WEBVTT 00:00.240 --> 00:01.110 Instructeur: In deze 00:01.110 --> 00:02.670 les gaan we alles behandelen wat 00:02.670 --> 00:04.920 je moet weten over een VPN voor je examen. 00:04.920 --> 00:07.200 Ten eerste, wat is een VPN? 00:07.200 --> 00:09.540 Welnu, een VPN is een virtueel privénetwerk en het wordt 00:09.540 --> 00:11.790 gebruikt om een privénetwerk uit te breiden over een 00:11.790 --> 00:13.408 publiek netwerk en gebruikers in staat 00:13.408 --> 00:17.160 te stellen gegevens te verzenden en te ontvangen over dat gedeelde publieke netwerk 00:17.160 --> 00:19.710 alsof hun computerapparatuur rechtstreeks is aangesloten 00:19.710 --> 00:21.180 op het privénetwerk. 00:21.180 --> 00:24.600 Met een VPN kunnen je gebruikers in een kantoor op afstand of vanuit huis 00:24.600 --> 00:26.610 werken en kunnen ze telewerken door simpelweg 00:26.610 --> 00:28.530 in te loggen op hun laptop en een veilige 00:28.530 --> 00:30.690 VPN-tunnel tot stand te brengen naar het netwerk 00:30.690 --> 00:32.400 van de organisatie, ongeacht waar 00:32.400 --> 00:34.830 ter wereld ze zich bevinden. 00:34.830 --> 00:37.530 Om dit te doen, maken ze verbinding met een VPN-apparaat in het datacenter 00:37.530 --> 00:39.030 van het hoofdkantoor. 00:39.030 --> 00:41.310 En dan gaan ze een beveiligde tunnel opzetten met 00:41.310 --> 00:44.550 behulp van een VPN-protocol om een beveiligde verbinding mogelijk 00:44.550 --> 00:48.060 te maken voor die zakelijke gebruiker via een onvertrouwd of openbaar netwerk, 00:48.060 --> 00:49.680 zoiets als het internet. 00:49.680 --> 00:51.240 Hierdoor kunnen ze toegang krijgen 00:51.240 --> 00:54.090 tot het bedrijfsnetwerk en verbonden worden met het 00:54.090 --> 00:57.420 internet alsof ze aan hun bureau op kantoor zitten. 00:57.420 --> 01:00.120 VPN's kunnen worden geconfigureerd als een site-to-site 01:00.120 --> 01:03.030 VPN, een client-to-site VPN of een clientless VPN. 01:03.030 --> 01:04.470 Met een site-to-site VPN kunnen 01:04.470 --> 01:06.420 we twee kantoren met elkaar verbinden. 01:06.420 --> 01:07.980 Met een client-to-site VPN zijn we meer 01:07.980 --> 01:10.440 bezig met het verbinden van een enkele gebruiker op afstand 01:10.440 --> 01:11.880 met een bedrijfsnetwerk, zoals ik 01:11.880 --> 01:13.380 eerder beschreef met de gebruiker die 01:13.380 --> 01:14.670 moest telewerken. 01:14.670 --> 01:16.440 Als we het hebben over een clientless VPN, 01:16.440 --> 01:19.020 dan worden deze meestal gebruikt voor surfen op het web. 01:19.020 --> 01:21.180 Oké, laten we wat dieper duiken en het hebben 01:21.180 --> 01:23.130 over een site-to-site VPN. 01:23.130 --> 01:26.280 Nu wordt een site-to-site VPN gebruikt om twee sites met elkaar te verbinden 01:26.280 --> 01:27.960 en een goedkoop alternatief te bieden 01:27.960 --> 01:29.700 voor speciale huurlijnen. 01:29.700 --> 01:31.110 Stel bijvoorbeeld dat ik 01:31.110 --> 01:32.790 een filiaal heb in Californië 01:32.790 --> 01:35.310 en mijn hoofdkantoor in Washington DC. 01:35.310 --> 01:37.470 Als ik mijn afgelegen regionale kantoor in 01:37.470 --> 01:40.680 Californië wil verbinden met mijn hoofdkantoor in Washington, 01:40.680 --> 01:42.420 DC, dan kan ik een speciale leaselijn 01:42.420 --> 01:44.100 kopen van een telecommunicatieprovider 01:44.100 --> 01:46.170 en krijg ik een directe verbinding die meer 01:46.170 --> 01:49.800 dan 3000 mijl aflegt tussen deze twee locaties. 01:49.800 --> 01:52.140 Zelfs als ik een T1-verbinding met lage snelheid 01:52.140 --> 01:54.180 zou krijgen, zou dit erg duur zijn. 01:54.180 --> 01:57.150 Nu, aan de andere kant, zou ik een site-to-site VPN kunnen gebruiken 01:57.150 --> 01:58.830 en kan ik veel geld besparen. 01:58.830 --> 02:00.720 In plaats van die speciale huurlijn te gebruiken, 02:00.720 --> 02:02.670 zou ik gewoon een VPN-tunnel kunnen maken van 02:02.670 --> 02:03.960 het regionale kantoor terug naar 02:03.960 --> 02:06.390 het hoofdkantoor via het openbare internet met behulp van 02:06.390 --> 02:07.920 de internetconnectiviteit die al in 02:07.920 --> 02:09.690 dat kantoor aanwezig is. 02:09.690 --> 02:12.600 Deze oplossing kost me misschien 50 of $100 per maand 02:12.600 --> 02:13.800 voor een standaard kabelmodem 02:13.800 --> 02:16.710 of glasvezelmodem van de lokale ISP. 02:16.710 --> 02:18.540 Zodra die VPN-tunnel tot stand is gebracht, 02:18.540 --> 02:20.550 neemt het al het verkeer van het regionale kantoor 02:20.550 --> 02:22.830 in Californië en stuurt het terug naar het hoofdkantoor 02:22.830 --> 02:25.020 in Washington DC over het internet binnen deze beveiligde 02:25.020 --> 02:26.550 tunnel. 02:26.550 --> 02:28.980 En als het dan in Washington DC aankomt, wordt 02:28.980 --> 02:30.150 het ontcijferd en teruggezet 02:30.150 --> 02:33.060 binnen mijn bedrijfsnetwerk. 02:33.060 --> 02:34.500 Als een Californische gebruiker nu 02:34.500 --> 02:36.480 naar google wil gaan. com, bijvoorbeeld. 02:36.480 --> 02:39.930 Die gegevens gaan van Californië naar Washington DC via de internetverbinding 02:39.930 --> 02:42.510 van het kantoor in Washington DC om die website te bezoeken, 02:42.510 --> 02:43.920 de informatie op te halen, het 02:43.920 --> 02:45.060 terug te sturen naar de internetverbinding 02:45.060 --> 02:48.180 van het kantoor in Washington DC en dan terug via het VPN naar die gebruiker 02:48.180 --> 02:53.850 in Californië waar hij de website kan bekijken die hij heeft opgevraagd. 02:53.850 --> 02:55.395 Door deze site-to-site VPN te gebruiken, 02:55.395 --> 02:57.510 wordt al het verkeer dat heen en weer gaat tussen 02:57.510 --> 02:59.280 Californië en Washington versleuteld 02:59.280 --> 03:01.230 en beveiligd. 03:01.230 --> 03:03.510 Dus niemand kan het interne netwerkverkeer 03:03.510 --> 03:04.500 zien dat door deze externe 03:04.500 --> 03:07.080 publieke internetverbinding gaat. 03:07.080 --> 03:09.210 Als we daarentegen te maken hebben met een client-to-site 03:09.210 --> 03:10.140 VPN, sturen we gegevens 03:10.140 --> 03:12.240 van een enkele host, zoals een laptop of mobiele 03:12.240 --> 03:14.940 telefoon of smartphone of tablet, en verbinden die weer 03:14.940 --> 03:17.430 met ons hoofdkantoor. 03:17.430 --> 03:18.930 Dit gebeurt in plaats van 03:18.930 --> 03:20.520 van router naar router, we 03:20.520 --> 03:22.560 gaan van client naar router. 03:22.560 --> 03:24.750 Hierdoor kan een gebruiker op afstand weer verbinding maken 03:24.750 --> 03:25.710 met het hoofdkantoor. 03:25.710 --> 03:28.080 En daarom noemen we het een client-to-site. 03:28.080 --> 03:31.140 Nu moeten we naast site-to-site en client-to-site VPN's ook 03:31.140 --> 03:33.000 beslissen of we een volledige tunnel 03:33.000 --> 03:36.300 of een gesplitste tunnel VPN configuratie gaan gebruiken. 03:36.300 --> 03:38.610 Zowel volledige tunnel als gesplitste tunnel VPN's 03:38.610 --> 03:40.290 kunnen gebruikt worden met een site-to-site 03:40.290 --> 03:42.000 of client-to-site model. 03:42.000 --> 03:44.040 Nu wordt in de meeste organisaties standaard 03:44.040 --> 03:45.900 een volledige tunnel VPN gebruikt. 03:45.900 --> 03:47.490 En het is wat ik eerder beschreef. 03:47.490 --> 03:49.860 Met een volledige tunnel VPN routeren en versleutelen 03:49.860 --> 03:52.590 we alle verkeersaanvragen via de VPN-verbinding terug 03:52.590 --> 03:53.850 naar het hoofdkantoor, ongeacht 03:53.850 --> 03:55.410 waar de bestemming van die service 03:55.410 --> 03:57.090 zich bevindt. 03:57.090 --> 03:58.860 Dit wordt als veiliger beschouwd, maar wanneer 03:58.860 --> 04:01.350 we verbonden zijn door middel van een volledige tunnel, worden 04:01.350 --> 04:03.270 de clients geacht volledig deel uit te maken van het 04:03.270 --> 04:05.550 hoofdkwartiernetwerk wanneer ze verbonden zijn. 04:05.550 --> 04:08.520 Dit betekent dat als je toegang probeert te krijgen tot een lokale 04:08.520 --> 04:10.440 bron, zoals een draadloze printer in je thuiskantoor, 04:10.440 --> 04:11.790 je dat niet kunt doen omdat die 04:11.790 --> 04:13.890 draadloze printer in je thuiskantoor niet verbonden 04:13.890 --> 04:16.050 is met het netwerk van het hoofdkantoor zoals je 04:16.050 --> 04:19.410 laptop dat is via dat client-naar-site VPN. 04:19.410 --> 04:21.780 Omgekeerd kun je echter nog steeds afdrukken op de 04:21.780 --> 04:23.160 printers in het hoofdkantoor, 04:23.160 --> 04:25.860 zelfs als je verbonden bent via een volledige tunnel VPN 04:25.860 --> 04:27.780 omdat je in een hotelkamer aan de andere 04:27.780 --> 04:30.450 kant van de wereld kunt zitten, maar logischerwijs zit 04:30.450 --> 04:33.210 je nog steeds in je kantoor op het hoofdkantoor. 04:33.210 --> 04:35.310 Een VPN met een gesplitste tunnel daarentegen zal 04:35.310 --> 04:37.650 je verkeer en netwerkverzoeken opsplitsen en vervolgens 04:37.650 --> 04:38.580 naar de juiste verbinding 04:38.580 --> 04:40.680 of het juiste netwerk routeren. 04:40.680 --> 04:42.120 Met een gesplitste tunnel VPN 04:42.120 --> 04:43.943 routeren en versleutelen we het verkeer 04:43.943 --> 04:46.230 naar het hoofdkantoor via het VPN en sturen 04:46.230 --> 04:47.730 we al het andere verkeer het gewone 04:47.730 --> 04:49.260 internet op. 04:49.260 --> 04:51.750 Dus laten we doen alsof ik een client-to-site VPN gebruik 04:51.750 --> 04:54.240 op mijn laptop met een gesplitste tunnelconfiguratie 04:54.240 --> 04:55.650 vanuit mijn thuiskantoor. 04:55.650 --> 04:57.750 Het VPN hier beslist welk verkeer terug 04:57.750 --> 04:59.370 gaat over het VPN en naar het hoofdkantoor 04:59.370 --> 05:01.320 wordt gestuurd en welk verkeer over 05:01.320 --> 05:03.270 het internet gaat. 05:03.270 --> 05:05.610 Dus als ik toegang probeer te krijgen tot een bestandsserver 05:05.610 --> 05:07.530 of een Microsoft Exchange Mail Server die zich 05:07.530 --> 05:09.360 op het hoofdkantoornetwerk bevindt, worden 05:09.360 --> 05:10.860 die pakketten versleuteld en via het 05:10.860 --> 05:13.170 VPN naar het hoofdkantoor geleid. 05:13.170 --> 05:15.600 Maar als ik een Zoom-conferentie wil bijwonen 05:15.600 --> 05:19.560 of toegang wil tot Office 365 of uitgaand internetverkeer, dan omzeil 05:19.560 --> 05:22.950 ik gewoon die versleutelde VPN-verbinding en ga ik rechtstreeks 05:22.950 --> 05:24.960 via mijn internetverbinding naar die 05:24.960 --> 05:26.850 openbare websites. 05:26.850 --> 05:29.040 Dit is waarom we het een gesplitste tunnel noemen, 05:29.040 --> 05:31.140 omdat we een versleutelde VPN-tunnel hebben 05:31.140 --> 05:32.520 voor verkeer dat naar het hoofdkantoor 05:32.520 --> 05:35.610 moet, en een andere onversleutelde tunnel die een direct pad naar 05:35.610 --> 05:38.280 het internet neemt vanaf je ISP. 05:38.280 --> 05:39.990 De uitdaging bij het gebruik van een gesplitste 05:39.990 --> 05:41.700 tunnel is dat ze minder veilig kunnen 05:41.700 --> 05:43.560 zijn, omdat de mogelijkheid bestaat dat 05:43.560 --> 05:45.120 een aanvaller verbinding maakt met 05:45.120 --> 05:46.770 je apparaat via die onversleutelde 05:46.770 --> 05:49.200 internettunnel, en dan via je laptop gegevens verstuurt 05:49.200 --> 05:50.880 via het VPN, terug naar het netwerk van 05:50.880 --> 05:52.830 het hoofdkantoor. 05:52.830 --> 05:55.260 Om deze reden zou je nooit een gesplitste tunnel 05:55.260 --> 05:58.050 moeten gebruiken als je de VPN verbindt via een onvertrouwd 05:58.050 --> 06:01.110 netwerk, zoals Wifi in een hotel of een coffeeshop. 06:01.110 --> 06:03.930 En in plaats daarvan zou je een volledige tunnel moeten gebruiken. 06:03.930 --> 06:06.420 Een gesplitste tunnel levert betere prestaties 06:06.420 --> 06:08.670 omdat al het internetverkeer direct naar die 06:08.670 --> 06:09.960 servers wordt geleid en het 06:09.960 --> 06:12.750 hele netwerk van het hoofdkantoor wordt omzeild. 06:12.750 --> 06:14.010 Dus zoals je ziet wordt 06:14.010 --> 06:17.220 het een afweging tussen veiligheid en prestaties. 06:17.220 --> 06:20.130 Als je meer beveiliging wilt, gebruik dan een VPN met volledige tunnel. 06:20.130 --> 06:23.220 Als je betere prestaties wilt, gebruik dan een VPN met gesplitste tunnel. 06:23.220 --> 06:26.640 Dus op dit punt hebben we het gehad over twee hoofdtypen VPN's, 06:26.640 --> 06:29.460 een site-to-site VPN en een client-to-site VPN. 06:29.460 --> 06:32.520 Maar er is nog een type VPN dat we moeten bespreken. 06:32.520 --> 06:34.800 En het staat bekend als een clientloos VPN. 06:34.800 --> 06:36.989 Nu wordt een clientless VPN gebruikt om een veilige 06:36.989 --> 06:40.170 VPN-tunnel voor toegang op afstand te creëren met behulp van een webbrowser 06:40.170 --> 06:42.540 zonder dat er software of hardware clients gebruikt hoeven 06:42.540 --> 06:43.470 te worden. 06:43.470 --> 06:45.420 In feite is het gebruik van dit type 06:45.420 --> 06:48.450 VPN iets wat je elke dag doet zonder het te weten. 06:48.450 --> 06:50.910 Een clientless VPN wordt gebruikt door je webbrowser 06:50.910 --> 06:53.250 wanneer deze een beveiligde verbinding maakt met een 06:53.250 --> 06:56.280 e-commerce of andere beveiligde website die HTTPS gebruikt. 06:56.280 --> 06:59.340 Dit kan worden gedaan met behulp van een SSL- of TLS-tunnel door 06:59.340 --> 07:00.960 die protocollen te gebruiken. 07:00.960 --> 07:03.450 Nu is SSL, of de Secure Socket Layer, een beetje 07:03.450 --> 07:05.580 verouderd en minder veilig geworden. 07:05.580 --> 07:08.850 Dus de meeste clientloze VPN's gebruiken nu TLS, wat Transport 07:08.850 --> 07:10.620 Layer Security is om veilig surfen 07:10.620 --> 07:13.740 op het web via HTTPS mogelijk te maken. 07:13.740 --> 07:16.890 Dus toen je inlogde op deze website om deze video te bekijken, moest je 07:16.890 --> 07:18.810 je gebruikersnaam en wachtwoord invoeren 07:18.810 --> 07:20.490 en zag je dat kleine groene hangslotje 07:20.490 --> 07:22.500 in de linkerbovenhoek van de adresbalk. 07:22.500 --> 07:26.130 Zo wist je dat je een beveiligde verbinding had met HTTPS. 07:26.130 --> 07:28.260 Dat betekent dat je SSL of TLS gebruikt 07:28.260 --> 07:31.830 om die veilige, clientloze VPN-tunnel van je webbrowser 07:31.830 --> 07:33.930 en computer naar mijn servers te maken 07:33.930 --> 07:36.900 zodat je deze video's kunt ophalen. 07:36.900 --> 07:40.020 Onthoud tenslotte dat er drie hoofdtypen VPN's zijn: 07:40.020 --> 07:42.840 site-to-site, client-to-site en clientless. 07:42.840 --> 07:45.270 Onthoud ook dat er twee manieren zijn om te communiceren 07:45.270 --> 07:46.410 via een VPN. 07:46.410 --> 07:48.543 Je kunt een volledige tunnel of een gesplitste tunnel gebruiken.