VPN

Een VPN oftewel Virtueel Particulier Netwerk oftewel Virtueel Privénetwerk (Engels : Virtual Private Network) is een goedkope manier om een Wide Area Network (WAN) uit te bouwen met behoud van vertrouwelijkheid over een bestaande verbinding. Deze dienst maakt gebruik van een reeds bestaand netwerk, doorgaans het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken alsof er een dedicated netwerk voorzien was. De verzonden data kan het best beveiligd worden opdat de integriteit, autorisatie en authenticiteit van de data over dit onderliggende netwerk gewaarborgd blijft. De eindgebruikers zullen in principe niet merken dat er een VPN gebruikt wordt. Technisch zijn er ondertussen tal van protocollen uitgewerkt die deze dienst beschikbaar maken, het bekendste en meest courante protocol vandaag de dag is IPsec. `

Technologisch abstract

Een VPN is een netwerk dat door een ander netwerk (doorgaans het internet^[1]) getunneld wordt. Hierdoor wordt de theoretische topologie vereenvoudigd, de praktische routering daarentegen zal complexer worden afhankelijk van het onderliggende netwerk. Een VPN tracht de voordelen van het onderliggende netwerk te gebruiken en de nadelen ervan te compenseren. De primaire problemen met het datatransport over een onderliggend netwerk zijn de veiligheid en de betrouwbaarheid. Door encryptie en controlemaatregelen (CRC, …) kan een goed uitgewerkt VPN toch de integriteit, autorisatie en authenticiteit van de verzonden data verzorgen. Al deze beveiligingsmaatregelen moeten bovendien zo transparant mogelijk geïmplementeerd worden opdat de eindgebruikers er eenvoudig gebruik van kunnen maken. Verder moet er ook rekening gehouden worden met wetten^[2] die van kracht zijn omtrent de privacy van data.

Evolutie

Door de opkomst van de ICT werden de computer en het Local Area Network (LAN) al snel noodzakelijk binnen veel bedrijven. Hier hield de informatisering echter niet op. De LAN's van verschillende vestigingen of afdelingen moesten met elkaar verbonden worden om het delen van informatie mogelijk te maken en om uniforme netwerkdiensten aan te kunnen bieden (dataopslag, e-mail, ...). Daarnaast heeft het ook voordelen als een verkoper onderweg of een thuiswerker toegang kan krijgen tot dit netwerk. De bedrijven moesten dan inbellijnen of huurlijnen regelen om zo het Wide Area Network uit te bouwen waarbinnen deze voordelen en diensten mogelijk waren. Dit was kostbaar. Vanuit dit inzicht is het idee gegroeid om een reeds bestaand netwerk (met name het internet) aan te wenden bij de uitbouw van een WAN. Hierdoor vallen de kosten van de verschillende huurlijnen weg en wordt het netwerk algemeen toegankelijker. De bedrijven kunnen zo hun operationele kosten verminderen door de netwerkdiensten voor een WAN te outsourcen naar een internetprovider.

Classificaties

Er zijn tal van indelingen die gemaakt kunnen worden om VPN’s van elkaar te onderscheiden. De voornaamste classificaties zijn hieronder opgesomd:

Opstelling

Er zijn twee courante opstellingen waarin een VPN geconfigureerd kan worden. Ten eerste is er de remote-access VPN. Hierbij zal een gebruiker toegang krijgen tot de private LAN van een organisatie door middel van een VPN. Dan denken we in de eerste plaats aan werknemers die thuis of op verplaatsing toegang zullen hebben tot het private bedrijfsnetwerk. Ten tweede is er de site-to-site VPN. Hierdoor kan een organisatie de netwerken van geografisch gescheiden vestigingen met elkaar verbinden. Het resultaat van deze verbinding wordt een intranet VPN genoemd. Een andere mogelijkheid is dat verwante organisaties (bv. leveranciers en magazijniers) elkanders netwerken onderling verbinden om zo een intelligent geheel te bekomen opdat de productiviteit verhoogt. Hier spreken we over een extranet VPN. Daarnaast bestaan er natuurlijk nog andere opstellingen afhankelijk van de reële situatie, deze zijn meestal te herleiden tot een variant op de bovengenoemde opstellingen.

IETF

De Internet Engineering Task Force (IETF) onderscheidt enkele verschillende VPN’s. Het deelt de verschillende technologieën in op basis van het beheer van en tussen de verschillende netwerknodes. Hierdoor kan dan geclassificeerd worden op basis van zaken als beveiliging of quality of service (QoS). Bij een netwerk dat centraal beheerd wordt spreekt de IETF^[3] over een intranet. Als er meerdere beheersposten in het spel komen dan spreken we over een extranet. Deze indeling sluit logisch nauw aan bij de gelijknamige classificaties van de site-to-site indeling.

Daarnaast definieert IETF ook nog een provider-provisioned VPN. Een PPVPN^[4] is een totaalpakket voor een VPN-dienst die een internetprovider aanbiedt over zijn netwerk (zijnde het internet of specifiek aparte lijnen voor VPN). Het is specifiek gericht op bedrijven en organisaties die een WAN wensen uit te bouwen. In de praktijk betekent dit doorgaans dat de internetprovider een Service Level Agreement (SLA) afsluit waarbinnen de kwaliteit van het datatransport verzekerd wordt.

Beveiligingsmodel

Het onderliggende netwerk dat gebruikt wordt zal ofwel vertrouwd of niet vertrouwd worden door het VPN. Het is aangeraden om het onderliggende netwerk simpelweg niet te vertrouwen, zeker niet als dit het internet is. Het VPN-protocol moet dan technologieën voorzien om de beveiliging te verzorgen. Als je toch het onderliggende netwerk vertrouwt dan wordt er gesproken over een trusted VPN (of een Actual Private Network). Hierbij wordt de beveiliging volledig afgehandeld door het onderliggende netwerk, zonder eigen controlemogelijkheden.

Een essentieel stuk van de beveiliging is de authenticiteit van de data. Dit wil zeggen dat de originaliteit en de herkomst van de data betrouwbaar moeten zijn. Een beveiligingsmodel kan opteren om eerst de authenticiteit van de deelnemers aan de VPN-verbinding te controleren alvorens de eigenlijke verbinding op te zetten. Een andere mogelijkheid is dan weer om de authenticiteit te verzorgen bij de eigenlijke transmissie.

Beveiliging

VPN-technieken kunnen ook worden gebruikt om de beveiliging van een eigen netwerk te verbeteren, maar ze zijn in de eerste plaats ontworpen om veilig transport over een onveilig netwerk mogelijk te maken.

Topologie

In de eerste plaats zal het private netwerk gescheiden moeten worden van het onderliggende netwerk door middel van een firewall. Deze module zal zowel binnenkomende als uitgaande trafiek analyseren en zo nodig stoppen, je kan zijn functie omschrijven als een filter. De firewall moet strategisch opgesteld staan tussen de verbinding van het private netwerk met het publieke netwerk. Een firewall biedt een hardwarematige isolatie van het private netwerk om ongewenste bezoekers te vermijden. Het is imperatief dat openingen in de firewall voor VPN-doeleinden de algemene beveiliging niet ondermijnen.

Kort na deze firewall zal er bij site-to-site VPN een AAA-server (authenticiteit, autorisatie en accounting) moeten volgen die VPN-pakketten kan vertalen zodat die ofwel op het private netwerk kunnen routeren, ofwel klaar zijn om verzonden te worden over het publieke netwerk. Dit wordt praktisch geïmplementeerd door een daemon die het VPN-protocol verzorgt op een dedicated VPN-server. Bij remote-access VPN zal de gebruiker lokaal op zijn eigen computer, software moeten gebruiken om het VPN-protocol uit te voeren. Een firewall kan eventueel ook softwarematig geïmplementeerd worden.

Encryptie

Encryptie wordt bij tal van protocollen gebruikt om geheimhouding van data te realiseren. Bij encryptie zal de data getransformeerd worden naar een onleesbare vorm, de zogenaamde cyphertekst. Door middel van een sleutel kan de ontvanger dan een omgekeerde transformatie uitvoeren waardoor de tekst terug leesbaar wordt. De meest performante encryptietechnieken vandaag de dag zijn 3DES en AES. AES heeft altijd de voorkeur vanwege haar sterkere crypto eigenschappen t.o.v. 3DES. 3DES is verouderd en mag alleen gebruikt worden als er geen mogelijkheden zijn om AES te gebruiken.

Tunneling

Bij tunneling wordt een pakket voor het private netwerk geëncapsuleerd binnen een nieuw pakket om over het publieke netwerk verzonden te worden. Een eerste reden hiervoor is om het originele pakket compatibel te maken met het publieke netwerk. Deze stap kan met de werking van een bridge vergeleken worden. Een andere reden is de beveiliging van het originele pakket. Het originele pakket kan namelijk volledig geëncrypteerd worden waarna het dan geëncapsuleerd zal worden binnen een nieuw pakket. Het geëncapsuleerde pakket zal dan verzonden worden over het onderliggende netwerk, en eens aangekomen uitgepakt worden zodat met het originele pakket verder gewerkt kan worden. Tunneling is een veelgebruikte techniek bij tal van VPN-implementaties.

Voordelen

Technologische voordelen

Het succes van een goed uitgewerkt VPN hangt in beduidende mate af van het internet. Tal van de voordelen van een VPN vinden namelijk hier hun beginsel. Door de brede beschikbaarheid van het internet zal het private netwerk algemeen toegankelijker worden. Verder zal de verbinding tussen de verschillende uiteinden van een VPN-verbinding maar moeilijk verbroken kunnen worden daar de routering over het internet zoveel verschillende alternatieven biedt. Hierdoor verhoogt de betrouwbaarheid. Daarnaast zal het internet ook nog een deel van de schaalbaarheid voor zijn rekening nemen, het kan een grote variëteit qua datatransport aan. Een ander deel van de schaalbaarheid zal de technologie zelf moeten oplossen, dan denken we bijvoorbeeld aan het aantal gebruikers die tegelijkertijd een VPN opzetten of de grootteorde van de getransporteerde data. Verder moet de technologie ook nog de veiligheid garanderen. De kern van deze voordelen is samengevat in de volgende opsomming:

• Algemeen toegankelijk
• Veilig (authenticiteit, autorisatie & integriteit)
• Betrouwbaar
• Schaalbaar

Praktische voordelen

Voor de bedrijven of organisaties die een WAN opzetten door middel van een VPN zijn er tal van praktische voordelen, vooral dan in vergelijking met de alternatieven (huurlijnen, …). Ten eerste zal elke medewerker het private netwerk eender waar ter wereld kunnen benaderen via het internet. Op de macroschaal zal dit de algemene productiviteit ten gunste komen. Verder is het opzetten en onderhouden van een VPN goedkoper dan de alternatieven. Al wat er nodig is, is dedicated hardware en software gecombineerd met toegang tot het internet. In vergelijking met de alternatieven een investering die snel zal renderen. De kern van deze voordelen wordt in de volgende opsomming gegeven:

• Globaal beschikbaar
• Verhoogde productiviteit
• Goedkoper
• Snelle return on investment

Protocollen

• IPsec, IP security, ontwikkeld door IETF, werkt op basis van 2 headers: de Authentication Header (AH) en Encapsulating Security Payload (ESP), verplicht gebruik bij IPv6
• SSL/TLS, Secure Sockets Layer/Transport Layer Security, geschikt voor tunneling, niet specifiek ontwikkeld voor VPN-doeleinden
• L2F, Layer Two Forwarding, ontwikkeld door Cisco, geschikt voor tunneling, geen encryptie mogelijk, niet specifiek ontwikkeld voor VPN-doeleinden
• PPTP, Point to Point Tunneling Protocol, ontwikkeld door Microsoft, geschikt voor remote-access VPN
• L2TP, Layer Two Tunneling Protocol, combinatie van L2F en PPTP, geschikt voor remote-access VPN, kan simultaan meerdere tunnels onderhouden voor een gebruiker
• OpenVPN, een open standaard vergelijkbaar met SSL VPN

Externe links

• (en) How Virtual Private Networks Work, J. Tyson
• (en) Microsoft TechNet Virtual Private Networks
• (en) OpenVPN
• (en) Virtual Private Network Consortium
• (en) VPN Tunneling, B. Mitchell

  Zie ook de categorie met mediabestanden in verband met Virtual Private Network (VpN) op Wikimedia Commons.

Referenties