Exportera (0) Skriv ut
Visa allt

Vad är VPN?

Gäller för: Windows Server 2008

Virtuella privata nätverk (VPN) är punkt-till-punkt-anslutningar som görs via ett privat eller ett offentligt nätverk, t.ex. internet. En VPN-klient använder särskilda TCP/IP-protokoll, så kallade tunnelprotokoll, för at göra virtuella anrop till en virtuell port på en VPN-server. I en typisk VPN-tillämpning initierar klienten en virtuell punkt-till-punkt-anslutning till en fjärråtkomstserver via internet. Fjärråtkomstservern svarar på anropet, autentiserar anroparen och överöfr data mellan VPN-klienten och organisationens privata nätverk.

Data kapslas in, eller slås in i, ett huvud för att emulera en punkt-till-punkt-länk. I huvudet finns routningsinformation som gör att data kan färdas över det delade eller det offentliga nätverket på väg mot slutmålet. Vid emulering av en privat länk krypteras de data som skickas av säkerhetsskäl. Paket som avlyssnas på det delade eller offentliga nätverket kan inte dekrypteras utan krypteringsnycklarna. Den länk som de privata data kapslas in i och krypteras kallas för en VPN-anslutning.

En VPN-anslutning

Det finns två typer av VPN-anslutningar:

  • Fjärråtkomst-VPN

  • Plats-till-plats-VPN

Fjärråtkomst-VPN

Med fjärråtkomst-VPN-anslutningar kan användare som arbetar hemifrån eller när som befinner sig på resande fot komma åt en server på ett privat nätverk med hjälp av infrastrukturen i ett offentligt nätverk som internet. Ur användarens perspektiv är VPN en punkt-till-punkt-anslutning mellan datorn (VPN-klienten) och en organisations server. Exakt hur det delade eller offentliga nätverkets infrastruktur ser ut har ingen betydelse, eftersom det logiskt verkar som om data skickas via en dedicerad privat länk.

Plats-till-plats-VPN

Med plats-till-plats-VPN-anslutningar (kallas även router-till-router-VPN-anslutningar) kan organisationer upprätta routade anslutningar mellan olika filialer eller med andra organisationer via ett offentligt nätverk med bibehållen säker kommunikation. En routad VPN-anslutning via internet fungerar logiskt som en dedicerad WAN-länk. När nätverk kopplas ihop via internet, som följande bild visar, vidarebefordrar en router paket till en annan router via en VPN-anslutning. För routrarnas del fungerar VPN-anslutningen som en datalänksskiktlänk.

En plats-till-plats-VPN-anslutning kopplar ihop två delar i ett privat nätverk. VPN-servern tillhandahåller en routad anslutning till det nätverk som VPN-servern är kopplad till. Den anropande routern (VPN-klienten) autentiserar sig mot den svarande routern (Vpn-servern) och, för ömsesidig autentiseringsändamål, autentiserar sig den svarande routern mot den anropande routern. Vid en plats-till-plats-VPN-anslutning härstammar inte paketen som någon av routrarna skickar via VPN-anslutningen från routrarna.

VPN som ansluter två fjärrplatser via internet

Egenskaper för VPN-anslutningar

VPN-anslutningar som använder PPTP, L2TP/IPsec och SSTP har följande egenskaper:

  • Inkapsling

  • Autentisering

  • Datakryptering

Inkapsling

Med VPN-teknik kapslas privata data in med ett huvud som innehåller routningsinformation som gör att data kan färdas över överföringsnätverket. Exempel på inkapsling finns i Protokoll för VPN-tunnlar.

Autentisering

Autentisering vid VPN-anslutningar sker i tre olika former:

  1. Autentisering på användarnivå med hjälp av PPP-autentisering

    När en VPN-anslutning ska upprättas autentiseras den VPN-klient som försöker ansluta av VPN-servern med hjälp av PPP-metoden (Point-to-Point Protocol) för autentisering på användarnivå och en kontroll sker att VPN-klienten har rätt auktorisering. Om ömsesidig autentisering används sker också en autentisering av VPN-servern hos VPN-klienten, vilket skyddar mot datorer som utger sig för att vara VPN-servrar.

  2. Autentisering på datornivå med hjälp av IKE (Internet Key Exchange)

    Vid upprättande av en IPsec-säkerhetsassociation använde både VPN-servern och VPN-klienten IKE-protokollet för att utbyta antingen datorcertifikat eller en i förväg delad nyckel. I båda fallen autentiserar VPN-servern och VPN-klienten varandra på datornivå. Autentisering genom datorcertifikat rekommenderas starkt, eftersom det är en betydligt starkare autentiseringsmetod. Autentisering på datornivå utförs endast vid L2TP/IPsec-anslutningar.

  3. Autentisering av dataursprung och dataintegritet

    Med syfte att verifiera att de data som skickas via VPN-anslutningen kommer från andra ändan av anslutningen och inte har modifierats p vägen innehåller data en krypterad kontrollsumma som bygger på en krypteringsnyckel som endast avsändaren och mottagaren känner till. Autentisering av dataursprung och dataintegritet är endast tillgänglig för L2TP/IPsec-anslutningar.

Datakryptering

Med syfte att garantera datasekretessen vid färden över det delade eller offentliga överföringsnätverket krypteras data av avsändaren och de dekrypteras av mottagaren. Krypterings- och dekrypteringsprocesserna är beroende av att både avsändaren och mottagaren använder samma krypteringsnyckel.

Avlyssnade paket som skickas via VPN-anslutningen i överföringsnätverket är oläsliga för personer som inte har tillgång till den gemensamma krypteringsnyckeln. Krypteringsnyckelns längd är en viktig säkerhetsparameter. Du kan använda beräkningstekniker för att fastställa krypteringsnyckeln. Men sådana tekniker kräver mer datorkraft och beräkningstid i takt med att krypteringsnycklarna blir större. Av den anledningen är det viktigt att använda största möjliga nyckel för att garantera datasekretessen.

Var detta till hjälp?
(1500 tecken kvar)
Tack för dina kommentarer

Gruppinnehåll

Visa:
© 2014 Microsoft