Virtueel Particulier Netwerk

Een Virtueel Particulier Netwerk of Virtueel Privénetwerk (Engels: Virtual Private Network), afgekort VPN, is een manier om een local area network (LAN) over een bestaande verbinding, een wide area network (WAN), zoals het internet, uit te bouwen met behoud van vertrouwelijkheid.

Via een VPN is het mogelijk via een bestaand netwerk, zoals het internet, gegevens te delen tussen fysiek gescheiden netwerken. Zo kan een werknemer thuis via VPN inloggen op het netwerk van de werkgever. Het bekendste en meest gangbare protocol is OpenVPN. Al wordt tegenwoordig, vooral door moderne VPN's, ook veelvuldig van het protocol WireGuard gebruik gemaakt.

Voor- en nadelen

De internetverbinding via een VPN is volledig versleuteld, waardoor derden het internetverkeer niet kunnen afluisteren. Onversleuteld internetverkeer via een onbeveiligd wifi-netwerk (zoals in horecazaken of openbare ruimtes) kan gemakkelijk afgeluisterd worden; een VPN voorkomt dit. In bepaalde landen, zoals de VS, mogen internetproviders de surfgeschiedenis van gebruikers analyseren en vermarkten, iets dat in Europa door strengere privacywetgeving niet is toegestaan. Een VPN kan dergelijke praktijken tegengaan.

Daarnaast biedt een VPN de mogelijkheid om eenvoudig van IP-adres te wisselen, waardoor gebruikers geoblocking of een firewall kunnen omzeilen. Dit maakt bijvoorbeeld streaming van regionaal geblokkeerde inhoud mogelijk, of het vermijden van IP-gebaseerde blokkades. Ook wordt een VPN vaak gebruikt omwille van privacy-overwegingen.

Er kleven echter ook nadelen aan VPN-gebruik. Door de extra tussenstap kan het internetverkeer vertragen, wat vooral merkbaar is bij intensieve toepassingen zoals videostreaming en gaming. Daarnaast creëert een VPN een extra beveiligingsrisico, omdat VPN-providers potentieel het verkeer kunnen bekijken, logs kunnen opslaan of slachtoffer kunnen worden van cyberaanvallen.^[1]

Gratis VPN-diensten brengen vaak bijkomende risico's met zich mee, zoals het verzamelen van gebruikersdata voor commerciële doeleinden, aanwezigheid van malware en spyware, en het tonen van potentieel schadelijke advertenties. Onderzoek van onder meer CSIRO en Berkeley Universiteit toonde aan dat veel populaire gratis VPN-apps gegevens verzamelen en geïntegreerde trackingsoftware bevatten, wat de privacy van gebruikers kan aantasten.^[2]

Technologisch abstract

Gebruik van een VPN vermijdt het gebruikt van specifieke huurlijnen tussen de gebruikers.

Een VPN is een netwerk dat door een ander netwerk (gewoonlijk het internet)^[3] getunneld wordt. Hierdoor wordt de theoretische topologie vereenvoudigd, de praktische routering daarentegen zal complexer worden afhankelijk van het onderliggende netwerk. Een VPN tracht de voordelen van het onderliggende netwerk te gebruiken en de nadelen ervan te compenseren. De primaire problemen met het datatransport over een onderliggend netwerk zijn de veiligheid en de betrouwbaarheid. Door encryptie en controlemaatregelen (bijvoorbeeld CRC) kan een goed uitgewerkt VPN toch de integriteit, autorisatie en authenticiteit van de verzonden data verzorgen. Al deze beveiligingsmaatregelen moeten bovendien zo transparant mogelijk geïmplementeerd worden, opdat de eindgebruikers er eenvoudig gebruik van kunnen maken. Verder moet er ook rekening gehouden worden met wetten^[4] die van kracht zijn omtrent de privacy van data.

Classificaties

Er zijn tal van indelingen die gemaakt kunnen worden om VPN's van elkaar te onderscheiden. De voornaamste classificaties zijn hieronder opgesomd:

Opstellingen

Remote-access VPN

Site-to-site VPN

Er zijn twee courante opstellingen waarin een VPN geconfigureerd kan worden:

1. Remote-access-VPN. Hierbij zal een gebruiker toegang krijgen tot de private LAN van een organisatie door middel van een VPN. Hierbij valt te denken aan werknemers die thuis of onderweg toegang willen hebben tot het private bedrijfsnetwerk.
2. site-to-site-VPN, ook aangeduid door "S2S-VPN". Hierdoor kan een organisatie de netwerken van geografisch gescheiden vestigingen met elkaar verbinden. Het resultaat van deze verbinding wordt een intranet-VPN genoemd.

Een andere mogelijkheid is dat verwante organisaties (bijvoorbeeld leveranciers en magazijniers) elkaars netwerk onderling verbinden om zo een intelligent geheel te bekomen, opdat de productiviteit stijgt. Dit betreft een extranet-VPN. Daarnaast bestaan er nog andere opstellingen afhankelijk van de reële situatie. Deze zijn meestal te herleiden tot een variant op de bovengenoemde opstellingen.

IETF

De Internet Engineering Task Force (IETF) onderscheidt enkele verschillende VPN's. Het deelt de verschillende technologieën in op basis van het beheer van en tussen de verschillende netwerknodes. Hierdoor kan dan geclassificeerd worden op basis van zaken als beveiliging of quality of service (QoS). Bij een netwerk dat centraal beheerd wordt, spreekt de IETF^[5] van een intranet. Als er meerdere beheersposten in het spel komen, dan wordt gesproken over een extranet. Deze indeling sluit logisch nauw aan bij de gelijknamige classificaties van de site-to-site-indeling.

Daarnaast definieert IETF ook nog een provider-provisioned-VPN. Een PPVPN^[6] is een totaalpakket voor een VPN-dienst die een internetprovider aanbiedt via zijn netwerk (zijnde het internet of specifiek aparte lijnen voor VPN). Het is specifiek gericht op bedrijven en organisaties die een WAN wensen uit te bouwen. In de praktijk betekent dit meestal dat de internetprovider een service level agreement (SLA) afsluit waarbinnen de kwaliteit van het datatransport verzekerd wordt.

Beveiligingsmodel

Het onderliggende netwerk dat gebruikt wordt zal ofwel 'vertrouwd' of 'niet vertrouwd' worden door het VPN. Het valt aan te raden om het onderliggende netwerk simpelweg niet te vertrouwen, zeker niet als dit het internet is. Het VPN-protocol moet dan in technologieën voorzien om de beveiliging te verzorgen. Als men toch het onderliggende netwerk vertrouwt, wordt er gesproken over een trusted VPN (of een Actual Private Network). Hierbij wordt de beveiliging volledig afgehandeld door het onderliggende netwerk, zonder eigen controlemogelijkheden.

Een essentieel stuk van de beveiliging is de authenticiteit van de data. Dit wil zeggen dat de originaliteit en de herkomst van de data betrouwbaar moeten zijn. Een beveiligingsmodel kan ervoor kiezen om eerst de authenticiteit van de deelnemers aan de VPN-verbinding te controleren alvorens de eigenlijke verbinding op te zetten. Een andere mogelijkheid is om de authenticiteit te verzorgen bij de eigenlijke transmissie.

Beveiliging

VPN-technieken kunnen ook worden gebruikt om de beveiliging van een eigen netwerk te verbeteren, maar ze zijn in de eerste plaats ontworpen om veilig transport over een onveilig netwerk mogelijk te maken.

Topologie

In de eerste plaats zal het private netwerk gescheiden moeten worden van het onderliggende netwerk door middel van een firewall. Deze module zal zowel binnenkomend als uitgaand verkeer analyseren en zo nodig stoppen: de module kan als een filter worden beschouwd. De firewall moet strategisch opgesteld staan in de verbinding tussen het private en publieke netwerk. Een firewall biedt een hardwarematige isolatie van het private netwerk om ongewenste bezoekers te vermijden. Het is imperatief dat openingen in de firewall voor VPN-doeleinden de algemene beveiliging niet ondermijnen.

Vlak achter deze firewall zal er bij site-to-site-VPN een AAA-server (authenticiteit, autorisatie en accounting) moeten volgen die VPN-pakketten kan vertalen, zodat die ofwel op het private netwerk kunnen routeren, ofwel klaar zijn om verzonden te worden over het publieke netwerk. Dit wordt praktisch geïmplementeerd door een daemon die het VPN-protocol verzorgt op een dedicated-VPN-server. Bij remote-access-VPN zal de gebruiker lokaal op zijn eigen computer software moeten gebruiken om het VPN-protocol uit te voeren. Een firewall kan eventueel ook softwarematig geïmplementeerd worden.

Encryptie

Encryptie wordt bij tal van protocollen gebruikt om geheimhouding van data te realiseren. Bij encryptie zullen de data getransformeerd worden naar een onleesbare vorm, de zogenaamde cyphertekst. Door middel van een sleutel kan de ontvanger dan een omgekeerde transformatie uitvoeren, waardoor de tekst weer leesbaar wordt. Dit is te vergelijken een brief geschreven in geheimschrift. Iemand die hem toch weet te onderscheppen, kan alsnog niet lezen wat er is geschreven. De meest performante encryptietechnieken vandaag de dag zijn 3DES en Advanced Encryption Standard (AES). AES heeft altijd de voorkeur vanwege zijn sterkere crypto-eigenschappen in vergelijking met 3DES. 3DES is verouderd en mag alleen gebruikt worden als er geen mogelijkheden zijn om AES te gebruiken.

Tunneling

Bij tunneling wordt een pakket voor het private netwerk geëncapsuleerd binnen een nieuw pakket om over het publieke netwerk verzonden te worden. Een eerste reden hiervoor is om het originele pakket compatibel te maken met het publieke netwerk. Deze stap kan met de werking van een bridge vergeleken worden. Een andere reden is de beveiliging van het originele pakket. Het originele pakket kan namelijk volledig versleuteld worden, waarna het geëncapsuleerd zal worden binnen een nieuw pakket. Het geëncapsuleerde pakket zal dan verzonden worden via het onderliggende netwerk en na aankomst uitgepakt worden, zodat met het originele pakket verder gewerkt kan worden. Tunneling is een veelgebruikte techniek bij tal van VPN-implementaties.

IP-adres

Een VPN-verbinding zorgt ervoor dat het IP-adres verandert. Hierdoor kunnen hackers en criminelen minder gemakkelijk herleiden wie er op hun website zitten. Het veranderen van een IP-adres zorgt er overigens ook voor dat computers minder direct gehackt kunnen worden, waardoor wachtwoorden minder snel publiekelijk op straat komen te liggen. Een VPN beschermt echter niet tegen malware of phishing.