Managed hosting door True

VPN: een veilige tunnel in een publieke omgeving

 

Het zou mooi zijn als iedereen overal en altijd op ieder beeldscherm toegang kon krijgen tot bedrijfstoepassingen en bedrijfsinformatie, bijvoorbeeld in de draadloze hotspot van het vliegveld, vanaf een terminal in een internetcafé, vanuit een nevenkantoor of op een notebook in een hotel. Hierbij zou veiligheid uiteraard voorop moeten staan. Met virtual private networking-technologie is dit al lang geen probleem meer.

Beveiligde toegang tot toepassingen en gegevens op afstand over een onveilige verbinding als internet is mogelijk met een technologie die virtual private networking (VPN) wordt genoemd. Hierbij wordt er een verbinding opgezet tussen de werkplek en een server bij het bedrijf, met software (of hardware) waarmee een beveiligde tunnel wordt gevormd die afluisteren en meekijken onmogelijk maakt. Deze techniek zorgt ervoor dat bedrijven kunnen voldoen aan de toenemende vraag naar mobiliteit van medewerkers en aan de vraag om toegang te verlenen tot gegevens vanaf allerhande locaties. Ook is het mogelijk vestigingen veilig te verbinden via internet. Dure huurlijnen zijn niet langer nodig en kunnen worden vervangen door een al dan niet zakelijke kabel- of xDSL-verbinding, met vaste, budgetteerbare kosten. De toename van het gebruik van kabel en DSL zorgt voor een verhoogde vraag naar VPN-oplossingen.

Een traditioneel VPN

IPSec VPN’s vormen de traditionele en erg veilige manier om een VPN te bouwen. IPSec staat voor internet protocol security en is een standaard van de Internet Engineering Task Force (IETF) die zichzelf bewezen heeft en erg veel wordt gebruikt. Hierbij wordt een client-toepassing geïnstalleerd op de werkplek waarvandaan de gebruiker toegang wil hebben. Deze toepassing communiceert met speciale hardware of software binnen het bedrijf en biedt op deze wijze toegang tot computermiddelen. Er wordt gebruik gemaakt van een public key waarmee de ontvanger de zender kan authentificeren en van zogenaamde digitale certificaten. Na de authenticatie is de werkplek op afstand aangesloten op het bedrijfsnetwerk. Deze is identiek aan de lokale pc’s, maar nu gebruik makend van een beveiligde verbinding over een publiek netwerk zoals internet. Bij een dergelijke verbinding is het belangrijk om de werkplek, naast de VPN-client toepassing, in elk geval te voorzien van goede antivirussoftware en een personal firewall.
Een op IPSec gebaseerde VPN-client heeft als nadeel dat de benodigde software geïnstalleerd en geconfigureerd moet worden. Dit dient meestal uitgevoerd te worden door een IT-afdeling, omdat het niet iets is dat iedere medewerker rechttoe, rechtaan kan uitvoeren. Om de bedrijfstoepassingen te kunnen gebruiken dient bovendien een speciale aanmeldprocedure gevolgd te worden. De meeste IPSec VPN-oplossingen zijn vooral bruikbaar voor medewerkers die hun bedrijfssysteem meenemen in de vorm van notebooks of PDA’s. IPSec VPN’s hebben de reputatie duur te zijn in onderhoud, met name door het beheer van de software en instellingen op werkplekken. Nogal wat fabrikanten bieden IPSec VPN’s aan, zoals NetScreen, WatchGuard en Cisco.

De nieuwe generatie VPN’s

Om via internet op een veilige manier toepassingen te kunnen gebruiken, wordt een technologie met de naam secure sockets layer (SSL) ingezet. Hierbij wordt de versleuteling en authenticatie van een browser als Internet Explorer gebruikt om toegang te verkrijgen tot de toepassing, net zoals bij bijvoorbeeld internetbankieren.
Aangezien iedereen een browser kan bedienen en op alle computersystemen standaard een browser geïnstalleerd is, ligt het voor de hand die technologie te gebruiken voor veilige toegang tot bedrijfstoepassingen, ook over internet. Hiermee is de SSL VPN geboren.
Een groot voordeel van een SSL VPN is evident: gebruikers kunnen vanaf ieder computersysteem (kiosks, internetcafés, hotspots, etc.) via het publieke internet op een veilige manier bij de bedrijfsgegevens komen en op de werkplek hoeft niets geïnstalleerd of beheerd te worden. De gebruiker opent simpelweg een veilig webadres bij zijn bedrijf, waarna de betreffende webserver als gateway functioneert en informatie of toepassingen doorsluist van binnen naar buiten en andersom.
Omdat toepassingen in een browser bediend worden, is deze technologie niet voor alle toepassingen mogelijk. De toepassing dient ‘web-enabled’ te zijn, zoals met Lotus Notes en Microsoft Exchange het geval is, of dient in Java geschreven te zijn (en dat zijn er heel weinig). Vaak wordt Microsoft Terminal Server of Citrix MetaFrame Presentation server gecombineerd met SSL VPN’s, omdat deze het mogelijk maken ‘ouderwetse’ Windows-toepassingen binnen de browser aan te bieden.
SSL VPN-technologie heeft wel een paar nadelen. Zo is de standaard authenticatie van een browser eigenlijk niet voldoende en wordt deze vaak uitgebreid met verbeterde authenticatie in de vorm van bijvoorbeeld smartcards. Ook bestaat het risico dat belangrijke gegevens achterblijven in de cache van de browser of dat een browser-sessie actief blijft nadat de medewerker de plek heeft verlaten. Oplossingen voor deze problemen maken de SSL VPN’s complexer en duurder en soms is zelfs weer een client-toepassing nodig, maar de kosten blijven veelal onder die van IPSec VPN’s. SSL VPN’s worden bijvoorbeeld aangeboden door bedrijven als Neoteris (overgenomen door NetScreen), Nortel en Netilla.

Wat is beter?

Voor beide technologieën zijn toepassingsgebieden. SSL VPN’s zijn op dit moment een hype. Veel van oorsprong op IPSec gerichte fabrikanten, inclusief Cisco, zijn gestart met het leveren van VPN SSL-oplossingen. VPN SSL is vooral zinvol voor bedrijven waar veel mobiele medewerkers werken zonder een eigen notebook of voor thuiswerkplekken waar geen bedrijfs-pc wordt geplaatst. Bedrijven die specifiek één of meer toepassingen willen aanbieden aan externe medewerkers of toeleveranciers kunnen eveneens goed uit de voeten met een redelijk veilige SSL VPN.
Daar waar medewerkers hun eigen systeem onderweg gebruiken, volledige toegang dienen te hebben tot het bedrijfsnetwerk en een diversiteit aan toepassingen willen gebruiken heeft een IPSec VPN echter vaak de voorkeur. Vooral voor een internetverbinding tussen verschillende vestigingen is een IPSec VPN een geschikte oplossing.

Small and medium enterprise-oplossingen

Veel VPN-producten zijn hardware-oplossingen. Het Duitse AVM brengt echter het softwareproduct Access Server op de Nederlandse markt. Het product bestaat al enige tijd als een ISDN-inbelserver, maar hieraan zijn VPN-mogelijkheden toegevoegd, waardoor eindgebruikers de mogelijkheden van kabel- en DSL-verbindingen kunnen gebruiken om nevenkantoren te verbinden en op afstand te werken. Het grote voordeel is dat de communicatiekosten budgetteerbaar zijn, doordat er alleen vaste maandelijkse kosten gemaakt worden voor de kabel- of DSL-verbinding in plaats van variabele en vaak hoge telefoonkosten. De ISDN-mogelijkheid van Access Server kan gebruikt worden voor locaties waar kabel of DSL niet mogelijk zijn, en is tevens handig als terugvalmogelijkheid bij problemen met die verbinding.
De doelgroep voor Access Server zijn de small and medium enterprises (SME’s), volgens Jan Schöllhammer, productmanager van AVM. ‘Dit is feitelijk breder dan SOHO en omvat bedrijven met een omvang van 1 tot 1000 medewerkers, waarvan een deel op afstand toegang moet hebben tot bedrijfsgegevens. Dit kunnen medewerkers zijn die vanaf huis of een kleiner nevenkantoor eenvoudig via internet toegang krijgen tot het hoofdkantoor.’ Als voorbeeld noemt hij het Korps Landelijke Politiediensten, die de ISDN-oplossing gebruikt in combinatie met GSM-verbindingen, om de Mobipol-toepassing te bedienen op dertig boten en in zeventig politiewagens. De nieuwe Access Server met VPN-ondersteuning kan hier voor nog meer beveiliging zorgen.

IPComp

AVM’s Access Server is gebaseerd op IPSec VPN’s, waarbij de gehele IP-stack, die onafhankelijk is van de Windows-versie, door de fabrikant zelf is ontwikkeld. Access Server maakt gebruik van de compressietechniek IPComp. Schöllhammer. ‘De IPComp compressiemogelijkheid zorgt ervoor dat het verlies aan prestaties, dat door de noodzakelijke versleuteling van de communicatie ontstaat, teniet wordt gedaan.’ Dit houdt in dat Access Server in staat is over een ISDN-verbinding nagenoeg de volledige beschikbare bandbreedte te gebruiken voor daadwerkelijke communicatie.
Om twee kantoren te verbinden wordt op beide locaties een Access Server ingericht met een VPN-verbinding ertussen. Afzonderlijke werkplekken die een VPN-verbinding nodig hebben, gebruiken het product NetWAYS/ISDN om verbinding te maken met Access Server. Kennis van VPN’s is volgens Schöllhammer niet nodig; alleen basiskennis van IP-netwerken is voldoende om het product te installeren en beheren. Op de Access Server kan de bijbehorende client-configuratie geëxporteerd worden. Deze kan per e-mail worden verstuurd naar de medewerker, die de configuratie met één druk op de knop kan importeren om aan de slag te kunnen met VPN.
Om over internet een beveiligde tunnel te kunnen bouwen tussen bijvoorbeeld een hoofdkantoor en een nevenvestiging zijn normaal gesproken vaste IP-netwerkadressen nodig. In Access Server is echter de mogelijkheid standaard ingebouwd om gebruik te maken van Dynamic DNS. Dit is een gratis dienst op internet, waar een naam geregistreerd kan worden met een bijbehorend IP-adres. Als het dynamische IP-adres - dat veel internetproviders hanteren - verandert, past Dynamic DNS dit vanzelf aan. Access Server gebruikt de vaste naam die in Dynamic DNS opgevoerd is, waardoor een onafhankelijkheid van het netwerkadres van de provider ontstaat. ‘Ondersteuning van dynamische IP-adressen in combinatie met IPSec is vrij uitzonderlijk,’ meent Schöllhammer. ‘Dit maakt het voor kleine bedrijven met een kabel- of DSL-verbinding eenvoudig mogelijk om met VPN’s aan de slag te gaan.’

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/93363). © Jaarbeurs IT Media.

?


Lees meer over


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×