Corona en thuiswerken

De corona pandemie zorgt er voor dat er veel meer mensen dan ooit tevoren vanaf thuis werken. Dat roept allerlei vragen op, hier gaan we in op de technische kant van de zaak. Hoe biedt je als werkgever thuiswerken aan en hoe zorg je ervoor dat je medewerkers hier mee overweg kunnen en vooral, hoe hou je het veilig.

Aanbieden van thuiswerken

Als je als werkgever kiest om je werknemers thuis te laten werken sta je voor een leuke uitdaging. Wat wil je aanbieden, in hoeverre zijn de programma’s waarvan je werknemers gebruik moeten gaan maken geschikt hiervoor, zijn ze bijv. web-based of zijn het zgn. client programma’s en zijn er consequenties voor eventuele licenties?

Web-based programma’s zijn het makkelijkst, hiervoor moet alleen de werknemer toegang krijgen tot het bedrijfsnetwerk en kan zo met een browser het programma gebruiken.

Client programma’s zijn programma’s die op de thuiswerk pc of notebook genstalleerd moeten zijn. Als die er niet op staan moeten deze geinstalleerd en geconfigureerd worden en dat vereist meer technische kennis en kan vaak niet vanaf thuis door de werknemer zelf worden uitgevoerd. Er zijn voor Windows wel mogelijkheden om als de werknemer ingelogd is op het bedrijfsnetwerk de installatie vanaf het netwerk automatisch uit te laten voeren maar daar kleven wel haken en ogen aan. Van de pc op kantoor zijn alle spec’s bekend, van de thuiswerk pc van de werknemer niet.Een ander mogelijk probleem is dat op de thuiswerk pc al bepaalde software gebruikt wordt die kan conflicteren met bedrijfssoftware.

Veiligheid

Een niet uit te oog verliezen aspect van thuiswerken betreft de veiligheid. Hoe zorg je ervoor dat je bedrijfsnetwerk alleen door geautoriseerde medewerkers gebruikt wordt en dat kwaadwillenden geen toegang krijgen. Een goede oplossing hiervoor is het gebruik maken van een zgn. VPN. Hiermee wordt een beveiligde ‘tunnel’ opgezet tussen het bedrijfsnetwerk en de thuiswerk pc van de werknemer. Een goedkope en veilige oplossing is de open-source software van OpenVPN. Hiermee kan een veilige verbinding worden opgezet naar het bedrijfsnetwerk vanaf een thuiswerk pc. De software is redelijk eenvoudig te installeren en voor de werknemer is het na een nmalige installatie eenvoudig te starten en te stoppen. Als werkgever kan je allerlei zaken configureren zoals bijv. de vraag of ‘gewoon’ internetverkeer via het bedrijfsnetwerk moet lopen of juist niet.

Als werkgever heb je uiteraard een goede internetverbinding nodig, een server die als OpenVPN server dienst doet en omdat OpenVPN onder linux kan draaien kan zonder problemen een wat oudere server gebruikt worden. Geen noodzaak om een of andere nieuwe dure supersnelle server in het rack te hangen. Het grootste deel wat gebeuren moet is afhankelijk van netwerkverkeer. Daar is geen bijzondere server voor nodig tenzij je 100-en verbindingen tegelijk verwacht. Maar de ervaring leert dat als een bedrijf die grootte heeft er vaak al een thuiswerk-oplossing beschikbaar is.

USB stick

Om allerlei risico’s uit te sluiten en oa. een browser ter beschikking te stellen aan de werknemer kan ook gekozen worden voor een nog veiligere oplossing. De werknemer krijgt een USB stick waar hij zijn thuiswerk pc mee opstart. Groot voordeel is dat er geen gevaar is van besmetting van het bedrijfsnetwerk door de werknemer achter zijn thuiswerk pc. De software op zijn pc wordt immers niet gebruikt. Alles wat hij nodig heeft, incl. de OpenVPN software en configuratie staat op de USB stick. Als de USB stick in partities wordt verdeeld kunnen persoonlijke instellingen op een klein schrijfbaar deel van de USB stick worden opgeslagen maar andere delen van de USB stick kunnen op alleen-lezen (read-only) worden gezet. Hierdoor wordt manipulatie of besmetting door bijv. malware tegengegaan.

Help

Mocht je als werkgever over dit onderwerp nog vragen hebben, een concreet idee willen uitwerken of z.s.m. veilig thuiswerken aan willen bieden, schroom niet en neem geheel vrijblijvend contact op.

 

 

Installatie OpenVPN

openvpn

openvpn

Algemeen

Een VPN ofwel een virtueel prive netwerk, maakt het mogelijk om netwerkverkeer versleuteld door een "tunnel" over internet te versturen. Hierdoor kan bijvoorbeeld veilig ge-internet wordt of een bedrijfsnetwerk worden benaderd als gebruik gemaakt wordt van een (publieke) wifi.

Er zijn een aantal stappen nodig om dit te installeren:

  1. installatie en configuratie OpenVPN server
  2. netwerk / firewall aanpassingen
  3. configuratie OpenVPN client

Hoe deze drie stappen kunnen worden uitgevoerd staat hieronder.

OpenVPN server

installatie

Op de website van OpenVPN kan de broncode / source worden download maar voor de meeste distributies is een kant en klaar package.

De installatie van de OpenVPN server is eenvoudig onder de meeste Linux distributies, voor Red Hat, Fedora en dergelijke volstaat:

yum install openvpn easy-rsa

configuratie

Ga naar /usr/share/openvpn/easy-rsa/2.0. Hier staan een aantal scripts om de CA, server en client certifcaten aan te maken. Begin met

. ./vars

en geef

./clean-all

om eventuele eerdere certifcaten te verwijderen en te beginnen met een shone lei.

aanmaken CA

Om het CA certicaat aan te maken geef:

./build-ca

Opmerking: Geef antwoord op de gestelde vragen en vul bij Common Name de volledige naam (FQDN) van de server in!

aanmaken server certificaat

Om het server certificaat te maken, geef:

./build-key-server server

aanmaken client certificaat

Om een client certificaat aan te maken geef:

./build-key client1

Opmerking: De naam van het certificaat, in dit voorbeeld client1 kan natuurlijk vrij worden gekozen. Kies een passende naam, bijv. de naam van een locatie waar de client gebruikt wordt. Aan te bevelen is om voor elke client een certificaat aan te maken. Dit hoeft niet maar is wel veiliger en overzichtelijker. Als meerder clients van hetzelfde certificaat gebruik maken moet dit in de configuratie van de server worden aangegeven door:

duplicate-cn

configuratiebestanden

Ga naar /etc/openvpn en in de standaard installatie staan daar geen bestanden. Maak een directory keys aan en copyeer de inhoud van /usr/share/openvpn/easy-rsa/2.0/keys in deze zojuist aangemaakt keys directory:

cp /usr/share/openvpn/easy-rsa/2.0/keys/* /etc/openvpn/keys/

Copyeer de voorbeeld configuratiebestanden voor de server en client:

cp /usr/share/doc/openvpn-2.2.1/sample-config-files/client.conf /etc/openvpn
cp /usr/share/doc/openvpn-2.2.1/sample-config-files/server.conf /etc/openvpn

Installatie client

Volgt nog…

Netwerk configuratie

Om verkeer van de tunnel naar bijv. het interne netwerk of internet te regelen en om toegang te krijgen tot de OpenVPN server zijn een aantal aanpassingen nodig in de netwerkconfiguratie.

Het opzetten van de firewall om toegang tot de OpenVPN server indien deze op de standaard port 1194/udp luistert en de gebruikte netwerkinferface eth0 is:

iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT

Het toelaten van verkeer tussen de tunnel en eth0 en NAT instellen:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

OpenVPN client voor iPhone beschikbaar

Om gebruik te maken van VPN’s waren er al diverse programma’s voor de iPhone beschikbaar. Met een VPN (Virtuel Private Network) wordt een beveiligde tunnel opgezet tussen de server en client. Deze tunnel loopt via internet maar het netwerkverkeer in de tunnel is door encryptie en beveiliging niet mee te lezen. Het wordt door bedrijven veel gebruikt voor verbindingen tussen locaties maar ook om werknemers een veilige toegang te geven tot het bedrijfsnetwerk.

De OpenVPN clients is, net zoals de OpenVPN serversoftware, gratis. De OpenVPN client voor de iPhone is uiteraard via itunes te downloaden.