Mobiele- en thuisgebruikers toegang geven tot bedrijfsnetwerk

Het verzenden van gegevens buiten het internet om, dus door middel van een inbelverbinding, is technisch weliswaar een haalbare en veilige oplossing, het is tegelijkertijd ook een dure oplossing. Veel goedkoper is het om via het internet te communiceren. Dit is niet moeilijk, maar wel moet aan enkele veiligheidsvoorwaarden voldaan worden. Zo biedt Windows XP Professional een VPN (Virtual Private Network) oplossing waarlangs internetgebruikers veilig hun gegevens kunnen versturen. Omdat VPN's niet te kraken blijken te zijn, is een VPN vooral interessant voor mobiele gebruikers met laptops en Pocket PC's, die op afstand hun data op de thuiscomputer of het bedrijfsnetwerk willen benaderen, zonder daarbij lastig gevallen te worden door hackers.

 

De structuur van het internet is dermate ondoorzichtig dat het voor een gebruiker praktisch onmogelijk is om te weten langs welke weg zijn gegevens over het internet worden getransporteerd. Controleren of er onderweg iets met het datapakket gebeurt is al helemaal niet mogelijk. Voert u het commando '' uit, dan kunt u zien op hoeveel plekken uw datapakket kan worden aangevallen, als dit datapakket tenminste niet beveiligd is.

 

Het zou veiliger zijn als een computer in het internet zich gedraagt als een computer in het eigen bedrijfsnetwerk. In principe is dit precies de kern van wat een VPN voor u doet: VPN is een techniek die ervoor zorgt dat het bronadres en het doeladres zich gedragen alsof ze deel uitmaken van het lokale bedrijfsnetwerk. De truc daarbij is om de internet infrastructuur te gebruiken en de communicatiepartners te authentificeren voor het communicatieproces. Zo ontstaat als het ware een eigen netwerk binnen het grote netwerk van het internet. Alleen wie bekend zijn met de correcte IP-adressen, inlognamen en wachtwoorden kunnen communiceren via dit kleine beveiligde netwerk. Een VPN kunt u zelfs opzetten binnen het eigen LAN-netwerk; op die manier kan er veilig gevoelige informatie uitgewisseld worden tussen collega's.

 

Zijn hackers dan helemaal buitengesloten? Niet helemaal: met behulp van een packetsniffer kunnen zij de datastroom volgen, maar zonder de juiste encryptiesleutel kunnen ze de data niet meer inkijken.

 

Internetpagina's worden met behulp van TCP/IP gecommuniceerd in de vorm van datapakketten. In elk TCP/IP datapakket bevindt zich alle noodzakelijke informatie zoals afzender, ontvanger en de grootte van het datapakket en uiteraard het bericht of tekst. Om deze gegevens te beschermen worden ze in een ander protocol ingebonden (IPSec). IPSec zorgt er dus voor dat andere computers het datapakket niet zullen aannemen of kunnen gebruiken. Deze techniek noemen we het bouwen van een 'tunnel'. U dient zich wel te realiseren dat een datapakket dat niet versleuteld is, ook in een tunnel kan worden onderschept en kan worden uitgelezen. Maar in principe wordt via een VPN alleen beveiligde (lees versleutelde) informatie verstuurd.

 

In een VPN netwerk worden twee computers met elkaar verbonden via een netwerk (LAN of internet). Het netwerk waaraan beide computers gekoppeld zijn wordt gebruikt als transportweg voor de te verzenden data. Om data beveiligd te kunnen versturen stelt VPN de gebruiker een virtuele IP-verbinding ter beschikking. Allereerst versleutelt de client het datapakket en verstuurt het pakket vervolgens via het openbare netwerk naar de VPN-server. De VPN-server ontsleutelt het ontvangen datapakket en verwerkt het verder. Dit proces heet tunneling. Er is een aantal VPN-technieken in omloop. De meest gebruikte zijn:

 

 

Als we het OSI-model ter hand nemen dan werken PPTP en L2TP op de datalinklaag, waarbij de data in frames van het  (PPP) wordt verpakt. Daardoor kunnen de protocollen beschikken over de typische PPP-eigenschappen zoals dynamische adressering (DHCP), datacompressie en dataversleuteling. Vooral de  gebruikersauthentificatie is zeer belangrijk voor de veilige dataoverdracht.

 

IPSec werkt in tegenstelling tot het PPTP en L2TP op de netwerklaag: het protocol versleutelt de te verzenden data inclusief alle adresinformatie en voegt een nieuwe (normale) IP-Header toe. In deze header staat het adres van de andere tunnelkant. De ontvangende computer aan het einde van deze tunnel verwijdert deze extra IP-Header, ontsleutelt het originele datapakket en stuurt het door naar het ware einddoel.

 

Om een VPN-verbinding op te zetten kunt u gebruik maken van de 'gereedschappen voor werken op afstand' die Windows XP Professional standaard in zich heeft. Windows XP combineert hiermee alle faciliteiten die reeds aanwezig waren in Windows ME aangevuld met de krachtige netwerkfaciliteiten uit Windows 2000. Deze combinatie geeft de gebruiker een ideaal hulpmiddel in handen om veilig op afstand verbinding te leggen met de thuis- of bedrijfscomputer.

 

De faciliteiten voor werken op afstand binnen Windows XP Professional lijken daardoor veel op die van Windows 2000 . Een Windows XP computer kan een binnenkomende connectie accepteren van de volgende interfaces:

 

• een dial-up modem serial interface
• infrarode interface
• parallele poort interface
• een VPN-interface

 

Voor het opzetten van een VPN-verbinding beschikt Windows XP over een wizard. In het nu volgende voorbeeld gaan we ervan uit dat de Windows XP machine geen lid is van een domein. We beginnen met het opzetten van de VPN-server machine. Daarna laten we zien hoe u een VPN-client machine inricht. Voor de duidelijkheid: de VPN-server is de computer die het bericht van de verzender gaat ontvangen.

 

 

 

 

 

 

 

 

 

 

 

 

De VPN-client is de computer die het bericht of de data gaat verzenden. Doorgaans is dit dus de pc van de gebruiker. Om de installatiewizard te starten klikt u op

 

 

Zodra u voortaan verbinding maakt met de VPN-server dan vraagt deze om een gebruikersnaam en wachtwoord. Vervolgens wordt de verbinding gelegd en kunt u aan een extra netwerkicoon in 

de taakbalk zien dat de verbinding actief is.   

 

De nieuwe Intelligent Application Gateway (IAG) 2007 is onderdeel van het Forefront beveiligingsprogramma van Microsoft. Het betreft hier een hardwarematige firewall, een apparaat dus, met totaal toegangsbeheer, een ingebouwd Secure Socket Layer (SSL) virtual private network (VPN), autorisatie en content-inspectie, waarmee tal van zakelijke applicaties gecontroleerd kunnen worden. Intelligent Application Gateway 2007 biedt veilige externe verbindingen. Vooral in omgevingen waarin een maximale mate van bescherming noodzakelijk is, bijvoorbeeld waar sterke juridische en bedrijfsvereisten gelden voor gevoelige gegevens, zorgt de SSL beveiliging ervoor dat ongewenst verkeer aan de grenzen van het netwerk wordt geblokkeerd. Daarmee wordt de infrastructuur met bedrijfsgegevens en toepassingen optimaal beschermd. Qua beheer is aan thuiswerkers en mobiele gebruikers gemakkelijk en flexibel toegang tot het netwerk te verlenen, ongeacht waarmee ze dat willen doen: een mobieltje, PDA, laptop, pc in een internetcafé etc. Is het beheer van dit soort voorzieningen in de regel niet eenvoudig, de IAG 2007 werkt met een set eenvoudige beheerfuncties, die zelfs op afstand kunnen worden uitgevoerd. Optimizers zorgen voor ‘endpoint security', publicatie van applicaties en aanvraagfiltering.