Veilig internetten in de tunnel die VPN heet

Jeroen van Onselen
Alle VPN's zijn bruikbaar, maar niet alle VPN's zijn geschikt. Het maakt nogal wat uit of je als werknemer thuis inlogt op het bedrijfsnetwerk, of dat je als freelancer bij Starbucks een belangrijk document bewerkt voor je opdrachtgever. Betaal je voor de dienst, of ga je voor gratis? En wat hebben de protocollen SSL en IPsec ermee te maken? Lees het hier, en voel je veilig op internet.

Wie moet de VPN beschermen? We bespreken hier twee mogelijkheden: je gebruikt de VPN om op het netwerk van je werkgever te komen. Daarna kijken we naar de ZZP'er.

Werken vanuit huis met een VPN

 In deze tijd is het heel gebruikelijk dat werknemers één of meer dagen vanuit huis werken. Dat scheelt in de reistijden en daarnaast is het doorgaans ook goed te combineren met de zorg voor de kinderen. Het is ook goed voor het milieu omdat door minder autoverkeer de files verminderen. In de eigen woning hebben thuiswerkers vaak een werkplek met internetaansluiting ingericht. Om op een veilige en betrouwbare manier verbinding te maken met het bedrijfsnetwerk wordt veelal een VPNverbinding ingezet. De werknemer die vanuit huis werkt maakt namelijk gebruik van applicaties van het bedrijf. Tussen de bedrijfsapplicatie en de thuiswerkplek van de medewerker wordt vertrouwelijke informatie uitgewisseld. Het is belangrijk dat uitgewisselde informatie niet wordt onderschept als gevolg van onveilige verbindingen. In bovenstaande situatie kan een VPNverbinding een goede dienst bewijzen. Via een VPN-verbinding ontstaat een veilige tunnel tussen de werkplek bij de werknemer thuis en de ICT-omgeving van het bedrijf. Voor de versleuteling van informatie via de VPN-verbinding zijn verschillende protocollen beschikbaar, zoals PPTP, OpenVPN, IPSec, SSL en L2TP.

VPN voor ZZP’ers

ZZP’ers werken vaak voor diverse opdrachtgevers en het gaat altijd om vertrouwelijke informatie die niet in verkeerde handen mag vallen. In de praktijk blijken veel ZZP’ers buiten de deur te werken en dan gaat het om openbare locaties, zoals horecagelegenheden en flexplekken waar een publieke wifiverbinding beschikbaar is. Het werken via zo’n publieke wifi-verbinding brengt de nodige gevaren met zich mee. Met de juiste tools blijkt het namelijk mogelijk om een openbaar wifi-netwerk af te luisteren. Op deze manier zijn gebruikte gebruikersnamen en wachtwoorden te achterhalen en ook verzonden en ontvangen informatie is af te vangen. Om als ZZP'er veilig via een openbare wifi-verbinding te werken, is een VPN-verbinding aan te bevelen. Maak je via een VPN-dienst connectie met internet, dan is alle communicatie tussen jouw computer en het openbare wifi-netwerk versleuteld. Hackers krijgen dan niet via dit openbare wifi-netwerk toegang tot jouw data.

VPN-diensten VPN-diensten zijn beschikbaar in twee varianten: gratis en betaald. Gratis aanbieders zijn over het algemeen altijd af te raden. De snelheid is vaak tergend langzaam en daarnaast is het maar de vraag welke personen achter de gratis dienst zitten. Het is best mogelijk dat ze jouw vertrouwelijke informatie buitmaken. Niet doen dus. Verstandiger is om voor een betaalde VPN-dienst te kiezen. De snelheid is over het algemeen goed tot acceptabel en daarnaast kun je kiezen uit verschillende protocollen voor de versleuteling van je verbinding. Om van een VPN-dienst gebruik te maken, sluit je het abonnement af bij een aanbieder. Abonnementen kun je afsluiten op maand- en jaarbasis. Betalen kan op verschillende manieren zoals creditcard, Paypal en soms zelfs anoniem via Paysafecard. In sommige gevallen kun je zelfs gebruik maken van een gratis proefperiode om de dienst uit te proberen. Dat is wel aan te bevelen omdat je dan de snelheid en gebruiksvriendelijkheid van de dienst kunt testen. Kies je voor een VPN-dienst, dan kun je de software van de aanbieder gebruiken. Na installatie heb je de optie om via de server van de VPN-aanbieder connectie te maken met het internet. In de meeste clients kun je instellen dat de VPN-verbinding automatisch tot stand komt op het moment dat je jouw computer opstart.

OpenVPN Wie niet de software van de VPN-aanbieder wil gebruiken, kan ook een applicatie naar keuze installeren. Een populair en gratis pakket in dit verband is OpenVPN. Je kunt dan alles naar wens instellen met loginen servergegevens die je van de VPN-aanbieder hebt ontvangen. Om van een applicatie als OpenVPN gebruik te maken, heb je wel enige technische kennis nodig. Heb je deze kennis niet en wil je snel via een VPN-dienst online zijn, kies dan voor de meegeleverde software van de aanbieder.

Geografische blokkades

Met een VPN-dienst kun je ook geografische blokkades omzeilen. Dat komt omdat je bij elke VPN-aanbieder kunt kiezen uit servers in verschillende landen. Maak je connectie met een VPN-server in Duitsland, dan krijg je automatisch een IP-adres uit dit land. Voor websites ben je dan een internetgebruiker uit Duitsland en je kunt ook content bekijken 

die alleen voor inwoners van dat land is bedoeld. Voor ZZP’ers die in Nederland werken, is een snelle VPN-server die in ons land staat aan te bevelen. Heb je na afl oop van een drukke werkdag zin om een Netfl ix-serie te kijken die alleen bedoeld is voor de Amerikaanse markt? Kies dan in je VPN-client voor een Amerikaanse server en de kans is groot dat je als een Yankee de serie kunt bekijken. Bedenk wel dat Netfl ix ook niet gek is en inmiddels een groot aantal VPNaanbieders met Amerikaanse servers op hun zwarte lijst heeft gezet.

De diepte in met VPN: hulp bij het kiezen van het juiste protocol

We bespreken hier twee VPN-protocollen. Wat is beter voor het beveiligen van de tunnel: IPsec of SSL? Het korte antwoord is dat de een niet beter dan de ander is. Het ligt eraan wat jij belangrijk vindt. Het lang antwoord vraagt om uitleg van de werking van de protocollen.

Kies IPsec als aanvullende software geen probleem is

VPN's met IPsec bestaan langer dan die met SSL. Het open sourceprotocol opereert op Layer 3 van het OSI-model. In normaal Nederlands betekent dit dat je packets op netwerkniveau versleuteld worden. De server behandelt de client dan als een volwaardig lid van het netwerk. Het nadeel is dat je speciale client- en serversoftware nodig hebt, waarin de werknemer op afstand de client is en de werkgever de server. Wat top is vanuit security-oogpunt aangezien je nu triple-A-security kunt toepassen. Bovendien kan de client vanuit Layer 3 toegang krijgen tot de complete LAN. Het nadeel is dat je als bedrijf je werknemers moet ondersteunen bij de installatie en het onderhouden van de software. Dat nadeel terzijde, je hebt dan wel een robuust protocol. Zelfs als de hacker via een man in the middle attack de tunnel binnenkomt én de encryptie van het packet weet te kraken is die er nog niet. Hij moet namelijk de encryptie van ieder volgend protocol ook open zien te breken. Theoretisch kan dat, maar dan moet je denken aan gecoördineerd werk van nationale veiligheidsdiensten. Iedereen heeft wel eens gehoord van Edward Snowden. De voormalige CIA-man en systeembeheerder bij de NSA haalde een paar jaar geleden wereldwijd de voorpagina's om zijn onthullingen over de NSA. Een van de zaken die hij suggereerde was dat de NSA het IPsec-protocol had gekraakt. Snowden zette het daarna op een lopen, om pas in Rusland te stoppen. Vorig jaar sprak hij op de CeBIT via een videolink.

SSH voor veilige toegang via de browser

Terug naar het tweede protocol, SSH. Secure Sockets Layer heeft poortnummer 443 TCP en is een protocol dat negen van de tien keer standaard in de webbrowser zit. Het grootste voordeel ten opzichte van IPsec is dat het geen client- en serversoftware nodig heeft. Dat is minder hoofdpijn voor de werkgever, die nu van zijn supporttaak is verlost. Nog een voordeel is dat de werkgever vrij simpel per applicatie kan toewijzen waar de werknemer op afstand bij kan. Het nadeel is dat dit alleen kan met webbased applicaties. Dat is logisch, want SSL is een protocol dat immers werkt met de webbrowser. Kan je via een webapplicatie bij de NAS van je werk? De printer? Dit zijn vragen die je dient te beantwoorden voordat je voor een SSL-based VPN gaat. Als het antwoord 'nee' is, is het wellicht handig om toch maar een IPsec te nemen en de client- en serversoftware voor lief te nemen. Aan keuze geen gebrek.

Pas op voor tunnelvisie

Het is belangrijk bij het kiezen je bewust te zijn van tunnelvisie van vendors of het management. De verkoper van je favoriete merk mag een aardige kerel zijn, toch kun je redelijkerwijs aannemen dat hij gedreven wordt door commerciële drijfveren. Dit is niet cynisch bedoeld, het is gewoon iets om rekening mee te houden. Afgezien van de vendor kan het management van het bedrijf dat een VPN-oplossing zoekt een lijst bijhouden van prefered suppliers. Begrijpelijk, maar iedere beheerder weet dat dit ook tot tunnelvisie kan leiden. Concluderend, wat is de beste VPN? Die vraag kan uiteindelijk het best beantwoord worden door de werknemer die de ITinfrastructuur van het bedrijf van haver tot gort kent. En zelfs dan nog geldt dat IT met de dag verandert. Wat met de kennis van vandaag het ei van Columbus lijkt, kan morgen achterhaald zijn.

Volgende week: 5 VPN-diensten voor ZZP’ers

afbeelding van Jeroen van Onselen

Jeroen van Onselen | Redacteur

Bekijk alle artikelen van Jeroen