Tillhör du dem som glad i hågen köpt en VPN-tjänst och
tror att den inkluderar stark identifiering och kryptering? Risken
är stor att du blivit lurad.
Uttrycket VPN, virtuella privata nät, är mer än ett decennium
gammalt. De flesta ser byggstenar som stark identifiering och
kryptering som självklara element i ett VPN. Dessvärre är det med
VPN som med många andra förkortningar i IT-världen. Alla vet vad
man talar om men ingen talar om samma sak. Givetvis är detta grovt
förenklat, men det är ett stort problem att vi använder oss av
uttryck och förkortningar som inte klart definierats. Vad gäller
VPN kan det få ödesdigra konsekvenser för mitt
informationsutbyte.
Oavsett om ett VPN används för att binda samman två avlägsna
kontor eller för att ge en mobil användare access till det
företagsinterna nätet så är kraven mycket högt ställda. Parterna
måste vara helt säkra på att det är med rätt part som
informationsutbytet sker och man måste vara helt säker på att
informationen inte kan avlyssnas eller förvanskas. Om du väljer att
förverkliga lösningen i egen regi då har du fullständig insyn i så
väl teknikval som design och kan enkelt påverka lösningen för att
infria dina krav. Om du väljer att köpa tjänsten är det oerhört
viktigt att dina krav infrias och det utan några som helst tvivel.
Dessvärre vågar jag påstå att alla VPN-tjänster som marknadsförs
och säljs inte infriar krav såsom kryptering och stark
identifiering.
Vissa leverantörer är ärliga och presenterar sitt teknikval medan
många stannar vid att kalla det för VPN-teknik. De som är ärliga
kan ge intryck av att deras lösning som exempelvis baserats på
802.1Q uppfyller de högt ställda krav som man normalt har på en
VPN-lösning. Den som är lite mer bevandrad vet att 802.1Q är
specifikationen för VLAN, vilken innebär att man utökar
Ethernet-paketen med 2 byte, varav 12 bitar används för att
bestämma VLAN tillhörighet. Någon kryptering eller stark
identifiering är det inte tal om. En annan populär teknik för att
åstadkomma en VPN-tjänst är att klä informationen med ett
inkapslingsprotokoll, men även här sker trafiken i klartext.
Det är inte bara informationen som lämnas vind för våg, även
konkurrensen tjänsteleverantörerna emellan är satt ur spel. Det är
klart att en VPN-lösning som inte innehåller tillstymmelsen till
kryptering blir avsevärt billigare än en VPN-lösning som innehåller
kryptering. Här kan man verkligen säga att man får vad man betalar
för.
Skona dig från att stolt, likt kejsaren, sjösätta din nyligen
inköpta VPN-tjänst om du inte är helt säker på att informationen
inte flödar i klartext och att den inte utbyts med parter som du
inte har en aning om.
© 2004 Thomas Nilsson, Certezza AB
