Het zou mooi zijn als iedereen overal en altijd op ieder beeldscherm toegang kon krijgen tot bedrijfstoepassingen en bedrijfsinformatie, bijvoorbeeld in de draadloze hotspot van het vliegveld, vanaf een terminal in een internetcafé, vanuit een nevenkantoor of op een notebook in een hotel. Hierbij zou veiligheid uiteraard voorop moeten staan. Met virtual private networking-technologie is dit al lang geen probleem meer.
Een traditioneel VPN
De nieuwe generatie VPN’s
Om via internet op een veilige manier toepassingen te kunnen gebruiken, wordt een technologie met de naam secure sockets layer (SSL) ingezet. Hierbij wordt de versleuteling en authenticatie van een browser als Internet Explorer gebruikt om toegang te verkrijgen tot de toepassing, net zoals bij bijvoorbeeld internetbankieren.
Aangezien iedereen een browser kan bedienen en op alle computersystemen standaard een browser geïnstalleerd is, ligt het voor de hand die technologie te gebruiken voor veilige toegang tot bedrijfstoepassingen, ook over internet. Hiermee is de SSL VPN geboren.
Een groot voordeel van een SSL VPN is evident: gebruikers kunnen vanaf ieder computersysteem (kiosks, internetcafés, hotspots, etc.) via het publieke internet op een veilige manier bij de bedrijfsgegevens komen en op de werkplek hoeft niets geïnstalleerd of beheerd te worden. De gebruiker opent simpelweg een veilig webadres bij zijn bedrijf, waarna de betreffende webserver als gateway functioneert en informatie of toepassingen doorsluist van binnen naar buiten en andersom.
Omdat toepassingen in een browser bediend worden, is deze technologie niet voor alle toepassingen mogelijk. De toepassing dient ‘web-enabled’ te zijn, zoals met Lotus Notes en Microsoft Exchange het geval is, of dient in Java geschreven te zijn (en dat zijn er heel weinig). Vaak wordt Microsoft Terminal Server of Citrix MetaFrame Presentation server gecombineerd met SSL VPN’s, omdat deze het mogelijk maken ‘ouderwetse’ Windows-toepassingen binnen de browser aan te bieden.
SSL VPN-technologie heeft wel een paar nadelen. Zo is de standaard authenticatie van een browser eigenlijk niet voldoende en wordt deze vaak uitgebreid met verbeterde authenticatie in de vorm van bijvoorbeeld smartcards. Ook bestaat het risico dat belangrijke gegevens achterblijven in de cache van de browser of dat een browser-sessie actief blijft nadat de medewerker de plek heeft verlaten. Oplossingen voor deze problemen maken de SSL VPN’s complexer en duurder en soms is zelfs weer een client-toepassing nodig, maar de kosten blijven veelal onder die van IPSec VPN’s. SSL VPN’s worden bijvoorbeeld aangeboden door bedrijven als Neoteris (overgenomen door NetScreen), Nortel en Netilla.
Wat is beter?
Voor beide technologieën zijn toepassingsgebieden. SSL VPN’s zijn op dit moment een hype. Veel van oorsprong op IPSec gerichte fabrikanten, inclusief Cisco, zijn gestart met het leveren van VPN SSL-oplossingen. VPN SSL is vooral zinvol voor bedrijven waar veel mobiele medewerkers werken zonder een eigen notebook of voor thuiswerkplekken waar geen bedrijfs-pc wordt geplaatst. Bedrijven die specifiek één of meer toepassingen willen aanbieden aan externe medewerkers of toeleveranciers kunnen eveneens goed uit de voeten met een redelijk veilige SSL VPN.
Daar waar medewerkers hun eigen systeem onderweg gebruiken, volledige toegang dienen te hebben tot het bedrijfsnetwerk en een diversiteit aan toepassingen willen gebruiken heeft een IPSec VPN echter vaak de voorkeur. Vooral voor een internetverbinding tussen verschillende vestigingen is een IPSec VPN een geschikte oplossing.
Small and medium enterprise-oplossingen
Veel VPN-producten zijn hardware-oplossingen. Het Duitse AVM brengt echter het softwareproduct Access Server op de Nederlandse markt. Het product bestaat al enige tijd als een ISDN-inbelserver, maar hieraan zijn VPN-mogelijkheden toegevoegd, waardoor eindgebruikers de mogelijkheden van kabel- en DSL-verbindingen kunnen gebruiken om nevenkantoren te verbinden en op afstand te werken. Het grote voordeel is dat de communicatiekosten budgetteerbaar zijn, doordat er alleen vaste maandelijkse kosten gemaakt worden voor de kabel- of DSL-verbinding in plaats van variabele en vaak hoge telefoonkosten. De ISDN-mogelijkheid van Access Server kan gebruikt worden voor locaties waar kabel of DSL niet mogelijk zijn, en is tevens handig als terugvalmogelijkheid bij problemen met die verbinding.
De doelgroep voor Access Server zijn de small and medium enterprises (SME’s), volgens Jan Schöllhammer, productmanager van AVM. ‘Dit is feitelijk breder dan SOHO en omvat bedrijven met een omvang van 1 tot 1000 medewerkers, waarvan een deel op afstand toegang moet hebben tot bedrijfsgegevens. Dit kunnen medewerkers zijn die vanaf huis of een kleiner nevenkantoor eenvoudig via internet toegang krijgen tot het hoofdkantoor.’ Als voorbeeld noemt hij het Korps Landelijke Politiediensten, die de ISDN-oplossing gebruikt in combinatie met GSM-verbindingen, om de Mobipol-toepassing te bedienen op dertig boten en in zeventig politiewagens. De nieuwe Access Server met VPN-ondersteuning kan hier voor nog meer beveiliging zorgen.
IPComp
AVM’s Access Server is gebaseerd op IPSec VPN’s, waarbij de gehele IP-stack, die onafhankelijk is van de Windows-versie, door de fabrikant zelf is ontwikkeld. Access Server maakt gebruik van de compressietechniek IPComp. Schöllhammer. ‘De IPComp compressiemogelijkheid zorgt ervoor dat het verlies aan prestaties, dat door de noodzakelijke versleuteling van de communicatie ontstaat, teniet wordt gedaan.’ Dit houdt in dat Access Server in staat is over een ISDN-verbinding nagenoeg de volledige beschikbare bandbreedte te gebruiken voor daadwerkelijke communicatie.
Om twee kantoren te verbinden wordt op beide locaties een Access Server ingericht met een VPN-verbinding ertussen. Afzonderlijke werkplekken die een VPN-verbinding nodig hebben, gebruiken het product NetWAYS/ISDN om verbinding te maken met Access Server. Kennis van VPN’s is volgens Schöllhammer niet nodig; alleen basiskennis van IP-netwerken is voldoende om het product te installeren en beheren. Op de Access Server kan de bijbehorende client-configuratie geëxporteerd worden. Deze kan per e-mail worden verstuurd naar de medewerker, die de configuratie met één druk op de knop kan importeren om aan de slag te kunnen met VPN.
Om over internet een beveiligde tunnel te kunnen bouwen tussen bijvoorbeeld een hoofdkantoor en een nevenvestiging zijn normaal gesproken vaste IP-netwerkadressen nodig. In Access Server is echter de mogelijkheid standaard ingebouwd om gebruik te maken van Dynamic DNS. Dit is een gratis dienst op internet, waar een naam geregistreerd kan worden met een bijbehorend IP-adres. Als het dynamische IP-adres - dat veel internetproviders hanteren - verandert, past Dynamic DNS dit vanzelf aan. Access Server gebruikt de vaste naam die in Dynamic DNS opgevoerd is, waardoor een onafhankelijkheid van het netwerkadres van de provider ontstaat. ‘Ondersteuning van dynamische IP-adressen in combinatie met IPSec is vrij uitzonderlijk,’ meent Schöllhammer. ‘Dit maakt het voor kleine bedrijven met een kabel- of DSL-verbinding eenvoudig mogelijk om met VPN’s aan de slag te gaan.’
