Inhoudsopgave:
Video: Hoe Zorgen We Voor Een Veilig Digitaal Nederland? | Alert Online 2024
Virtuele privénetwerken (VPN's) zijn gemaakt om twee verschillende problemen aan te pakken: de hoge kosten van toegewijde huurlijnen die nodig zijn voor de communicatie tussen filialen en de noodzaak om werknemers een methode van veilig verbinden met de netwerken van het hoofdkantoor wanneer ze op zakenreis waren of thuiswerkten.
Hoe een VPN werkt
Een VPN gebruikt een speciaal protocol om een virtueel kanaal tot stand te brengen tussen twee of twee netwerken. Stel je voor dat je een zeepbel in de vorm van een buis zou kunnen blazen en alleen jij en je vriend er doorheen zouden kunnen praten. De bubbel is tijdelijk en als je nog een gesprek wilt voeren, moet je een nieuwe bubbel maken. Dat is een beetje zoals het kanaal van een VPN. Dit kanaal is eigenlijk een tijdelijke directe sessie. Dit is wat gewoonlijk tunneling wordt genoemd.
Vervolgens wisselt de VPN een set gedeelde geheimen uit om een coderingssleutel te maken. Het verkeer dat langs het bestaande kanaal reist, is ingepakt met een gecodeerd pakket dat een adres heeft aan de buitenkant van het pakket, maar waarvan de inhoud aan het zicht is onttrokken. Het is een soort snoeppapiertje. Je kunt het snoep zien, maar je weet niet echt hoe het snoep er aan de binnenkant uitziet. Hetzelfde gebeurt met het gecodeerde verkeer. De originele inhoud is aan het zicht onttrokken, maar heeft voldoende informatie om het naar zijn bestemming te brengen. Nadat de gegevens de bestemming hebben bereikt, wordt het omhulsel veilig verwijderd.
Een VPN instellen
U kunt een VPN op twee manieren instellen: de eerste manier wordt normaal gesproken gebruikt tussen netwerken en firewalls of coderingsrouters om het verkeer te versleutelen en decoderen. In deze opstelling is er geen behoefte aan speciale software op de desktop- of clientcomputers. De tweede methode is om een firewall, een coderingsrouter of een VPN-server aan de bestemmingszijde en speciale VPN-clientsoftware op de desktop- of laptopcomputers te hebben. Het hangt er allemaal vanaf of de VPN tweerichtingsbediening of eenrichtingsverkeer is.
Bepaal de relatie
In een wederzijdse relatie heb je twee netwerken die willen samenwerken en elk heeft in principe dezelfde VPN-configuratie als de andere. Het verzoek om een VPN-verbinding tot stand te brengen, kan uit beide richtingen komen. Er is geen speciale software nodig op de desktopcomputers omdat alle codering en decodering wordt uitgevoerd aan de begin- en eindpunten van het netwerk. Beide netwerken hebben ook sleutelbeheersystemen zodat ze beide geheime sleutels voor een VPN-sessie kunnen maken.Het is belangrijk dat de twee netwerken compatibele VPN-componenten hebben, anders zijn ze niet succesvol in het praten met elkaar.
In een eenrichtingsrelatie heeft het bestemmingsnetwerk de VPN-configuratie en is er geen overeenkomst met een ander te delen netwerk. In dat geval moet de computer die verbinding met het netwerk wil maken VPN-clientsoftware hebben en kan het verzoek slechts in één richting worden gedaan - van de client naar het netwerk. De clientsoftware kan zichzelf aanvragen en verifiëren, maar de mechanismen voor het maken van geheime sleutels bevinden zich alleen op het netwerk. Op de clientcomputer wordt een geheime sleutel opgeslagen op zichzelf, maar deze kan geen nieuwe sleutels maken.
Over het algemeen wordt het eenrichtingssysteem gebruikt voor externe gebruikers die inbellen vanuit huis of terwijl ze onderweg zijn. Ze bellen via hun ISP en de mechanismen voor het opzetten en onderhouden van VPN-verbindingen zijn allemaal aanwezig op het bestemmingsnetwerk. Als iemand met een laptop zonder de VPN-clientsoftware verbinding probeerde te maken met het bedrijfsnetwerk, zou hij niet te ver komen omdat hij de clientsoftware of een geheime sleutel niet zou hebben. Bovendien zou de ongeautoriseerde gebruiker niet worden vermeld in de VPN-database van geautoriseerde gebruikers. Wanneer iemand echter inbelt en wordt geverifieerd, is zijn toegang hetzelfde als wanneer deze zich in hetzelfde gebouw als het bestemmingsnetwerk bevond.
Binnen of buiten?
U kunt het VPN -eindpunt op verschillende locaties instellen. Het eindpunt is waar het VPN-verkeer uw netwerk binnenkomt. In sommige gevallen is het eindpunt ook de firewall omdat veel firewalls tegenwoordig worden geleverd met VPN-mogelijkheden. Het eindpunt kan ook voor de firewall staan, in een DMZ aan één kant van de firewall of aan de binnenkant van de firewall. Elk van deze configuraties heeft plussen en minnen.
Als u ervoor kiest om uw VPN voor de firewall te plaatsen, voert het mechanisme alle versleuteling en decodering alleen uit. Dat betekent dat u geen open VPN-tunnel door uw firewall hoeft toe te staan. Al het verkeer door de firewall is vooraf gefilterd en geformatteerd, zodat de firewall het kan lezen. Als de VPN echter mislukt of wordt verwijderd, wordt u geconfronteerd met een situatie waarbij al het verkeer ongecodeerd wordt verbroken of helemaal geen verkeer wordt vrijgegeven. Het hangt ervan af of uw VPN in de open of gesloten positie zal falen.
Een VPN op de firewall lijkt een goede oplossing, omdat u opnieuw geen open tunnel door de firewall hoeft te laten. De firewall zal alle codering, decodering en de reguliere taak van het onderzoek van verkeer verwerken. Dit type oplossing legt echter een enorme last op de arme kleine firewall. Versleuteling en decodering zijn arbeidsintensief voor een computer, net als het onderzoek van verkeer, en dat zou kunnen leiden tot een knelpunt voor het verkeer.
Een andere methode is om de VPN aan de binnenkant van de firewall te plaatsen. Dit ontlast de firewall en / of de router van het afhandelen van de codering en decodering van het verkeer, maar u moet een VPN-tunnel door de firewall laten gaan.Een firewall kan gecodeerd verkeer niet lezen en het zorgt ervoor dat verkeer ongehinderd kan passeren. Natuurlijk wordt het verkeer nog steeds gestopt door het VPN-mechanisme, maar tegen die tijd bevindt het zich al in het interne netwerk.
De client beveiligen
Waarschijnlijk de gemakkelijkste manier om de beveiliging van een VPN te doorbreken, is om een laptop te bemachtigen die wordt gebruikt om in te bellen voor een VPN-verbinding. De gestolen laptop heeft de VPN-clientsoftware, de gebruikers-ID en de geheime sleutel die allemaal op één computer zijn opgeslagen. Een slimme laptopeigenaar heeft het wachtwoord voor de VPN-tunnel op zijn computer niet opgeslagen. Als dat zo is, heeft de dief net een gratis kaartje gekregen om rond te dwalen in je netwerk!
Gebruikers die laptops gebruiken om VPN-verbindingen met uw netwerk tot stand te brengen, moeten lessen worden geleerd bij het handhaven van een goede beveiliging. Ze moeten beschikken over up-to-date antivirussoftware en ervoor zorgen dat deze wordt uitgevoerd telkens wanneer ze hun computer starten. Bovendien moet de laptop beschikken over een persoonlijke firewallsoftware. Sommige VPN-clients bevatten al persoonlijke firewalls, dus u moet uw leverancier vragen of deze wel of niet werkt. De persoonlijke firewall kan ervoor zorgen dat alleen de VPN-client verbinding maakt en dat het niet echt een Trojaans paardprogramma is dat zich voordoet als de VPN-client. Een andere goede voorzorgsmaatregel is om het BIOS-wachtwoord in te schakelen. Op die manier kan, als de computer wordt gestolen, deze zelfs zonder het wachtwoord niet worden opgestart.