VPN is een techniek die al een hele tijd mee gaat. De VPN techniek is bedacht om thuiswerkers toegang te geven tot het bedrijfsnetwerk of om twee locaties over een openbaar netwerk aan elkaar te koppelen. De voorloper van de VPN was de modem. Hiermee bel je in op je bedrijfsnetwerk over een “openbaar” telefoonnetwerk. Hiervoor heb je een modem, een telefoonaansluiting en inbelsoftware nodig. Met de komst van internet en een vaste aansluiting deed de VPN technologie zijn intrede. Hiermee is het mogelijk om over het internet een veilige verbinding te maken met het bedrijfsnetwerk. In deze blog wil ik eens stil staan bij de verschillende VPN generaties.
De eerste generatie (internet) VPN
De eerste generatie VPN zijn VPN’s zoals PPTP (MS), L2F (Cisco), IPSec en L2TP. Om gebruik te kunnen maken van deze VPN technologie moet er op de gebruikerswerkplek een client geïnstalleerd en/of geconfigureerd worden. Dit is een handeling die voor de meeste eindgebruikers een te complexe handeling is. Daarnaast moet je ook vaak admin rechten hebben. Beheerders stellen daarom vaak deze VPN in voor de gebruiker en vertellen dan deze gebruiker wat hij moet doen.
Als een gebruiker dan thuis is kan hij of zij over internet de VPN opzetten en het bedrijfsnetwerk benaderen. Als ze ditzelfde vanaf een ander bedrijfsnetwerk proberen lukt dit niet altijd. De reden hiervan is dat de firewall vaak alleen HTTP en HTTPS verkeer doorlaten. De eerste generatie VPN gebruikt juist andere poorten en kunnen dus niet door deze firewalls heen.
Bij de eerste generatie VPN is het vaak alles of niets. Als organisatie kun je niet bepalen welk verkeer er wanneer over de VPN mag gaan. Als de gebruiker een VPN heeft opgezet kan al het verkeer door de VPN heen. Vaak kwamen VPN’s dan ook uit in een VPN wolk. Tussen de VPN wolk en het interne netwerk zit dan een firewall. Ook wordt split-tunneling toegepast en kan een gebruiker niet meer het internet op als de VPN openstaat. Hierdoor is het niet mogelijk om vanaf het internet, via de gebruikers PC een connectie te maken met het bedrijfsnetwerk.
De eerste generatie VPN kent dus drie nadelen:
- Ze moeten door een beheerder worden geconfigureerd
- Ze gaan niet door elke firewall heen
- Het gefaseerd toegang verlenen op basis van een aantal controles en regels, al zijn er in een later stadium wel oplossingen geweest die dit konden.
De tweede generatie (internet) VPN
De tweede generatie VPN is de SSL-VPN. Een SSL-VPN maakt gebruik van het SSL protocol om de client aan het bedrijfsnetwerk te koppelen. Door gebruik te maken van SSL gaat het netwerkverkeer over HTTPS (443) en deze staat wel open op de meeste firewalls. Hierdoor was het wel mogelijk om (bijna) overal de VPN op te bouwen.
Bij een SSL-VPN kwam ook de portal website. Een gebruiker logt in op een portal website. Deze portal website start dan met een client controle. Dit gebeurt met een ActiveX of Java plugin. Deze verzamelt dan gegevens over de status van de client. Is deze lid van het Domain? Welk operating system wordt er gebruikt? Is er een anti-virus software aanwezig? Aan de hand van deze gegevens en de gebruiker gegevens wordt er vervolgens bepaalt tot welke bedrijfsgegevens een gebruiker toegang krijgt. Hierdoor is het mogelijk dat een gebruiker in een internetcafé zijn mail kan lezen. Later in het hotel op zijn eigen laptop krijgt hij ook toegang tot de CRM website.
Naast het feit dat dit soort portals het mogelijk maken om gebruikers gefaseerd toegang te verlenen vragen ze ook om een minimale configuratie. De SSL-VPN wordt opgebouwd op basis van een Java of ActiveX plug-in client. In theorie hoeft een gebruiker alleen in te loggen op de portal om de VPN te starten. Maar omdat internet een onveilige plek is worden browsers steeds veiliger gemaakt. Hierdoor is het steeds lastiger of soms onmogelijk om de Java en ActiveX plug-in client te installeren. Gebruikers moeten dan lastige handelingen verrichten om de VPN aan de praat te krijgen. Handelingen die ze vaak niet mogen doen in een internetcafé.
De tweede generatie VPN loste dus twee van de drie nadelen op, maar het installeren is nog vaak lastig en soms zelfs onmogelijk als een gebruiker geen admin rechten heeft. Ook is dit een VPN technologie met veel overhead, omdat het IP pakketje helemaal ingepakt wordt in een SSL pakketje.
De derde generatie VPN
Met de komst van IPv6 en Windows 2008 R2/Windows 7 zien we een nieuwe VPN technologie ontstaan. Een VPN technologie waarbij de gebruiker altijd een VPN connectie heeft als hij een internet connectie heeft. Op het moment dat de client aangezet wordt zal deze een VPN connectie opbouwen met het bedrijfsnetwerk. Hiervoor zijn er geen handelingen meer nodig van de eindgebruiker. De VPN komt zelfs op, voor het aanloggen. De derde generatie VPN technologie zorgt er voor dat het interne netwerk uitgebreid wordt over het internet en dat elke client altijd een connectie heeft met het interne netwerk.
De grote voordelen van deze techniek is dan ook dat er geen gebruikers acties nodig zijn om de VPN op te bouwen. De gebruiker zal dan ook geen verschil merken tussen op kantoor werken en remote werken. Als beheerder kun je ook nu eenvoudiger remote support geven aan de gebruiker. Alle tools die je normaal gebruikt om gebruikers binnen je interne netwerk te ondersteunen kun je nu ook gebruiken voor mobiele gebruikers. Ook zaken als updates en policy’s kun je naar de client PC pushen zonder dat de gebruiker hoeft in te loggen.
Mobile IPv6 (MIPv6)
MIPv6 is een techniek dit speciaal bedoeld is voor mobile gebruikers. Gebruikers die geen vaste werkplek hebben en dus regelmatig op verschillende locaties zijn. MIPv6 zorgt er voor dat netwerk verkeer netjes over een tunnel verstuurt worden naar het bedrijfsnetwerk. Als beveiliging wordt er dan gebruik gemaakt van IPSec. (Er is ook een MIP). Voor een MIPv6 implementatie zul je op de client MIPv6 moeten configureren.
Direct Access.
De tweede techniek is Direct Access. Deze techniek heeft Microsoft gelanceerd met de komst van Windows 2008 R2 en Windows 7. Net als MIPv6 maakt Direct Access gebruik van IPv6 en IPSec om de VPN tunnel op te bouwen. Hij heeft geen IPv6 tegenhanger, maar met verschillende IPv6 tunneltechnieken is het wel mogelijk om met Direct Access over een IPv4 only netwerk te werken.
De derde generatie is het dus?
De derde generatie VPN klinkt als de ideale VPN technologie. Een VPN technologie die niet vraagt om enige gebruikers interactie. De gebruiker kan op een veilige manier bij al zijn bedrijfsgegevens en het enige wat hij hoeft te doen is zijn PC aanzetten. Toch zijn er twee addertjes onder het gras. Direct Access werkt alleen op Windows 7 en Windows 2008 R2 en er zijn nog weinig MIPv6 implementaties. Ook geldt er voor beide technieken dat je als beheerder eerst de client zal moeten configureren. Als een gebruiker dus in een internetcafé zit is het voor hem niet mogelijk om van deze technieken gebruik te maken. Daarnaast is de toegang weer op de eerste generatie VPN niveau. Gefaseerde toegang is weer een stuk lastiger. Al zien we wel dat deze technieken steeds beter worden en dus ook toegankelijker.
Conclusie
Als we door de generatie VPN technieken heen gaan zien we dat ze steeds gebruiksvriendelijk worden voor de eindgebruiker. De eerste VPN clients moesten nog worden geconfigureerd op de desktop. Bij de laatste VPN clients wordt de VPN in zijn geheel op machine niveau geconfigureerd. Welke is dan de beste. Die vraag is niet eenduidig te beantwoorden.
De eerste generatie VPN technieken is ideaal voor Site to Site VPN. In dit soort situaties heb je als beheerder de behoefte aan een stabiele en “eenvoudige” VPN techniek. Deze moet altijd aan staan en heeft niet te maken met gefaseerde toegang of “roaming users” die inloggen in een internetcafé. In dit soort situaties gaat het juist om verschillende locaties die je aan elkaar wilt koppelen door middel van een VPN. Device en software, zoals de Threat Management Gateway zullen gebruikt worden voor deze VPN technologie.
De tweede generatie VPN technieken zal gebruikt worden door gebruikers die niet de beschikking hebben over een “eigen” client. Als een gebruiker vanaf een openbare plek, zoals een internetcafé, toegang wil krijgen tot zijn bedrijfsgegevens dan is een SSL-VPN op basis van een portal, zoals de Unified Access Gateway, een mooie oplossing. De beheerder kan heel nauwkeurig bepalen tot in hoeverre een gebruiker toegang krijgt. Welke gegevens mag hij wel benaderen en welke niet en de gebruiker kan vanaf elke browser en elk OS toegang krijgen.
De derde generatie VPN is de oplossing voor je laptop. Als gebruiker heb je altijd connectie, als je een internet verbinding heb. Als beheerder kun je laptops goed beheren en onderhouden zonder dat een gebruiker regelmatig aanwezig moet zijn. Ook hier kun je de Threat Management Gateway of de Unified Access Gateway inzetten. Vooral de laatste biedt veel voordelen als Direct Access gateway.
Martijn Bellaard