VIS, Väne Informationssystem AB, är ett företag i systemutvecklingsbranschen som i huvudsak utvecklar system för lokala nätverk. Behovet finns att kunna kommunicera på ett smidigare sätt än i dagsläget. Det finns önskemål att inom en snar framtid använda Internet som kommunikationskanal. Internet är dock en osäker teknik där det är lätt för obehöriga att göra intrång i företags nätverk och ta del av intern information.

Studiens syfte är att beskriva en lösning för hur VIS och andra företag kan använda sig av Internet som kommunikationskanal. Vi har valt att beskriva olika tekniker inom VPN, Virtuella Privata Nätverk.

Genom en deskriptiv undersökning inom ämnet har vi tagit del av en mängd information och antagit en kvalitativ ansats. Den faktainsamlingsmetod vi har valt går ut på dokument och litteraturstudier. Internet har varit det huvudsakliga sökverktyget för informationsinsamling.

Utifrån den här undersökningen har vi kommit fram till att det finns många bra nätverkslösningar inom VPN-tekniken för en säker kommunikation över publika nätverk. Dessa passar för såväl små som stora företag och kräver inte stora investeringar i utrustning och är lätta att implementera och underhålla. Man ser till företagens specifika behov och anpassar tekniken därefter.

I det praktiska arbetet har vi utgått från de förutsättningar som finns på VIS och den nätverksarkitektur de använder sig av. VIS arbetar utifrån en skalbar arkitektur med fem olika skikt, vilket har varit utgångsläget vid implementeringen av VPN. Detta har utförts med ett lyckat resultat och vi har insett att tekniken är både snabb, säker och relativt enkel att implementera.

VIS, Väne Informationssystem AB, is a company in the system development business, who mainly develops systems for local area networks. There is a need to communicate in a more efficient way than today, and the company wishes to use the Internet as a channel for communication in the nearest future. Unfortunately, the Internet is an unsafe technology, where it is easy for unauthorised to trespass companies networks and take part of internal information.

The purpose of this study is to describe a solution for how VIS and other companies can use the Internet as channel for communication. We have chosen to describe different technologies within a VPN, Virtual Private Network.

Through a descriptive method within the subject, we have taken part of a large amount of information and used a qualitative approach to deal with it. The method for collecting data has been to study documents and literature. The Internet has been the main tool for collecting the information.

In this study we have come to the conclusion that there are many good network solutions within the VPN-technology, for a secure communication over public networks. These solutions adapt very well to small as well as big companies and does not demand large investments in equipment. They are also easy to implement and maintain. The technology can be adapted to the specific needs for a company.

The existing conditions at VIS and their network architecture have been the base for the practical part of the examination. VIS are working with a scalable architecture in five tiers which is something we have taken in consideration while implementing VPN. This has been performed with a successful result and we have realised that the technology is both fast, secure and fairly simple to implement.

Då behovet av åtkomst till information ständigt ökar, ställs nya krav på den tekniska utvecklingen för snabb, effektiv och säker kommunikation. Dagens flexibla arbetssituationer kräver mer än vad de traditionella nätverkslösningarna kan erbjuda. Med hjälp av VPN-tekniken kan man upprätta Intranät och Extranät över Internet. Man kan också förbinda en distansarbetsplats med företagets nätverk.

Dagens företag som vill använda sig av Internet, måste prioritera en säker anslutning. För att säkerställa kommunikationen med fjärranslutna användare, leverantörer och kunder, har man investerat dyrt i hyrda linjer, mjukvara och hårdvara för fjärranslutning. VPN, Virtuella Privata Nätverk, gör att man säkert, snabbt och billigt kan kommunicera över en kanal som man betraktar som osäker, till exempel Internet. Det kan också handla om att skapa en säker förbindelse för konfidentiell data över det interna nätverket.

För att använda sig av VPN finns många olika tekniker och metoder, och dessa väljs utifrån företagets befintliga arkitektur. VIS utvecklar klient-server applikationer i en skalbar arkitektur i fem skikt. Detta är förutsättningarna vi har utgått från när vi har löst implementeringen av VPN praktisk, i deras nätverk.

VIS, Väne Informationssystem AB, är ett företag i systemutvecklingsbranschen som i huvudsak utvecklar system för lokala nätverk. VIS kunder är utspridda över stora geografiska områden, vilket ger ett behov av att kunna kommunicera på ett smidigare sätt än i dagsläget då datautbyte sker manuellt via disketter. Det finns önskemål att inom en snar framtid kunna utnyttja Internet som kommunikationskanal inom företaget. Detta skulle även underlätta vid exempelvis support och uppdatering av programvaror.

Att använda Internet som kommunikationsmedel innebär en mängd olika alternativ för företag beroende på behovet av säkerhet, tillgänglighet och pålitlighet etc. Eftersom Internet är en osäker teknik, där det är lätt för obehöriga att göra intrång i företags nätverk och ta del av intern information, måste säkerheten prioriteras.

För mindre organisationer måste hänsyn tas till kostnader vid implementering av nya tekniker, då resurserna ofta är begränsade. Man måste hitta en teknik som kan utgå från befintlig utrustning, är kostnadseffektiv och enkel att administrera. För dessa företag är också skalbarhet en viktig aspekt, då det måste vara enkelt att tillföra nätverkskomponenter om företaget vill expandera.

Med detta som bakgrund ska olika tekniker för fjärranslutning via Internet utredas och en passande lösning tas fram till den specifika miljön.

Vi har valt att koncentrera oss på VPN-tekniken som är intressant eftersom den är inriktad på fjärranslutning via Internet.

Det övergripande syftet med rapporten är att göra en generell beskrivning av de olika lösningar som finns inom VPN; hur de fungerar och tillämpas samt vad det innebär för företag att använda tekniken. Vår ambition är att förmedla de grundläggande teorierna runt VPN och dess möjligheter att kommunicera över Internet, som ett alternativ till en traditionell nätverkslösning. Efter rapportens genomförande är syftet att testa om tekniken går att tillämpa hos VIS.

Eftersom basen till VPN är de traditionella nätverksteknikerna, har vi valt att fördjupa oss i de VPN-komponenter som är specifika i sammanhanget, just för att dessa är nya begrepp. Vi förutsätter att läsaren har en grundläggande kunskap inom nätverkstekniken, och fördjupar oss därför inte i facktermer och förkortningar. Dessa beskrivs istället kort, var för sig i en ordlista.

För att utföra en bra vetenskaplig rapport bör man använda sig av olika metoder. Detta för att få en så korrekt och tillförlitlig undersökning som möjligt. Eftersom den beskrivande/deskriptiva metoden ofta används vid frågeställningar av mycket allmän art, är det den metoden vi använt oss av för att utreda Virtuella Privata Nätverk [Ejvegård 1993].

Syftet med en beskrivande/deskriptiv metod är att beskriva ett fenomen med avseende på dess utbredning, omfattning och sammanhang. Andersén (1990) anser att funktionen med metoden är att inringa en problematik, att kvantifiera den och att pejla de mer kvalitativa aspekter som eventuellt kan belysas mer exakt med användning av andra undersökningsmetoder. En beskrivning är en representation av ett område av verkligheten med hjälp av symboler.

All fakta som samlas in måste kategoriseras och sorteras och sedan användas för att visa någonting. Detta har vi upplevt som tungarbetat eftersom informationen som insamlats både har varit överväldigande och på andra språk. Man måste ständigt göra ett urval och framhäva det viktiga. De fakta man tar med i beskrivningen skall inte bara vara riktiga utan även vara relevanta. Eftersom begreppet VPN är relativt nytt har det varit svårt att göra ett relevant urval bland all fakta. [Ejvegård 1993]

I uppsatsen tillämpas dokument och litteraturstudier. Denna metod används vid planering av, eller förstudier för, en undersökning avsedd att baseras på andra faktainsamlingsmetoder. Enligt Holme & Solvang (1986) är litteratur i stort sett allt tryckt material. För att hitta litteratur och dokumentation kan man använda sig av bibliotekens databaser. Ofta sker sökningen med hjälp av sökord eller nyckelord. Det är viktigt att tänka efter vilka sökord som är lämpliga att använda.

Våra litteraturstudier inkluderar bland annat metodteori, Virtuella Privata Nätverk, tunnlingsprotokoll och datasäkerhet. Sökandet efter artiklar, litteratur och rapporter har genomförts vid Högskolan Trollhättan/Uddevallas bibliotek, biblioteksdatabaser samt på Internet.

Det går snabbt att samla på sig en mängd litteratur, men det är omöjligt att läsa allt. Man måste leta sig fram till det som man eventuellt vill använda sig av. Flera hjälpmedel finns då att tillgå: innehållsförteckning, register, sammanfattning, abstrakt och nyckelord. När man skall bedriva litteraturstudier uppstår frågan hur man ska finna den mest relevanta litteraturen. Det är vanligen bäst att gå från den allmänna till den speciella litteraturen och från den senaste till den äldre. Om man börjar med den senaste allmänna litteraturen på ämnesområdet får man bredast möjliga täckning av det och hänvisningar till värdefull äldre litteratur. [Andersén 1990]

För att få en förståelse för Virtuella Privata Nätverk har vi fördjupat oss i lämplig litteratur samt rapporter inom ämnet. Vi har haft problem att hitta svensk litteratur, både generell och specifik, vilket är en nackdel för att få relevant information om förutsättningar i Sverige. Litteraturen inom ämnet föråldras snabbt på grund av teknikutvecklingen.

Man brukar skilja mellan två olika metodiska angreppssätt. Detta gör man med utgångspunkt från den information man undersöker; mjukdata eller hårddata, och man brukar då tala om kvantitativa och kvalitativa metoder. Den viktigaste skillnaden mellan dessa, är hur man använder sig av siffror och statistik. Beroende på hur siffror och statistik skall användas i undersökningen väljs angreppssätt. Kvantifierad data kallas hårddata och de kan behandlas statistiskt. Mjukdata är fakta som inte kan omskrivas i numeriska termer. [Holme & Solvang 1986]

Den insamlade informationen kan inte omskrivas i numeriska termer, och kan därför inte kvantifieras. Då syftet är att göra en deskriptiv undersökning, har vi har valt ett kvalitativt angreppsätt, och samlat in mängder av mjukdata.

Innan man börjar söka efter källmaterial, bör man klargöra vilken typ av källa eller dokument man ska använda sig av i undersökningen. Tillförlitligheten hos de använda källorna måste bedömas, vilket innebär att ingen författare utan vidare får godta uppgifter han samlat in. Varje uppgifts riktighet måste prövas individuellt. [Ejvegård 1993]

För att få ett så säkert resultat som möjligt, har vi gjort mängder av dokument- och litteraturstudier från flera etablerade organisationer, som länge arbetat med att utveckla tekniken. Vi har insett att eftersom ämnet är relativt nytt, åtminstone med den definition VPN har idag, har källorna ofta hämtat information från varandra. Vi förutsätter att de var för sig har utvärderat olika metoder och alternativ för att se att tekniken har många bra lösningar. Detta är något som vi inte kan bedöma trovärdigheten på, men vi anser att källorna är tillförlitliga, då alla har kommit fram till samma resultat.

Källorna kan delas upp i primära och sekundära källor. En primärkälla är en källa som kommer till stånd eller som man får tag i under projektets gång, t ex protokoll från ett sammanträde. En sekundärkälla innebär en tolkning av saker och ting som ägt rum och som baseras på en primärkälla. [Bell 1993] Sekundärdata har införskaffas genom litteratursökning där vi har tittat på tidigare forskning och utveckling inom området.

Utifrån dessa metoder och angreppssätt har vi sammanställt en rapport som beskriver Virtuella Privata Nätverk. För att utföra arbetet praktiskt, har vi läst manualer och instruktioner om hur ett VPN skall implementeras. Den informationen har vi hittat på Microsofts hemsidor och handböcker.

Ett sätt att förstå vad ett VPN, Virtuellt Privat Nätverk är, kan vara att definiera orden var för sig och sedan slå samman dessa till en meningsfull beskrivning. Enligt Nationalencyklopedin:

Av detta kan vi tolka att ett Virtuellt Privat Nätverk således blir en skenbar, enskild mängd noder förbundna i ett nät som kan kommunicera med varandra.

VPN innebär, enligt Sandred (1997) att det lokala nätet blir virtuellt över ett publikt nätverk. Det kallas virtuellt eftersom man inte är beroende av några fasta eller hyrda förbindelser och att det bara kopplas upp när man behöver det.

Enligt Microsoft (1998) definieras VPN som en säker anslutning över Internet, där uppkopplingen är transparent för användaren. Det ser ut som ett LAN, trots att uppkopplingen sker över ett publikt nätverk.

Salamone (1998) definierar VPN som en kombination av tunnling, kryptering, autentisering, accesskontroll och tjänster som används för att bära trafik över Internet. Detta innebär att företag och organisationer kan utnyttja sin befintliga Internetanslutning för att ge tillgång till det privata nätverket, noggrant kontrollerat genom användarbaserad identifiering och stark kryptering av all kommunikation. Med brandväggar och Internetförbindelser i varje land kan ett VPN upprättas mellan alla kontor, vilket gör att trafik kan flyta obehindrat mellan kontorens nätverk.

Sandred (1997) antyder att idén med virtuella nät är relativt gammal och menar att traditionella paketnät som X.25 utnyttjar tekniken. Ett lokalt nät med flera geografiskt åtskilda servrar använder vanligen uppringda anslutningar eller modempooler för att kommunicera. Det är däremot ett dyrt sätt att bygga stora lokala nät. Ett virtuellt privat nät utnyttjar Internet för all kommunikation och är snabbare än de gamla paketnäten, dessutom är det billigare än uppringda anslutningar.

Röst- och datatjänster har levererats med hjälp av VPN under många år [Salamone 1998]. I stort sett alla mjukvarudefinierade nätverk har ansetts vara VPN enligt telefonbolagen. Westman (1997) skriver:

Den nuvarande generationen VPN är annorlunda. Dagens VPN ger användaren ett säkert sätt att kontakta ett företags nätverksresurser över Internet eller andra publika eller privata nät via en dator [Salamone 1998].

Det är tydligt att det finns många olika definitioner av VPN, vilket kan bero på att tekniken är gammal. Under åren har begreppet bytt betydelse i takt med teknikutvecklingen. Från att ha varit en teknik för att koppla ihop telefoner utspridda på olika platser inom ett avgränsat område, till att förmedla data över ett världsomspännande nät. Det finns ingen vedertagen definition av vad VPN egentligen är, och den kommer säkert att förändras i takt med teknikens utveckling och krav som ställs från omvärlden. Alla definitioner vi beskrivit kan anses vara riktiga. Den definition som vi hänvisar till är Salamones tolkning av VPN, eftersom vi anser att styrkan i ett VPN är säkerhet det vill säga tunnling, autentisering och kryptering etc.

VPN är ett alternativ till fast förbindelse och/eller uppringd anslutning. Salamone (1998) anser att den generella idén bakom VPN är att ett företag ska kunna minska sina telekommunikationskostnader drastiskt genom att ansluta distansanvändare via VPN istället för vanliga traditionella fjärranslutningsmetoder. När man ringer upp nätverket, ersätter man långdistanssamtalet med ett lokalt samtal till en Internetleverantör och dess POP-server (Point-of-Presence). Kostnaden att använda traditionell fjärranslutning ökar enormt och den kommer bara bli högre ju fler som kopplar upp sig mot nätverket. VPN gör det möjligt att hålla kostnaderna nere.

VPN ger ett bra skydd mot virus, hackers och andra hot [Aventail 1999d]. Om en del av Internet går ner tar VPN-trafiken en annan väg till sitt mål. VPN öppnar dessutom inga "bakdörrar" till företagets nätverk i motsats till många traditionella lösningar för fjärranslutning. [Aventail 1999a]

Traditionellt har företag investerat i mjukvara och hårdvara för att upprätthålla ett nätverk. De är inte bara dyra, utan har naturliga säkerhetsfel, de skalar inte bra, de är svåra att underhålla och de har begränsad flexibilitet för att fjärransluta användare. [Aventail 1999b] Genom att använda sig av VPN kan man göra sig av med mycket utrustning och minskar då behovet av underhåll, vilket blir billigare i längden. Man slipper kostnader för utbildning och uppgradering, som annars kan ta mycket pengar och tid i anspråk. [Salamone 1998] Förutom de lägre kostnaderna och den ökade säkerheten, har VPN fördelen att det nås från alla platser där Internet finns tillgängligt.

För konsulter, försäljare och andra mobila användare ökar behovet att kunna ansluta sig till företagets nätverks för att t ex få tillgång till e-post och interna databaser. Fler och fler vill också ha möjlighet att arbeta hemma, t ex för att slippa restid. Behovet av en flexibel interaktiv kommunikation med kunder, leverantörer och affärspartners ökar i takt med utvecklingen av den elektroniska handeln.

Trots att det finns flera fördelar med VPN finns det även en del man bör tänka på vid investering av ett VPN. På grund av att man använder sig av tunnling, autentisering och kryptering kan det ta lång tid vid överföring av data. Detta kan vara processorkrävande och innebära att företaget måste investera i ytterligare hårdvara. Ett VPN kan aldrig bli mer tillförlitligt än själva Internet, såvida inga speciella åtgärder vidtas.

Vid utveckling av ett VPN finns det mängder av lösningar beroende på vilka hård- och mjukvarukomponenter man använder sig av. VPN bygger på traditionella nätverkslösningar som har kompletterats med VPN-tekniken. Det är viktigt att välja en VPN-lösning som överlever marknadens snabba förändringar, alltså en lösning byggd på en öppen standard och är skalbar [Aventail 1999c].

Salamone (1998) menar att den grundläggande tanken vid Remote Access VPN är att ge distansarbetare och mobila användare en möjlighet att enkelt koppla upp sig mot företagets lokala nätverk. I ett Remote Access VPN ringer användaren till en Internetleverantörs POP-server, kopplar upp en tunnel till huvudkontoret över Internetleverantörens nätverk eller Internet och identifierar sig själv för att få tillgång till företagets nätverk. Skillnaden mot vanlig traditionell fjärranslutning är att man inte ringer till en modempool eller en RAS-server, Remote Access Service, som finns på huvudkontoret (Se Figur 1).

Figur 1 Ett exempel på ett Remote Access VPN
(Källa: Aventail 1999c)

Ett Remote Access VPN kan enligt Cisco (1998) vara antingen klientinitierat eller serverinitierat, vilket innebär att VPN-sessionen startar antingen på klienten eller på servern. Med ett Remote Access VPN kan organisationen ha en säker miljö utan att ge upp kontrollen av den gemensamma säkerheten och utan att äventyra de affärskritiska applikationerna. Remote Access VPN gör att företagen kan minska kostnaderna med lägre kommunikationsavgifter och genom att lösgöra interna resurser för att fokusera på kärnkompetensen i företaget. En del kännetecken för ett Remote Access VPN är flera möjligheter av bandvidd, tekniker (modem, ISDN, kabel, etc), säker koppling och enkel installation.

Det finns olika alternativa lösningar vid implementering av ett Remote Access VPN, t ex:

På klienten är enkelhet viktigt, eftersom många mobila användare saknar teknisk kunnighet eller tillgång till tekniska resurser för problemlösning. På serversidan är centraliserad och enkel hantering väsentlig, eftersom det kan bli kaotiskt att kontrollera många användare.

Med de flesta Remote Access VPN är det antaget att organisationen litar på personen på andra sidan anslutningen. Istället för att oroa sig att anställda ska göra skada på nätverket eller stjäla hemlig information, så koncentrerar man sig mer på det okända elementet mellan de två noderna. Därför prioriteras kryptering så att bara den rätte mottagaren kan tyda datan. [Aventail 1999d]

Enligt Aventail [1999d] finns det två olika alternativ att fördela resurser på. Det första alternativet innebär att företagen antar en "transparent access" policy. Den beskrivs bäst som att distansarbetaren ska ha obegränsad tillgång till alla resurser de skulle haft tillgång till om de suttit vid sitt skrivbord på huvudkontoret. Det andra alternativet, "controlled access", begränsar användaren till specifika resurser på nätverket beroende på uppdragets natur.

Precis som med ett Remote Access VPN, kopplas en organisations olika kontor ihop med huvudkontoret med hjälp av tunnlar [Microsoft 1998]. Intranät VPN definieras som ett LAN-till-LAN som går via ett publikt nätverk. I detta fallet kontrollerar organisationen båda sidorna av kopplingen och därför blir säkerhetsrisken mindre. När de två noderna i en anslutning går att lita på, så kan organisationen istället fokusera på prestanda istället för säkerhet, vilken är begränsad till nivån av kryptering och autentisering mellan de två noderna. Eftersom hög volym av data brukar skickas i ett Intranät VPN, läggs stor fokusering på prestanda. [Aventail 1999d]

Det är också möjligt för en organisation att minska drastiskt på sina kommunikationskostnader, om man har många internationella bolag. Det kan bli dyrt att länka ett europeiskt kontor med ett kontor i USA, om man t ex använder hyrda förbindelser. Ringer man istället upp en lokal Internetleverantör, blir det märkbart billigare (Se Figur 2).

Figur 2 Exempel på ett Intranät VPN.
(Källa: Aventail 1999e)

När det gäller både Remote Access VPN och Intranät VPN, så finns det andra sätt att spara pengar på än enbart lägre kommunikationskostnader, skriver Salamone (1998). De flesta datatjänster kräver långtidskontrakt, vilket man oftast slipper med Internettjänster. Företag kan flytta till ett billigare alternativ om de så önskar. Oftast går det också att få en uppkoppling snabbare än om man skulle installera en fast anslutning.

Till skillnad från Intranät VPN som är relativt isolerade, är Extranät VPN till för att även kunna nå kunder, leverantörer och andra affärskontakter utanför de lokala näten. Genom att använda ett Extranät VPN kan företaget enkelt definiera vilken nätverksresurs som är tillgänglig för en användare. Detta leder till bättre effektivitet, kundservice och samarbete. [Hewlett Packard 1999] (Se Figur 3)

Figur 3 Exempel på Extranät VPN.
(Källa: Aventail 1999c)

Eftersom det finns många datormiljöer i ett Extranät VPN, måste lösningen stödja multipla plattformar, protokoll, autentisering och krypteringsmetoder. Det främsta för ett Extranät VPN eller "business-to-business" VPN är att försäkra att affärskritisk data kan skickas säkert och till rätt mottagare. För att uppnå säkerhet kan företaget placera en VPN-server bakom en ogenomtränglig brandvägg som blockerar all oauktoriserad trafik. Den trafik som är giltig går genom brandväggen direkt till VPN-servern, som filtrerar trafiken enligt företagets policy. [Aventail 1999d] Med ett Extranät VPN är det också möjligt att ge vissa kundgrupper tillgång till speciella data, som andra kundgrupper inte har tillgång till [Salamone 1998].

Aventail (1999c) menar att Extranät VPN är ett alternativ till EDI, Electronic Data Interchange, för företag som vill minska på sina kostnader vid elektroniskt datautbyte. EDI kräver speciell mjukvara och leverantörer som tar ut höga kommunikationsavgifter. Använder man däremot Extranät VPN, blir det billigare, eftersom det går att använda Internet.

Det finns en mängd olika sätt att bygga ett Virtuellt Privat Nätverk. Vad man väljer att göra beror naturligtvis på vilken nätverksfilosofi företaget använder och vilken säkerhet man kräver av nätverket. Det finns inga krav på att välja ett renodlat VPN. Det går att kombinera olika VPN-arkitekturer beroende på företagets kommunikationsbehov.

Genom att använda sig av routrar som är anpassade till VPN-tekniken, kan en administratör skicka trafik mellan olika kontor över Internet. De flesta routerleverantörer har lagt till VPN-tjänster till sina produkter. Fjärranslutna användare kan komma åt företagets nätverk genom tunnling via en Internetleverantör. [Salamone 1999]

Att implementera ett VPN till ett routerbaserat nätverk innebär endast en mjukvaruuppgradering på routern. Detta sker enkelt genom att administratören kan ladda ner mjukvara från leverantörens hemsida eller få en diskett från leverantören för att installera på en existerande router. Detta är vanligen fallet med äldre routrar. [Salamone 1999]

Intel (1999) menar att routerbaserade VPN är den bästa lösningen för en LAN-till-LAN-anslutning. Eftersom routrar är utvecklade för ett LAN-till-LAN över ett WAN, är kopplingen över Internet en naturlig utökning av den grundläggande funktionen.

Nya routrar kommer oftast med en inbyggd möjlighet att använda VPN. En del leverantörer erbjuder det gratis i routerns operativsystem och andra tar en avgift för att man ska kunna utnyttja funktionerna. Dessa funktioner är oftast kryptering och tunnlingsmöjligheter. En del tillverkare länkar användaridentifieringen till existerande identifieringstjänster som t ex RADIUS, Remote Authentication Dial-In User Service (se kapitel Säkerhet). [Salamone 1999]

En fördel med ett routerbaserat VPN är att det inte finns någon anledning att förändra det existerande nätverket. Detta kan spara operationella kostnader och på så sätt reducera den totala kostnaden för det virtuella nätverket. [Infonetics 1997]

Salamone (1999) betonar att det däremot finns en del saker att tänka på innan man implementerar ett routerbaserat VPN. Kryptering och tunnling utförs med hjälp av mjukvara, som kan leda till problem vid hög trafik. För att undvika problem, kan det vara bra att investera i ny hårdvara, t ex en bättre CPU. Nackdelen är att det bidrar till en högre implementeringskostnad.

Vid mjukvarubaserade VPN kan leverantörer av operativsystem och applikationer erbjuda möjligheten att utföra kryptering, tunnling och autentisering, som krävs för att länka användare genom ett VPN. Detta fungerar bra om hela nätverket använder samma operativsystem. [Intel 1999]

Mjukvaran installeras på en existerande server, som tillåter administratören att använda den befintliga utrustningen. Det betyder att nätverkskonfigurationen behålls intakt och att samma kunskap och verktyg kan användas för att administrera VPN som det vanliga nätverket. Det är inte heller nödvändigt med extra utbildning för att hantera det nya nätverket. [Salamone 1999]

Salamone (1999) tycker att en fördel med ett renodlat mjukvarubaserat VPN är att programmen ständigt kontrollerar med det existerande operativsystemet om autentisering. Detta kan förenkla administrationen av VPN genom att t ex länka VPN-accessrättigheter till redan definierade användarprivilegier.

Det finns naturligtvis också en del att tänka på innan man bestämmer sig för ett renodlat mjukvarubaserat VPN. Precis som med ett routerbaserat VPN så kan prestanda vara ett problem. Att utföra kryptering och tunnling kräver processorkraft. Ett problem när man ska bestämma sig för vilken VPN-arkitektur man ska välja, är att det inte finns något sätt att mäta exakt hur stor påfrestning det kommer bli för servern. Faktorer som måste finnas med i beräkningen är antalet simultana VPN-sessioner som ska stödjas, krypteringsnivån på varje session, tunnlingstypen som används och i vilken hastighet data passerar nätverket. [Salamone 1999]

Om VPN-mjukvaran körs på en server som stödjer andra applikationer, kan prestandan på de andra applikationerna bli lidande när VPN-sessionerna tar mer och mer plats. En administratör kan komma fram till att en server med högre prestanda krävs, vilket är ungefär vad som kan hända med routerbaserade VPN. Det som verkar vara ett billigt sätt att implementera ett VPN kommer kanske kräva stora investeringar i en ny avancerad server. [Salamone 1999]

För att skydda information på ett privat nätverk använder sig många företag av brandväggar. Dessa har som huvuduppgift att skapa möjligheter till säker koppling till Internet och stödja säkra förbindelser. Brandväggen ska göra det möjligt att använda nätet för viktiga sessioner, utan att riskera att data kommer i orätta händer och samtidigt hindra alla försök till oauktoriserad användning av det interna nätverket. [Encyclopedia Intranetica 1999]

Precis som ett router- och mjukvarubaserat VPN är fördelen med brandväggsbaserade VPN att det befintliga nätverket kan se ut som det gör vid implementering. Utbildningskostnaden kan hållas nere, eftersom gränssnittet oftast är samma som innan implementeringen. Precis som tidigare kan det också innebära att prestandan på nätverket minskar och det kan vara nödvändigt att investera i en större brandvägg. [Salamone 1999]

Vilket alternativ till lösning som är bäst beror på vad man har innan och hur man vill att nätverket ska se ut efter implementeringen. Om man inte redan har en brandvägg, är det inte troligt att man skaffar en enbart för att kunna använda VPN. Eftersom VPN har fördelen att kunna implementeras på flera olika sätt, är man inte bunden till en viss arkitektur. Oberoende av vilken arkitektur företaget använder idag är det enkelt att implementera ett VPN, då endast mjukvaruuppgradering tillkommer, och ingen förändring i det existerande nätverket behövs. Om man inte tidigare har en Internetförbindelse, måste man naturligtvis skaffa en sådan.

Som framkommit tidigare finns det risk för att det befintliga nätverket kan gå långsamt när man använder sig av VPN, och man kan behöva investera i dyr hårdvara för att få acceptabel prestanda. Detta kan ses som en nackdel, men i jämförelse med de fördelar som finns, överväger ändå dessa. Främst lägre kommunikationskostnader, ingen större förändring i det befintliga nätverket, hög säkerhet och enkel hantering.

VPN-tekniken går ut på att skapa en säker kanal mellan två noder. Att med hjälp av kryptering transportera ett kommunikationsprotokoll "inslaget" i ett annat, kallas tunnling. All trafik mellan de två noderna slussas in i kanalen för att släppas ut på andra sidan. När tunneln är upprättad, kan trafik flöda genom tunneln som om det nätverk tunneln upprättats över inte finns. (Se Figur 4) Om två kontor förbinder sina nätverk med hjälp av en tunnel över Internet, upplever man som om nätverken är hopkopplade. [Encyclopedia Intranetica 1999] Tekniken är i och för sig inte ny, men den har blivit mer intressant nu, när Internet finns i stort sett överallt dit en distansarbetare kan tänkas åka [Sandred 1997].

Figur 4 Tunnling.
(Källa: Microsoft 1998)

Den programvara som upprättar tunneln måste i alla lägen vara säker på att den har förtroende för och kan identifiera den nod som finns i andra änden av tunneln. En nod kan vara en brandvägg, en mjukvara eller en router. [Encyclopedia Intranetica 1999]

Enligt Salamone (1998) finns det i princip två generella tunnlingsklasser. Den första är en end-to-end tunnling, där tunneln utökas från en distansanvändares PC till den server användaren tar kontakt med. I detta scenariot måste noderna på varje sida om förbindelsen kunna hantera tunnlar och kryptera och dekryptera datan som passerar mellan de två noderna. Detta innebär att Internetleverantören inte behöver vara inblandad eftersom tunnlingsmjukvaran finns på noderna [Westman 1997].

Den andra klassen är nod-till-nod tunnling. Där termineras tunneln vid slutet av nätverket. Denna typ av tunnling används t ex för att koppla ihop LAN på olika platser. Vid en sådan konfiguration är trafiken på varje LAN oförändrad. Så fort trafiken passerar genom en VPN-nod i slutet på nätverket, är den krypterad och tunnlas till en liknande nod på det andra nätverket. Här blir den dekrypterad och läggs ut på det lokala nätverket i dess format. [Salamone 1998]

En skillnad mellan dessa tunnlingsklasser är säkerheten. I end-to-end är tunneln krypterad ända fram till noden och endast rätt mottagare kan dekryptera tunneln. I nod-till-nod blir tunneln dekrypterad när den når nätverket, vilket innebär att man är beroende av det mottagande nätverkets säkerhet.

Sandred (1997) anser att nackdelen med tunnling är att Internet är osäkert och långsammare än direkta uppringda anslutningar. Dessutom blir administrationen betydligt större, då det är dubbla protokoll inblandade. Därför kräver tunneltekniken minst ISDN om man ska göra något annat än bara skicka e-post.

Det finns för närvarande tre olika tunnlingsprotokoll som används i majoriteten av de existerande Virtuella Privata Nätverken; PPTP, Point-to-Point Tunneling Protocol, L2TP, Layer 2 Tunneling Protocol, och IPSec, Internet Protocol Security. Av de tre har PPTP varit det mest använda. Detta kan bero på att det stöds av Microsoft Windows. Många IT-ansvariga har använt PPTP för att testa VPN-konceptet. [Sandred 1997]

När Microsoft kom med Windows NT 4.0 introducerades PPTP som deras lösning till VPN. Protokollets stora fördel är att det kan hantera IPX, Internetwork Packet eXchange, och IP-trafik. Det är kritiskt för nätverksadministratörer som vill att användarna ska använda IPX-baserade fjärrtjänster. [Kaplan 1997]

PPTP kan användas på två olika sätt. Antingen kopplar man upp sig med PPP, Point-to-Point Protocol, mot en server som kan hantera PPTP, eller så kopplar man upp sig med PPTP mot en server som kan hantera PPP. Skillnaden är var PPTP-protokollet startar på klientsidan - i PC:n eller i den server man ringer upp.

I det första alternativet skapar PPTP en tunnel från den första fjärranslutningsservern, vanligen en router eller en brygga hos en Internetleverantör, via Internet vidare till slutadressen, t ex en Windows NT Server 4.0 RAS-server med PPTP. Då används PPTP, helt transparent för användaren, bara mellan servermaskinerna i det virtuella förbindelsen på Internet. Klienten använder enbart PPP. Då PPP finns för ett antal datorer som Unix, Macintosh och OS2, kan RAS-servern hantera PPTP från ett antal olika operativsystem med den här konfigurationen. [Sandred 1997]

Salamone (1998) betonar att denna lösning bortser från en viktig aspekt av företagskulturen: det finns inte särskilt många företag som är beredda att outsourca företagssäkerheten, speciellt inte till Internetleverantörer som redan är överarbetade och som har överbefolkade nätverk. De flesta företag vill att säkerheten behålls inom företaget. Oftast föredrar nätverksadministratörer en klient-server lösning framför outsourcing, därför att det gör det möjligt för dem att behålla kontrollen över nätverkssäkerheten.

Andra alternativet innebär att PPTP redan används i klientmaskinen och kommunikationen slussas vidare från Internetleverantörens server till RAS-servern. PPP-maskiner kan kommunicera med PPP, men inte tolka innehållet, utan skickar det vidare till destinationen. [Sandred 1997]

Först ringer klienten upp med PPP till Internetleverantörens lokala router. Sedan sätter man upp en andra session med PPTP, parallellt med den första PPP-sessionen. Klienten är nu en virtuell nod i det lokala nätet över Internet och PPP-paketen tunnlas sedan genom den nya virtuella förbindelsen. Observera att Internetleverantören inte behöver kunna hantera PPTP, men att klientmaskinen måste det. [Sandred 1997]

L2TP är en mix av PPTP och L2F, Layer 2 Forwarding, som är ett tunnlingsprotokoll utvecklat av Cisco. Kombinationen används i applikationer som använder sig av nod-till-nod tunnling. [Salamone 1998] L2TP uppför sig ungefär som PPTP, eftersom det förlitar sig på en Internetleverantör för att öppna tunnlar till företagens servrar [Kaplan 1997]. Med L2TP ringer användaren upp en lokal Internetleverantör utan kryptering, och skapar en krypterad tunnel till den säkrade destinationen [Aventail 1999d].

IPSec utvecklades av IETF, Internet Engineering Task Force, som en säkerhetsmekanism för att skydda IP-paket. Det används vanligen både vid end-to-end och nod-till-nod applikationer. [Salamone 1998]

Enligt Kaplan (1997) använder de flesta brandväggs-leverantörer IPSec för säker kommunikation. Eftersom IPSec är ett tunnlingsprotokoll, är det samma frågor som finns kring PPTP som finns när det gäller IPSec. Detta är främst begränsad accesskontroll och kanaler för tvåvägskommunikation. IPSec stöds inte av Microsoft, men kan fungera med nästan vilken typ av IP-utrustning som helst, inklusive säkerhetshårdvara, brandväggar, routers, klienter, servrar och allt annat som använder TCP/IP.

VPN använder kryptering för att försäkra att informationen förblir konfidentiell när den passerar över Internet eller en leverantörs nätverk. Krypteringsteknikerna som används i ett VPN är samma som de som används i andra nätverkssammanhang där informationen ska krypteras. [Salamone 1998] Som ett resultat så måste IT-ansvariga hantera samma frågor: Vilken krypteringsnyckel ska vi använda? Kan mjukvaran och system som använder en specifik nyckel exporteras och användas i andra länder? Hur hanterar man distributionen av dekrypteringsnycklar till användarna?

Vanligtvis är detta inget problem. De flesta utrustningsleverantörer erbjuder de största alternativen på marknaden, inklusive Rivest Cipher, DES och Triple-DES.

Salamone (1998) anser att valet av nyckelstorlek beror på hur viktigt det är att hålla informationen säker och säkerheten på det nätverk som informationen kommer att passera över. Det vanligaste är att använda allt från 40-bit till 128-bit i kommersiella applikationer. Generellt gäller det att ju större nyckel, desto svårare är det att knäcka den, och desto säkrare blir informationen.

En del VPN-lösningar tillåter administratören att välja nyckelstorlek beroende på vad som ska utföras. I detta fallet kan en mindre nyckel användas för att säkra vanlig e-post kommunikation mellan användare, medan en större nyckel kan användas när konfidentiella marknadsföringsplaner eller försäljningsdata skickas mellan användare.

Problemet med att använda sig av VPN är att det i varje land gäller olika regler för användning, import och export av programvara och utrustningar med stöd för kryptering. Innan ett internationellt VPN upprättas är det bäst att kontrollera gällande lagstiftning i varje land. Stark kryptering, sådan som är svår att knäcka, är ofta belagd med exportförbud. Varken Sverige eller USA kan exportera sådan teknologi med gällande regler. Det gör att man inom landet kan använda starkare kryptering än mellan olika länder. Krypteringsalgoritmer som används för identifikation, inte för att dölja information, kan dock oftast användas och exporteras. [Encyclopedia Intranetica 1999]

Både data och adresser som tunnlas (adresserna för det lokala nätet) krypteras över Internet. Den enda information som är öppen är IP-adresserna för användaren och PPTP-servern [Sandred 1997].

Identifikation kan utföras på många olika sätt. Digitala signaturer och certifikat, engångslösenord, aktiva kort och vanliga lösenord är några exempel. Beroende på hur viktig information som skickas och hur viktigt det är att utföra en korrekt identifikation, väljs teknik. De större brandväggarna har stöd för många olika identifikationssystem, oftast i form av tredjepartsprodukter. [Encyclopedia Intranetica 1999]

En av de viktigaste säkerhetsaspekterna i ett VPN är att identifiera användaren. Detta är viktigt eftersom man måste klargöra vilka resurser personen har rättigheter till. Det finns många existerande autentiseringsmetoder. Många leverantörer erbjuder support för PAP, Password Authentication Protocol, och CHAP, Challenge Handshake Authentication Protocol. [Salamone 1998]

Salamone (1998) påpekar att valet av metod beror på vilken säkerhetsnivå organisationen vill ha. PAP är enklare att använda men erbjuder en lägre säkerhet än CHAP. För identifiering med PAP sänder användaren ett okrypterat lösenord i vanligt textformat. CHAP är ett bättre alternativ om man inte vill skicka okrypterade lösenord. CHAP använder slumpmässiga tal och algoritmer för att generera ett lösenord som i sin tur krypteras. Fördelen med detta är att användarens lösenord aldrig passerar okrypterat över den del av länken som rings upp.

I och med den ökande e-handeln blir det allt mer viktigt med autentisering. Då kan man t ex använda CA, Certification Authority. En CA är en tredje part som kan bekräfta din identitet med hjälp av digitala certifikat och publika krypteringsnycklar.

Oberoende av vilken autentiseringsmetod man har valt, innebär det bara halva lösningen. Den andra halvan är att knyta identifieringen av användaren till vilka rättigheter den personen har. Då använder man autentiseringsservrar som t ex RADIUS, Remote Authentication Dial-In User Service. I många VPN-produkter inkluderas stöd för RADIUS.

Något man måste tänka på när man väljer VPN-utrustning är att många av teknikerna är kopplade till varandra. När man väljer ett specifikt tunnlingsprotokoll så kan det begränsa urvalet på andra områden. [Salamone 1998]

RADIUS är en autentiseringsserver som förenklar administrationen av användarautentisering och användarens accessrättigheter genom att ha en centraliserad databas av accessrättigheter. Användaren ringer in till nätverket och kontrolleras mot databasen. Om man inte har en RADIUS måste man underhålla accessrättigheterna på flera olika delar i systemet, vilket kan vara besvärligt när en person börjar eller slutar på företaget.

Autentiseringsprocessen är transparent för användaren. Om användaren har accessprivilegier till nätverket så signalerar RADIUS att det är OK att fortsätta processen. Samtidigt så sänder RADIUS också sk profilinformation om användaren. Profilen kan innehålla information som användarens IP-adress, den längsta tiden användaren kan vara uppkopplad mot nätverket och telefonnumret användaren är tillåten att använda för att ansluta till nätverket. [Salamone 1998]

Precis som med alla andra nätverkslösningar så finns det en hel del att tänka på när man ska implementera ett VPN. Frågor som gäller prestanda, tillförlitlighet och skalbarhet kommer ofta upp. Men det finns också frågor som är unika för VPN. Nätverksadministratörer som ska implementera ett VPN vill t ex veta hur prestandan är jämfört med andra typer av lösningar. Hur försäkrar man sig om att kritisk information tar sig igenom? Vad händer om nätverket "kraschar"? Hur skalar ett VPN när man lägger till fler användare?

VPNet (1998) poängterar att det krävs noggrann planering inför en VPN-implementation, framför allt av vilka behov som finns angående uppkoppling och säkerhet. Första steget i planeringen är att fastställa kraven för en förbindelse mellan de berörda noderna. VPN kan etableras så att alla nätverksresurser kan kommunicera med varandra. Att besluta vilken nätverksresurs som ska länkas via ett VPN beror på applikationerna som används i de olika systemen. Om alla (lokalt, resande, andra kontor, etc) behöver tillgång till huvudkontorets e-postserver, kan ett VPN bestå av e-postservern och alla andra klienter i nätverket.

Det finns naturligtvis en del generella aspekter som kan påverka prestandan. Till att börja med, använder VPN tunnling och kryptering som båda påverkar ett nätverks prestanda. Tunnling ökar informationen till varje paket vilket ökar dess storlek. Detta kan bidra till att paketen blir fragmenterade och kommunikationen går långsammare. [VPNet 1998] Det krävs mycket processorkraft för att utföra detta och en del nätverksadministratörer befarar att en distansarbetares arbetsstation inte har tillräckliga resurser för uppgiften. Enligt tidiga försök med VPN, har detta ändå inte varit ett problem. Om distansarbetaren har använt sig av en Pentium-PC och ringer upp Internetleverantören med ISDN eller modem, fungerar det utan problem, till och med om man använder ett krävande protokoll som IPSec och långa krypteringsnycklar. [Salamone 1999]

Om användaren däremot kör en processorkrävande applikation som t ex SAP, kan applikationen gå trögt vid en hög belastning av VPN. För att undvika dessa prestandaproblem, har en del företag valt att använda en hårdvarubaserad VPN-lösning när man använder sig av processorkrävande applikationer. [Salamone 1999]

VPNet (1998) tycker generellt att mjukvarubaserade VPN-lösningar passar bäst till små- och mellanstora företag som har lägre säkerhetskrav och lite datatrafik. Om man däremot vill tillämpa maximal säkerhet och har hög trafikvolym ställs det också stora krav på hårdvaran. Därför blir fristående hårdvarubaserade lösningar bäst, som också är mer skalbara.

Förutom att man vill att prestandan ska vara bra i ett VPN, så vill man naturligtvis att det ska vara möjligt för användare att få tillgång till nätverket när som helst.

Salamone (1999) menar att det ska vara möjligt att byta ut en felande komponent utan att stänga ner hela nätverket. Detta har varit möjligt med traditionell nätverksutrustning under en längre tid. De flesta routrar, servrar och hubbar har redan dessa egenskaper. Om det ska överföras stora mängder trafik på det virtuella nätverket, vill man sannolikt ha liknande funktioner i den utrustning som sköter tunnlingen och de andra uppgifterna som är specifikt för ett VPN.

Den största belastningen på ett VPN är troligast på morgonen, när många användare vill upprätta en tunnel. För att underlätta vid sådana tillfällen kan det vara bra att använda sig av "load sharing". Detta innebär att flera VPN-komponenter delar på belastningen vid upprättandet av en tunnel. Utan "load sharing" kan användaren få problem vid tillfällen då belastningen är hög .

För att testa VPN praktiskt, har vi upprättat ett VPN på ett lokalt nätverk. Eftersom VIS enbart använder Microsoft produkter, implementerade vi VPN-protokollet PPTP och använde Microsofts RAS-server för att ansluta en klient till servern. I och med att PPTP implementerades på både klienten och servern, fick vi en end-till-end tunnel och blev därmed inte beroende av Internetleverantörens protokoll. Vårt försök går ut på att köra en applikation över ett VPN. Applikationen är utvecklad i Visual Basic 5.0 och den arbetar mot en databas i Access.

VIS arbetar efter en femskiktsmodell, vilket innebär att man kan dela upp applikationen i olika skikt: presentationstjänster, presentationslogik, funktionslogik, datalogik och datatjänster [Hackathorn 1993]. Prestandan hos applikationen påverkas av hur man fördelar skikten mellan klienten och servern. Det skickas en stor mängd instruktioner och data mellan varje skikt. Om man har en långsam länk, t ex en modemanslutning, är det viktigt att denna länk får så lite information att hantera som möjligt, det vill säga där det är lite trafik. Detta varierar från applikation till applikation, men normalt är det låg trafik mellan skikt fyra (datalogik) och skikt fem (datatjänster). Delar man av applikationen här får man något som kallas en "fet klient". Feta klienter är ett bra alternativ för mindre företag med få användare och som använder modem. Nackdelen är att installation och uppdatering måste ske hos alla klienter, vilket kan bli ett stort problem om man har många användare.

VIS kunder kommer att använda modem, och därför tycker vi att det passar bäst med en fet klient. När VPN-tekniken testades installerades applikationen på klienten och databasen på servern. Vi hade ingen tillgång till analogt modem utan använde oss av en digital anslutning vilket gjorde att överföringshastigheten inte kunde testas.

Trots att vi inte kunde testa VPN under rätta förhållanden med modemanslutning, kan vi ändå dra den slutsatsen att det var ett enkelt sätt att få en säker anslutning mellan två datorer. En implementering av VPN är enkel och kräver inga ytterligare kunskaper om nätverk, än vad en nätverksadministratör bör ha. Finns inte dessa kunskaper inom företaget, kan man köpa färdiga VPN-lösningar.

Som vi har beskrivit i uppsatsen finns det flera olika lösningar för att säkert kommunicera över ett publikt nät. Efter fördjupade dokumentstudier inom ämnet har vi förstått att tekniken är relativt gammal, men har inte tillämpats i någon större skala förrän nu. Företagskultur, okunskap och rädsla kan vara faktorer som påverkat detta. Anledningen till att VPN har fått en större spridning idag kan bero på den tekniska utvecklingen och ökningen av antalet mobila användare.

Med Internets invasion och utbredning har det blivit lättare att kommunicera och många organisationer har insett fördelarna med Internet. Tidigare var publika nät alltför opålitliga för att användas vid dataöverföring.

För företagen kan beroendet av Internet vara ett problem, då en tredje part oundvikligen blir inblandad. Nackdelen kan vara att företaget då inte har total kontroll över det interna nätverket. Man får inte glömma bort att tredjeparten är en länk i nätverket och t ex prestandan påverkas av ett begränsat tjänsteutbud. Man kan aldrig få en riktigt säker garanti för att VPN fungerar som man tänkt sig, eftersom flera parter är inblandade. Fördelen med en tredje part är dock att nätverksadministrationen blir lättare.

Med det ökande antalet distansarbetare måste företagen hitta en kostnadseffektiv lösning, som tillåter hög säkerhet och tillgänglighet för användare. En distansarbetare kräver idag att uppkopplingen går snabbt och att den är enkel. Internationella företag som har behov av att hålla ett världsomspännade kontaktnät sparar stora pengar på att kunna utnyttja Internetleverantörernas lokalsamtalstaxa.

Efter vad vi har kommit fram till i undersökningen, eliminerar VPN många av de säkerhetsrisker som Internet medför. Organisationen kan själv välja nivå av säkerhet, beroende på vilka protokoll och autentiseringsmetoder man använder sig av. Förutom säkerheten, bör man även beakta prestandan och tillgängligheten, när man funderar på att implementera ett VPN. För att uppnå en bra lösning bör man kanske kombinera både hård- och mjukvarubaserade alternativ, samt bygga på en öppen standard.

Med tanke på den senaste tidens utveckling kommer säkert andra behov att tillkomma från företag. VPN har möjligheter att anpassas till framtiden, tack vare att det är lätt att implementera nya komponenter. Vi tror att många företag i Sverige inom en snar framtid kommer att använda sig av VPN-tekniken, bland annat inom den allt mer växande marknaden med elektronisk handel.

Vi har kommit fram till att Remote Access VPN är ett bra alternativ för Väne Informationssystem AB. Då resurserna ofta är begränsade i ett mindre företag, är det väsentligt att kostnaderna för att implementera en ny teknik, är så låga som möjligt. Implementering av de kompletterande komponenter som krävs för VPN är både enkel och lätt att administrera. Kostnaden kan dessutom hållas nere eftersom man kan utnyttja redan befintlig utrustning, endast nya VPN-komponenter tillkommer.

Remote Access VPN passar bra för mindre företag, med få antal användare, där det inte är nödvändigt med en ständig uppkoppling mot nätverket och trafiken är låg. De anslutningar som dock behövs, måste vara så billiga som möjligt. [Cisco 1998] Med hjälp av Remote Access får mindre företag ett billigt alternativ för en säker uppkoppling via Internet, och lämpar sig bra för både VIS och deras kunder.

Som avslutning några visdomsord på vägen:
Ett nätverk blir aldrig starkare än dess svagaste länk

Andersén, Heine, (1990), Vetenskapsteori och metodlära - En introduktion, Lund: Studentlitteratur

Aventail Corporation, (1999a) Frågor & Svar
http://www.upstream.se/vpn/faq/faq.htm 1999-02-02

Aventail Corporation, (1999b), Aventail VPN: A Managed Solution for Secure Business Communication
http://www.aventail.com/index.phtml/solutions/white_papers/vpnwp.phtml 1999-02-02

Aventail Corporation, (1999c), Extranet VPN:s Paving the Way for E-Business, http://www.aventail.com/index.phtml/solutions/white_papers/ebusiness.phtml 1999-02-02

Aventail Corporation, (1999d), Making Sense of Virtual Private Networks http://www.aventail.com/index.phtml/solutions/white_papers/vpnmarketwp.phtml
1999-02-02

Bell, Judith, (1993), Introduktion till forskningsmetodik, Lund: Studentlitteratur

Cisco Systems Inc, (1998), Access VPN http://www.cisco.com/warp/public/779/servpro/solutions/vpn/avpn_bc.htm 1999-02-02

Ejvegård, Rolf, (1993), Vetenskaplig metod, Lund: Studentlitteratur

Encyclopedia Intranetica, (1999), VPN - Virtuella Privata Nätverk
http://www.webway.se/intranetica/vpn/ 1999-02-04

Hackathorn, Richard, (1993), Enterprise database connectivity: The Key to Enterprise Applications on the Desktop, Toronto, Canada: Wiley

Hewlett Packard, (1999), HP Praesidium Extranet VPN
http://www.extranet-strategist.com/white_papers/hp_wp.html 1999-03-07

Holme, I. & Solvang, B., (1986), Forskningsmetodik - Om kvalitativa och kvantitativa metoder, Lund: Studentlitteratur

Infonetics Research Inc, (1997), Virtual Private Networks, A partnership between service providers and network managers, VPNet
http://www.vpnet.com/forms/download/infoneticswp.pdf 1999-01-22

Intel Networking, (1999), Enabling Secure Virtual Private Networks Over the Internet
http://www.intel.com/network/white_papers/enabling_vpn.html 1999-03-07

Kaplan, Evan, (1997), Virtual Private Networks, Windows NT Systems Magazine 1997-09
http://www.ntsystems.com/uts107fe.html 1999-01-28

Microsoft Corporation, (1998), Virtual Private Networking: An Overview
http://www.microsoft.com/workshop/server/feature/vpnovw.asp 1999-01-28

Nationalencyklopedin, (1994a), Höganäs, Bra Böcker, Band 14

Nationalencyklopedin, (1994b), Höganäs, Bra Böcker, Band 15

Nationalencyklopedin, (1996), Höganäs, Bra Böcker, Band 19

Salamone, Salvatore, (1998), VPN: The Basics InternetWeek 1998-12-14
http://www.internetwk.com/VPN/paper2.htm 1999-02-02

Salamone, Salvatore, (1999), VPN: Making Choices InternetWeek 1999-01-25
http://www.internetwk.com/VPN/paper.htm 1999-01-28

Sandred, Jan, (1997), White Paper: Fjärranslutning Datateknik 1997-09-04
http://www.datateknik.se/WhitePaper/WP_fjarranslutning.pdf 1999-01-28

VPNet Technologies Inc, (1998), What’s a VPN Anyway? or The Cloud’s Silver Lining Is Your Net, VPNet
http://www.vpnet.com/forms/download/vpnprimer.pdf 1999-01-22

Westman, Rikard, (1997), VPN borrar tunnel genom Internet - Nätverk & Kommunikation 1997-11 http://domino.idg.se/natkom/nokart.nsf/24da562fb5b11fe7c12563a000657853/08b76ea8ed34825a412565a7004b88fd?OpenDocument 1999-02-02