Riku Helander

43434A

Tu IV

Virtual Private Networks

Tämä kirjoitelma on tehty kurssin Tik-109/110.300 Tietoliikennearkkitehtuurit viikkoharjoitukseksi, eikä siten vastaa tasoltaan tieteellistä tutkimusta.

Virtual Private Network -konsepti

Virtual Private Network -tuotteen tarkoituksena on rakentaa julkisen siirtoyhteyden yli, oma turvallinen verkko, joka näkyy ulospäin kuten normaaliverkko. Tarkoituksena on siis varmistaa, että siirrettäessä tietoa ju lkisen siirtotien, kuten esimerkiksi Internetin, yli ei tieto matkalla muutu, häviä tai joudu kopioiduksi. Virtual Private Network konseptin ajatus on esitetty alla olevassa kuvassa [1] .

Kuten kuvasta voi havaita, tarkoituksena on luoda "eristetty putki" julkisen siirtotien sisään. Kaikkien VPN-reitittimien välillä on suora point-to-point -yhteys, jonka ansiosta verkkoa voi käsitellä kuten normaalia verkko a. Yllä olevassa kuvassa VPN-reitittimet on konfiguroitu siten, että VPN:n kautta kulkeviksi tarkoitetut viestit lähetetään salattuina VPN-palvelimen kautta toiselle reitittimelle, kun taas muut viestit kulkevat normaalisti julkis een verkkoon. Kuvassa esitellyssä Data Fellowsin ratkaisussa VPN-palvelimet ovat normaaleja PC-tietokoneita, joissa on UNIX-käyttöjärjestelmä ja vaadittava kryptausohjelmisto. Reitittimet asennetaan yleensä yrityksen mahdolli sen palomuurin taakse maksimaalisen turvallisuuden takaamiseksi.

VPN-konseptia ei ole määritelty täysin yksiselitteisesti. Eräiden valmistajien VPN sisältää pelkän lähiverkkojen yhdistämiseen tarkoitetun toiminnallisuuden. Esimerkkinä tästä on yllä ; kuvattu Data Dellowsin ratkaisu. Toisaalta myydäänpä VPN-nimikkeen alla tavallisia puhelinpalveluja globaaleille yrityksille, jotka yhdistämällä puhelinvaihteensa VPN-konseptin alle voivat mainosten mukaan sääst&a uml;ä merkittävästi puhelinkuluissaan [7]. Kun soppaan vielä lisätään, että joidenkin tahojen mielestä VPN tarkoittaa hyvin pitkälle samaa kuin f irewall alkaa soppa olemaan valmis. Muutenkin erilaisia ratkaisun tarjoajia VPN-nimikkeen alla löytyy Internetin hakupalveluiden avulla pilvin pimein. Turvalliseen etäkirjautumiseen verkkoon on puolestaan tarjolla eri ohjelmistot. Erää t toiset VPN-ratkaisumallit, kuten esimerkiksi Security Dynamicsin ja Checkpointin yhteistyössä kehittämä VPN-tuote sisältävät myös käyttäjän autentikointiin ja kaukokirjautumiseen tarvittavat työ ;kalut[2]. Toisaalta ero näiden mallien välillä on ehkä lähinnä markkinointitekninen, molemmissa ratkaisuissa löytyy sama toiminnallisuus, toisessa sitä my ydään vain yhtenä kokonaisuutena, toisessa voi asiakas itse valita mitä komponetteja tarvitsee, eli siis oikeammin mistä kaikesta haluaa maksaa.

Kanadalainen VPN-ratkaisuja toimittava Signal9-yritys on määritellyt VPN:n tärkeimmiksi ominaisuuksiksi seuraavat [6]:

      1. Varmistaa, että tieto saapuu perille
      2. Varmistaa, että tieto saapuu salattuna ja muuttumattomana
      3. Varmistaa, että tieto väitetty lähettäjä on todellinen lähettäjä
      4. Varmistaa, että tieto saapui perille ja että vastaanottaja todella on sitä, mitä se väittääkin olevansa

Sinänsähän tässä esitetyt vaatimukset ovat suunnilleen vastaavat kuin missä tahansa muussa tiedonsiirrossa. Signal9:n mukaan viides tekijä, joka vaaditaan turvallisen VPN:n luomiseksi on identifikaatiokysymys. Tä mä tarkoittaa Signal9:n mukaan käytännössä, että luovutaan julkisista avaimista, ja niihin liittyvistä luottamusoletuksista, autentikoinnissa. Sama trendihän on muidenkin valmistajien tuotteissa, muun muassa DataFel lowsin tuotteessa autentikointi tapahtuu salaisella avaimella, kun taas itse tiedonsiirrossa käytetään julkiseen avaimeen perustuvaa algoritmiä.

Toteutustekniikat

Sekä Data Fellowsin että CheckPointin tuotteet perustuvat siihen, että verkkoon on asennettu erillinen tietokone valvomaan liikennettä ja hoitamaan kryptaus ennen kuin data menee reitittimelle ja toisaalta purkavat datan, kun sen saapuu reitittimeltä [1, 3]. Molemmissa ratkaisuissa käytettään vahvaa kryptausta, DataFellowsin tuote per ustuu kolminkertaiseen DES-kryptaukseen ja vaihtuviin avaimiin yhteyden aikana, sekä kiinteisiin avaimiin palvelinten autentikoinnnissa. Ilmeisesti yhdysvaltalaisten vientirajoitusten takia CheckPoint ei voi tarjota DES-salausta kuin Yhdysvaltalaisil le asiakkailleen.

Toinen toteutustapavaihtoehto on rakentaa VPN suoraan reitittimien välille. Tällöin reitittimet itse hoitavat kaiken tiedon kryptauksen ja avauksen, ja erillistä laitteistoa ei tähän tehtävään tarvita. Esime rkiksi Intel tarjoaa omiin reitittimiinsä ohjelmistopäivitystä, jonka avulla niillä voi rakentaa VPN-verkon. Intelin ratkaisussa käytetään 144-bittisellä algoritmilla suojattuja yhteyksiä [4]. Reitittimillä toteuttuun VPN-ratkaisuun liittyy kuitenkin lukuisia ongelmia. Ensinnäkin se tekee yrityksen täysin riippuvaiseksi yhdestä reititinvalmistajasta, koska ratkaisut eivät ole y hteensopivia erimerkkisten reitittimien välillä. Tämän lisäksi suojauksen ja muun tekniikan kehityksen tasossa ollaan saman reitinvalmistajan armoilla.

Eri toteutustekniikoista lienee yrityksen turvallisinta valita käyttöönsä erillisiin koneisiin perustuva palvelu. Tällöin ei olla riippuvaisia yhdestä reitinvalmistajasta ja tietoturvakin on todennäköisesti samaa tasoa. Tämän lisäksi liikkuvien käyttäjien liittyminen palveluun käy tällaisessa ratkaisussa merkittävästi helpommin kuin reitittimiin perustuvassa suojauksessa. Kun vielä otetaan huomioon , että ; yhden toimipisteen liittäminen VPN-toimipisteeksi maksaa esimerkiksi DataFellowsin palvelussa noin 5000 US dollaria [1], ei kustannustenkaan pitäisi olla merkittävästi rajoi ttava tekijä VPN:ia rakennettaessa. Vertailun Intelin Express -sarjan reitin, jossa on edellä kuvatut tietoturvaominaisuudet, maksaa 1299 US dollaria [5].

VPN:n käyttömahdollisuudet

VPN tarjoaa edullisen tavan yrityksille rakentaa yhteytensä julkisen verkon yli. Mikään ei tietenkään estä maksimaalisen turvallisuuden tavoittelijaa laittamasta VPN-ratkaisua myös suljettujen linjojen yli käytävään tiedonvaihtoon, jos haluaa varmistaa maksimaalisen tietoturvan. Ovathan esimerkiksi operaattorien linjat periaatteessa alttiita salakuuntelulle, vaikka käytännössä tietenkin tämän riskin todellis esta suuruudesta voi olla monta mieltä.

VPN sopinee parhaiten yrityksille, jotka ovat vasta rakentamassa yhteyksiä toimipisteiden välille. Tämän lisäksi vaatimuksena on joko satunnainen tai kuormitukseltaan vähäinen liikenne, sillä julkisen verkon siir tokapasiteettiahan ei pystytä takaamaan. Toisaalta tietomäärän kannalta kriittisissä sovelluksissa tuskin muussakaan tapauksessa harkittaisiin julkisen siirtotien käyttöä. Yrityksen sisäisessä käyt&ou ml;ssä VPN sopineekin parhaiten yrityksille, joilla on hajanainen organisaatio, kohtuullisen pieni tiedonsiirtotarve eri toimipisteiden välillä ja halpa pääsy Internetiin tai johonkin muuhun julkiseen verkkoon. Usein globaaleilla yrityksillä ulkomaanyhteydet sopivat hyvin tähän kategoriaan. Tällöin VPN-ratkaisulla voidaan saavuttaa merkittävästi alhaisempi kustannustaso kiinteään yhteyteen verrattuna.

Toinen osa-alue, johon VPN-teknologia soveltuisi erittäin hyvin on erilaiset partnership-ratkaisut yritysten välillä. VPN.teknologiaa käyttäen voidaan luoda turvallinen ja edullinen yhteys esim. asiakas-toimittaja rajapintaan. Tämä yhteys mahdollistaa merkittävästi syvälle menevän tietojärjestelmäintegraation tässä rajapinnassa kohtuullisin kustannuksin. Tulee kuitenkin muistaa, että sisäiset turvallisuuskysymykset j&a uml;ävät edelleen ratkaistaviksi, kuten oikeudet verkon sisällä, kun esim. toimittajayritys on sinne päästetty. Kuitenkin VPN-teknologialla toteutettu verkko esim. EDI-viestien lähetyksessä mahdollistaisi monille yr ityksille huomattavasti tehokkaamman toiminnan kohti JIT-periaatteita esimerkiksi automaattisten varastontäydennysten avulla. Sinänsä edellä esitetyssä toteutuksessa ei ole muuta uutta kuin julkisen verkko käyttö siirtot ienä, mutta sen kustannustason alhaisuudesta johtuen saattaa tietojärjestelmäintegraatio tulla entistä houkuttelevammaksi, varsinkin kun otetaan huomioon, että VPN:ssä toimittajan vaihto tapahtuu monin verroin joustavammin ku in kiinteän yhteyden tapauksessa - liittymähän säilyy samana, kohdekone vain vaihtuu.

Todelliset VPN:n edut liiketoiminnan kannalta saadaan esille vasta, jos ajatellaan sitä apuvälineenä puhtaan verkostomallisen talouden luonnissa. Koska verkoston kaikki osat ovat kiinni yhteisessä julkisessa verkossa ja koska kaikil la on yhteys kaikkiin, voidaan verkoston sisäisiä informaatiovirtoja järkeistää huomattavasti. Tämän lisäksi verkoston joustavuus paranee merkittävästi, koska esim. valmistava yritys pystyy helposti tarkis tamaan, millä sen alihankkijoista on sellainen tilanne, että se pystyy valmistamaan esim. vaaditun tuote-erän. Jos syvempi tietojärjestelmäintegraatio yhdistetään esimerkiksi verkoston tuotteita loppuasiakkaille toimitta van yrityksen tilaustenkäsittelyjärjestelmään, olisi periaatteessa jopa mahdollista suunnitella verkoston saamien tilausten mukaan ohjautuva tuotannonohjausjärjestelmä. Koska monet verkoston alemman tason yritykset kuuluvat p uhtaassa verkostotaloudessa useampaan verkostoon, mahdollistaisi tehokas VPN-ratkaisu jokaisen verkoston sisällä optimaalisen resurssien allokoinnin ongelmat.

Vaikka VPN sopiikin sinänsä ratkaisumallina vaikka yhdenkin yrityksen sisäisten ongelmien ratkaisemiseen, lienevät sen tarjoamat edut kuitenkin suurimmillaan kun mietitään luonteeltaan dynaamisia liiketoiminnallisia keskit tymiä tai puhdasta verkostotaloutta. Puhtaassa verkostotaloudessahan verkon tai oikeammin verkkojen muodostaman hämähäkin muotohan on sangen dynaaminen, ja juuri tällaisen muodoltaan muuttuvan kompleksisen kokonaisuuden yhdist&aum l;misessä tehokkaimmalla mahdollisella tavalla VPN voisi olla erittäin hyvä apuväline. Toki näissäkin malleissa jää vielä auki runsaasti käytännön kysymyksiä, VPN:hän sinällä& auml;n tarjoaa vasta alustan tiedonsiirtoon joustavasti ja dynaamiseen siirtoverkon kokoamiseen. Tämän lisäksihän jää ratkaistavaksi vielä runsaasti käytännön tason kysymyksiä, ennen kuin voidaan puhu a todellisesta tietojärjestelmäintegraatiosta. Kuitenkin käyttämällä standardoitua tiedonsiirtomuotoa, esim. EDI-viestejä, voitaneen merkittävä osa näistäkin ongelmista saada ratkaistua.

Aiheeseen liittyviä linkkejä

Kaikki lähteet ja linkit on arvosteltu subjektiivisesti tähtiasteikolla. Asteikko on ollut viisiportainen, jossa huonoin paikka on saanut yhden tähden (*) ja parhaimmat viisi (*****)

  1. Security Dynamics Inc, [ei päivämäärää], viitattu 31.10.1997, esitelty erään turva-alan yrityksen Security Dynamicsin tuotteita ja palveluita, hieman sekava paikka, sivut ovat erittäin raskaat, yritys keski ttynyt lähinnä henkilökohtaisen yhteyden turvaratkaisuihin ***, <URL:http://www.SecurityDynamics.com/>
  2. Sean Doolittle: Intranets: The Next Level, [ei päivämäärää], viitattu 31.10.1997, PcWorldin pääkirjoitus, jossa on pohdittu intranet-tekniikan tulevaisuuden näkymiä, ***, <URL:http://www.pctoday.com/editorial/features/970628b.html>
  3. Paul Hammel: Computes At work: Security Utilities,, [ei päivämäärää], viitattu 31.10.1997, PcWorldin case study, jossa selitetään Firewall- ja VPN-tekniikoiden perusteet, ****, <URL: http://www.pctoday.com/editorial/compatwork/961238.html>
  4. Jim Sundeen: Computers At Work: Security Overseas, [ei päivämäärää], viitattu 31.10.1997, PCWorldin case study, jossa selvitetään erästä VPN toteutusta, joka toimii modeemiyhteyden yli, ***, <URL: < A HREF="http://www.pctoday.com/editorial/compatwork/970337a.html>">http://www.pctoday.com/editorial/compatwork/970337a.html>
  5. Cisco Systems Inc., Cisco Connections online by Cisco Systems, [ei päivämäärää], viitattu 2.11.1997, maailman johtava reitittimien toimittaja. Laajat sivut antavat hyvän yleiskuvan reititinvalikoimasta, ****, <URL:http://www.cisco.com>
  6. Technologic Inc, press release- Gartner group predicts..., 5.8.1997, viitattu 2.11.1997, Gartner Groupin arvio yritysten suojautumistavoista Internetin osalta, ***, <URL: htt p://www.tlogic.com/pr080597.htm>
  7. Equant, [ei päivämäärää], viitattu 2.11.97, Equant on verkkojen lisä-arvopalveluja tuottava yritys, jolta löytyy laaja valikoima tuotteita mm. VPN-ratkaisuja puhelinliikenteen järjestämiseksi, ***, < ;URL:http://www.equant.com>
  8. Annex Technology Europe: Broderbund security Firewall Server, [ei päivämäärää], viitattu 2.11.1997, , eräs Firewall-ratkaisu, joka sisältää myös VPN-ominaisuuksia sekä valmiuden turvallisiin autentikoituihin sisäänkirjoittautumisiin, ****, <URL: http://www.annex.co.uk/secure/bfs41.html>
  9. LanComp: LanComp, [ei päivämäärää], viitattu 2.11.1997, Yhdysvaltalainen kokonaisvaltaisia, myös turvaominaisuudet huomioonottavia verkkojärjestelmiä toimittava toimittaja, ***, <URL:http://www.lancomp.com>
  10. Digital Equipment Corporation: Altavista firewall, [ei päivämäärää], viitattu 2.11.1997, Digitalin tunnetun tuoteperheen Firewall-osa, ***, <URL: http://altavista.software.digital.com/firewall/products/overview/index.htm>

 

Lähteet

  1. Data Fellows Oy: F-Secure Virtual Private Network, [ei päivämäärää], viitattu 31.10.1997, <URL:http://www .datafellows.com:80/f-secure/vpn/>, ****
  2. Aki Anttila: Tietokone Webline-uutiset, 5.9.1997, viitattu 31.10.1997, <URL: http://www.tietokone.fi/uu tiset/fc-292a0d0-22bbde7-f625b.873436922@online.tietokone.fi>, ***
  3. Check Point Software Technologies Ltd., CheckPoint Security Management Product Line, [ei päivämäärää], viitattu 31.10.1997, <URL: http://www.CheckPoint.com/products/firewall-1/descriptions/products.html>, ****
  4. Aki Anttila: Tietokone Webline-uutiset, 26.8.1997, viitattu 31.10.1997,<URL: http://www.tietokone.fi/Uu tiset/fc-289b8d0-22bbde7-f625b.872578085@online.tietokone.fi>, ***
  5. Intel Inc: Intel PC and Network Products U.S. pricing list, 28.10.1997, viitattu 1.11.1997, <URL: http://www.intel.com/comm-net/su pport/pricelst/pricelst.htm#NETWORK_ROUTERS>, *****
  6. Signal9 Solutions: No Implicit Thrust White Paper, [ei päivämäärää], viitattu 2.11.1997, <URL: http://www.signal9.c om/papers/noimp/vpn.html>, ****
  7. Esprit Telecom; Esprit Telecom Home Page (ivpn), [ei päivämäärää], viitattu 2.11.1997, <URL: http://www.esprittele.com/iv pn.htm>, **