt alternativ til selv at opbygge, drive og eje sit eget WAN (Wide Area Network). Med såkaldte virtuelle tunneller "indhegnes" en del af Internettet og IPnettet, så det i praksis fungerer som virksomhedens eget private kommunikationsområde.

Slutresultatet er et netværk, der udnytter ressourcerne optimalt. Et netværk, hvor man samtidig er parat til at udnytte de funktionelle og økonomiske fordele ved den hastige udvikling på Internet og IP teknologi området.

Ved at implementere VPN kan man nemt og sikkert samle virksomhedens hovedkontor og filialer på en omkostningsmæssig fornuftig måde - hjemmearbejdspladser og mobile medarbejdere integreres og styrke forbindelsen til kunder, partnere og leverandører.

Hvorfor vælge en VPN løsning?
Virksomheders evne til hurtigt at omstille sig samt opretholde en tæt kontakt med omverdenen er vital for konkurrencedygtigheden. Derfor er hurtig og fleksibel kommunikation samt åbenhed overfor omverdenen, og lave omkostninger nogle vigtige konkurrencepararameter.

Tidligere var kommunikation mellem virksomheder begrænset til dyre faste eller lejede forbindelser. Sådan er det ikke i dag i dag er Internettet blevet hver mands eje og samtidig af stor betydning for mange menensker grundet den meget fleksible måde at kommunikere på. Internettet giver åbenhed og fleksibel ekstern kommunikation - men ikke sikker kommunikation.

For at sikre sig mod evt. aflytning og kompromittering af data, er et Virtuelt Privat Netværk (VPN) en sikker og fleksibel løsning. Et VPN-netværk fungerer ved at kryptere data der sendes over Internettet, så disse ikke transmitteres i klar tekst, hvorved uvedkommende kan læse dem. Den krypterede VPN kommunikation afvikles over Internettet, på samme måde som man traditionelt har gjort. På grund af Internettets globale dækning, kan et VPN-netværk knytte geografisk spredte filialer, kontorer, partnere, leverandører og kunder sammen således, at netværket opleves som et privat netværk. Dette sker blot med væsentligt lavere omkostninger, sammenlignet med omkostningen ved eksempelvis at have en fast eller lejet forbindelse via en internetudbyder.

Hvorfor er VPN et strategisk værktøj?
Et VPN-netværk skaber et logisk datanet der bevirker, at virksomheden og dens omverden oplever de er del af et homogent netværk. Kommunikationen i netværket er krypteret, og giver derfor mulighed for, på sikker vis, at indføre business-to-business såsom elektronisk handel.
En VPN løsning tilfører partnere, kunder og leverandører øget værdi i form af nem og hurtig adgang til eksempelvis varebestilling og lagerbeholdning, som igen medfører øget salg og kundetilfredshed. Et VPN betegnes som værende et strategisk værktøj, fordi det øger virksomhedens konkurrenceevne. Et VPN medvirker yderligere til dannelsen af et tættere forhold til kunder, leverandører og partnere, samt en reduktion i Total Cost of Ownership (TCO). Sidstnævnte, idet der ikke skal investeres i Remote Access Service (RAS) udstyr når der er tale om en VPN løsning.
Ydermere sker der en reduktion af teleomkostningerne på 60-80% ved at benytte sig af VPN. VPN løsningen giver altså bedre og billigere kommunikation, med en besparelse på 20-50% i forhold til traditionelle forbindelser såsom lejede linier. Indtjeningsperioden for en VPN løsning er typisk mindre end seks måneder!

Hvilke omkostninger er forbundet med en VPN løsning?
I praksis behøver man kun én Internetforbindelse på hver af de lokationer man ønsker opkoblet i sit VPN-netværk. På klienten findes så en krypterings-nøgle for at sikre den krypteret trafik frem og tilbage på netværket. Har virksomheden i forvejen en Internetforbindelse med tilhørende firewall, er ekstra omkostningerne ved etablering af VPN i den situation derfor meget begrænset.

Praktisk implementering?
På hver af virksomhedens lokationer som ønskes koblet på VPN-netværket installeres en netværksenhed, typisk en router eller firewall, der krypterer den trafik der er bestemt for de øvrige interne afdelinger. Således opnår man at krypteringen sker transparent for de applikationer, der afvikles over VPN-netværket og herved er man sikker på, at al kommunikation sker på sikker vis. Der skal således ikke længere bruges ressourcer på at administrere kryptering på servere og klienter.
Rejsende eller hjemmearbejdende medarbejdere har ofte brug for adgang til virksomhedens fil-systemer, hvilket klares med VPN software på deres labtop eller stationære computer, der så krypterer data.

VPN kommunikation afvikles over Internettet, og det interne netværk er beskyttet af en firewall. Virksomhedens mobile brugere har med VPN løsningen nu adgang til det interne fil- og mail system, og udvekslingen af data sker på sikker vis, da data krypteres inden det sendes ud på Internettet.
I dag foregår fjernadgang ofte ved modemopkoblinger fra hotelværelser eller lignende rundt omkring i verden, men kvaliteten af telefonlinjerne gør oftest, at man ikke kan få forbindelse eller falder af, ofte med betragteligt høje telefonregninger til følge. Ved den kombinerede VPN/Internetforbindelse, kan den rejsende medarbejder nøjes med at ringe op til en lokal Internetudbyder (ISP), og derved kun blive afkrævet lokale takster. VPN løsningen danner hermed et logisk datanetværk, som binder virksomheden sammen med dens omverden på sikker vis.

Hvilke fordele og ulemper er der ved VPN?
Et VPN-netværk giver, set i lyset af Internettets globale udbredelse, en række indlysende fordele med hensyn til dækning og tilgængelighed hele døgnet. Et VPN-netværk medfører også en reduktion i omkostningerne til WAN (Wide Area Network) vedligeholdelse, da det er Internet udbyderens ansvar. Yderligere undgår man de høje takster på datatrafik, da det er Internettet der benyttes til afvikling af VPN trafik. Dette kan reelt set opfattes som en outsourcing af fjernadgangs driften, hvilket forenkler IT afdelingens arbejde væsentligt.
Den åbne IP standard gør en VPN løsning til en oplagt mulighed for virksomheder, som herved kan koncentrere deres ressourcer og investeringer omkring én platform, nemlig den IP baserede platform baseret på gængse Internet standarder. Det betyder, at der anvendes den samme teknologi internt som eksternt i virksomheden, hvilket giver fleksibilitet og gør det nemt og hurtigt at ændre setup’et.

Anvendelsen af VPN har også en række ulemper. Blandt andet kan nævnes, at der p.t. ikke findes en fælles fast standard for VPN, hvorfor man er nødt til at binde sig til en bestemt producent, også kaldet proprietær produkter. Det er dog i dag et faktum at IPSec standarden i meget nær fremtid bliver den gængse VPN standard. Tidligere var det et problem for virksomhederne at få lov til at importere de stærke krypterings algoritmer fra USA for at sikre hemmeligholdelse af data, men i dag er dette ikke at betegne som er problem i den vestlige verden.
Endelig er der naturligvis forbundet en vis mængde administration og vedligehold i forbindelse med anvendelse af et VPN.

VPN teknik og standarder
Et VPN er et stærkt alternativ til selv at opbygge, drive og eje sit eget WAN (Wide Area Network). Med såkaldte virtuelle tunneler "indhegnes" en del af Internettet og IPnettet, så det i praksis fungerer som virksomhedens eget private kommunikationsområde. Slutresultatet er et effektivt netværk, der udnytter ressourcerne optimalt. Et netværk, hvor man samtidig er parat til at udnytte fordelene ved den hastige udvikling på Internet og IP området.

Når man taler VPN i dag, er det væsentligt, at se på de standarder, som VPN produkter bør understøtte for at skabe sammenhæng og transparens mellem forskellige fabrikater og mærker. I dag understøtter størstedelen Internet Protecol Security (IPsec) standarden, som er udarbejdet af IETF (Internet Engineering Task Force).
Det er et faktum, at IPsec bliver den gældende standard, som alle producenter vil benytte. Det vil have den betydning at man i fremtiden, uafhængig af fabrikat og mærke, kan koble en vilkårlig filial, partner eller kunde på sit VPN-netværk sålænge de har en Internetforbindelse og VPN-klienter.

VPN Standard protokoller
Et VPN består af såkaldte virtuelle kanaler også kaldet virtuelle IP (Internet Protekol) tunneler, som transporterer den bruger trafik der sendes over netværket. Dette sker via. forskellige netværks protokoller, som kort skal nævnes i nedenstående.

IPSec standarden
IPsec standarden bygger overordnet på to elementer nemlig: Authentication Headeren (AH) den ekstra header information der tilføjes IP pakken, således der er understøttelse for integritet samt autentificering.

Encapsulated Security Payload (ESP) den egentlige kryptering af data i IP pakken. Udover kryptering giver ESP også autentificering og integritet.

Nedenstående giver en ide om hvordan en IP pakke ser ud efter denne er blevet "pakket ind" i IPsec informationen:

- IP Header
Indeholder ny source og destinations adresse

- Authentication Header (AH)
Indeholder message digest til autentificering

- Encapsulating Security Payload Header (ESP)
Indeholder de originale indkapslede data

- Original IP Header
Indeholder original source og destinations adresse

- Original Data
Den originale data del af IP pakken

Før data udvekslingen mellem parterne kan begynde skal der etableres en såkaldt Security Association (SA) dvs. enighed om hvilken krypteringsalgoritme og nøgler der skal benyttes samt, hvordan autentificering gennemføres. På denne baggrund er der som del af IPsec standarden fastlagt retningslinjer for, hvordan der ved etablering af en SA kan anvendes en Public Key Infrastruktur, PKI. Som del af standarden fra IETF er derfor fastlagt retningslinjer for en standard baseret udveksling og verficering af nøgler via en PKI baseret Certificate Authority (CA).
De protokoller IETF har defineret til brug for automatisk nøgle administration til IPsec er ISAKMP/Oakley (Internet Security Association and Key Management Protocol).
For at sikre at de data der sendes af sted ikke kan læses af uvedkommende, kan data krypteres eksempelvis via krypterings protekollen IP Security (IPSec). IPSec opererer på netværkslaget i OSI-modellen sammen med IP (Internet Protokollen).