Nätverk och protokoll

VPN

Krypterad tunnling som utökar ett privat nätverk över ett opålitligt nätverk.

Var du ser detta: Syns i paketfångster, nätverksdiagram, brandväggsregler samt system- och nätverksloggar.

Vad det är

Ett VPN (Virtual Private Network) är en teknik för att transportera ett nätverks trafik över ett annat nätverk på ett säkert sätt. Dina originalpaket lindas in i en yttre transport som ger kryptering och integritet, och bildar en tunnel mellan två slutpunkter.

Nyckelpunkter
  • Fungerar genom att kapsla in paket inuti ett krypterat yttre paket.
  • Nyckelutbyte och autentisering avgör vem som får komma in i tunneln.
  • Routing, DNS och MTU-beteende ändras när en tunnel är aktiv.

Hur det fungerar i stora drag

  1. En VPN-klient eller gateway börjar med att kontakta VPN-servern eller peer och autentisera, ofta med certifikat, delade hemligheter eller användaruppgifter.
  2. Slutpunkterna utför ett nyckelutbyte och kommer överens om kryptografiska parametrar, till exempel via IKEv2 i IPsec eller den brusbaserade handskakningen i WireGuard.
  3. Ett virtuellt gränssnitt skapas på klienten och rutter läggs till så att viss trafik skickas in i tunneln.
  4. När ett program skickar ett paket dirigerar operativsystemet det till det virtuella gränssnittet. Programvaran VPN krypterar den och kapslar in den i ett nytt yttre paket.
  5. Det yttre paketet skickas över Internet till VPN peer. Endast de yttre rubrikerna är synliga för mellanhänder.
  6. Peer dekrypterar, verifierar integritet, tar bort det yttre omslaget och vidarebefordrar det inre paketet mot dess destination.
  7. Keepalive-trafik och omnyckel upprätthåller tunneln och uppdaterar nycklar över tiden, och tunneln måste ta hänsyn till MTU-overhead som införts genom inkapsling.

Konkret exempel

Du är på ett hotellnätverk och öppnar en intern instrumentpanel. Din bärbara dator skickar intern IP-trafik till VPN-tunneln. Hotellet ser bara krypterade paket till VPN-servern, och företagsnätverket ser din trafik som om du var på kontorsnätverket.

Varför det är viktigt

Internet är inte privat. Organisationer behöver fjärråtkomst och platsanslutning utan att exponera intern trafik eller förlita sig på säkerheten i mellanliggande nätverk. VPNs ger konfidentialitet, integritet och ofta identitetsbaserad åtkomst till interna resurser.

Säkerhetsperspektiv

  • Nyckelhantering är kärnan. Stark autentisering och regelbunden nyckelrotation är viktigare än varumärken.
  • Behandla VPN-åtkomst som privilegierad. Övervaka inloggningar, tillämpa enhetens hållning när det är möjligt och begränsa tillgängliga undernät.
  • Modern design går ofta mot noll förtroende där VPN blir ett verktyg bland andra snarare än en filt nätverksbrygga.

Vanliga fallgropar

  • Delad tunnelförvirring. En del trafik går genom VPN, en del inte, vilket kan orsaka inkonsekvent beteende.
  • DNS läcker. Om DNS-frågor inte följer den avsedda sökvägen kan du avslöja interna namn eller surfaktivitet.
  • MTU och fragmenteringsproblem på grund av inkapslingsoverhead.
  • Alltför bred åtkomst. En VPN kan av misstag ge full intern nätverksräckvidd istället för minsta behörighet.
  • Förutsatt att VPN är lika med säkerhet överallt. Om ändpunkten äventyras blir tunneln en säker väg även för angriparen.

FÖRDJUPNING

Den mentala modellen: ett virtuellt gränssnitt och nya vägar

En VPN-klient skapar vanligtvis ett virtuellt nätverksgränssnitt på din enhet. Ditt operativsystem kan dirigera en del trafik till det gränssnittet baserat på regler. Paket som skickas in i tunneln är sedan inkapslade: inlindade i ett yttre paket vars destination är VPN gateway eller peer.

Ur applikationssynpunkt händer inget speciellt. Den skickar IP-paket som vanligt. VPN-lagret fångar upp och lindar dem. Längst bort dekapslar gatewayen och vidarebefordrar det inre paketet till det privata nätverket, som om din enhet var lokalt ansluten.

Det är därför delad tunneldrivning kontra full tunneling spelar roll. Vid delad tunneldrift går endast vissa destinationer genom tunneln. I full tunnling pekar standardrutten in i VPN, så nästan allt går igenom den, inklusive DNS om inte annat har konfigurerats.

Autentisering och nyckelavtal inför eventuell tunneltrafik

En säker tunnel behöver delade nycklar. Det börjar vanligtvis med ett autentiseringssteg: du bevisar att du får gå med och servern bevisar sin identitet. Slutresultatet är en uppsättning nycklar som används för att kryptera och autentisera tunnelpaket.

I IPsec är denna inställning formaliserad genom säkerhetsföreningar. IKE förhandlar parametrar och nycklar, sedan bär ESP den skyddade trafiken. Nycklarna och policyerna definierar vilken trafik som skyddas och hur. IPsec kan köras i transportläge, skydda nyttolasten för ett IP-paket, eller tunnelläge, linda ett helt IP-paket i ett nytt.

I WireGuard är modellen enklare. Peers identifieras av statiska publika nycklar och tillåtna IP-intervall fungerar som en kombinerad routing- och åtkomstkontrolllista. En kort handskakning upprättar tillfälliga sessionsnycklar, och datapaket skyddas sedan med modern autentiserad kryptering.

Vad händer egentligen när du ansluter

En fjärråtkomst VPN börjar ofta med att klienten når gatewayen över det offentliga internet, vanligtvis över UDP eller TCP beroende på protokollet. Efter autentisering och handskakning kan klienten få en virtuell IP-adress, DNS-inställningar och en lista över rutter att skicka genom tunneln.

Väl uppe är tunneltrafik bara paket. Din enhet skickar ett inre paket avsett för en privat server. VPN kapslar in den och skickar den till gatewayen. Gatewayen dekrypterar, kontrollerar policy och vidarebefordrar sedan det inre paketet till den privata destinationen. Svar gör den omvända resan, inkapslad tillbaka till klienten.

Eftersom tunneln är tillståndsfull är det vanligt med keepalives. NAT-enheter kan timeout inaktiva mappningar, så VPN-klienter skickar ofta periodisk trafik för att hålla sökvägen öppen. Om du ser avintrång efter inaktiva perioder är NAT timeouts eller aggressiva brandväggspolicyer vanliga orsaker.

Vanliga operativa fallgropar

MTU-problem är vanliga. Inkapsling lägger till overhead, vilket minskar effektiv MTU. Om sökväg MTU-upptäckt misslyckas kan stora paket svarta hål. Många VPN-inställningar kräver justering av tunnel-MTU eller möjliggör korrekt ICMP-hantering.

DNS är en annan källa till förvirring. Om DNS-frågor inte går genom tunneln när de borde, kan du läcka interna namn till offentliga resolvers eller misslyckas med att lösa privata domäner. Bra VPN-konfigurationer ställer uttryckligen in DNS och säkerställer att resolvertrafiken följer den avsedda rutten.

Slutligen, förtroendegränser är viktiga. En VPN gör inte automatiskt en enhet säker. Det utökar nätverksräckvidden. Organisationer parar ofta VPN-åtkomst med enhetsställningskontroller, segmentering och regler för minsta privilegier så att anslutning till VPN inte innebär full intern åtkomst.