Door COVID-19 werd online beveiliging cruciaal vanwege de noodzaak van toegang op afstand voor werk en vrije tijd. Veel bedrijven gingen op zoek naar alternatieven voor VPN (Virtual Private Network). Hierdoor zagen er de afgelopen jaren diverse mogelijkheden het leven om jezelf op het internet te beschermen.
Of je nu op zoek bent naar andere manieren om je bedrijf te beschermen of dat je je persoonlijk zorgen maakt om je privacy, dit artikel is er speciaal voor jou.
Wat kan ik in plaats van een VPN gebruiken?
Een VPN brengt een versleutelde communicatietunnel met het internet tot stand en leidt al je dataverkeer om via de servers ervan. Het enige dat je hoeft te doen om je hele netwerk te beveiligen, is inloggen op je client en de app gebruiken. Hoewel een VPN een uitstekende oplossing voor een particulier is, moet je deze zware jongens echter bekijken als je op zoek bent naar bescherming voor je bedrijf.
-
Zero Trust Network Access (ZTNA)
‘Zero trust’ ofwel nul vertrouwen betekent dat zelfs jij zelf niet te vertrouwen bent. Het is een beveiligingsmethode die voornamelijk wordt geadverteerd aan bedrijven en zakelijk wordt gebruikt. Het is een paranoïde alternatief voor VPN dat:
- al het verkeer standaard blokkeert;
- toegang geeft tot specifieke applicaties;
- gebruikmaakt van verificatie in meerdere stappen (MFA);
- alle activiteit op het netwerk monitort;
- vereist dat alle netwerkgebruikers continu gevalideerd worden voor de beveiligingsconfiguratie;
- werkt op basis van het principe van het minste privilege – geeft standaard aan niemand in het netwerk geprivilegieerd toegangsbeheer.
Om het in lekentermen te zeggen: voor verdere toegang tot het netwerk moet je jezelf tijdens vrijwel elke andere stap telkens opnieuw valideren. Vanuit het programma bezien vorm je een bedreiging en is je apparaat al een beveiligingsrisico – vandaar dat er constant sprake is van een hernieuwde autorisatie en ‘nul vertrouwen’.
Als deze maatregel het netwerk beschermt, dan authenticeert de beheerder gebruikers en monitort de beheerder apparaten op en buiten het netwerk. Een andere mooie bijkomstigheid is dat de netgebruiker zijn IP-adres niet kan tonen buiten de perimeter van het netwerk (zelfs als hij online is).
Consensus: ZTNA is een veilige beveiligingsmethode die je bedrijfseigendommen dicht in je buurt houdt (ook al is dat op een paranoïde manier). Het is een stap extra ten opzichte van hardware VPN’s. Helaas is ZTNA nog niet afgestemd op makkelijk thuisgebruik en niet zo handig in gebruik als een software VPN.
-
Secure Access Service Edge (SASE)
Enkele beveiligingsoplossingen in een SASE (lees: sassy) jasje. Het achterliggende idee is tal van diensten te combineren tot één enkele cloudgebaseerde dienst voor de beveiliging.
SDN + SWG + CASB + FWaaS + ZTNA = SASE
Laten we eens kijken naar elk programma dat zich verschuilt onder het sassy jasje om te begrijpen wat SASE doet.
Software Defined Networking (SDN) – een netwerk dat via software wordt beheerd.
Security Web Gateway (SWG) – voorkomt dat onbeveiligd (mogelijk schadelijk) dataverkeer een netwerk binnenkomt.
Cloud Access Security Brokers (CASB‘s) zijn ‘gevoelige’ punten tussen de serviceprovider en de gebruiker die divers beveiligingsbeleid inschakelen zodra toegang wordt verkregen tot cloudgebaseerde bronnen.
Het beleid betreft: authenticatie gebruiker, autorisatie, eenmalige aanmelding, koppelen van inloggegevens, apparaatprofilering, versleuteling, tokenisering, loggen, meldingen versturen en detectie/preventie van malware.
Firewall as a service (FWaaS) – een firewall op je computer inspecteert en filtert je dataverkeer. FWaaS is hetzelfde concept, maar afgestemd op de cloud om cloud computing veiliger te maken.
Zero Trust Network Access (ZTNA) – dit is zoals hierboven toegelicht een strenge beveiligingsoplossing die voorkomt dat gebruikers iets zien waar ze geen toegangsrechten voor hebben.
Consensus: SASE is een betrekkelijk nieuwe cloudgebaseerde beveiligingsoplossing. Het is ontworpen als een laagdrempelige totaaloplossing voor de beveiliging van grote bedrijven.
Probleemoplossing kan echter moeilijker zijn, omdat het nog nieuw is. Ook kan het beheren van het interne netwerk een hele klus zijn. SASE kan soms overlappen met andere beveiligingsmaatregelen (zoals een onlangs geïmplementeerde SD-WAN) en leiden tot prestatieproblemen.
-
Proxyservers
Als we een vergelijking maken tussen VPN en proxy, dan hebben ze één ding gemeen: ze leiden je gegevens om en veranderen je IP-adres (Internet Protocol). Laten we proxy eens nader bekijken. Deze dienst betekent dat een andere server op het internet jouw apparaat met een proxy (volmacht) vertegenwoordigt.
Je internetprovider geeft je een specifiek IP-adres afhankelijk van je locatie. Je browser maakt gebruik van je IP-adres om verzoeken naar elke server op het internet te sturen waarmee deze contact maakt.
Als je gebruikmaakt van een proxy, krijgt je dataverkeer dat via hun servers loopt een nieuw IP-adres. Dit is een goede manier om geoblocking te omzeilen en om aan het tracken van je IP-adres te ontsnappen (en alles dat hiermee gepaard gaat).
Er worden tal van proxy’s gebruikt voor verschillende doeleinden en met uiteenlopende protocollen, maar in dit artikel worden verderop alleen de proxy’s behandeld die bij het onderwerp aansluiten.
Consensus: door een proxyserver te gebruiken, krijg je een nieuw IP-adres en dat is een uitstekende manier om markten te ontdekken met lagere prijzen en om geografische beperkingen op het internet te omzeilen.
ECHTER, behalve een wijziging van je IP-adres, biedt een proxy geen beveiliging op het internet of van je netwerk.
-
Smart Domain Name Server (DNS)
Smart DNS heeft enkele overeenkomsten met een VPN – het is een dienst die zowel gebruikmaakt van DNS-servers als proxyservers om je DNS-adres te wijzigen. Sommigen noemen het ook wel een DNS proxy.
Het DNS-systeem is een taal die computers gebruiken om met elkaar te communiceren. DNS wordt gebruikt om de naam van een website (zoals www.surfshark.com) naar een IP-adres te vertalen.
Een smart DNS-dienst leidt je verkeer door zijn servers en geeft je een ander DNS-adres zonder het IP-adres te wijzigen. Het dwingt de websites die je bezoekt ook om eerst te kijken naar je nieuwe DNS-adres. Normaal gesproken volstaat dit om geoblokkeringen van internetproviders te omzeilen.
Op het gebied van beveiliging doet deze dienst echter niets. Je IP-adres blijft hetzelfde en kan door wat meer volhardende serviceproviders worden gezien.
Consensus: smart DNS is een uitstekende keuze om de hobbels van geografische beperkingen te nemen als jouw apparaat geen VPN ondersteunt. De dienst biedt echter geen bescherming.
-
Shadowsocks
Dit is een semi-proxy-dienst met als hoofddoel om uit te komen onder enkele beperkingen en censuur (hint: het heeft te maken met Aziatische muren). Deze dienst die in het leven is geroepen door een Chinese programmeur heeft een spannende ontstaansgeschiedenis.
Shadowsocks is geen volledige proxy maar een app die verbinding maakt met een SOCKS5-proxyserver. Echter, de proxy zelf wijkt af van de andere doordat deze een combinatie van drie authenticatiemethoden gebruikt:
- Nul authenticatie – bij het maken van verbinding met een proxy is geen authenticatie nodig. Je wachtwoord wordt zonder controle geaccepteerd.
- Authenticatie gebruikersnaam/wachtwoord – het wachtwoord wordt geaccepteerd zolang het maar overeenkomt met de gebruikersnaam die je opgaf;
- GSS-API-authenticatie – het is een proces waarbij twee of meer computers (je apparaat en de server die je probeert te bereiken) dezelfde authenticatiemethoden gebruiken om je identiteit te controleren.
Shadowsocks leidt in combinatie met SOCKS5 je verkeer door een externe server en wijzigt je IP-adres voordat je data de gewenste diensten bereiken.
Consensus: Shadowsocks wijzigt je IP-adres en helpt je om je locatie te verbergen, maar beveiligt je verkeer niet. De dunne sluier van beveiliging maakt geen schijn van kans tegen tools als Deep Packet Inspection (DPI) (als iemand hier gebruik van maakt).
Shadowsocks kan goed werken bij particulier gebruik om internetbeperkingen te omzeilen, maar is geen goede beveiligingsmethode voor het beheren van een zakelijk netwerk.
-
SSH-tunnel
SSH tunneling of SSH port forwarding, betekent de overdracht van gegevens (ook wel willekeurige data genoemd) via een versleuteld SSH-kanaal.
Wat is een SSH?
Secure shell-protocol dat gebruikmaakt van cryptografie. Een shell is een programma waarbij de commando’s via tekst worden gegeven in plaats van via een muis, toetsenbord of touchscreen. Je kunt vanaf een apparaat dat niet van jou is inloggen op je shell. Dit vormt de basis voor veilig op afstand werken met SSH.
Opmerking: SSH verbindt je met een specifiek apparaat. SSH lijkt vergelijkbaar met een VPN, maar SSH maakt verbinding met een specifiek apparaat, terwijl een VPN verbinding maakt met een netwerk.
Wat is port forwarding?
Port forwarding biedt servers vanaf het internet toegang tot apparaten op een privénetwerk. Zodra de data vanaf het internet een apparaat bereikt, leidt port forwarding deze direct om via een specifieke ingang, een poort, op het apparaat.
Wat is SSH port forwarding / SSH tunneling?
Hiermee kun je data doorsturen via een versleutelde tunnel vanaf een andere clientapplicatie die op dezelfde computer draait als een secure shell-client. Dit beveiligingsprotocol kan dankzij de cryptografie en het vermogen om direct verbinding te maken ook worden gebruikt om firewalls te omzeilen.
Consensus: SSH tunneling is een schitterende beveiligingsmaatregel voor een bedrijf als alternatief voor een software VPN. Je data die de SSH-kanalen passeert wordt versleuteld. Particulier gebruik van SSH tunneling is ook mogelijk, maar vereist wel enige kennis.
Er zijn maar weinig nadelen – SSH tunneling beveiligt alleen het gedeelte van de data dat door de client loopt. Voor een implementatie op het niveau van een server is ervaren personeel nodig.
-
Tor
The Onion Router (Tor) is een goede oplossing voor particulieren. Als je als bedrijf dat afhankelijk is van snelheid erover nadenkt om Tor boven een VPN te verkiezen, moet je een heroverweging maken.
Wat betekent Tor in een notendop?
The Onion Router verwijst naar de Tor-software en het netwerk van Tor-servers. De dienst is deels afhankelijk van vrijwilligers.
Hoe werkt Tor?
Tor maakt gebruikt van een groep van gelaagde privéservers (vrijwilligers die hun computers beschikbaar stellen) voor het omleiden en versleutelen van je verkeer via internet:
- het maakt verbinding met een lijst van beschikbare nodes in het wereldwijde netwerk.
- De data wordt door een reeks van drie willekeurige Tor-nodes geleid. Elk van deze nodes is anders en heeft een unieke versleutelingscode:
De entry node kent de gebruiker en de relay node.
De relay node kent de entry node en de exit node.
De exit node kent de relay node en de bestemming.
Vanwege de architectuur van het netwerk weet geen enkele computer wat de oorsprong van de datastroom en wat de eindbestemming van de data is. Je identiteit en IP-adres zijn veilig.
Tor heeft echter ook een paar nadelen. De belangrijkste zijn lage internetsnelheden en dat de dienst geen verberging gebruikt. Dat houdt in: ook al kan je internetprovider niet zien waarnaar je surft, er is nog steeds te zien dat je Tor gebruikt en deze dienst is in sommige landen illegaal.
Consensus:Tor is vanwege de unieke infrastructuur een schitterende tool voor particulieren om de privacy te beschermen. Het grootste voordeel is echter ook het struikelblok. Hoewel we het eens zijn dat het internet vrij en toegankelijk voor iedereen moet zijn, is er volgens ons ook een manier om je online aanwezigheid eenvoudiger en sneller te beveiligen. Dat geldt zeker wanneer je een bedrijf runt.
Afsluitende antwoorden
Als je je bedrijf wilt uitbreiden en veilig houden, komt er bij hardware VPN’s steeds meer bij kijken en leveren ze veel gedoe op. Voor een bedrijf vormt de SASE-service een goede vervanging voor een verouderde VPN. Is je netwerk al beveiligd en hoeft deze alleen maar te worden bijgewerkt? Probeer dan ZTNA.
Het hangt allemaal af van de voorkeur van wie je beveiliging beheert. Vindt hij of zij gedetailleerd netwerkbeheer iets? Als alles nog niet zo geavanceerd hoeft, dan kun je beter voor een eenvoudige oplossing gaan.
Houd ook in gedachten dat veel problemen met hardware VPN’s bij de opvolger ervan (software VPN’s) zijn verholpen. Een VPN-verbinding is zowel voor thuisgebruik ALS zakelijk gebruik een mooie optie. Makkelijk te schalen, eenvoudig te implementeren en beveiligd dankzij het gebruik van RAM-gebaseerde servers, versleuteling en verberging.
Veelgestelde vragen
Wat is veiliger dan een VPN?
Van Tor wordt gezegd dat het bij particulier gebruik meer privacy biedt vanwege de infrastructuur ervan. De dienst helpt je om toegang te krijgen tot het dark web en wordt vaak gebruikt voor beveiligde communicatie. Desalniettemin is Tor soms verstorend en maakt de dienst geen gebruik van verberging. Het feit dat je gebruikmaakt van Tor wordt niet verborgen.
Voor zakelijke gebruikers wordt het niet aangeraden om over te stappen van VPN’s naar Tor. Dat komt alleen al vanwege de onbetrouwbare snelheden van de dienst en het gebrek aan netwerkbeheer.
Is Tor beter dan VPN?
Dat hangt af van wie het gebruikt en waarom het nodig is. Een kort overzicht van Tor versus VPN voor jou – Tor biedt uitkomst wanneer snelheid er niet toe doet en je gevoelige informatie moet omleiden; een VPN is betrouwbaar wanneer je privacy nodig hebt tijdens het dagelijks surfen op het internet – snelheid en gemak zijn in evenwicht.
Is VPN veiliger dan proxy?
Ja, omdat een VPN je niet alleen een nieuw IP-adres geeft, maar ook je dataverkeer versleutelt en verbergt. Een proxy leidt je verkeer alleen om en verandert je IP-adres, waardoor deze dienst handig is voor het omzeilen van geografische blokkeringen.