2. Firewall
3. Proxy Server
4. IP Filtering
5. Tiedon salaus
6. VPN
7. Lähteet
8. Tekijät
VPN:n pitäisi täyttää vähintään seuraavat vaatimukset
- 1. Lähettäjän autentikointi.
Eli varmistetaan että lähettäjä on kuka väittää olevansa
- 2. Informaation varmistus.
Tarkistetaan että informaatio ei ole muuttunut matkan aikana (joko tahallaan muutettua tai virheistä johtuvaa)
- 3. Tiedon salaus.
Kaikki tunneliin menevä tieto pitää mennä salattuna. (tieto joka ei mene tunnelireitin kautta kulkee normaalisti esim www yhteys paikkaan jota ei ole määritelty salatuksi yhteydeksi)
- 4. Suojaus toistoja vastaan.
Tämä estää mahdollista hyökkääjää käyttämästä tallentamaansa aikaisemmin käytyä tiedonsiirtoa ja käyttämästä saamaansa datavirtaa ilman että asiaa havaittaisiin (ja sen perusteella estettäisiin).
- 5. Avainten hallinta.
Jotta yhteys toimisi molempiin suuntiin niin pitää avaimet olla kunnossa molemmissa päissä. Avainten vaihtoon epäluotettavan siirtoyhteyden yli on kehitetty monia algoritmeja joista turvallisimpana pidetään nykyään Diffie-Helman [3] algoritmia joka mahdollistaa sen että vaikka joku kuuntelisi yhteyttä niin hän ei kykenisi saamaan selville vaihdettua avainta.(vain osia siitä, joiden perusteella sen voisi murtaa, mutta nykyisillä konetehoilla siihen kuluisi liikaa aikaa) Tähän kohtaan kuuluu myös VPN policyn hallinta.
Hyödyt:
VPN:n avulla yritykset saavat käyttöönsä turvallisen ja
edullisen tiedonsiirtoyhteyden julkisen verkon ylitse
(mm. internet).
Kun VPN on asetettu esim kahden sisäverkon molempiin firewalleihin siten että verkkojen välille on luotu tunneli niin verkossa olevien käyttäjien ei tarvitse kantaa huolta siitä että luottamukselliset tiedot joita siirretään aliverkoista toiseen joutuisivat vääriin käsiin.
Tämä ei tietenkään estä sitä jos joku on soluttautunut yrityksen sisäverkkoon ja siellä käyttää jokinlaista verkonseuranta ohjelmaa, siksipä suositellaan että VPN olisi itseasiassa asennettuna kaikkiin koneisiin ja yrityksen turvallisuuspolitiikka olisi ylläpitäjien määriteltävissä helposti jokaiselle koneelle vaikka erikseen. (eng. Policy handling)
Tällöin VPN ohjelmaa voisi myös käyttää filtterinä eli ylläpito voisi estää yhteyksien otot konekohtaisesti haluttuihin paikkoihin.
Kenelle:
VPN toteutus on suunnattu pääosin tilanteisiin joissa omia fyysisesti kaukana toisistaan olevia aliverkkoja halutaan yhdistellä, mutta sovellutus käy mainiosti myös tilanteeseen jossa joku firman työntekijä haluaa jostain päin maailmaa liittää kannettavansa internetin kautta osaksi yrityksen sisäverkkoa. Ainakin DataFellowsien VPNplus toteutukseen on tulossa myös puhelinyhteyden ylitse PPP yhteyden salaus jolloin kaikki yhteyden kodin yms paikan ja työpaikan välillä olisivat turvattuja.
Miksi[5] joku haluaisi käyttää VPN:ää
VPN suojaa mm. seuraavan laisilta hyökkäyksiltä?
- Verkon Seuranta
- Yhteyden kaappaaminen
- Reitin huijaaminen
- Nimipalvelimen huijaaminen
- Denial of service hyökkäykset
Toteutus: Valmiita VPN toteutuksia on olemassa useampia. DataFellows tarjoaa VpnPlus pakettia jolla saa luotua tunneloidun yhteyden joka käyttää vahvaa salausta. Käytettävä algoritmi on valittavissa (mm. 3DES CheckPoint tarjoaa myöskin VPN toteutusta, mutta Yhdysvaltojen "Crypto Export" lainsäädännön mukaan he eivät saa myydä vahvaa salausta maan rajojen ulkopuolelle. Ja sama suomeksi
Tämän sivun sisällöstä vastaavat:
Tomi Tuominen
Janne Pänkälä
Jouni Niiniaho