image

'SSL VPN wordt hoeksteen voor bedrijven'

donderdag 7 februari 2013, 17:47 door Redactie, 6 reacties

Nu steeds meer werknemers met eigen tablets, smartphones en laptops op de werkvloer verschijnen, zullen bedrijven meer in mobiele veiligheid gaan investeren, onder andere om toegang tot het bedrijfsnetwerk te regelen. Dat beweert marktvorser Infonetics Research in een nieuw onderzoek. Voor het onderzoek werden 103 beslissers in Amerikaanse en Canadese bedrijven ondervraagd.

"Voor veel IT-organisaties is er een directe behoefte om iets aan de veiligheid van mobiele apparaten te doen, want of je het nu leuk vindt of niet, een nieuwe golf van mobiele apparaten wordt op het bedrijfsnetwerk aangesloten", zegt analist Jeff Wilson.

Die merkt op dat bedrijven naar een manier zoeken om deze apparaten af te schermen en te bepalen welke apps ze gebruiken.

VPN
"We denken dat SSL VPNs een hoeksteen van de mobiele beveiligingsstrategie van veel bedrijven zullen worden", gaat Wilson verder. Via Virtual Private Networks (VPNs) kunnen werknemers via een beveiligde verbinding contact met het bedrijfsnetwerk maken.

Volgens Wilson lossen SSL VPNs een directe beveiligingsbehoefte op wat betreft het verbinding maken. Daarnaast zijn ze eenvoudig te gebruiken en in veel gevallen gratis. Ongeveer 1 op de 3 onderzochte bedrijven staat het toe dat werknemers hun eigen iPhone, iPad en Android-toestel op het netwerk aansluiten.

Reacties (6)
07-02-2013, 18:56 door Anoniem
Via een veilig kanaal verbinden is een stap voorwaarts. Nu nog veilige apparaten waarop de corporate-gegevens worden opgeslagen...
08-02-2013, 00:09 door Erik van Straten
Uit http://www.infonetics.com/pr/2013/Mobile-Security-Strategies-Survey-Highlights.asp: [...]
Wilson continues: “We believe that SSL VPNs will become [...]
waarbij SSL een link is naar http://en.wikipedia.org/wiki/Secure_Sockets_Layer en "VPN's" naar http://en.wikipedia.org/wiki/Vpn: de vaagheid druipt er weer eens vanaf, op basis hiervan ga ik zo'n rapport zeker niet kopen.

Helaas wordt er een boel onzin geschreven over SSL VPN's. Voorbeeld:
Uit http://searchsecurity.techtarget.com/definition/SSL-VPN: An SSL VPN (Secure Sockets Layer virtual private network) is a form of VPN that can be used with a standard Web browser.
Klinkklare onzin wat mij betreft! De N uit VPN staat voor Network, en dat is een andere laag dan waar applicaties als webbrowsers in thuishoren.

Zie ook deze publicatie (PDF) https://www.sans.org/reading_room/whitepapers/vpns/openvpn-ssl-vpn-revolution_1459 (uit 2004):
uit die PDF, door Charlie Hosner:
“IPSec VPNs protect IP packets exchanged between remote networks or hosts and an IPSec gateway located at the edge of yourprivate network. SSL VPN products protect application streams from remote users to an SSL gateway. In other words, IPSec connects hosts to entire private networks, while SSL VPNs connect users to services and applications inside those networks.” [Phi03]
The above statement is totally wrong. The myth that Secure Socket Layer(SSL) Virtual Private Networkdevices (VPNs) are used to connect applications together is not true. The commercial SSL VPN market has falsely labored under this misdirected paradigm, but it is a mishandling of terms and represents an untrue statement. This document coversthe emerging trend of SSL based VPNs. It is important to be absolutely clear that when this document refers to a VPN, it is not referring to an application level access to a remote network’s application. A VPN is a site-to-site tunnel. Let me say that one more time, a VPN is a site-to-site tunnel.
[...]
[Phi03] Phifer, Lisa (2003). VPN: Tunnel Vision. Information Security Magazine Online. Retrieved July 26th, 2004 from http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss21_art83,00.htm
[...]
In de praktijk heb je gewoon VPN client software nodig die een virtuele netwerkkaart emuleert; in het bedrijf heb je een bijna identieke configuratie op een server draaien.

Een belangrijke keuze die je moet maken is of je, zodra een VPN tunnel is opgebouwd, al het netwerkverkeer (dus ook DNS, Google, Skype etc) van/naar het mobiele device via die tunnel en het bedrijf wilt leiden, of slechts dat netwerkverkeer dat direct met het bedrijf te maken heeft.

Als de werkgever de devices verstrekt kan hij de devices natuurlijk ook nog zo configureren dat er alleen internetverkeer mee mogeijk is als de tunnel is opgebouwd. Dat biedt gegarandeerde monitor- en filtermogelijkheden - mits de gebruiker de configuratie van het device niet wijzigt (beter: niet kan wijzigen, maar dat vereist vaak vergaande ingrepen in standaard portable devices).

Bekende software is natuurlijk OpenVPN, waarvan recentelijk ook een (gratis) client voor iOS is uitgekomen.
08-02-2013, 07:13 door [Account Verwijderd]
Een VPN gebruiken zegt helemaal niets over wat voor soort data er wordt verstuurd via die VPN waardoor die nog steeds schadelijk kan zijn voor het netwerk. Of te wel meer aandacht voor de inhoud van het verkeer i.p.v. de manier waarop dit verzonden wordt richting het bedrijfsnetwerk.
08-02-2013, 09:19 door Anoniem
Het ligt er maar net aan hoe je je bedrijfsnetwerk ingericht hebt en of je devices daar direct op moet aansluiten of niet. Met o.a. Citrix is er een mogelijkheid om volledig clientless, zowel ICA alls VPN, de Citrix omgeving aan te bieden. Hiermee kunnen alle devices beschouwt worden alsof ze van het internet afkomen. Dan hoef je alleen maar internet toegang aan te bieden op de werkplek, o.a. WiFi, en kunnen medewerkers flexibel gebruik maken van de plaats en het device waarmee ze werken. Hierdoor kun je tevens de directe toegang tot het backend netwerk volledig afsluiten. Helaas werken niet alle applicaties goed onder Citrix maar afgezien een aantal uitzondering ga ik er vanuit dat meer dan 90% van de medewerkers er prima mee kunnen werken. Dus qua techniek hoef je niet al te ingewikkeld te doen. Maar er is is een ander probleem met het gebruik van VPN maar ook encryptie in het algemeen.

Waar ik steeds vaker tegen aanloop is het wantrouwen van o.a. IT'ers en management in de eigen medewerkers. Bij sommige bedrijven staan ze juist geen VPN toe omdat er dan niet gefilterd kan worden op waar medewerkers allemaal naar toe surfen, onder het mom van porno en andere foute zaken. Tja, zo de waard is zo vertrouwt deze zijn gasten zullen we maar zeggen. Als een bedrijf encryptie of VPN niet toestaat, vanuit wantrouwen van de eigen medewerkers ,dan denk ik dat je eerst iets aan dat wantrouwen moet gaan doen. Misbruik hou je toch maar als dat het uitgangspunt is dan neem je als bedrijf grote risico's want mensen zijn nu eenmaal inventief genoeg om andere wegen te bewandelen. En dan ben je de controle helemaal kwijt.
08-02-2013, 09:28 door Anoniem
ik mis het hele IPv6 verhaal hier, of is dit de antiek winkel?
08-02-2013, 11:19 door Anoniem
Door Anoniem: Bij sommige bedrijven staan ze juist geen VPN toe omdat er dan niet gefilterd kan worden op waar medewerkers allemaal naar toe surfen, onder het mom van porno en andere foute zaken.

Waarom kan dat niet dan?
Ik onderscheid twee gevallen:
1. de bedrijfs devices (laptops bij ons maar wellicht bij anderen ook tablets en zo)
die zetten een VPN op naar ons netwerk en doen alles daarover, dus ook surfen. die monitor je net als elk
intern systeem.

2. de "bring your own device" spullen (eigen laptops, computer thuis)
die geef je natuurlijk geen VPN want je gaat geen untrusted unmanaged spullen op je netwerk laten.
die geef je via ICA toegang tot een applicatie of desktop.
ok dit is in feite wel een soort VPN maar dan met alleen ICA client aan de gebruikerskant, niet al het
netwerkverkeer gaat over die VPN.

de tweede categorie kan wel naar eigen inzicht surfen (locaal op de machine, niet op de desktop natuurlijk) maar het is ook hun eigen apparaat wat ze daar dan mogelijk mee verzieken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.