HotBrick in Dealerinfo
Een artikel van HotBrick over het implementeren van een Virtual Private Network tussen hoofdkantoren en thuiswerkers is gepubliceerd in het Dealerinfo magazine.
21-10-2007 - Dealerinfo:
Het centraliseren van servers op het hoofdkantoor heeft grote voordelen. Het is eenvoudiger om de servers te beheren en door een efficientere inzet van de servers bespaart u ook op hardware kosten. Door het beschikbaar maken van deze server via het internet, kunnen andere kantoren en thuiswerkers gebruik maken van de automatisering alsof ze op het hoofdkantoor zitten. Maar de volgende vraag dient zich aan, zijn de servers wel goed beveiligd? Als thuiswerkers gebruik kunnen maken van de data, hoe zit dat dan met hackers?
Internetverkeer kan op vele plekken worden afgetapt, en mogelijk wordt dit zelfs verplicht voor de internetproviders. Natuurlijk heeft u niets te verbergen, maar u heeft liever wel dat uw informatie niet voor iedereen zichtbaar is. Bedrijfsgeheimen moeten geheim blijven net als klantgegevens. Daarnaast moet uw netwerk afgeschermd worden voor onbevoegden. Een voorbeeld is het Session Initiation Protocol (SIP) dat wordt gebruikt voor Voice Over IP toepassingen. SIP is van nature niet beveiligd en hierdoor is het mogelijk om de lijn af te luisteren of op uw kosten te telefoneren.
De veiligste manier voor het koppelen van bedrijfsnetwerken en thuiswerken is door middel van het opzetten van VPN netwerken. VPN staat voor Virtual Private Network, en hiermee wordt een privé netwerk gecreert over bijvoorbeeld het Internet. Als het verkeer binnen deze tunnel wordt geauthenticeerd en gecodeerd. Met als gevolg dat alleen geauthorizeerde gebruikers verbinding kunnen maken met het bedrijfsnetwerk en dat het verkeer beschermd wordt tegen aftappen over het internet. Een bijkomend voordeel van vpn tunnels is dat u geen problemen heeft met Network Address Translation (NAT) wat zeker met Voice Over IP voor de nodige problemen zorgt.
Twee veelgebruikte methodes voor het opbouwen van vpn tunnels zijn PPTP en IPSEC. PPTP is een protocol wat veel wordt gebruikt binnen Windows omgevingen. Algemeen gezien wordt PPTP beschouwd als onveilig en vervangen door IPSEC . IPSEC is een verzameling van protocollen voor het beveiligen van het Internet Protocol (IP) en de standaard voor het opbouwen van tunnels tussen verschillende netwerken en platformen. De authenticatie voor IPSEC maakt gebruik van een shared key (dezelfde key wordt aan beide kanten van de tunnel gebruikt) of van certificaten. Het verkeer wordt gecodeerd met DES, 3DES of AES. Het opbouwen van een ipsec tunnel vindt plaats in twee stappen.
- Stap 1: IKE Security Negotiation. Deze stap wordt gebruikt om beide zijden van de tunnel te authenticeren.
- Stap 2: Ipsec Security Negotiation. Tijdens deze stap wordt er onderhandeld over o.a. het encryptie mechanisme van de verdere communicatie.
De vpn tunnel kan worden opgebouwd vanaf een computer door middel van een VPN Client of in de router. Wanneer de tunnel wordt opgebouwd door de router is het mogelijk om vanaf iedere pc achter de router te communiceren via de tunnel met de computers aan de andere kant van de tunnel.
Indien u alle servers centraal heeft staan en door middel van vpn tunnels communiceert, bent u geheel afhankelijk van internet en ook van de internetprovider. Het kan voorkomen dat uw provider een storing heeft waardoor u geen gebruik kunt maken van documenten, telefonie en email. U kunt hiervoor het duurdere business dsl aanschaffen, maar handiger is het om de internet aansluiting dubbel uit te voeren (bijvoorbeeld een adsl- en een kabelaansluiting) en gebruik te maken van een Dual WAN router (bijvoorbeeld de HotBrick LB2 VPN). Hierdoor wordt het verkeer gedeeld over beide internet aansluitingen, en in geval van storing over de nog werkende aansluiting geleid.
De HotBrick routers bieden u de mogelijkheid om VPN tunnels op te bouwen, het loadbalancen van de internetaansluitingen en beschermt tegen aanvallen van buitenaf.
De zwaardere HotBrick firewalls kunnen ook gebruikt worden als proxyserver, spamrelay of als redundante firewall.
Een voorbeeld situatie:
Het hoofdkantoor staat in Amsterdam, heeft de ip range 192.168.0.0. De kleine kantoren staan in Utrecht (192.168.1.0) en ’s Hertogenbosch (192.168.2.0). Thuiswerkers willen vanaf huis verbinding kunnen maken met het kantoornetwerk. Het hoofdkantoor heeft een mailserver, telefooncentrale, fileserver en databaseserver staan, deze servers moeten beschikbaar gemaakt worden voor de andere kantoren en thuiswerkers.
Het hoofdkantoor wordt voorzien van HotBrick VPN 800/2G en de kleine kantoren van een HotBrick LB2. Hierdoor kunnen de kleine kantoren verbinding maken met het netwerk van het hoofdkantoor (192.168.0.0). Al het verkeer tussen de kantoren wordt nu veilig verstuurd.
Thuiswerkers kunnen vanaf hun computer (via internet) een tunnel opbouwen met de HotBrick op het hoofdkantoor. De thuiswerkers installeren op hun computer de HotBrick VPN Client waardoor ze vanaf de computer een vpn verbinding kunt opzetten met het kantoornetwerk.