Van de beschikbare VPN oplossingen springt er een opvallend uit: OpenVPN. De Consumentenbond raadt VPN aanbieders aan die gebruik maken van OpenVPN. Waarom is dat zo?

Door een VPN verbinding op te zetten tussen twee partijen ben je in staat om op een veilige manier versleuteld informatie tussen beiden uit te wisselen. Bij een VPN verbinding worden er zowel encryptie- als authenticatietechnieken toegepast. De data die verstuurd wordt, wordt daardoor niet alleen versleuteld, maar de VPN verbinding zorgt er ook voor dat er zekerheid bestaat over de partijen met wie de verbinding is aangegaan.

Een VPN verbinding kan door een organisatie zelf opgezet worden, maar er zijn ook providers die VPN oplossingen aanbieden. De kwaliteit, veiligheid en degelijkheid van dergelijke oplossingen varieert. Providers die werken met OpenVPN krijgen wat dat betreft de voorkeur van bijvoorbeeld de Consumentenbond. OpenVPN is robuust, gebaseerd op open source, zeer betrouwbaar en veilig.

Drie soorten VPN

In hoofdlijnen bestaan er drie soorten VPN verbindingen. Dit heeft alles te maken met  de wijze waarop de informatie heen en weer wordt verstuurd en de authenticatie van partijen wordt uitgevoerd. In hoofdlijnen spreken we daarbij over PPTP, IPsec en SSL verbindingen.

PPTP verbindingen, die het meeste voorkomen, worden ook als het minst veilig beschouwd. Dit protocol is een aantal jaren geleden al door hackers gekraakt en daarmee wordt het aanbevolen dit niet meer te gebruiken. PPTP is overigens het standaard VPN protocol binnen Windows…

IPsec is heel krachtig maar behoorlijk lastig om goed te stellen. Dit maakt het veel minder gebruikersvriendelijk dan bijvoorbeeld PPTP verbindingen.

SSL wordt gebruikt voor het opzetten van zogenaamde HTTPS:// verbindingen, dus manieren om veilig websites en webshops te kunnen gebruiken. SSL verbindingen worden onder andere door banken gebruikt om bankzaken online uit te kunnen voeren. Dit is een heel veilig protocol en het biedt een belangrijk voordeel voor websites: degene die de verbinding opzet hoeft niet volgens het protocol geïdentificeerd te worden (we noemen dit daarom een clientless protocol). De gebruiker hoeft dus niets in te stellen, de browser ondersteunt het HTTPS protocol standaard en daarmee is het geregeld. Erg gebruikersvriendelijk dus.

OpenVPN maakt gebruik van een SSL verbinding, OpenSSL om precies te zijn, maar voegt daar een en ander aan toe waardoor het meer mogelijkheden biedt dan een standaard SSL verbinding alleen. Het staat clients bijvoorbeeld toe om elkaar wederzijds te authentiseren. Dat kan dan certificaten of door middel van een username en password combinatie. Deze usernames en het passwords kunnen via LDAP uit Microsoft Active Directory worden gehaald zodat het blokkeren van een gebruiker in AD meteen ook de toegang tot de VPN voorziening ontzegt.

Veelzijdig

Omdat er clients zijn voor Windows, OS X, Linux, maar ook voor bijvoorbeeld Apple iOS en Android, kun je er een heel divers arsenaal aan apparatuur VPN verbindingen mee laten opzetten. Daarnaast zijn er verschillende providers geweest die eigen cliënt software konden ontwikkelen omdat OpenVPN op open source gebaseerd is. Vaak kun je daarom als gebruiker kiezen welke software je gebruikt en bieden providers software die direct werkt met hun VPN oplossing door bepaalde instellingen al in te bouwen.

Het gebruik maken van certificaten biedt een aantal belangrijke extra voordelen. Het inloggen met behulp van een inlognaam en wachtwoord kan vanaf ieder werkstation plaatsvinden. Een toenemend aantal organisaties vindt dit echter niet genoeg en wil meer zekerheid over wie ze op hun netwerk toelaten. Door een uniek certificaat per werkstation aan te maken, kan aan deze wens gehoor worden gegeven. Let wel: om tegen te gaan dat deze certificaten worden gekopieerd naar een ander apparaat moet de administrator zelf nog wel een aantal zaken regelen, maar zonder certificaat kan men dus niet inloggen, ongeacht of de inloggegevens bekend zijn.

Juist omdat OpenVPN de mogelijkheid biedt voor ieder werkstation een eigen certificaat aan te maken, kan ook een gestolen notebook eenvoudig van het netwerk worden geweerd, zelfs al zou men dus over de inloggegevens van de rechtmatige eigenaar beschikken. Het uitgegeven certificaat kan namelijk worden ingetrokken en daarmee wordt het onmogelijk om nog een VPN verbinding op te zetten naar de OpenVPN Access server. Het aanmaken van steeds een uniek certificaat kan echter veel beheer opleveren. Het is daarom ook mogelijk een soort generiek client certificaat aan te maken. Alle clients gebruiken dan hetzelfde certificaat, en toegang wordt geblokkeerd door de toegang van de gebruiker tegen te gaan.

OpenVPN biedt daarnaast de mogelijkheid om toegangscontroleregels te configureren zodat ingelogde gebruikers alleen specifieke systemen of services binnen het netwerk kunnen gebruiken en geen andere. Dit biedt bijvoorbeeld de mogelijkheid om klanten verbinding te laten maken met testservers of andere machines waar zij bijvoorbeeld informatie kunnen ophalen zonder dat deze daarvoor in en aparte omgeving hoeven te worden geplaatst.