image

AIVD keurt OpenVPN voor ambtenaren goed

dinsdag 22 november 2011, 15:35 door Redactie, 10 reacties

De AIVD heeft een aangepaste versie van het open source programma OpenVPN goedgekeurd, waardoor ambtenaren op afstand kunnen werken. Via een Virtueel Particulier Netwerk of Virtueel Privénetwerk is het mogelijk om via een tunnel over het internet toegang tot een besloten of afgeschermd netwerk te krijgen. De aanpassingen werden uitgevoerd door het Delftse Fox-IT, zo meldt Webwereld.

Om toegang tot documenten met het label "Departementaal Vertrouwelijk" mogelijk te maken, werd OpenSSL door PolarSSL vervangen. PolarSSL is een implementatie van SSL die een zeer kleine 'footprint' heeft. Het beveiligingsbedrijf heeft PolarSSL in OpenVPN geïntegreerd, als vervanging van de complexere OpenSSL implementatie, zo is in het inzetadvies van de AIVD te lezen. Documenten met het label "Departementaal Vertrouwelijk" zijn geen staatsgeheim, maar wel gevoelig.

Open source
Verder zijn er in "OpenVPN-NL" veel onveilige en minder veilige opties verwijderd en wordt alleen AES-versleuteling ondersteund. Na aanpassing van de programmatuur is die door het Nationaal Bureau Verbindingsbeveiliging van de AIVD gecontroleerd en vrijgegeven. Daardoor kunnen ambtenaren de software gebruiken, zolang ze zich aan de gebruiksregels houden. Het programma is alleen te downloaden vanaf de website van Fox-IT, om zo versies met een Trojaans paard te voorkomen.

"OpenVPN, een toonaangevend open-source VPN-product, is geschikt gemaakt voor overheidsgebruik op Departementaal Vertrouwelijk niveau. Het Nationaal Bureau Verbindingsbeveiliging (NBV), heeft dit vastgesteld. De goedkeuring geldt voor een specifieke versie, OpenVPN-NL, die via een vertrouwd kanaal wordt verspreid en waar veiligheid verhogende aanpassingen in zijn gedaan. Deze aanpassingen zijn door een marktpartij uitgevoerd, zij draagt ook zorg voor de vertrouwde hosting. Zo levert OpenVPN-NL een bijdrage aan veiliger thuiswerken binnen de overheid", aldus het bureau.

De gemaakte aanpassingen zijn ook door andere gebruikers te gebruiken. "Alle wijzigingen hebben we netjes aangemeld en we hebben met de makers gecommuniceerd", vertelt marketing manager Joost Bijl tegenover Webwereld. "Dus ook in nieuwe versies ga je dat terugzien."

Reacties (10)
22-11-2011, 16:29 door cowboysec
Aleen maar voor Linux zie ik? Waarom niet voor Windows?
22-11-2011, 16:40 door Anoniem
@cowboysec

lezen is ook een vak.
https://openvpn.fox-it.com/repos/windows
22-11-2011, 16:45 door golem
Ik zie toch echt aan de linkerkant staan : Windows.

https://openvpn.fox-it.com/repos/windows/
22-11-2011, 16:49 door wizzkizz
Door cowboysec: Aleen maar voor Linux zie ik? Waarom niet voor Windows?
Dat zie je verkeerd. Op de website van Fox staan versies die zijn gecompileerd voor Debian, RedHat Enterprise Linux, Suse Linux Enterprise Server, Ubuntu en Windows. Ook is de broncode beschikbaar.
22-11-2011, 18:07 door cowboysec
@ Anoniem @ golem @wizzkizz
Sorry.
Allen bedankt voor de tip; had inderdaad er kennelijk overheen gelezen. Heb het al meteen gedownloaded.
Vele handen maken licht werk.
23-11-2011, 08:35 door Anoniem
En wie heeft Fox-IT betaald om dit te maken?
23-11-2011, 09:42 door SecOff
Jij
23-11-2011, 11:30 door Anoniem
Door SecOff: Jij

:-)

Maar dit is wel een goede investering, wat nu kunnen ministeries/overheidsinstanties een beetje flexibel en betaalbare oplossingen inzetten ipv SINA en Cryptoguard dozen.
Zie https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/artikel/goedgekeurde/#Netwerkbeveiliging

Kortom, een mooi open-source initiatief!
23-11-2011, 14:44 door meh
Oke, dat Blowfish niet wordt ondersteund dat snap ik wel, Bill Scheier (de auteur van BF) stelt zelf dat je dan nog beter Twofish kan gebruiken.

Maar wat ik niet begrijp is waarom de keuze voor PolarSSL is gemaakt. En ik snap niet waarom ze nu aes-256-cbc gebruiken terwijl daar door Bill het volgende over wordt gezegd:

Cryptography is all about safety margins. If you can break n round of a cipher, you design it with 2n or 3nrounds. What we’re learning is that the safety margin of AES is much less than previously believed. And while there is no reason to scrap AES in favor of another algorithm, NST should increase the number of rounds of all three AES variants. At this point, I suggest AES-128 at 16 rounds, AES-192 at 20 rounds, and AES-256 at 28 rounds. Or maybe even more; we don’t want to be revising the standard again and again.And for new applications I suggest that people don’t use AES-256. AES-128 provides more than enough security margin for the forseeable future. But if you’re already using AES-256, there’s no reason to change.

Ik zeg dat ik het niet begrijp, als in, je ne comprends pas. Niet als in "wat een idiote keuzes" ofzo. Het zou mooi zijn zodra Serpent, tnepres, anubis enz. ook werken binnen OpenVPN. Die algoritmes lijken me veiliger, maar goed, ik kan er naast zitten, je moet wel van hele goede huize komen wil je jezelf een security expert noemen, ik waag me daar maar niet aan.
23-11-2011, 22:30 door Anoniem
Heb binnen onze organisatie(gemeente) in 2005 openvpn als oplossing geïmplementeerd voor thuiswerkers. Werkt prima.
Pas aes256 toe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.