In 2014 begon SURF, de ict-coöperatie van het Nederlandse onderwijs en onderzoek, een klein project in het kader van security. Het viel Rogier Spoor van SURF op dat universiteiten en hogescholen geen bescherming boden tegen onveilige openbare wifi. ‘Als er wel bescherming is, dan alleen voor medewerkers, maar niet voor studenten. Commerciële partijen vragen vaak per gebruiker een bedrag per maand, waardoor het voor een universiteit al heel snel om veel geld gaat. Daarom wilden we een eigen securityproduct aanbieden dat dermate toegankelijk en goedkoop is dat alle onderwijsinstellingen het kunnen inzetten.’
De stille opmars van eduVPN
Met de opensourcedienst eduVPN biedt SURF een extra online beschermlaag aan voor gebruikers van onderwijs- en onderzoeksinstellingen. Ook het Zwitserse CERN maakt er gebruik van. Sinds enige tijd is er een versie voor de overheid, govVPN.
Niet meer rechtstreeks in verbinding met internet
Een Virtual Private Network (VPN) biedt een oplossing voor onveilig internet. Het zorgt ervoor dat een computer of smartphone niet meer rechtstreeks verbinding maakt met internet. eduVPN versleutelt eerst al het verkeer en stuurt dit naar de eduVPN-server, vanwaar het wordt doorgestuurd naar de websites waarmee de gebruiker verbinding zoekt. Inmiddels maken 44 Nederlandse universiteiten, hogescholen en umc’s gebruik van eduVPN. Wereldwijd zijn het er 267, waarvan 73 in Duitsland.
Het stikt online van de VPN-aanbieders, die al dan niet gratis hun diensten aanbieden. Waarom zetten die studenten er niet gewoon een gratis VPN tussen?
‘Ik maak me veel zorgen over al die gratis producten. Die zorgen er niet alleen voor dat jij ergens anders bij kan, of virtueel gezien ergens anders bent, maar ook dat de rest van de wereld via jou het internet op kan. Je opent je eigen thuisadres voor vreemden, die via jouw apparaat het internet op kunnen, of misschien wel in jouw huis kunnen komen.’
‘Met een gratis VPN open je je eigen thuisadres voor vreemden, die via jouw apparaat het internet op kunnen, of misschien wel in jouw huis kunnen komen.’
Rogier Spoor, SURF
Toegang tot beveiligde systemen voor thuiswerkers
Hoewel in de beschrijving van eduVPN vaak de nadruk ligt op veilig gebruik van wifi op een onveilige plek, zoals een trein, de McDonalds of een buitenlandse camping, is 90 procent van de use cases eigenlijk een andere. Veel onderwijs- en onderzoeksinstellingen maken gebruik van systemen die goed beveiligd moeten zijn, zoals cijferprogramma’s, onderzoeksdatabases of boekhoudsoftware. Die systemen zijn meestal alleen toegankelijk vanaf het netwerk van de instelling, ténzij thuiswerkers gebruikmaken van eduVPN.
‘Vaak hebben instellingen in een datacenter nog wat spullen draaien die ze apart willen afschermen, maar het kan ook zo zijn dat ze bijvoorbeeld willen dat gebruikers alleen maar vanaf Nederland kunnen inloggen op een clouddienst’, zegt Spoor. ‘In het buitenland gebruiken ze dan eduVPN, zodat ze met een Nederlands IP-adres kunnen verbinden met de dienst.’ Een organisatie die beschikt over een enterprise identity systeem hoeft maar één koppeling met de eduVPN-server maakt om alle medewerkers aan te sluiten.
CERN is overstag
Het Zwitserse onderzoeksinstituut CERN, bekend van de deeltjesversneller, is al overstag. Ironisch genoeg gebruiken de oorspronkelijke bedenkers van Proton zelf geen ProtonVPN, maar het Nederlandse eduVPN van SURF. Spoor: ‘Ze hebben eduVPN vergeleken met een commercieel securityproduct dat ze gebruikten en ze zeiden uiteindelijk dat de Windows client van ons technisch veel beter in elkaar zat, zeker qua security.’
De oorspronkelijke bedenkers van Proton gebruiken zelf geen ProtonVPN, maar het Nederlandse eduVPN.
govVPN
Een handjevol Nederlandse overheidsorganisaties maakt gebruik van de overheidstegenhanger govVPN, dat door de stichting govroam kosteloos wordt geleverd. De stichting adopteert opensource-concepten van SURF voor de overheid. Heel succesvol is eduroam, de dienst waarmee studenten en onderwijsmedewerkers overal ter wereld meteen online zijn in de buurt van een hogeronderwijsinstelling. Eduroam is voor de overheid gekopieerd tot govroam. Voor identiteitsmanagement is er SURFconext, in de overheidswereld beter bekend als govConext.
govVPN is nog niet zo bekend. Veel overheidsorganisaties hebben een firewall VPN van een commerciële aanbieder of een soortgelijk product. Er zijn ook leveranciers die stellen dat VPN ouderwets en overbodig is. Daar is Spoor het uiteraard niet mee eens. Hij verwijst naar de kwetsbaarheid in Log4J, die in 2021 aantoonde dat zelfs het inlogscherm van een clouddienst een veiligheidsrisico kan vormen. ‘De reden om overal een VPN tussen te zetten is om te voorkomen dat de hele wereld in één keer bij je potentieel kwetsbare producten kan. Met twee lagen afscherming heb je gegarandeerd veel minder kans op inbraken op afstand.’ Een nadeel van een VPN is dat je verbinding wat trager wordt, omdat het internetverkeer als het ware een U-bocht moet maken.
Hoe digitaal autonoom is govVPN?
‘Alles is open source. Alle documentatie, de instructies om het zelf te bouwen, alle clients. Stel dat Amsterdam interesse heeft in AmsterdamVPN, dan kan de gemeente het rebranden tot een eigen product met een eigen logo erop.’
Meer of minder code?
De governance van de opensourcesoftware is ondergebracht in een aparte stichting, de Commons Conservancy Foundation. Bijzonder: het aantal regels code in eduVPN en govVPN is in de loopt der tijd alleen maar afgenomen. ‘We blijven snoeien. Zodra een functionaliteit niet meer gebruikt wordt, halen we hem er weer uit. Daardoor blijven we heel lean en mean. Dat maakt eduVPN makkelijker te auditen. En we gebruiken bewezen securityproducten zoals OpenVPN en WireGuard als onderliggende bescherming. Kwetsbaarheden zijn ons met eduVPN tot nu toe het bespaard gebleven, omdat we het simpel houden.’
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.