Column


Colum Tim Vereecke

5 redenen om VPN’s links te laten liggen

Veilig en anoniem communiceren via internet? Dan is een Virtual Private Network (VPN) de oplossing bij uitstek. Of toch niet?

VPN’s stammen al uit de jaren ’90. In 1996 was het Microsoft-medewerker Gurdeep Singh-Pall die met behulp van het Point to Point Tunneling Protocol (PPTP) een veilige verbinding creëerde tussen een computer en het internet. Het Virtual Private Network was geboren.

Gedurende de ruim twintig jaar die volgden, bleven VPN’s de oplossing bij uitstek om bedrijfsapplicaties veilig remote te benaderen. Nog altijd is het de manier om gebruikers, databases en zelfs hele kantoren te koppelen aan het beveiligde bedrijfsnetwerk, zonder dat de kern van het VPN-securitymodel fundamenteel veranderde.

Tekortkomingen
Gedurende die twee decennia kwamen er ook wel wat tekortkomingen aan het licht. Zo zorgen lang niet alle VPN-oplossingen voor een veilige communicatie via internet en voor een volstrekte anonimiteit. Geregeld slagen hackers erin om het verkeer af te luisteren en onderscheppen. Ook het beheer kan behoorlijk complex zijn en de controle van gebruikersidentiteiten uitdagend.

Na twintig jaar gaan er zelfs stemmen op dat bedrijven zich moeten afvragen of ze wel van deze verouderde techniek afhankelijk willen zijn. Hier 5 redenen waarom het antwoord ‘nee’ zou moeten zijn:

1. VPN’s bieden veel te veel toegang
Een gebruiker die toegang krijgt tot het netwerk of een geconfigureerd IP-subnet heeft toegang tot alle applicaties die hier te vinden zijn. Ook als hij of zij maar één applicatie nodig heeft. Dit biedt eventueel op het endpoint van de gebruiker aanwezige malware ook de mogelijkheid om een groot deel van het netwerk te scannen op kwetsbaarheden. De ‘attack surface’ is daardoor groter dan noodzakelijk.

2. VPN’s bieden geen mechanisme voor autorisatie
VPN-oplossingen stellen de identiteit van de gebruiker vast aan de hand van credentials, maar die gebruikersidentiteit wordt niet gebruikt om rechten toe te kennen. Dat iemand het authenticatieproces succesvol heeft doorlopen, wil echter nog niet zeggen dat deze persoon onbeperkt toegang zou moeten hebben tot alles op het netwerk.

3. VPN’s zijn een nachtmerrie voor beheerders
Zeker derde partijen zoals partners, consultant of klanten wil je via een VPN geen carte blanche geven op het netwerk. De toegang moet beperkt blijven tot alleen de applicaties die nodig zijn voor het uitvoeren van bepaalde werkzaamheden. Dit betekent dat je voor derde partijen subnets moet configureren, beheren, uitrollen en onderhouden. Voor beheerders een enorm tijdrovende bezigheid.

Eigenlijk zou het mogelijk moeten zijn om gebruikers op basis van policy’s toegang te verlenen tot bepaalde applicaties zonder wijzigingen te moeten doorvoeren in het netwerk. Met een VPN is dit niet te regelen, nu niet en nooit niet.

4. VPN’s zorgen voor gefragmenteerde securitypolicy’s
Als een applicatie verdeeld over meerdere locaties draait, dan heb je op al die locaties ook VPN-gateways nodig. Om op alle gateways hetzelfde niveau van security te bieden, moeten de securitypolicies op alle gateways consistent worden toegepast. In de praktijk is dat een grote uitdaging. Alternatief is om al het verkeer via één locatie te routeren. Maar die optie zorgt voor de nodige complexiteit en daarmee op den duur voor kwetsbaarheden.

5. VPN’s bieden een beroerde gebruikerservaring
Hoewel dit niet direct tot security-issues leidt, moeten securityteams zich er wel van bewust zijn dat het gebruik van VPN’s de productiviteit drukt. Meeste VPN’s vereisen de installatie van een client op het endpoint en zorgen vervolgens voor frustraties bij de gebruiker. Die loopt bijvoorbeeld tegen inlogproblemen aan of komt tot de ontdekking dat applicaties via een VPN-verbinding trager reageren.

Redenen genoeg om te kiezen voor een radicaal andere aanpak. Enterprise Application Access (EAA) is een voorbeeld van zo’n andere aanpak. EAA biedt gebruikers een remote access tot alleen specifieke applicaties die volledig zijn afgeschermd van het internet. En dat zonder gebruik te maken van VPN’s.


Tim Vereecke is Senior Solutions Engineer bij Akamai Technologies.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht