Skip to main content

Kuinka VPN toimii?

Mies käyttää VPN-palvelua Samsung-puhelimella
(Kuva: Future)

VPN-palvelun tehtävä on suojata internet-yhteytesi ulkopuolisilta urkkijoilta ja salata kaikki dataliikenteesi. Se parantaa myös yksityisyyden suojaasi verkossa.

VPN-palveluita on ollut olemassa jo vuosien ajan, mutta niiden suosio on kasvanut selvästi viime aikoina. Kasvua on vauhdittanut moni eri tekijä. Selkeitä trendejä ovat olleet esimerkiksi tiettyjen maiden sensuuri, käyttäjätietoja myyneet Internet-operaattorit sekä etätöiden yleistyminen. On siis ymmärrettävää, että yhä useampi kuluttaja ja yritys haluaa suojata tietoliikenteensä verkossa. 

VPN:n tekninen toiminta on sen verran monimutkaista, ettemme pureudu siihen vielä tässä artikkelissa. Onneksi käyttäminen on tehty niin yksinkertaiseksi, että käytännössä kuka tahansa osaa hyödyntää sitä. Jokaisen on silti hyvä tietää ainakin tekniikan perusperiaatteet ymmärtääkseen VPN:n rajoitteet ja osatakseen käyttää sitä oikein.

Kuluttajille tarkoitetut VPN:t

VPN:t voisi jakaa karkeasti kahteen luokkaan: kuluttajille ja yrityksille tarkoitettuihin palveluihin. Jos et satu olemaan yrityksesi IT-vastaava, olet todennäköisesti törmännyt lähinnä kuluttajille suunnattuihin VPN:iin. 

Tällaisessa VPN-palvelussa käyttäjä muodostaa salatun yhteyden yksityiseen VPN-palvelimeen, joka välittää yhteyden edelleen julkiseen verkkoon (eli "normaaliin nettiin"). Käyttäjän ja VPN:n välillä kulkeva data on suojattu ulkopuolisilta tahoilta. Operaattorisi näkee vain, että laitteesi on yhteydessä yksityiseen palvelimeen, mutta ei pysty pääsemään käsiksi dataasi.

Jos tämä selitys kuulostaa monimutkaiselta, voimme avata sitä (hieman lennokkaalla) vertauskuvalla. 

Kuvittele, että haluaisit lähettää salaisia asiakirjoja sisältävän salkun, mutta et haluaisi paljastaa vastaanottajalle, kuka sen lähetti. Et luonnollisestikaan voi toimittaa kallisarvoisia tietoja itse, koska paljastaisit silloin identiteettisi. Palkkaat tehtävään siis arvokuljetusyhtiön, joka lupaa hoitaa kuljetuksen puolestasi paljastamatta lähettäjää. Vain sinulla ja salkun vastaanottajalla on avaimet salkkuun, joten vaikka ulkopuoliset tahot vakoilisivat taloasi ja näkisivät kuljetuksen, he eivät pysty tietämään lähetyksen sisältöä. Ulkopuoliset tahot näkevät siis ainoastaan sen, että lähetyksesi on kulkenut arvokuljetusyhtiön varastoon, mutta eivät pysty seuraamaan, mihin lähetys kulkee siitä eteenpäin.

Edellä mainittu vertauskuva on toki hyvin yksinkertaistettu esimerkki, mutta se saattaa avata hieman VPN:n roolia tietojesi salaamisessa. Todellisuudessa VPN:n salaustekniikka on selvästi monimutkaisempaa, eivätkä parhaat palvelut tallenna mitään tietoja käyttäjistään. Käyttäjien jäljittäminen on siis käytännössä mahdotonta jälkikäteen.

Käyttäjän ja VPN-palvelimen välille muodostettava salattu tunneli on äärimmäisen tärkeä osa salausprosessia. Emme mene kaikkein monimutkaisimpiin yksityiskohtiin, mutta lyhyesti sanottuna kaikki internetiin lähetettävä ja sitä kautta vastaanotettu data jaetaan paketteihin. Jotta paketit saadaan pidettyä turvallisina, niiden ulkokuoriksi kääritään toiset paketit, jotka salataan kapseloinniksi kutsutulla menetelmällä. Tämä ulkoinen paketti pitää datan turvassa siirron aikana ja toimii pohjana VPN-tunnelille. Kun datasi saavuttaa VPN-palvelimen, ulkoinen paketti puretaan avaamalla salaus. 

Tätä voisi jälleen avata yksinkertaistetulla esimerkillä. Muistatko vielä ne salkut ja avaimet aiemmasta esimerkistä? Ulkoinen paketti on ikään kuin vahva lukittu salkku, joka suojaa salaisia tiedostojasi. Salkku säilyy lukittuna koko kuljetuksen ajan ja se saadaan avattua vasta vastaanottajan päässä yhdellä avaimella, josta ei ole kopioita.

(Myönnämme, olemme katsoneet viime aikoina liikaa toimintaelokuvia.)

Kotikäyttöön tarkoitetun VPN:n voi asentaa joko koneelle tai suoraan reitittimeen, jolloin se kattaa koko kodin verkon. Ensimmäisenä mainittu ratkaisu on yksinkertaisempi vaihtoehto, jos et ole kovin vihkiytynyt VPN-käyttäjä. Yksittäisten sovellusten asentaminen käy helposti Windowsille, Macille, iOS- ja Android-laitteille sekä muutamiin muihin yleisimpiin laitteisiin, mutta esimerkiksi televisioosi ei todennäköisesti saa asennettua VPN-sovellusta.

Jos sen sijaan asennat VPN:n suoraan reitittimeen, se kattaa kaikki kotisi verkkolaitteet, vaikkei niille olisi omia VPN-sovelluksia.

Kuluttajille suunnattuja VPN-paveluja voidaan käyttää moniin eri tarkoituksiin, kuten:

  • Verkko-operaattorin seurannan estämiseen
  • Parempaan tietoturvaan julkisissa Wi-Fi-verkoissa
  • Pääsyyn maantieteellisesti rajatuille sivuille, kuten amerikkalaiseen Netflixiin
  • Valtiollisen sensuurin ohittamiseen Kiinan kaltaisissa maissa.

Yrityksille tarkoitetut VPN:t

Yrityksille tarkoitetut VPN-palvelut tunnetaan usein nimellä remote access VPN. Niiden perusajatuksena on sallia työntekijöiden turvallinen pääsy yhtiön sisäiseen intranetiin myös toimiston ulkopuolella. Palvelut salataan yleensä salasanalla ja usein myös kaksiosaisella todennuksella jonkin puhelinsovelluksen tai ulkoisen turvalaitteen avulla.

Kun työntekijä on tunnistettu, hän pääsee käsiksi yhtiön sisäiseen intranetiin salatun tunnelin kautta. Toisin sanoen, yhteys säilyy yksityisenä, vaikka se luodaan julkisen verkon kautta. VPN-palvelun kautta voidaan myös esimerkiksi etäohjata yrityksen tiloissa olevia laitteita. Jos työntekijän täytyy esimerkiksi tehdä graafisesti intensiivistä tehtävää, hän voi hyödyntää tähän yrityksen tiloissa olevia tehokkaita koneita ja striimata työpöydän omalle kannettavalleen.

Yritys-VPN:iin liittyy kaksi tärkeää komponenttia. Ensimmäinen on etäyhteyspalvelin: remote access server (RAS), jota kutsutaan myös nimellä network access server (NAS, tämä lyhenne sekoittuu kuitenkin helposti yleisemmin käytettyyn network attached storageen). Tämän palvelimen avulla työntekijä pääsee käsiksi yrityksen verkkoon esimerkiksi kotonaan. VPN:n toinen oleellinen palanen on VPN-sovellus, joka muodostaa yhteyden etäyhteyspalvelimelle ja varmistaa täydellisen suojan koko salausprosessin läpi.

Suuremmat yhtiöt, joilla on useita toimipisteitä (ja sitä myöten monia LAN-lähiverkkoja), tarvitsevat vieläkin järeämmän ratkaisun. Silloin kuvaan astuvat site-to-site VPN -palvelut, jotka mahdollistavat työntekijöiden turvallisen etäyhteyden yhtiön kaikkiin eri verkkoihin, vaikka ne sijaitsisivatkin hajallaan monessa toimipisteessä.  

Vuonna 2020 on enää vaikea kuvitella tietotyöhön perustuvaa alaa, jossa työntekijät eivät tekisi koskaan etätöitä kotoaan tai vaikkapa lentokentän julkisessa Wi-Fissä. Siksi kaikkien yritysten olisi syytä varmistaa, että etätöitä pystytään tehdä tietoturvallisesti.

VPN-havainnekuva

(Image credit: Shutterstock)

Miksi verkkoyhteyteni on hitaampi VPN:n kanssa?

VPN:n kautta muodostuttu verkkoyhteys on automaattisesti hitaampi kuin normaali verkkoyhteys. Taustalla on kuitenkin kolme loogista syytä:

  • Tiedostot täytyy salata
  • Data kulkee VPN-palvelimen kautta, joka sijaitsee maantieteellisesti kauempana, usein toisessa maassa
  • Salaus täytyy purkaa.

Verkkoyhteys ei onneksi hidastu niin paljon, että siitä olisi merkittävää haittaa käytössä. Omissa testeissämme nopeudesta leikkaantui palvelusta riippuen tyypillisesti noin 10 %.

VPN-tekniikka on hyödyllinen työkalu, mutta sillä on myös tiettyjä rajoituksia. Täytyy siis muistaa, ettei pelkkä VPN takaa vielä yksinään täysin aukotonta yksityisyyttä verkossa. Koko palvelun käyttö perustuu luottamukseen, sillä VPN-palveluntarjoaja pääsee luonnollisesti käsiksi koko verkkoliikenteeseesi.

Ei siis kannata olettaa, että VPN on kuin näkymättömyyspuku, joka pelastaa käyttäjänsä mistä tahansa pälkähästä. Moni VPN-palveluntarjoaja, esimerkiksi F-Secure, kertoo myös avoimesti luovuttavansa tietoja viranomaisille, jos käyttäjää on syytä epäillä rikoksesta. 

Me TechRadarilla emme hyväksy VPN-palveluiden käyttämistä rikollisiin tarkoitusperiin, mutta jotain osviittaa palvelujen luotettavuudesta saa silti tutustumalla siihen, miten eri yhtiöt ovat toimineet niitä vastaan nostetuissa oikeusjutuissa. Jos VPN-palveluntarjoaja ei ole yksinkertaisesti pystynyt toimittamaan tietoja rikoksesta epäillyn verkkotoiminnasta, se lienee paras todiste siitä, ettei palvelu todella kerää lokitietoja.