Virtueel Particulier Netwerk

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Een Virtueel Particulier Netwerk of Virtueel Privénetwerk (Engels: Virtual Private Network, VPN) is een goedkope manier om een Wide Area Network (WAN) uit te bouwen met behoud van vertrouwelijkheid over een bestaande verbinding.

Data[bewerken]

Deze dienst maakt gebruik van een reeds bestaand netwerk, doorgaans het internet, om informatiedeling tussen geografisch gescheiden netwerken mogelijk te maken alsof er een dedicated network was. De verzonden data kunnen het best beveiligd worden zodat de integriteit, autorisatie en authenticiteit van de data over dit onderliggende netwerk gewaarborgd blijven. De eindgebruikers zullen in principe niet merken dat er een VPN gebruikt wordt. Technisch zijn er ondertussen tal van protocollen uitgewerkt die deze dienst beschikbaar maken. Het bekendste en courantste protocol vandaag de dag is IPsec.

Malafide gebruik[bewerken]

Met VPN kan de gebruiker zich onbeperkt van IP-adressen voorzien. Dit wordt vaak gebruikt door gebruikers die verbannen worden van bijvoorbeeld een forum of chatbox (IP-blokkade) of wiki-site. Door via VPN een ander IP-adres te gebruiken, kan zo'n gebruiker toch terugkeren naar dit forum of deze chatbox. Dientengevolge stellen beheerders tegenwoordig vaak beperkingen aan het gebruiken van dit soort netwerken.

Technologisch abstract[bewerken]

WAN topologie

Een VPN is een netwerk dat door een ander netwerk (gewoonlijk het internet)[1] getunneld wordt. Hierdoor wordt de theoretische topologie vereenvoudigd, de praktische routering daarentegen zal complexer worden afhankelijk van het onderliggende netwerk. Een VPN tracht de voordelen van het onderliggende netwerk te gebruiken en de nadelen ervan te compenseren. De primaire problemen met het datatransport over een onderliggend netwerk zijn de veiligheid en de betrouwbaarheid. Door encryptie en controlemaatregelen (bijvoorbeeld CRC) kan een goed uitgewerkt VPN toch de integriteit, autorisatie en authenticiteit van de verzonden data verzorgen. Al deze beveiligingsmaatregelen moeten bovendien zo transparant mogelijk geïmplementeerd worden, opdat de eindgebruikers er eenvoudig gebruik van kunnen maken. Verder moet er ook rekening gehouden worden met wetten[2] die van kracht zijn omtrent de privacy van data.

Evolutie[bewerken]

Door de opkomst van de ICT werden binnen veel bedrijven de computer en het Local Area Network (LAN) al snel noodzakelijk. Hier hield de informatisering echter niet op. De LAN's van verschillende vestigingen of afdelingen moesten met elkaar verbonden worden om het delen van informatie mogelijk te maken en om uniforme netwerkdiensten aan te kunnen bieden (dataopslag, e-mail etc.). Daarnaast heeft het ook voordelen als een verkoper onderweg of een thuiswerker toegang kan krijgen tot dit netwerk. De bedrijven moesten dan inbellijnen of huurlijnen regelen om zo het Wide Area Network uit te bouwen waarbinnen deze voordelen en diensten mogelijk waren. Dit was duur. Vanuit dit inzicht groeide het idee om een reeds bestaand netwerk (met name het internet) aan te wenden bij de uitbouw van een WAN. Hierdoor vallen de kosten van de verschillende huurlijnen weg en wordt het netwerk algemeen toegankelijker. De bedrijven kunnen zo hun operationele kosten verminderen door de netwerkdiensten voor een WAN uit te besteden aan een internetprovider.

Classificaties[bewerken]

Er zijn tal van indelingen die gemaakt kunnen worden om VPN's van elkaar te onderscheiden. De voornaamste classificaties zijn hieronder opgesomd:

Opstelling[bewerken]

Remote-access VPN
Site-to-site VPN

Er zijn twee courante opstellingen waarin een VPN geconfigureerd kan worden. Ten eerste is er de remote-access-VPN. Hierbij zal een gebruiker toegang krijgen tot de private LAN van een organisatie door middel van een VPN. In de eerste plaats valt dan te denken aan werknemers die thuis of op verplaatsing toegang zullen hebben tot het private bedrijfsnetwerk. Ten tweede is er de site-to-site-VPN. Hierdoor kan een organisatie de netwerken van geografisch gescheiden vestigingen met elkaar verbinden. Het resultaat van deze verbinding wordt een intranet-VPN genoemd. Een andere mogelijkheid is dat verwante organisaties (bijvoorbeeld leveranciers en magazijniers) elkanders netwerk onderling verbinden om zo een intelligent geheel te bekomen, opdat de productiviteit stijgt. Dit betreft een extranet-VPN. Daarnaast bestaan er natuurlijk nog andere opstellingen afhankelijk van de reële situatie. Deze zijn meestal te herleiden tot een variant op de bovengenoemde opstellingen.

IETF[bewerken]

De Internet Engineering Task Force (IETF) onderscheidt enkele verschillende VPN's. Het deelt de verschillende technologieën in op basis van het beheer van en tussen de verschillende netwerknodes. Hierdoor kan dan geclassificeerd worden op basis van zaken als beveiliging of quality of service (QoS). Bij een netwerk dat centraal beheerd wordt, spreekt de IETF[3] van een intranet. Als er meerdere beheersposten in het spel komen, dan wordt gesproken over een extranet. Deze indeling sluit logisch nauw aan bij de gelijknamige classificaties van de site-to-site-indeling.

Daarnaast definieert IETF ook nog een provider-provisioned-VPN. Een PPVPN[4] is een totaalpakket voor een VPN-dienst die een internetprovider aanbiedt via zijn netwerk (zijnde het internet of specifiek aparte lijnen voor VPN). Het is specifiek gericht op bedrijven en organisaties die een WAN wensen uit te bouwen. In de praktijk betekent dit meestal dat de internetprovider een service level agreement (SLA) afsluit waarbinnen de kwaliteit van het datatransport verzekerd wordt.

Beveiligingsmodel[bewerken]

Het onderliggende netwerk dat gebruikt wordt zal ofwel 'vertrouwd' of 'niet vertrouwd' worden door het VPN. Het valt aan te raden om het onderliggende netwerk simpelweg niet te vertrouwen, zeker niet als dit het internet is. Het VPN-protocol moet dan in technologieën voorzien om de beveiliging te verzorgen. Als men toch het onderliggende netwerk vertrouwt, wordt er gesproken over een 'trusted VPN' (of een 'Actual Private Network'). Hierbij wordt de beveiliging volledig afgehandeld door het onderliggende netwerk, zonder eigen controlemogelijkheden.

Een essentieel stuk van de beveiliging is de authenticiteit van de data. Dit wil zeggen dat de originaliteit en de herkomst van de data betrouwbaar moeten zijn. Een beveiligingsmodel kan ervoor kiezen om eerst de authenticiteit van de deelnemers aan de VPN-verbinding te controleren alvorens de eigenlijke verbinding op te zetten. Een andere mogelijkheid is om de authenticiteit te verzorgen bij de eigenlijke transmissie.

Beveiliging[bewerken]

VPN-technieken kunnen ook worden gebruikt om de beveiliging van een eigen netwerk te verbeteren, maar ze zijn in de eerste plaats ontworpen om veilig transport over een onveilig netwerk mogelijk te maken.

Topologie[bewerken]

In de eerste plaats zal het private netwerk gescheiden moeten worden van het onderliggende netwerk door middel van een firewall. Deze module zal zowel binnenkomend als uitgaand verkeer analyseren en zo nodig stoppen: de module kan als een filter worden beschouwd. De firewall moet strategisch opgesteld staan in de verbinding tussen het private en publieke netwerk. Een firewall biedt een hardwarematige isolatie van het private netwerk om ongewenste bezoekers te vermijden. Het is imperatief dat openingen in de firewall voor VPN-doeleinden de algemene beveiliging niet ondermijnen.

Vlak achter deze firewall zal er bij site-to-site-VPN een AAA-server (authenticiteit, autorisatie en accounting) moeten volgen die VPN-pakketten kan vertalen, zodat die ofwel op het private netwerk kunnen routeren, ofwel klaar zijn om verzonden te worden over het publieke netwerk. Dit wordt praktisch geïmplementeerd door een daemon die het VPN-protocol verzorgt op een dedicated-VPN-server. Bij remote-access-VPN zal de gebruiker lokaal op zijn eigen computer software moeten gebruiken om het VPN-protocol uit te voeren. Een firewall kan eventueel ook softwarematig geïmplementeerd worden.

Encryptie[bewerken]

Encryptie wordt bij tal van protocollen gebruikt om geheimhouding van data te realiseren. Bij encryptie zullen de data getransformeerd worden naar een onleesbare vorm, de zogenaamde cyphertekst. Door middel van een sleutel kan de ontvanger dan een omgekeerde transformatie uitvoeren, waardoor de tekst weer leesbaar wordt. De meest performante encryptietechnieken vandaag de dag zijn 3DES en AES. AES heeft altijd de voorkeur vanwege zijn sterkere crypto-eigenschappen in vergelijking met 3DES. 3DES is verouderd en mag alleen gebruikt worden als er geen mogelijkheden zijn om AES te gebruiken.

Tunneling[bewerken]

Bij tunneling wordt een pakket voor het private netwerk geëncapsuleerd binnen een nieuw pakket om over het publieke netwerk verzonden te worden. Een eerste reden hiervoor is om het originele pakket compatibel te maken met het publieke netwerk. Deze stap kan met de werking van een bridge vergeleken worden. Een andere reden is de beveiliging van het originele pakket. Het originele pakket kan namelijk volledig versleuteld worden, waarna het geëncapsuleerd zal worden binnen een nieuw pakket. Het geëncapsuleerde pakket zal dan verzonden worden via het onderliggende netwerk en na aankomst uitgepakt worden, zodat met het originele pakket verder gewerkt kan worden. Tunneling is een veelgebruikte techniek bij tal van VPN-implementaties.

Voordelen[bewerken]

Technologische voordelen[bewerken]

Het succes van een goed uitgewerkt VPN hangt in beduidende mate af van het internet. Tal van de voordelen van een VPN vinden namelijk hier hun beginsel. Door de brede beschikbaarheid van het internet zal het private netwerk algemeen toegankelijker worden. Verder zal de verbinding tussen de verschillende uiteinden van een VPN-verbinding maar moeilijk verbroken kunnen worden, daar de routering over het internet zoveel verschillende alternatieven biedt. Hierdoor neemt de betrouwbaarheid toe. Daarnaast zal het internet ook nog een deel van de schaalbaarheid voor zijn rekening nemen; het kan een grote variëteit qua datatransport aan. Een ander deel van de schaalbaarheid zal de technologie zelf moeten oplossen. Te denken valt bijvoorbeeld aan het aantal gebruikers die tegelijkertijd een VPN opzetten of de grootteorde van de getransporteerde data. Verder moet de technologie ook nog de veiligheid garanderen. De kern van deze voordelen is samengevat in de volgende opsomming:

Praktische voordelen[bewerken]

Voor de bedrijven of organisaties die een WAN opzetten door middel van een VPN zijn er tal van praktische voordelen, vooral in vergelijking met de alternatieven (huurlijnen etc.). Ten eerste zal iedere medewerker het private netwerk eender waar ter wereld kunnen benaderen via het internet. Op de macroschaal zal dit de algemene productiviteit ten gunste komen. Verder is het opzetten en onderhouden van een VPN goedkoper dan bij de alternatieven. Al wat er nodig is, is dedicated hardware en software gecombineerd met toegang tot het internet. In vergelijking met de alternatieven is dit een investering die snel zal renderen. De kern van deze voordelen wordt in de volgende opsomming gegeven:

Protocollen[bewerken]

  • IPsec, IP security, ontwikkeld door IETF, werkt op basis van twee headers: de Authentication Header (AH) en Encapsulating Security Payload (ESP), verplicht gebruik bij IPv6
  • SSL/TLS, Secure Sockets Layer/Transport Layer Security, geschikt voor tunneling, niet specifiek ontwikkeld voor VPN-doeleinden
  • L2F, Layer Two Forwarding, ontwikkeld door Cisco, geschikt voor tunneling, geen encryptie mogelijk, niet specifiek ontwikkeld voor VPN-doeleinden
  • PPTP, Point to Point Tunneling Protocol, ontwikkeld door Microsoft, geschikt voor remote-access-VPN
  • L2TP, Layer Two Tunneling Protocol, combinatie van L2F en PPTP, geschikt voor remote-access-VPN, kan simultaan meerdere tunnels onderhouden voor een gebruiker
  • OpenVPN, een open standaard vergelijkbaar met SSL VPN
Bronnen, noten en/of referenties
  1. (en) RFC 2746 A Framework for IP Based Virtual Private Networks, B. Gleeson et al., februari 2000
  2. Bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, "De lidstaten moeten door hun nationale wetgeving het vertrouwelijke karakter van de communicatie via openbare elektronische communicatienetwerken garanderen.", juli 2002
  3. (en) RFC 2457 Border Gateway Protocol / Multiprotocol Label Switching VPN's, E. Rosen & Y. Rekhter, maart 1999
  4. (en) RFC 3809 Generic Requirements for Provider Provisioned Virtual Private Networks (PPVPN), A. Nagarajan, juni 2004 & RFC 4026 Provider-Provisioned Virtual Private Networks Terminology, L. Andersson & T. Madsen, maart 2005