Transportbeveiliging is een preventieve maatregel.
Wanneer data een omgeving verlaat, en dus in beweging komt (DIM: Data In Motion), moet ze evenzeer beveiligd worden. Een veel gebruikte methode is VPN (Virtual Private Network).
VPN is een verzameling van technieken waarvan sommigen werken met het versleutelen van de gegevens, waardoor alleen de ontvangers die beschikken over de juiste sleutel de inhoud van het bericht kunnen lezen. Er wordt gebruik gemaakt van een proces dat tunneling wordt genoemd.
3.3.3.3.1. Soorten VPN
VPN-verbindingen verschillen op twee manieren van elkaar: de gebruikte manier van tunneling en de manier waarop zender en ontvanger met elkaar communiceren.
Tunneling
Er zijn verschillende vormen van tunneling:
PPTP: PPTP staat voor point-to-point protocol. Het is een manier om informatie te versturen waarbij de inhoud van de VPN-tunnel niet wordt versleuteld. PPTP zit standaard bijvoorbeeld in Windows ingebouwd. Er is dus slechts beperkte beveiliging mogelijk. Dit betekent dat voor het beveiligen van de gegevensstroom extra maatregelen buiten VPN om nodig zijn.
L2TP: L2TP staat voor layer 2 tunneling protocol. De voor- en nadelen zijn te vergelijken met PPTP.
IPsec: IPsec (Internet Protocol Security) is een standaard voor het beveiligen van IP door middel van encryptie (Encapsulating Security Payload of ESP) en/of authenticatie (Authentication Header of AH) van de IP-pakketten.ESPIPsec is volgens velen de "echte" vorm van VPN, omdat het de tunneling combineert met een bepaalde vorm van encryptie. Om gebruik te kunnen maken van deze techniek moet speciale software aanwezig zijn. AES 256 wordt aanzien als de beste standaard. AH IPsec voorziet enkel in authenticatie van de IP-pakketten maar maakt geen versleutelde verbinding.
SSL VPN: SSL VPN (Secure Sockets Layer Virtual Private Network) is een web gebaseerde technologie die het mogelijk maakt om een beveiligde verbinding te maken met een netwerk. Deze techniek maakt gebruik van de mogelijkheden die standaard in de meeste browsers is ingebouwd. De beveiliging gebeurt enerzijds door de authenticatie op gebruikersniveau en anderzijds doordat de data die verstuurd en ontvangen wordt, geëncrypteerd is.
MPLS VPN: MPLS (MultiProtocol Label Switching) is een netwerktechnologie dat transport van data of WANs (Wide Area Networks) verzorgt. Het wordt dan ook veel gebruikt in datacenters van dienstenleveranciers. Bij MPLS wordt vanaf het begin een route bepaald. Een klein label aan het pakketje beschrijft de route die het door het netwerk af moet leggen. Het idee is altijd de snelste route te nemen. Routers hoeven alleen maar naar het label te kijken en niet zelf een afweging te maken. MPLS kan met ieder protocol overweg en is geschikt voor veilige VPN-verbindingen omdat het voor aanvallers lastiger is het eindpunt (endpoint) te bereiken. Het voorziet echter geen mogelijkheid tot versleuteling (vertrouwelijkheid/integriteit).
Er bestaat een relatie tussen de gebruikte vorm van VPN en de performantie van de connectie. Veilige vormen van encryptie vragen meer rekenwerk en dus risico op lagere performantie. Bij sommige VPN-datastromen kan dit van belang zijn, maar in de meeste situaties heeft het de voorkeur om de meest veilige vorm van versleuteling te gebruiken.
Connectiviteit
Er zijn drie combinaties van VPN tussen computers en netwerken mogelijk, afhankelijk van de punten waartussen de VPN-verbinding moet lopen:
Rechtstreeks van computer tot computer: De meest directe is een vorm van VPN tussen twee computers. Hiervoor hebben deze twee computers respectievelijk een VPN-client en VPN-serverprogramma nodig:
...
Het gebruik van een computer als VPN-client of -server maakt standaard deel uit van sommige versies van Windows. Dit soort VPN-verbindingen zijn vrij recht-toe-recht-aan. Een PPTP of L2TP VPN kan al worden opgezet tussen twee computers die beiden gebruik maken van Windows.
Tussen twee routers of firewalls die VPN ondersteunen: Om een netwerk van computers toegang tot bijvoorbeeld het internet te geven, heeft men routing-functionaliteit nodig. Als men twee of meer netwerken via VPN met elkaar wil verbinden kan men ervoor kiezen de VPN-verbinding niet te laten maken door de individuele computers maar bijvoorbeeld door routers of firewalls af te laten handelen. De verschillende aangesloten computers hoeven in dit geval geen aparte VPN-software te gebruiken. Zo ontstaat een transparant VPN-netwerk dat over meer dan één locatie gespreid kan zijn. Deze configuratie is ideaal voor het koppelen van bijvoorbeeld een aantal agentschappen en een hoofdzetel.
...
Een paar opmerkingen over deze opzet:
De verschillende routers/firewalls moeten compatibel met elkaar zijn;
De routers moeten het VPN-verkeer normaal doorlaten en de firewalls in de routers moeten goed zijn geconfigureerd; en
De netwerken aan de verschillende kanten van de tunnel mogen niet hetzelfde IP-bereik gebruiken.
Mengvormen: Soms wordt de VPN-verbinding opgezet door de computers zelf maar maakt één of beide kanten van de verbinding gebruik van een router of firewall. Neem bijvoorbeeld een thuiswerker die verbinding moeten krijgen met een kantoor. De server staat in het netwerk van de organisatie achter een router/firewall, die gebruikt wordt om het internet te delen en in zijn geheel af te schermen met een firewall. Maar het kan ook andersom: een VPN-client PC achter een router/firewall die met een VPN-server contact probeert te maken. Of een verbinding tussen twee netwerken met routers/firewalls waarbij de VPN-verbinding door de computers verzorgd wordt.
...
Deze configuraties kunnen werken, maar niet bij ieder type verbinding, router of firewall en VPN-programma. Er kunnen zich de volgende problemen voordoen:
Het gebruikte protocol wordt niet door de router/firewall ondersteund;
Het gebruikte VPN-algoritme kan niet altijd tegen NAT (Network Address Translation). Een voorbeeld hiervan is de IPSec tunnel transport Mode in combinatie met AH (Authentication Header) als transportprotocol; en
In sommige gevallen kan een VPN-verbinding tussen computers tot stand worden gebracht door de router(s) transparant (als modem/bridge) in te stellen. In dat geval staat het netwerk mogelijk open voor de buitenwereld en moet de VPN-server een eigen firewall hebben.
3.3.3.3.2. Link met cryptografie als maatregel
3.1. Minimale maatregelen - Cryptografie beschrijft de kwaliteitseisen waaraan encryptie en sleutelbeheer als bouwstenen van de minimale cryptografische maatregelen moeten voldoen.
VPN maakt gebruik van cryptografische technieken en sluit dus aan bij deze maatregel.