Skydda medarbetarnas trafik med VPN

Säkra anslutningar från publika nätverk

Alla nätverk förutom företagets egna nätverk klassas som osäkra nätverk. Detta gäller såväl trådbundna som trådlösa nätverk, och oavsett om de trådlösa nätverken är krypterade eller ej. Kafénätverk, flygplatsnätverk och medarbetarnas hemnätverk är alla osäkra ur företagets perspektiv. Företaget saknar kontroll över hur nätverken är konfigurerade och vilka enheter som ansluter till dem.

En gång i tiden var det riskfyllt att låta medarbetare ansluta till publika wifi-nätverk. I början av 2010-talet skickades nämligen långt ifrån all internettrafik över krypterade anslutningar. Det innebar att angripare som avlyssnade publika wifi-nätverk kunde se allt som skickades över wifi-nätverken, inklusive användarnas lösenord, mejl och cookies. (Cookies är känsliga eftersom de kan utnyttjas för att kapa inloggningar.)

Nu för tiden skickas nästan all internettrafik över krypterade anslutningar. Sommaren 2024 laddades 98 % av alla webbsidor i USA över krypterade anslutningar, och det finns inget skäl att tro att den andelen skulle vara lägre i Sverige. Detta innebär att en angripare som avlyssnar ett nätverk numera enbart kan se vilka webbplatser som användarna ansluter till. Angriparen kan inte se den faktiska datan som skickas fram och tillbaka.

Några risker kvarstår dock. Angriparen utföra en så kallad degraderingsattack där angriparen lurar användare att ansluta över osäkra anslutningar. Om en användare utsätts för en degraderingsattack visas en varning i användarens webbläsare eller mejlklient, men varningen kan vara lätt att missa i en stressad situation. Avslöjandet av vilka webbplatser som användaren besöker kan även vara problematiskt.

En VPN-tunnel skyddar trafiken

Lösningen på problemet är att installera VPN-klienter på medarbetarnas datorer, surfplattor och mobiler. En VPN-klient upprättar en krypterad VPN-tunnel till företagets nätverk. Så länge all nätverkstrafik skickas genom VPN-tunneln kan medarbetaren arbeta säkert från ett annars osäkert nätverk.

Om en angripare skulle avlyssna det osäkra nätverket kan angriparen bara se att medarbetaren använder en VPN-tunnel, inte datan som skickas genom den. Detta gäller oavsett om datan i sig är krypterad och om wifi-nätverket är krypterat eller ej.

Medarbetarna bör också genomgå träning som säkerställer att de förstår riskerna med osäkra nätverk, hur de skyddar sig mot de förenade hoten och hur de använder VPN-klienten. Medarbetarna kan börja med att läsa Surfa säkrare på resan med VPN .

Möjliggör säkert distansarbete

För att ett nätverk ska vara säkert måste det vara korrekt konfigurerat. Läs mer om kraven som ställs på företagsnätverk i Skydda företagets nätverk . Företaget kan inte ställa sådana krav på medarbetarnas hemnätverk och saknar definitivt möjlighet att följa upp huruvida kraven upprätthålls.

Medarbetarnas hemnätverk måste klassas som osäkra nätverk eftersom de kan vara felkonfigurerade eller sårbara. Medarbetarna kan också råka ansluta infekterade nätverksenheter som attackerar andra enheter i deras lokala hemnätverk.

Det finns två lösningar för att möjliggöra säkert distansarbete från hemmen. Den ena lösningen är att medarbetarna drar nytta av samma typ av VPN-klient som de har för att ansluta säkert från publika wifi-nätverk. Den andra lösningen är att medarbetarna utrustas med varsin VPN-brandvägg som de kopplar till sina respektive hemroutrar.

Fördelen med VPN-brandväggslösningen är att den fungerar med all nätverksutrustning. Med en VPN-brandvägg skapas ett litet företagsnätverk inuti hemnätverket dit medarbetaren kan ansluta såväl dator som annan kringutrustning, till exempel nätverksskrivare. All företagsutrustning avskiljs också från övriga nätverksenheter i hemnätverket. Det gör att företagets enheter hålls säkra även om infekterade enheter ansluts till hemnätverket.

Konfigurering av VPN-klienten

En VPN-klient kan konfigureras på två olika sätt: full-tunnel respektive split-tunnel. I så kallat full-tunnel-läge skickar VPN-klienten all nätverkstrafik genom VPN-tunneln oavsett vart trafiken ska gå. I så kallat split-tunnel-läge skickas enbart viss trafik genom VPN-tunneln.

Ur ett säkerhetsperspektiv är split-tunnel-läget därmed sämre, men några företag väljer ändå split-tunnel-läge av prestandaskäl. Om många medarbetare ska tunnla all sin internettrafik genom en underdimensionerad VPN-server kan deras uppkoppling bli för långsam för att möjliggöra exempelvis videomöten eller arbete med stora filer.

Om medarbetarnas VPN-klienter konfigureras i split-tunnel-läge är det viktigt att medarbetarna informeras om detta, så att de inte invaggas i en falsk trygghet. Delar av deras trafik kommer varken skyddas av VPN-tunneln eller de eventuella skyddsfunktioner som enheter i företagets interna nätverk drar nytta av.

Publika VPN-tjänster

Vissa företag har inga interna nätverksresurser som medarbetarna behöver få åtkomst till på distans. Sådana företag kan dra nytta av publika VPN-tjänster vars enda syfte är att skydda medarbetarnas trafik när de arbetar från osäkra nätverk.

I dessa sammanhang är det viktigt att välja VPN-tjänsteleverantör med omsorg. Det är också lämpligt att välja publika VPN-tjänster som är specifikt anpassade för företagsbruk. Sådana VPN-tjänster erbjuder funktioner såsom användarhantering och inloggning genom företagets SSO-tjänst (läs mer i Välj rätt lösenordspolicy för företaget) .

Sammanfattning

• VPN-tunnlar skyddar medarbetarnas trafik när de surfar från publika wifi-nätverk.
• VPN-tunnlar kan ge distansarbetare åtkomst till kontorets skrivare och filservrar.
• Om en VPN-klient konfigureras i split-tunnel-läge skickas inte all trafik genom VPN-tunneln och riskerar därmed att ingjuta falsk trygghet.