Det är dags att granska operatörernas VPN-tjänster! Flera operatörer säljer VPN-tjänster baserad på VLAN-teknik!
VPN, Virtual Private Network, är ett säkert sätt att skapa tunnlar över osäkra nät såsom Internet. Den används för att sammankoppla företagsinterna nätverk via Internet. Tekniken använder basfunktioner såsom stark identifiering och kryptering. Basfunktioner som gör lösningen säkrare än konventionella punkt-till-punkt förbindelser.
Bygger man ett VPN, så har man två val. Antingen förlitar man sig på en operatör som tillhandahåller tjänsterna, eller så införskaffar man själv utrustning för att möjliggöra VPN. Väljer man det sistnämnda, så har man stora möjligheter att välja form av identifiering och nivå av kryptering och sist men inte minst, vilka standards som används. Oavsett om man väljer att köpa tjänsten eller producera den själv, så måste man ha god beställarkompetens. Har man inte det, så rekommenderar jag att man tar hjälp vid upphandlingen.
Fallgroparna hittills, har varit att man väljer leverantörsspecifika tekniker, som utvecklats utan någon som helst insyn. Skräckexemplet kanske är Microsofts PPTP, Point to Point Tunneling Protocol. Microsoft skapade ett eget protokoll för identifiering, en egen funktion för hantering av checksummor och en egen algoritm för att generera nycklar. När det väl kom till implementationsstadiet så gjordes en rad misstag som ytterliggare försämrade lösningen. Allt detta gjorde Microsoft som sagt utan insyn, vilket för med sig att ingen utomstående har haft möjlighet att nagelfara lösningen, något som visade sig när PPTP nådde marknaden. Det var en lösning som långt ifrån höll måttet som en säker VPN-lösning.
I dag öppnar sig nya fallgropar, tjänsteproducerande operatörer som säljer VPN baserad på VLAN-teknik. VLAN, Virtual Local Area Network, baserar sig i normalt på standarden 802.1Q. Standarden innebär att man utökar Ethernet-paketen med 2 byte, varav 12 bitar används för att bestämma VLAN tillhörighet. Tekniken används vanligtvis vid separering av lokala nät. Exempelvis kan man bestämma att port 1 och 2 i switch A skall tillhöra samma nät som port 7 och 9 i switch B. Övriga portar i switch A och B är separerade från detta nät. När switch A och B sammankopplas, så används standarden 802.1Q för att bestämma vilka paket som tillhör vilket VLAN. Notera att trafiken inte är krypterad och att det inte används någon form av stark identifiering.
Om man från allmänt håll kritiserade PPTP som VPN-lösning, så är PPTP i jämförelse med VLAN, en extremt bra lösning. De som säljer VLAN som en VPN-lösning gör sig i mina ögon skyldiga till ett mycket grovt övertramp.
Stark identifiering och kryptering är hörnstenarna i en VPN-lösning. Dessa skall i sin tur baseras på erkända och öppna standards såsom IPsec. Här hör VLAN inte hemma. VLAN är en teknik som lämpar sig för att separera likartade nätverk på hemma plan, inte över osäkra nät såsom Internet.
© 2001 Thomas Nilsson, Certezza AB
Thomas Nilsson
