Een VPN (Virtual Private Network) is een point-to-point verbinding in een particulier of openbaar netwerk, zoals internet. Een VPN-client gebruikt speciale TCP/IP-protocollen, genaamd tunnelingprotocollen, waarmee voor de verzending van gegevens een beveiligd kanaal tussen twee computers tot stand wordt gebracht. Vanuit het perspectief van de twee deelnemende computers bestaat er een speciale point-to-point verbinding die de computers aan elkaar koppelt, maar in werkelijkheid worden de gegevens net als elk ander pakket via internet verstuurd. In een normale VPN-implementatie wordt door een client een virtuele point-to-point verbinding met een RAS-server via internet gestart. De RAS-server beantwoordt de aanroep, verifieert de aanroeper en brengt gegevens over tussen de VPN-client en het particuliere netwerk van de organisatie.
Om een point-to-point koppeling te emuleren worden de gegevens ingekapseld met een header. De header bevat routeringsgegevens op basis waarvan de gegevens via het gedeelde of openbare netwerk naar het eindpunt kunnen worden gebracht. Om een particuliere koppeling te emuleren worden de verzonden gegevens versleuteld ten behoeve van de vertrouwelijkheid. Zie
Zie Vereisten voor het installeren van RRAS als een VPN-server voor installatievereisten.
VPN-verbinding
Er zijn twee typen VPN-verbindingen:
VPN voor externe toegang
Een gebruiker kan met een VPN-verbinding voor externe toegang thuis of onderweg toegang krijgen tot een server in een particulier netwerk via de infrastructuur van een openbaar netwerk zoals internet. Vanuit de gebruiker gezien is de VPN-verbinding een point-to-point verbinding tussen de clientcomputer en de server van een organisatie. De infrastructuur van het gedeelde of openbare netwerk is niet relevant, omdat het lijkt alsof de gegevens via een exclusieve particuliere koppeling worden verzonden.
VPN van site naar site
Een organisatie kan met een VPN-verbinding van site naar site (ook wel genoemd een VPN-verbinding van router naar router) via een openbaar netwerk gerouteerde verbindingen hebben tussen afzonderlijke vestigingen of met andere organisaties, terwijl de communicatie op een beveiligde manier plaatsvindt. Wanneer netwerken via internet met elkaar worden verbonden, zoals in de volgende afbeelding, worden pakketten via een VPN-verbinding door de ene VPN-router doorgestuurd naar de andere VPN-router. Voor de routers lijkt het of de VPN-verbinding een exclusieve koppeling via de data link layer is.
Een VPN-verbinding van site naar site verbindt twee particuliere netwerken. De VPN-server biedt een gerouteerde verbinding met het netwerk waarop de VPN-server is aangesloten. De aanroepende router verifieert zichzelf bij de antwoordende router, en de antwoordende router verifieert zichzelf bij de aanroepende router, zodat er wederzijdse verificatie plaatsvindt. In een VPN-verbinding van site naar site zijn de pakketten die door een van de routers via de VPN-verbinding worden verzonden, normaal gesproken niet afkomstig van de routers.
VPN-verbinding tussen twee externe sites via internet
Eigenschappen van VPN-verbindingen
- Inkapseling. Privégegevens worden ingekapseld met een header die routeringsgegevens bevat op basis waarvan de gegevens via het netwerk kunnen worden getransporteerd. Zie
VPN-tunnelingprotocollen (https://go.microsoft.com/fwlink/?linkid=140602) voor voorbeelden van inkapseling (deze pagina is mogelijk Engelstalig). - Verificatie. Verificatie voor VPN-verbindingen vindt op drie manieren plaats:
- Verificatie op gebruikersniveau via PPP-verificatie (Point-to-Point Protocol). Om de VPN-verbinding tot stand te brengen verifieert de VPN-server de VPN-client die de verbinding wil maken door middel van een PPP-verificatiemethode op gebruikersniveau. De VPN-server verifieert of de VPN-client de juiste autorisatie heeft. Als wederzijdse verificatie wordt gebruikt, wordt de VPN-server ook door de VPN-client geverifieerd. Dit is een beveiliging tegen computers die zich voordoen als VPN-servers.
- Verificatie op computerniveau via IKE (Internet Key Exchange). Om een IPsec-beveiligingskoppeling (Internet Protocol security) tot stand te brengen gebruiken de VPN-client en de VPN-server het IKE-protocol om computercertificaten of een vooraf gedeelde sleutel uit te wisselen. In beide gevallen worden de VPN-client en -server op computerniveau door de ander geverifieerd. Verificatie met computercertificaten is een veel betere verificatiemethode en wordt daarom ten zeerste aanbevolen. Verificatie op computerniveau wordt gebruikt door Layer Two Tunneling Protocol (L2TP)/IPsec- of IKE versie 2-vebindingen.
- Verificatie op basis van de gegevensoorsprong en gegevensintegriteit. Om te verifiëren dat de gegevens die via de VPN-verbinding zijn verzonden, afkomstig zijn van het andere einde van de verbinding en de gegevens onderweg niet zijn gewijzigd, bevatten de gegevens een cryptografische controlesom die is gebaseerd op een versleutelingssleutel die alleen bekend is bij de afzender en de ontvanger. Verificatie op basis van de gegevensoorsprong en gegevensintegriteit zijn beschikbaar voor L2TP/IPsec- en IKE versie 2-verbindingen.
- Verificatie op gebruikersniveau via PPP-verificatie (Point-to-Point Protocol). Om de VPN-verbinding tot stand te brengen verifieert de VPN-server de VPN-client die de verbinding wil maken door middel van een PPP-verificatiemethode op gebruikersniveau. De VPN-server verifieert of de VPN-client de juiste autorisatie heeft. Als wederzijdse verificatie wordt gebruikt, wordt de VPN-server ook door de VPN-client geverifieerd. Dit is een beveiliging tegen computers die zich voordoen als VPN-servers.
- Gegevensversleuteling. Om de vertrouwelijkheid van de gegevens te waarborgen tijdens het transport via het gedeelde of openbare netwerk, worden de gegevens versleuteld door de afzender en ontsleuteld door de ontvanger. De afzender en de ontvanger moeten dezelfde versleutelingssleutel gebruiken om de gegevens te versleutelen en ontsleutelen.
Pakketten die worden onderschept tijdens de verzending via de VPN-verbinding in het netwerk, zijn onleesbaar zonder de versleutelingssleutel. De lengte van de versleutelingssleutel is een belangrijke beveiligingsparameter. U kunt rekentechnieken gebruiken om de versleutelingssleutel te bepalen. Dergelijke technieken vereisen echter meer rekenvermogen en tijd naarmate de versleutelingssleutels groter worden. Het is daarom belangrijk om de grootst mogelijke sleutelgrootte te gebruiken om de beveiliging van vertrouwelijke gegevens te waarborgen.