Uitgebreide Beschrijving

Ondanks de krachtige mogelijkheden en de enorme toegevoegde waarde van een VPN, worden deze nog steeds niet op grote schaal toegepast. De reden is eenvoudig: Het opzetten en configureren van een VPN is erg complex en de kosten van de benodigde hardware zijn hoog. Het beheer en onderhoud is tijdrovend en daardoor kostbaar. En er blijft het risico van het ontstaan van een achterdeur (het systeem wat gebruik maakt van de VPN is ook verbonden met het Internet waardoor een hacker via dit systeem mee kan liften over de VPN verbinding naar het netwerk).

Met dit in gedachten is Secure-Planet VPN ontwikkeld.
Een zeer betaalbare 100% softwarematige oplossing, eenvoudig en snel te installeren en te onderhouden, uitermate veilig en stabiel, met een ingebouwde dynamische firewall welke de "Internet-lek" geheel afsluit. Al het verkeer gaat via het netwerk. Dus ook het browsen over het Internet.
Hierdoor wordt het mogelijk om zaken als anti-virus, spamfiltering, contentscanning, webcontrol ook voor de remote users af te dwingen. Het risico van een "security breach" wordt zo tot een minimum beperkt.

Zo kunnen thuiswerkers, verkoopbuitendienst, nevenvestigingen, dochterondernemingen of zelfs klanten op een veilige manier op uw netwerk werken zonder enige beperking. Het is alsof ze op locatie op het netwerk aanwezig zijn. Overal waar een Internet verbinding beschikbaar is!
Door het beperken van de rechten op de standaard Windows accounts of door regels in de firewall kan eenvoudig bepaald worden wat gebruikers wel en niet mogen en over welke resources ze kunnen beschikken.

Hoe werkt het in de praktijk?
Secure-Planet VPN bestaat uit twee componenten: Een Gateway en een Client. Het opzetten gaat in drie eenvoudige fasen:

1 Installatie van de Gateway en aanpassing van de firewall

Op het Interne netwerk dient de Secure-Planet VPN Gateway geïnstalleerd te worden.
Dit kan op een (domain)server of op een werkstation (Windows 2000, 2003 of XP).
De installatie bestaat uit het starten van een setup.exe en steeds iedere stap te bevestigen (tenzij u het standaard pad wenst te wijzigen).
Na deze installatie dient u een aantal eenvoudige instellingen te doen:
U geeft een aantal standaard bedrijfsgegevens is zoals het mailadres van systeembeheer, uw domain naam, het externe adres van uw firewall, etc.
U geeft aan welke ip adressen worden toegekend aan de VPN clients wanneer deze verbinding leggen. U geeft aan welke gebruikersgroep (domain users) of werkgroep gebruikers verbinding mogen maken. Om verbinding te kunnen leggen is een geldig account nodig van een werkgroep of een domain. Het is dus ook mogelijk om op uw netwerk een groep aan te maken van gebruikers welke een VPN verbinding mogen maken en deze groep in te geven in de Gateway. Dit vereenvoudigd het beheer. U maakt een keuze voor de encryptievorm: AES of 3DES.
Hierna geeft u uw licentiesleutel in. Deze is nodig voor de (automatische) activatie van de software via de site van Secure-Planet VPN. U kunt nu een document laten genereren voor de Client gebruiker waarop instructies staan waar de Client software binnen te halen is en hoe ze de software kunnen installeren. In dit document staat ook een matrix. Dit is een opgebouwde tabel met willekeurige letters. Tijdens de installatie van de Client software wordt deze zelfde matrix getoond waarbij twee willekeurige lettercombinaties leeg zijn. Het is aan de gebruiker om de ontbrekende combinaties in te vullen aan de hand van deze matrix. Dit dient als verificatie en zorgt er voor dat ze verbinding leggen met het juiste netwerk.
Het Gateway deel is nu klaar.
Nu dient u in uw firewall poort 500 UDP open te zetten voor in en uitgaand verkeer, van en naar de gatway. Omdat alleen de Gatway zal reageren op verkeer op poort 500 en deze alleen versleutelde communicatie zal accepteren, loopt u geen risico bij het openzetten van deze poort.

2 Installatie van de Client

De gebruiker haalt de software binnen via het Internet en start de setup.exe. Ook deze installatie is eenvoudig en recht toe recht aan.
Na installatie staat er een icoon in de taakbalk en op de desktop. Hiermee wordt de registratie aan het netwerk gestart.
De gebruiker dient het externe adres in te geven van het netwerk (het externe adres van uw firewall).
Hij klikt op de knop "connect" waarna de client tracht een verbinding op te zetten met het netwerk. Als dit goed verloopt verschijnt de eerder genoemde matrix. De gebruiker dient de ontbrekende delen in te vullen. Na verificatie dient de gebruiker een geldig network account op te geven (gebruikersnaam en wachtwoord van het domein of de werkgroep) en hij moet een "profiel-wachtwoord" opgeven. Dit wachtwoord wordt gebruikt wanneer de gebruiker opnieuw verbining wil leggen met het netwerk. Alle instellingen worden namelijk opgeslagen in een profiel, beveiligd met dit wachtwoord, zodat een volgende keer het dubbelklikken op dit profiel en het ingeven van het wachtwoord, voldoende is om de verbinding te herstellen.

3 Verbinding maken met het netwerk

Alle gegevens zijn nu ingevuld. Door op het ikoon in de taakbalk te klikken en het juiste profiel te kiezen en het bijbehorende wachtwoord in te geven wordt de verbinding automatisch herhaald. De gebruiker heeft nu een transparante verbinding en toegang tot alle printers, mappen, databases, etc.

Op de Secure-Planet VPN Gateway ziet u exact welke gebruikers er verbinding hebben, de tijdsduur, de hoeveelheid verkeer welke over de lijn is gegaan, hoe lang de licentie nog geldig is, wat hun netwerk IP adres is en wat het werkelijke IP adres is, etc.
Het is mogelijk vanuit de Gateway de verbinding meteen te verbreken of om specifieke gebruikers op "inactief" te zetten.

De techniek
Secure-Planet VPN maakt gebruik van dezelfde geavanceerde en krachtige technieken als een VPN opgezet tussen twee firewall's maar doet dit via een veel eenvoudiger opzet. En net zo veilig.
De krachtige encryptie biedt maximale veiligheid en privacy en verzekerd de veiligheid van het netwerk.

Een Client kan verbinding leggen met verschillende Gateways waarbij per Gateway een ander encryptielevel gebruikt kan worden (3DES of AES).

De Gateway beschikt over een volwaardige "Certificate Authority" welke over een versleutelde TLS (Transport Layer Security) sessie de Client en Gateway certificaten verstrekt. De "private key" en de certificaten van de gebruiker worden voor back-up doeleinden op de Client én op de Gateway bewaard, beveilgd met een persoonlijk wachtwoord. De Gateway bevat nooit de gegevens om deze "private key" te ontcijferen. Zo kan een gebruiker eenvoudig vanaf verschillende Clients een verbinding opzetten, mits hij over de juiste "credentials" beschikt.

Bij het leggen van een verbinding worden de gebruikers eerst gevalideerd bij de Windows (Domein) gebruikers database. Pas daarna wordt er een certificaat verstrekt. Hierna meldt de gebruiker zich aan met gebruik van dit certificaat en zijn "private key".

Een dynamische firewall zorgt er voor dat de Client geen "router" kan worden tussen het Internet en het bedrijfsnetwerk. Alleen IP verkeer door de VPN tunnel wordt toegestaan. Wanneer een Client het Internet op wil terwijl er een VPN verbinding actief is zal de Internet aanvraag door de tunnel naar het bedrijfsnetwerk worden gestuurd waar deze gebruiker al of niet het Internet op mag net zoals de lokale gebruikers. Het is eenvoudig in te stellen dat VPN clients in het geheel het Internet niet op mogen zolang de verbinding actief is.

Clients welke verbinding leggen met de Gateway krijgen een virtueel IP adres. Dit maakt het mogelijk om in bijvoorbeeld uw firewall in te stellen dat deze reeks van adressen niet of slechts beperkt het Internet op mag of niet bij een bepaald deel van het netwerk mogen komen. Indien u gebruik maakt van een content scanner al of niet in combinatie met een anti-virus gateway, wordt al het Internetverkeer "bedrijfsconform" gecontroleerd en houdt u volledige controlle, ook al gaat het hier over een gebruiker die niet fysiek op het bedrijf aanwezig is. Gecombineerd met de rechten die worden toegekend aan de gebruiker binnen uw Windows netwerk, bepaald u exact wat wel en niet is toegestaan. De mogelijkheden zijn enorm.

Om aanpassing van de firewall tot een minimum te beperken en om NAT problemen te voorkomen, heeft BCW een gepatenteerd protocol ontworpen die al het IPSec verkeer over slechts één enkele UDP poort routeert. Bij de meeste VPN oplossingen dient u 4 tot 5 poorten te configureren.