Meraki Client VPN best practice

Waarom VPN

Tegenwoordig wordt data vaak in de cloud bewaard. Denk aan Microsoft Onedrive for business, Google Drive, Dropbox, en dergelijke. Die data is van overal en altijd te bereiken zonder VPN. Er zijn echter legio voorbeelden waarvoor je toch nog een old-school VPN nodig hebt.

  1. Lokale fileserver
  2. Printopdrachten versturen naar kantoor
  3. Remote Desktop Server (poort 3389 niet publiek openzetten…niet doen…RD gateway of VPN)
  4. HVAC systemen aansturen

Beveiliging

Een algemene misconceptie is dat VPN altijd veilig is. Niet dus. Wat je eigenlijk doet is een laptop of pc vanop afstand bij op het kantoornetwerk hangen. Vaak wordt daar een thuis pc voor gebruikt waar ook de kinderen spelletjes op spelen of alleszins een pc die qua security niet centraal beheerd wordt. Door die rechtstreekse tunnel naar het bedrijfsnetwerk loop je het risico onbewust een besmette pc de rest van het netwerk te laten infecteren.

Stap 1 is dus sowieso alle inkomende VPN verkeer in de firewall regels te filteren, zodat niet alles zomaar is toegelaten. Opgelet, in een Meraki netwerk wordt inkomend VPN verkeer wel door de IDS engine gescanned, maar niet door de AMP engine.

Stap 2 is ervoor zorgen dat je enkel VPN tunnels bouwt vanaf een veilige pc. Zorg voor goeie managed security, zodat je weet dat je vpn client waarschijnlijk wel veilig is. Je wil geen besmette pc op je netwerk. By the way, managed security bestaat niet enkel uit een goeie antivirus. Die dagen zijn voorbij. Je hebt minimaal advanced malware protection nodig én een goeie e-mail bescherming zoals Cisco Cloud Email Security of Microsoft Advanced Threat Protection.

Snelheid

Standaard bouwt een VPN verbinding een zogenaamde full tunnel op. Alle netwerkverkeer zal over die tunnel gaan. Niet enkel het verkeer naar de server op kantoor, maar ook al je internetverkeer, zal dus over die trage VPN tunnel moeten verstuurd worden. Traag omdat alle verkeer over een trage upload verbinding moet gaan via de internetlijn op kantoor. Als je thuis een 250Mbps download hebt, maar op kantoor is er slechts een 30Mbps upload, zal je dus niet sneller kunnen dan die 30Mbps. Wat gebeurt er nu als je overdag met 5 andere collega’s van thuis werkt en er op kantoor nog 10 mensen zitten te internetten. Die 30Mbps wordt gedeeld door alle gebruikers, dus daar blijft niet veel van over.

Een gedeeltelijke oplossing kan zijn een split tunnel in te stellen. Hoe je dat concreet kan instellen vind je hier: https://documentation.meraki.com/MX/Client_VPN/Configuring_Split_Tunnel_Client_VPN

Concreet komt het hier op neer: alle verkeer voor kantoor gaat over de trage VPN tunnel, alle normaal internetverkeer gaat rechtstreeks over je eigen internetlijn naar buiten. Het gevolg is dat je een veel snellere gebruikservaring hebt en dat de internetverbinding op kantoor veel minder belast wordt. Maar … het opent veiligheidsrisico’s. Wat je eigenlijk doet is je laptop op internet hangen zonder de geavanceerde firewall beveiliging zoals op kantoor, maar tegelijk wel verbinding met het kantoor alsof je lokaal zit te werken. Op die manier kan een besmetting of een hacker via jouw pc ongezien op het bedrijfsnetwerk komen.

Stap 3 is dus gebruik maken van Cisco Umbrella roaming client.  Dankzij de umbrella first-line-of-defense DNS security, kan je op verplaatsing genieten van dezelfde security als op kantoor, zelfs zonder VPN verbinding of in een split tunnel scenario.

Toegang

De VPN toegang zelf is bij Meraki makkelijk te configureren. Je maakt gebruik van de ingebouwde Windows of Mac OS client zonder noodzaak voor extra software of kosten. Instructies kan je hier vinden : client VPN OS configuration.

Het instellen van de client VPN firewall settings is net zo eenvoudig.

Hiernaast kan je een voorbeeld vinden van een client VPN configuratie met active directory integratie. We merken dat dit in de praktijk het vaakst gebruikt wordt, maar er is één groot nadeel aan verbonden. Het is niet mogelijk om een onderscheid te maken in AD gebruikers. Je geeft met andere woorden alle user accounts in AD toegang tot VPN. Qua configuratie heeft elke gebruikers uiteraard nog de vpn shared key nog, maar die is statisch en gezamenlijk voor iedereen en dus vatbaar voor social hacking.

Het is aangewezen om zelf te kunnen beheren welke gebruikers toegang hebben tot VPN. Daarvoor maken we gebruik van radius authenticatie. 

  1. Meraki biedt een cloud radius authenticatie aan, waardoor je zonder zelf te moeten investeren in tijd en moeite kan gebruik maken van VPN toegang per Meraki user. Je kan eenvoudig gebruikers aanmaken en toegang beheren via het Meraki dashboard : Meraki User Management.
  2. Als je geen aparte gebruikers wil aanmaken en liever toch van active directory wil gebruiken, kan je zelf je eigen radius server opzetten en integreren met AD. Radius is via de Network Policy Server role gratis meegeleverd bij Windows server en biedt je de voordelen van AD integratie, gekoppeld met het granulaire beheer van radius authenticatie: Meraki Radius en AD integratie.

Teleworker gateway en Wireless VPN

Naast client VPN heb je bij Meraki nog de mogelijkheid om een Meraki teleworker gateway te gebruiken. Dit vervangt je thuisrouter, heeft ingebouwde wifi, en kan automatisch een vpn opbouwen naar het werk. Op die manier kan je thuis een afgeschermd netwerk maken voor je huisgenoten die enkel naar internet kunnen, en daarnaast een vpn netwerk waarmee je alle netwerkbronnen op het werk kunt raadplegen.

Maak je liever gebruik van je eigen router, kan je ook een Meraki access point plaatsen om via wifi een automatische vpn verbinding te maken naar het netwerk. Je kan dan bijvoorbeeld je wifi als volgt configureren:

  • SSID: Thuis (je eigen netwerk gekoppeld aan je sophos, NAS, home entertainment, enz.)
  • SSID : Kinderen (tot 21u, actieve content filtering)
  • SSID : Babysit (enkel internet)
  • SSID : Werk (alles wat hier op connecteert kan over VPN aan de netwerkbronnen op het netwerk, wifi authenticatie kan via 802.1X EAP voor de beste beveiliging)

Wil je meer info over de verschillende Meraki VPN oplossingen, we horen graag van je.

Related posts

Do’s and don’ts binnen IT security die elke CEO zou moeten kennen

Android Werk Profiel

Bescherm je remote desktop server.