[Muokattu: 9.5.2013]

VPN ja etätyö (2) [ < Etäkäyttö < Protokollan tot... ]

Virtuaaliset yksityiset verkot eli VPN:t ovat suosittu tapa kytkeä saman yrityksen eri paikoissa sijaitsevia lähiverkkoja toisiinsa julkisen verkon kautta ja saada silti aikaan ikäänkuin suljettu verkko. VPN:llä voidaan korvata vuokralinjat ja siten säästää huomattavasti.

VPN:iä on kovin monenlaisia, myös sellaisia joissa ei ole mukana kryptografista suojausta (liittyen esim. tekniikoihin MPLS ja IP-in-IP). Tällä kurssilla VPN:llä tarkoitetaan kuitenkin sellaista rakennetta, jossa turvattomaan verkon osaan lähetettävät viestit salataan ja huolehditaan myös osapuolten ja viestien autenttisuudesta. Avainten jakelu ei ole yleensä kovin hankalaa, ellei toimipisteitä ole kovin runsaasti ja vaihtelevasti.

VPN voidaan toteuttaa palomuurin avulla. Yksinkertaisimmillaan se tapahtuu lisäämällä siihen kryptauspalvelu, mutta tämä voi olla turvallisempaa toteuttaa erillisessä koneessa. TTY:llä on opiskelijoita ja henkilökuntaa varten palvelimet student|staff-ras.vpntut.fi. Tässä ras tulee sanoista remote access server. TTY:n VPN on toteutettu PPTP:llä eli point-to-point-tunneling -protokollalla. ( TTY:n ohjeita )

Tunnelointi. Useimmat VPN-tuotteet tukevat tunneloinniksi kutsuttua tekniikkaa, joka on periaatteessa varsin samanlaista kuoren sisälle piilottamista kuin ssh-tunnelointi . VPN-tunneloinnissa salataan datapaketeista sekä sisältö että otsikkotiedot (eli mm. osoitteet) ja "kapseloidaan" tulos uusien otsikkotietojen väliin ennen lähettämistä. Tämä suojelee tietyssä määrin lähde- ja kohdeosoitteita liikenneanalyysilta.

VPN voidaan toteuttaa myös yksittäisten etäältä toimivien työntekijöiden yhteyksiin. Etätyöskentelyä (telecommuting) on monenlaista. Sitä voidaan kodin lisäksi tehdä yrityksen haarakonttorista käsin tai työmatkan aikana. Oleellista on ainakin ajoittainen kommunikaatioyhteys jonkinmoiseen keskuspaikkaan. VPN ei ole ainoa eikä toisaalta riittävä ratkaisu etätyön tietoturvaan. Etätyöskentelyssä on otettava huomioon tietoliikenneasioiden lisäksi se, että työskentelypaikka, tyypillisimmin koti, on turvallisuuden kannalta varsin erilainen kuin tavallinen työpaikka. Erityisesti fyysiseen turvallisuuteen ja "henkilöstöön" liittyvät uhkat edellyttävät lisäsuojausta itse laitteisiin ja ohjelmistoihin. Kotikonehan on VPN-yhteyden kautta samassa asemassa kuin yrityksen verkossa paikan päällä oleva kone. Voi olla tarpeen myös rajoittaa sitä verkon osaa, johon etätyöläinen kytkeytyy. Esimerkiksi TTY:llä nämä asiat ilmenevät siten, että VPN:n kautta tutkija pääsee artikkelitietokantoihin, joihin on pääsy vain TTY:n osoiteavaruudesta. Hänen verkko-osoitteensa on kuitenkin sellainen, ettei hän pääse laitoksen Windows-verkkopalveluihin kuten levy- ja kirjoitinjakoihin. Tällaisia asioita käsittelee tarkemmin mm. VAHTI-ohje 2/2003 "Turvallinen etäkäyttö turvattomista verkoista".

Yksi kätevä tapa toteuttaa VPN on käyttää IP-tason salausta, jota IPsec-protokolla tarjoaa. Ja sillähän voi myös hoitaa tunneloinnin.