Dubbelriktade VPN-tunnlar till leverantören

2005-02-10

Fler och fler leverantörer etablerar VPN-tunnlar till sina kunder för att utföra support på utrusning, system, applikationer etc. När tunneln skall etableras tonas ofta riskerna ned och fokus är istället att fylla i blanketten med ett antal IPsec-relaterade parametrar så att tunneln skyndsamt kan etableras.

IPsec? Ja, ni läste rätt. En stor andel av dessa tunnlar baseras på IPsec och kunden förväntas i flera fall att acceptera detta ograverat. Några eventuella risker med att etablera en IP-tunnel mellan kundens och leverantörens nät nämns som sagt sällan. Ord som spårbarhet och identifiering av användare lyser med sin frånvaro. Om lösningen ifrågasätts framstår kunden som besvärlig.

IPsec är i många avseende ett strålande protokoll för att knyta samman IP-nät. De kompatibilitetsproblem som rådde i mitten av 90-talet är ett minne blott och prestanda blir allt bättre. Den transparens som tunneln ger gör det enkelt att köra komplexa protokoll som friskt blandar UDP, TCP and andra IP-protokoll. Men är det verkligen rätt att använda IPsec för att ge en leverantör access till kunden? Dessvärre finns det inget enkelt svar, men ett är i alla fall säkert, etableras inte dessa tunnlar med mycket stor varsamhet är kundens nät en del av leverantörens nät.

Någon kan till sitt försvar hävda att sessionerna kan enkelriktas och kan hindras från att etableras åt fel håll. Det kan finnas en viss sanning i det. Samtidigt är vi väl medvetna om att begreppet riktning på en session håller på att raderas ut, om det ens existerar en session. Inte ens begreppet session är självklart längre.

Med mer än ett facit i hand kan det konstateras att det redan har vuxit upp virtuella IP-nät mellan kunder och leverantörer av tveksam karaktär och som till stor del har designats utifrån leverantörens perspektiv. Nya vägar har etablerats mellan tidigare stängda zoner. För att påvisa problemet har vi vid flera tillfällen etablerat sessioner från en kund till en annan, helt ovetande om varandra, via en gemensam leverantör.

Kanske är det så att leverantören måste anpassa sig efter kunden? I de flesta fall har kunden redan en VPN-lösning som medger säker access till utrustning, system, applikationer etc. En VPN-lösning som omfattar stark identifiering, hög krypteringsnivå och god spårbarhet. Den lösning som leverantören erbjuder i supportsammanhang skall rimligen inte ha en lägre säkerhetsnivå.

Jag har skrivit det i tidigare krönikor och det tål att upprepas. Stå på dig, våga fråga och var obekväm! Det minsta du som kund kan kräva är att leverantören redovisar hur de har designat sin lösning för att skydda dig. Det är trots allt er information det gäller och som du skall värna om.

© 2005 Thomas Nilsson, Certezza AB