De Covid-19 pandemie dwong veel bedrijven om een VPN te gebruiken om telewerken mogelijk te maken. Probleem: ze waren er niet altijd klaar voor. De oorzaak: te kleine servers, gebrek aan training en slechte werkwijzen. Telecomdeskundige en ORSYS-trainer Charlie Le Hoangan* neemt VPN's onder de loep, een essentieel onderdeel van bedrijfsstrategieën voor cyberbeveiliging.
Terwijl telewerken in Frankrijk nog een geïsoleerde praktijk was, heeft Covid-19 bedrijven in een beslissende richting gestuurd. In een paar dagen tijd heeft een meerderheid van de werknemers, waarvan de meeste managers, die op afstand konden werken hun werkomgeving naar hun huis verplaatst.
Maar om al zijn werknemers in staat te stellen thuis te blijven met behoud van toegang tot het interne netwerk, heeft een bedrijf maar één oplossing: het VPN. Terwijl sommige bedrijven al over VPN's beschikken, hebben andere hun systeem moeten aanpassen aan het aantal telewerkers... of zich er zelfs voor het eerst voor moeten interesseren. "Toen de crisis kwam", legt Charlie Le Hoangan, consultant en trainer bij ORSYS, uit: "Bedrijven waren er niet klaar voor. Ze deden wat ze konden om zich aan te passen aan telewerken toen ze daartoe gedwongen werden en liepen in de haast gewoon tegen logistieke problemen aan. "
Werknemers toegang geven betekent een systeem opzetten op zowel het bedrijfsterrein als op hun laptops.
Wat is een VPN?
VPN, of Virtual Private Network, is geen nieuwe technologie. "We beschikken al lang over de technische middelen om telewerken te implementeren. Het probleem is eerder de weerstand van het management.zegt Le Hoangan.
A VPN wordt gebruikt om privégebruik van een openbaar of gedeeld netwerk mogelijk te maken. In de praktijk geeft het VPN de telewerker toegang tot het bedrijfsnetwerk via het openbare netwerk door een beveiligde virtuele pijp te creëren. "Het idee is dat telewerkers toegang hebben tot de tools, applicaties en servers van hun bedrijf alsof ze fysiek aanwezig zijn.
Verwarring tussen "onsite" en "online" VPN's?
VPN's worden vaak gelijkgesteld aan online tools om anonimiteit op het internet te bereiken. Charlie Le Hoangan is verbaasd over de verwarring: "Het doel is helemaal niet hetzelfde. Wat deze "online VPN" diensten verkopen is anonimisering; ze stellen gebruikers die niet gevolgd of getraceerd willen worden in staat om verbinding te maken via een server die als doorgeefluik fungeert. De term "VPN" is in dit geval puur commercieel.
Ondermaatse VPN's?
Massaal gebruik van telewerken heeft vaak geleid tot problemen met VPN-grootte. Geconfronteerd met dit soort toestroom is serververzadiging onvermijdelijk.
Je kunt een effectief VPN voor de lange termijn niet improviseren. "Om het aantal toegangen te verhogen, moet het bedrijf zichzelf zwaarder uitrusten, met professionele hardware en servers die duizenden verbindingen kunnen ondersteunen. We moeten dus overstappen van een eenvoudige software-installatie voor een handvol mensen naar veel duurdere apparatuur die er niets mee te maken heeft. (...) De rekenkracht die nodig is om communicatie te versleutelen is veel groter en moet worden gedaan op speciaal aangepaste machines. "
VPN in de praktijk
Op bedrijfsniveau
Het eerste probleem? Vooroordelen over veiligheid... "Een VPN is niet per definitie veilig. Sommige technieken scheiden gewoon het verkeer. Een veilig VPN gebruiken betekent dat je cryptologische technieken hebt geïmplementeerd om, op een vereenvoudigde manier, de gegevens te versleutelen zodat ze niet kunnen worden onderschept."
Eén oplossing is dat het bedrijf vertrouwt op een operator. Om verbinding te maken met het bedrijfsnetwerk gebruiken telewerkers de systemen van de operator. Zij scheiden het verkeer. Dit staat bekend als Vertrouwde VPN. Maar om deze techniek veilig te kunnen gebruiken, moeten bedrijven zichzelf ook ter plekke uitrusten. Om te beginnen betekent dit dat er clientsoftware moet worden geïnstalleerd op de computers van de werknemers. Dit maakt een veilige dialoog mogelijk met de VPN-servers die op de locatie zijn geïnstalleerd (sleuteluitwisseling, versleuteling, enz.). Zodra alles is geïnstalleerd, hoeft de telewerker alleen nog maar de software op zijn laptop te activeren.
Op individueel niveau
Individueel is het net zo belangrijk om een aantal basis VPN best practices te hebben. "Je moet onthouden dat het een hulpmiddel is om verbinding te maken met het bedrijf. Van daaruit kan alles wat je doet invloed hebben op het bedrijf. Dit betekent dat het VPN alleen moet worden geopend voor strikt professioneel gebruik.. Het moet worden gesneden voor elk persoonlijk gebruik, en denk na ook om hem aan het einde van zijn werkdag af te sluiten. Partitionering. Een aanval of inbraak via je computer terwijl het VPN actief is, heeft invloed op de servers van het bedrijf.
Als het om cyberveiligheid gaat, zijn bewustmaking en regelmatige training van werknemers essentieel. En VPN is daarop geen uitzondering. Werknemers toegang geven tot de VPN-client betekent immers dat het bedrijfsnetwerk wordt uitgebreid. Dat betekent niet dat het minder veilig hoeft te zijn. Een goed hulpmiddel dat slecht geconfigureerd of misbruikt is, is niet langer een aanwinst maar een risico.
Vooral omdat, volgens Le Hoangan, VPN's verder gedemocratiseerd zullen worden door de praktijk van telewerken: "De gezondheidscrisis en de daaropvolgende lockdown hebben ons doen beseffen dat telewerken tegenwoordig onvermijdelijk is. Maar anticiperen op de invoering van telewerken betekent dat we onszelf de middelen moeten geven om de bijbehorende tools correct en zo veilig mogelijk te ontwikkelen: optimale configuratie van VPN's, maar ook van firewallsantivirussoftware installeren op communicatiesystemen, enz. "Want uiteindelijk is het VPN slechts één instrument in een uitgebreid systeem dat moet worden opgezet. En je moet ergens beginnen.
* Charlie de Hoagan
Consultant gespecialiseerd in telecom. Na 10 jaar voor een aantal grote fabrikanten te hebben gewerkt, richtte hij in 1989 zijn eigen bedrijf op, waar hij zijn diensten aanbood als consultant in computernetwerken en in het bijzonder in beveiliging. Het was ook in 1989 dat hij begon met het geven van trainingen over dezelfde onderwerpen.
Onze beste opleiding
- VPN, draadloze en mobiliteitsbeveiliging, samenvatting
- Cisco, implementatie van MPLS-oplossingen
- Fortinet, netwerkbeveiliging
