- 
Hoe veilig is VPN?
Category SecurityBookmark :
In een forum voor IBM business partners vond recent een kleine discussie plaats, over netwerk-toegang en veiligheid. Als je werknemers van buitenaf bij de Domino-server moeten kunnen, wat is dan veiliger? Poort 1352 op de firewall openen of een VPN aanleggen?
Er zijn meerdere factoren die een rol kunnen spelen bij zo'n beslissing. Veel netwerk- of firewall-beheerders hebben instinctief een hekel aan open poorten op een firewall; alles wat niet echt nodig is, willen ze graag dicht hebben. Veel Domino-beheerders beweren juist weer dat het openen van poort 1352 geen kwaad kan, omdat de Domino-server zelf voor geëncrypteerde en dus veilige verbindingen kan zorgen. Als encryptie aangezet is op de TCPIP-poort van de Domino-server, zal iedere sessie tussen een Notes-client en de Domino-server versleuteld worden met een 128 bits key (als alle betrokkenen ND6 of hoger gebruiken); en dat is, voor een Notes-naar-Domino-sessie, momenteel echt veilig genoeg.
Eén van de business partners merkte op, dat een VPN volgens hem technisch wel veilig is, maar organisatorisch niet. Zijn observatie is, dat veel mensen hun thuis-pc of -netwerk niet goed beveiligd hebben. Geen security op de (vaak wireless) router, het gebruik van standaard-wachtwoorden, WEP-encryptie in plaats van WPA-PSK.. het thuisfront is vaak niet zo goed beveiligd als je wel zou willen. Sta je dan een eindgebruiker toe een VPN-verbinding te leggen vanuit huis naar het zakelijke netwerk, dan heb je dus een heel zwakke plek aan de thuis-kant. Een bedrijfsnetwerk hacken via een VPN-connectie op iemands slecht beveiligde thuisnetwerk? Het klinkt niet ondenkbaar.
Eén anecdote. Laatst was ik bij een kennis, die problemen had met zijn internet-toegang. Het analoge inbellen deed het niet meer! Na enig doorvragen bleek dat ze een nieuw telefoon-abonnement genomen hadden, van KPN. Bij dat abonnement hoorde, zo werd me verteld, een nieuw kastje, waar de telefoonlijn in moest; dat kastje lag nu achter de kast. Toen ik het kastje opgedoken had, bleek het een Experia-modem te zijn, compleet met wireless netwerk.. en dat staat standaard aan. Deze mensen hadden een ADSL-verbinding, met standaard wireless enabled, en ze wisten het niet eens!
Toch wel een goed punt om eens over na te denken. Stellen we voorwaarden aan de kwaliteit van het thuisnetwerk van onze collega's, voordat we ze connectie laten maken met ons bedrijfsnetwerk?
Comments
Dat de tunnel over een onbeveiligde wireless verbinding gemaakt wordt maakt dan niet uit, behalve misschien dat als de client gehacked wordt en er een keylogger op wordt geinstalleerd je zijn wachtwoord kan afvangen, maar zo kan je ook iemands Notes password stelen.
Sterker nog, over het algemeen wordt bij een VPN verbinding het wachtwoord onthouden in iemands windows gebruikersprofiel, en niet telkens opnieuw ingetoetst. En het windows gebruikersprofiel wachtwoord is een stuk moeilijker af te vangen (tenminste, als je de ctrl-alt-del methode van inloggen gebruikt).
Posted by Wiebe Tijsma At 18:12:32 On 11-01-2007 | - Website - |
Dat we maar snel weer projectjes kunnen doen, ik kom volgende week een hele week naar zeist, tot 18 april, als jij het ook ziet zitten kom ik daarna for ever terug. Jammer dat het voor ons nooit gelukt is in amsterdam. Maar ik heb gode hoop daty we het bij E-Office echt leuk gaan krijgen en weer aan echte projecten kunnen werken.
Ik heb er echt zin in, laten we samen weer leuke dingenb gaan doen en er echt aan werken dat alles leuk gaat en niet meer zo vaag doen over amsterdam!
tot snel,
Lucas.
Posted by lucas At 10:38:31 On 05-04-2007 | - Website - |