IPsec VPN: Wat is het en hoe werkt het?

IPSec staat voor ‘internet protocol security’. Deze term verwijst naar een reeks communicatieregels die worden gebruikt om beveiligde verbindingen over een netwerk tot stand te brengen. IPsec-protocollen verbinden apparaten en voegen encryptie toe om gegevens te beveiligen terwijl ze tussen apparaten en servers reizen.

IPsec is belangrijk voor online communicatie omdat het een robuust beveiligingsprotocol is dat de vertrouwelijkheid, integriteit en authenticiteit van gegevens over IP-netwerken waarborgt. Door versleuteling te bieden, voorkomt IPsec dat gevoelige informatie wordt blootgesteld aan ongeautoriseerde toegang en afluisteren. Het verifieert ook de identiteit van communicerende partijen, waardoor het risico van identiteitsvervalsing wordt verminderd.

Het IPSec-protocol kan gebruikt worden door individuele gebruikers of grotere organisaties en kan zelfs als hoofdprotocol voor verschillende VPN’s dienen. Maar hoe werkt IPsec in de praktijk?

Het IPsec-protocol omvat verschillende functies, die we in vijf stappen kunnen onderverdelen:

1. Host recognition. Host recognition of hostherkenning betekent dat het hostsysteem herkent dat een gegevenspakket beveiligd moet worden en via IPsec-protocollen moet worden verzonden. Op dit punt is het gegevenspakket versleuteld en geverifieerd, klaar voor overdracht.
2. Onderhandeling. De twee via IPsec communicerende hostsystemen maken afspraken over de protocollen die zullen worden gebruikt en authenticeren zich bij elkaar. Er wordt een beveiligde verbinding tot stand gebracht, waarlangs onderhandelingen kunnen plaatsvinden om te bepalen welke algoritmen en regels van toepassing zijn. Deze onderhandelingen bestaan uit twee fases: main mode en aggressive mode.
   • Main mode: Het hostsysteem dat het proces start, stelt versleutelings- en authenticatiealgoritmen voor en de onderhandelingen gaan door totdat beide systemen het eens zijn over de geaccepteerde protocollen.
   • Aggressive mode: Het hostsysteem dat het proces start, stelt de encryptie- en authenticatiemethoden van zijn voorkeur voor, maar onderhandelt niet of wijzigt zijn voorkeuren niet. Als het andere hostsysteem akkoord gaat, gaat het proces door naar de volgende stap. Zo niet, dan gaat het proces niet verder.
3. Circuit. Met behulp van de beveiligde verbinding die in de vorige stap is gemaakt, wordt een IPsec-circuit opgezet. De hostsystemen zijn het met elkaar eens en wisselen de encryptie- en decryptiesleutels uit die ze zullen gebruiken, samen met cryptografische nonces (willekeurige getallen gebruikt voor authenticatie).
4. Overdracht. De versleutelde IP-pakketten worden tussen de hostsystemen overgedragen. Bij aankomst wordt een gegevenspakket versleuteld met behulp van de eerder uitgewisselde versleutelingscodes.
5. Beëindiging. Zodra de gegevens zijn overgedragen of de sessie is afgelopen, wordt de IPsec-verbinding afgesloten. De privésleutels die gebruikt zijn voor de overdracht worden verwijderd en het proces eindigt.

Zoals je hierboven ziet, is IPsec een verzameling van veel verschillende functies en stappen, vergelijkbaar met het OSI-model en andere netwerkframeworks. De kern van de verschillende stappen zijn de protocollen en versleutelingsalgoritmen die worden gebruikt.

Een IPsec VPN is een VPN die het IPsec-protocol gebruikt om een versleutelde tunnel op het internet te creëren.

IPsec wordt vaak gebruikt als een van de technologieën om een beveiligde VPN-verbinding op te zetten, omdat het een robuust beveiligingsprocotol is waarmee je betrouwbare VPN-protocollen kunt opzetten. Als een VPN IPsec gebruikt om een beveiligde tunnel voor gegevenscommunicatie tussen een apparaat en een netwerk te creëren, wordt dit aangeduid als een ‘IPsec VPN’.

Een VPN routeert het verkeer via een versleutelde tunnel en beschermt gegevens tegen nieuwsgierige ogen. Een IPsec VPN doet dit met behulp van het IPsec-protocol om een verbinding tot stand te brengen en gegevenspakketten tijdens het transport te versleutelen. Dit is met name nuttig voor bedrijven en grote organisaties met werknemers die niet op kantoor werken en op afstand toegang moeten hebben tot bronnen.

Een bedrijf kan een IPsec VPN opzetten tussen het apparaat van een externe werknemer en een interne server, waardoor een werknemer veilige toegang krijgt tot dezelfde systemen en gegevens als iemand die op kantoor werkt.

Een IPsec VPN kan op verschillende manieren worden geconfigureerd:

• Site-to-site. Een site-to-site VPN verbindt twee of meer netwerken met een versleutelde tunnel. Dit betekent dat gebruikers op beide netwerken met elkaar kunnen communiceren alsof ze zich in dezelfde ruimte bevinden.
• Client-to-site. Client-to-site VPN’s zorgen ervoor dat individuele apparaten op afstand verbinding kunnen maken met een netwerk. Met deze optie kunnen externe werknemers op hetzelfde netwerk als de rest van hun team werken, zelfs als ze zich op een andere locatie bevinden.
• Client-to-client. Bij het client-to-client VPN-model kunnen meerdere apparaten verbinding maken met versleutelde tunnels, waardoor bestanden veilig gedeeld kunnen worden en veilige communicatie mogelijk is. Deze methode wordt echter niet veel toegepast, omdat dit model moeilijk te beheren en op te schalen is.

IPsec is dus niet hetzelfde als een VPN, maar het zijn wel gerelateerde technologieën die elkaar complementeren en samen gebruikt kunnen worden.

Er is één belangrijk verschil tussen IPsec en SSL VPN’s: het eindpunt van het protocol. In de meeste gevallen laat een IPsec VPN een gebruiker op afstand verbinding maken met een netwerk en al zijn toepassingen.

Aan de andere kant creëert een SSL VPN-tunnels naar specifieke toepassingen en systemen op een netwerk. Dit beperkt de manieren waarop de SSL VPN kan worden gebruikt, maar verlaagt de kans dat een gecompromitteerd eindpunt leidt tot een inbreuk in het gehele netwerk. Zowel IPsec als SSL VPN’s kunnen nuttig zijn – welke je kiest hangt af van je behoeften en de structuur van je bedrijf.

Volg onderstaande stappen om een IPsec VPN op te zetten:

1. Beslis welke VPN-topologie je wilt gebruiken. Kies je voor site-to-site, client-to-site of client-to-client? Stel de IP-adressen en de subnetmaskers voor elk VPN-eindpunt in.
2. Kies een IPsec-implementatie. Dit is de specifieke software die op je besturingssysteem zal draaien. Voorbeelden van IPsec-implementaties zijn StrongSwan, Openswan en LibreSwan.
3. Configureer de IPsec-instellingen. Bepaal de specifieke instellingen van je implementatie, inclusief authenticatiemethode, encryptie-algoritme en sleutelbeheerprotocol.
4. Configureer de netwerkinstellingen. Naast de IPsec-instellingen moet je het netwerk als geheel configureren om met een VPN te kunnen werken door IP-adressen, subnetmaskers en routeringsregels in te stellen.
5. Configureer firewalls. Zorg ervoor dat de firewalls zo zijn ingesteld dat ze IPsec-verkeer doorlaten.
6. Test de verbinding. Zodra je bovenstaande stappen hebt doorlopen, moet je als laatste stap controleren of de gegevens probleemloos door het IPsec VPN reizen en eventuele verbindingsproblemen oplossen.

Er zijn een aantal belangrijke verschillen tussen de IPsec-transportmodus en de IPsec-tunnelmodus.

Transportmodus

• Encryptie wordt alleen toegepast op de payload (de gegevens die daadwerkelijk vervoerd worden) van het IP-pakket, terwijl de IP-header (verzenddetails) in platte tekst blijft.
• Transportmodus wordt voornamelijk gebruikt om end-to-end communicatie tussen twee apparaten mogelijk te maken.
• Transportmodus wordt voornamelijk gebruikt in situaties waar de twee hostsystemen die communiceren vertrouwd zijn en hun eigen beveiligingsprocedures hebben.
• De transportmodus biedt minder veiligheid dan de tunnelmodus.

Tunnelmodus

• Encryptie wordt zowel op de payload als op de IP-header toegepast.
• Tunnelmodus biedt een beveiligde verbinding tussen punten, waarbij het originele IP-pakket in een nieuw IP-pakket wordt gewikkeld voor extra bescherming.
• Tunnelmodus kan gebruikt worden in gevallen waar eindpunten niet vertrouwd worden of waar beveiligingsmechanismen ontbreken.
• Tunnelmodus biedt meer beveiliging voor gegevens die in transit (onderweg) zijn.

Kortom, beide modi zijn nuttig, maar de tunnelmodus is veiliger. Beveiliging is een belangrijk van IPsec – daarom wordt dit protocol vaak gebruikt om VPN’s te maken.

NordVPN ondersteunt het IKEv2/IPsec-protocol voor handmatige configuraties. IKEv2/IPsec is een combinatie van de protocollen IPsec en Internet Key Exchange versie 2 (IKEv2).

In haar toepassingen biedt NordVPN het OpenVPN-protocol en NordLynx, een protocol gebaseerd op WireGuard. NordLynx biedt een ultrasnelle verbinding, wat NordVPN de snelste VPN ter wereld maakt.

Je kunt handmatig verbinding maken met het NordVPN IPsec-protocol op alle grote besturingssystemen. Zie de (Engelstalige) handleidingen hieronder:

• Handmatig verbinding maken op Windows
• Handmatig verbinding maken op Linux
• Handmatig verbinding maken op macOS
• Handmatig verbinding maken op Android
• Handmatig verbinding maken op iOS

Natuurlijk kun je NordVPN gebruiken zonder handmatig met een protocol te hoeven verbinden. Download gewoon de app, stel je account in en surf online met optimale privacy en beveiliging.