Kejsarens nya VPN

2004-11-08

Tillhör du dem som glad i hågen köpt en VPN-tjänst och tror att den inkluderar stark identifiering och kryptering? Risken är stor att du blivit lurad.

Uttrycket VPN, virtuella privata nät, är mer än ett decennium gammalt. De flesta ser byggstenar som stark identifiering och kryptering som självklara element i ett VPN. Dessvärre är det med VPN som med många andra förkortningar i IT-världen. Alla vet vad man talar om men ingen talar om samma sak. Givetvis är detta grovt förenklat, men det är ett stort problem att vi använder oss av uttryck och förkortningar som inte klart definierats. Vad gäller VPN kan det få ödesdigra konsekvenser för mitt informationsutbyte.

Oavsett om ett VPN används för att binda samman två avlägsna kontor eller för att ge en mobil användare access till det företagsinterna nätet så är kraven mycket högt ställda. Parterna måste vara helt säkra på att det är med rätt part som informationsutbytet sker och man måste vara helt säker på att informationen inte kan avlyssnas eller förvanskas. Om du väljer att förverkliga lösningen i egen regi då har du fullständig insyn i så väl teknikval som design och kan enkelt påverka lösningen för att infria dina krav. Om du väljer att köpa tjänsten är det oerhört viktigt att dina krav infrias och det utan några som helst tvivel. Dessvärre vågar jag påstå att alla VPN-tjänster som marknadsförs och säljs inte infriar krav såsom kryptering och stark identifiering.

Vissa leverantörer är ärliga och presenterar sitt teknikval medan många stannar vid att kalla det för VPN-teknik. De som är ärliga kan ge intryck av att deras lösning som exempelvis baserats på 802.1Q uppfyller de högt ställda krav som man normalt har på en VPN-lösning. Den som är lite mer bevandrad vet att 802.1Q är specifikationen för VLAN, vilken innebär att man utökar Ethernet-paketen med 2 byte, varav 12 bitar används för att bestämma VLAN tillhörighet. Någon kryptering eller stark identifiering är det inte tal om. En annan populär teknik för att åstadkomma en VPN-tjänst är att klä informationen med ett inkapslingsprotokoll, men även här sker trafiken i klartext.

Det är inte bara informationen som lämnas vind för våg, även konkurrensen tjänsteleverantörerna emellan är satt ur spel. Det är klart att en VPN-lösning som inte innehåller tillstymmelsen till kryptering blir avsevärt billigare än en VPN-lösning som innehåller kryptering. Här kan man verkligen säga att man får vad man betalar för.

Skona dig från att stolt, likt kejsaren, sjösätta din nyligen inköpta VPN-tjänst om du inte är helt säker på att informationen inte flödar i klartext och att den inte utbyts med parter som du inte har en aning om.