ORDINA BLOGT

Nieuwe alternatieve manier voor traditionele VPN oplossing en authenticatie

Traditionele VPN en authenticatie oplossingen hebben hun tekortkomingen in bruikbaarheid en veiligheid. Hoe kunnen we deze vandaag aanpakken? Verbeter veiligheid en bruikbaarheid nu met Direct Access en eID authenticatie

  • Sebastiaan Tempels
  • 1 oktober 2014

Als het gaat over investeren in infrastructuur dan denken meeste mensen aan hardware, virtualisatie, opslag of netwerk. Investeren in deze producten gaat vaak gepaard met het bewijzen van een ROI, CAPEX, OPEX of TCO die kunnen gemeten worden. Maar een van de meest vergeten investeringen die niet zo eenvoudig te meten is, is beveiliging. Een inbreuk op de beveiliging betekent vaak een ramp voor het bedrijf, maar toch wordt er niet veel geïnvesteerd in preventie. Veiligheid bestaat uit verschillende onderdelen zoals netwerkbeveiliging (ongewenste gasten van uw bedrade en draadloze netwerk houden), intrusie detectie (hackers uit het netwerk houden) en beveiligde toegang. Dit laatste deel gaat over het identificeren van de gebruiker: is deze persoon echt wie hij beweert te zijn. Bedrijven die wel investeren in de beveiliging hebben een beveiligingsmedewerker, beheerders kennen hem als de paranoïde persoon die alle systemen wil vergrendelen. Hij maakt de toegang tot deze systemen een strijd door een complex wachtwoord te eisen dat lang genoeg moet zijn, dat je regelmatig moet veranderen en niet kan worden hergebruikt. Als u op afstand werkt, moet je een VPN-client starten en moet je inloggen met een tweede token. Hoewel deze maatregelen misschien vervelend lijken, ze hebben het doel om de omgeving veilig te stellen. Maak ze te moeilijk en gebruikers beginnen hun wachtwoord op te schrijven waardoor de inspanning nutteloos wordt. Vergis je niet, als een hacker echt uw systeem wil hacken, zal hij waarschijnlijk na enige tijd in slagen. Zelfs de meest beveiligde omgevingen hebben lekken als gevolg van menselijke fouten, hetzij in de programmacode of door het geven van toegang tot een systeem. Iemand vertelde me ooit, het meest veilige systeem is er een die niet is aangesloten op een netwerk en waar geen gebruikers op kunnen inloggen. Hoewel dat kan kloppen, wat kan het gebruik van een dergelijk geïsoleerd systeem zijn? Het punt is, veiligheid is altijd een evenwicht tussen de veiligheidsmaatregelen en het gebruiksgemak. Het doel is om hackers lang genoeg buiten te houden zodat ze hun interesse verliezen. Als je het te gemakkelijk maakt, zullen ze toeslaan omdat ze het kunnen. Maak het moeilijker om binnen te komen en ze beginnen hun interesse te verliezen omdat het te lang duurt.

Twee oplossingen in het houden van evenwicht tussen veiligheid en bruikbaarheid zijn Direct Access en Two Factor Authentication. Direct Access is een nieuwe oplossing om de klassieke VPN-oplossing vervangen. Het werd voor het eerst uitgebracht in Windows Server 2008R2 maar toen waren de vereisten zo ingewikkeld dat het nauwelijks werd gebruikt. Sinds Windows Server 2012 zijn de eisen niet zo ingewikkeld meer en wordt het vaker gebruikt. In tegenstelling tot veel traditionele VPN-verbindingen, die gestart en beëindigd moeten worden door expliciete actie van de gebruiker, is Direct Access ontworpen om automatisch verbinding te maken zodra de computer verbonden is met het internet. Apparaten kunnen bedrijfsmiddelen bereiken en worden beheerd alsof ze in het netwerk zitten. Het is een meer flexibele en gebruiksvriendelijke manier voor uw medewerkers om te werken vanaf elke locatie. Als je denkt: is dat veilig? Zoals elke oplossing, het kan gehackt worden maar je moet dan al een corporate computer die deel uitmaakt van het domein en gebruikersgegevens hebben om in te loggen. Mocht dit niet voldoende zijn voor uw beveiligingsmedewerker dan kan u een tweede authenticatie toevoegen (in feite is dat een derde factor) in de vorm van een token maar dit vereist extra input van de gebruiker. Kortom, Direct Access is de ultieme vervanger van VPN technologie om uw mobiele computers verbinding te laten maken met het bedrijfsnetwerk zonder actie van de gebruiker en op een veilige manier.

De tweede oplossing die ik zou willen aanhalen is eID authenticatie. Wat als u uw gebruikers kon laten authenticeren op een veilige manier in hun computer? In plaats van een gebruikersnaam en wachtwoord in te voeren dat je alleen maar hoeft te weten, kunt u Two Factor Authentication, iets dat je kent gecombineerd met iets wat je hebt, gebruiken. Een paar opties zijn mogelijk voor “iets wat je hebt”: een hardware token die unieke nummers genereerd of een software-token die je een uniek gegenereerd nummer sms’t. Maar er is iets anders dat kan dienen als een hardware token dat elke Belg heeft. Ik heb het over het Belgische eID dat een uniek persoonlijk certificaat bevat dat dient als “iets wat je hebt” en de PIN-code dient als “iets wat je weet”. Two Factor Authentication kan als alternatief gebruikt worden om gebruikers te laten inloggen op bedrijfscomputers en is veiliger dan een gebruikersnaam en wachtwoord. Kortom, een goed alternatief en veilige manier om in te loggen op uw computer.

Ordina heeft de expertise om deze en andere beveiligingsoplossingen te implementeren. Contacteer ons om uw IT beveiligingszorgen te bespreken.