Systeembeveiliging: hoe een VPN instellen

Simon Buddle legt uit hoe een VPN van pas komt om het huisbesturingssysteem van een klant veilig met het internet te verbinden, of dat nu voor bediening op afstand, bewaking of onderhoud is.

Ik ben net terug van een geweldige week op de skipistes. Die vakantie stond al meer dan twee jaar op de planning, maar werd telkens weer verschoven door de coronacrisis. Ook nu dachten we dat de sluiting van de Franse grenzen voor de Britten onze plannen ging dwarsbomen, maar we vonden een uitweg en grepen onze kans. De Zwitsers lieten ons binnen.

Er is al veel geschreven over systemen voor slimme woningen en cyberaanvallen. Wanneer we nu onze blik op de computerwereld richten, zien we dat digitale systemen in vele opzichten en op tal van manieren onderling verbonden zijn. Wij zijn via routers verbonden met het internet, onze pc's op kantoor zijn allemaal aangesloten op het lokale netwerk en landen zijn met elkaar verbonden via enorme glasvezelbundels die vaak op de zeebodem liggen. Het is een volledig verbonden wereld, echt op wereldwijde schaal, van het ene apparaat met het andere, verbonden met behulp van duizenden kilometers kabels.

Of het nu om een grens of een router gaat, mensen zullen altijd proberen te profiteren van een zwakke plek. Met de juiste kennis - die veel mensen hebben - is het zelfs gemakkelijk om in te breken in een apparaat of systeem aan de andere kant van de wereld.

Het is al jarenlang gebruikelijk om TCP-poort 3671 te openen om toegang op afstand te verschaffen tot een KNX-systeem. Dit opent ook een verbinding met het lokale netwerk van de klant en daar kunnen mensen met slechte bedoelingen misbruik van maken. Vergelijk het gerust met een raam in een huis dat wagenwijd openstaat. Als je weet waar je moet kijken en hoe je binnengeraakt, wandel je zo om alle veiligheidscontroles heen.

Daarom hebben we nu een arsenaal aan geweldige KNX-apparaten die veilige tunneling met het systeem kunnen bieden. De Jung KNX IP Router en de Gira S1 zijn twee voor de hand liggende voorbeelden. Ze brengen een verbinding met de buitenwereld tot stand zonder de deur naar het thuisnetwerk van de klant open te zetten. Hierbij heb je de keuze uit een aantal fabrikanten, waaronder Basalte, Weinzierl, Siemens, Schneider en ABB. En allemaal bieden ze producten om die beveiligingsuitdaging aan te gaan.

Het Virtual Private Network (VPN)

Het is zeer waarschijnlijk dat het KNX-systeem of de KNX-bus niet het enige apparaat is waarmee we op afstand verbinding moeten maken. En dat stelt ons voor een enigszins andere uitdaging. Hoe maak ik verbinding met de Siemens PLC die de fabrieksruimte aanstuurt? Of met de interfaces van Intesis AC, Modbus of BACnet?

De meest voor de hand liggende en veilige oplossing hier is een Virtual Private Network (VPN) opzetten. Maar hoe stel je dat in? En is het wel veilig? Laten we eerst de tweede vraag beantwoorden. Het is zeer veilig (als je wachtwoorden e.d. dat ook zijn, tenminste). Een VPN creëert via het internet een veilige virtuele point-to-pointtunnel tussen je computer en het LAN van je klant. Zodra die verbinding er is, verschijnt je computer in het netwerk van je klant.

Om een VPN te maken zonder software zoals OpenVPN of NordVPN, heb je twee dingen absoluut nodig:

1) een vast IP-adres voor internet of een router die DNS ondersteunt 2) een router die VPN-verbindingen ondersteunt

Het vaste IP-adres of de router die DNS ondersteunt

Stel je het eens voor: als postbode doe je elke dag je ronde, maar telkens weer veranderen de huisnummers. Zo bevindt nummer 32 zich plots twintig huizen verder. Zo gaat het ook met je IP-adres op het internet. Telkens wanneer je router opnieuw wordt opgestart, krijgt die een nieuw IP-adres van je Internet Service Provider (ISP). Bij wijze van spreken weten we dan niet meer waar je precies woont. Een vast IP-adres lost dat probleem op. Een andere oplossing is met een Dynamic Name System (DNS) werken. DNS is in wezen een opzoekdienst voor internetadressen. Telkens wanneer het IP-adres van je router verandert, stuurt de router het nieuwe adres naar de DNS-server, zodat je gegevens kunnen worden bijgewerkt. Je kunt dan de DNS-naam gebruiken (die niet verandert), bijvoorbeeld mijnwoning@dyndns.org.

Het eerste luik van de VPN-configuratie is nu afgehandeld. Je kunt voortaan altijd de router van je klant op het internet vinden met behulp van een DNS-dienst.

De router die VPN-verbindingen ondersteunt

Een VPN komt in twee stappen tot stand. Eerst moet je een 'gebruiker' maken. Je hebt die gebruikersnaam en dat wachtwoord nodig om verbinding te maken via VPN. Het tweede luik is het VPN-verbindingsprotocol instellen. Gangbare protocollen zijn PPTP, IPSec, L2TP en SSL Tunnel. PPTP is niet erg veilig en wordt niet langer ondersteund door Apple-apparaten. Het meest gebruikte protocol is L2TP met een 'vooraf gedeelde' sleutel. De meeste DrayTek-routers ondersteunen DNS- en VPN-configuraties en laten je eenvoudig verbinding maken met het LAN van je klant.

Nu hoef je alleen nog maar het VPN-profiel op je laptop of desktop-pc in te stellen met dezelfde criteria voor inloggen. Dat is snel gedaan, want DrayTek biedt ook een klein VPN-clientsoftwarepakket dat die taak vereenvoudigt. Uiteraard vind je die optie ook bij Cisco, Unifi en honderden andere routerfabrikanten. Bij BT, Sky en Virgin (alle aanbieders die bij ISP's zijn inbegrepen) ga je er vergeefs naar op zoek. Als je dus via VPN toegang wilt krijgen tot het netwerk van je klant, moet je zeker een router leveren die deze klus klaart.

Conclusie

Stel je eens voor dat een klant je belt met de melding: ‘Dat en dat werkt niet meer' en dat je dan kunt antwoorden: ‘Ik log meteen in en kijk wat er aan de hand is.' Geef toe, dat is toch een dienst van onschatbare waarde voor je klanten? Met de juiste router en een uurtje van je tijd leer je snel een VPN-verbinding in te stellen. Dat uurtje bespaart je heel wat uren heen-en-weergereis naar je klant.

Maar als er een manier is om van buitenaf in het systeem van je klant binnen te dringen, is het cruciaal dat je mensen met slechte bedoelingen de pas afsnijdt.

Voor mij is een VPN instellen een van de meest waardevolle vaardigheden die ik heb geleerd. Ik kan aan mijn bureau realtime alle gegevens bekijken terwijl ze gebeuren en via meerdere pc's elk systeemsignaal van één huis volgen - gewoon in mijn pyjama. Sterker nog, ik kan die vaardigheid ook aanbieden als een dienst voor bewaking en onderhoud op afstand, en er zo wat geld mee verdienen.

Simon Buddle, CEng MIET, is consultant bij Future Ready Homes, specialist in het ontwerp van BMS- en ELV-systemen.

http://www.futurereadyhomes.com