Door op ‘Alle cookies accepteren’ te klikken, gaat u akkoord met het opslaan van cookies op uw apparaat om de sitenavigatie te verbeteren, het sitegebruik te analyseren en te helpen bij onze marketinginspanningen. Bekijk ons privacyverklaring voor meer informatie.
VoorkeurenNeeAccepteer
hackersperspectief
April 15, 2025
LEES TIJD:
5
MINUTen

VPN vanuit een hackersperspectief

VPN-verbindingen vormen al lang de standaardmethode waarmee externe medewerkers toegang verkrijgen tot interne bedrijfsnetwerken. Vanuit een beveiligingsperspectief zijn ze echter een structureel risico binnen hybride netwerkomgevingen. Aanvallers benutten VPN’s niet uitsluitend vanwege de netwerktoegang, maar vooral door de impliciete vertrouwensrelatie die VPN’s met zich meebrengen. Deze relatie creëert een tekort aan access control en zorgt voor blinde vlekken in detectie- en responsmechanismen.

Vertrouwensrelatie tussen endpoint en interne netwerklaag

Zodra een gebruiker via VPN is ingelogd, krijgt het externe apparaat vaak direct toegang tot het interne netwerk op IP-niveau (Layer 3). Het systeem behandelt het alsof het een lokaal apparaat is. In veel organisaties betekent dat directe toegang tot meerdere systemen, databases of OT-omgevingen, zonder dat gecontroleerd wordt of dit apparaat wel veilig is, waar het zich bevindt, of waarvoor de gebruiker eigenlijk toegang nodig heeft. Er wordt te weinig rekening gehouden met context: een gebruiker die vanaf een onbekende locatie werkt op een onbeheerd apparaat krijgt vaak evenveel rechten als iemand op kantoor met een bedrijfslaptop.

Credential en token harvesting

VPN-systemen zijn vaak afhankelijk van inlogcombinaties zoals gebruikersnaam en wachtwoord, soms aangevuld met een extra factor (bijvoorbeeld via een app of sms). Aanvallers maken gebruik van phishing-technieken waarbij ze niet alleen wachtwoorden stelen, maar ook tijdelijke sessietokens die normaal alleen zichtbaar zijn op het apparaat van de gebruiker. Hiermee kunnen ze de VPN opnieuw gebruiken zonder dat de tweede factor opnieuw nodig is. Tools zoals Evilginx2 zijn hierin gespecialiseerd en maken het mogelijk om legitieme sessies over te nemen door bijvoorbeeld JWT tokens te onderscheppen.

Aanvallen op kwetsbare VPN-appliances

De VPN-server zelf is vaak een doelwit. Bekende exploits in Fortinet, Citrix en Pulse Secure laten zien hoe aanvallers misbruik maken van fouten in de software van deze systemen. Omdat VPN-servers meestal direct vanaf het internet bereikbaar zijn, zijn ze een aantrekkelijk doelwit. Bij succesvolle aanvallen kunnen gegevens worden gestolen of kan de aanvaller zelfs via de VPN-server het interne netwerk binnendringen. In sommige gevallen wordt er toegang verkregen tot gevoelige bestanden of wachtwoorden die tijdelijk worden opgeslagen in het systeemgeheugen van de appliance.

VPN als blinde vlek binnen detection & response

Veel organisaties beschouwen VPN-verkeer als ‘vertrouwd’, wat betekent dat monitoring- en detectiesystemen het minder streng controleren. De firewall laat het door, het SIEM-systeem ziet geen rode vlaggen, en netwerksegmentatie biedt geen bescherming meer omdat het apparaat technisch ‘intern’ is geworden. Als de aanvaller legitieme inloggegevens heeft, kan hij zich ongezien verplaatsen binnen het netwerk. Zonder koppeling tussen VPN-logs, endpointbeveiliging en gedragsanalyse (zoals User & Entity Behavior Analytics), blijven afwijkingen vaak onopgemerkt.

Geen toegangscontrole per applicatie

In traditionele VPN-oplossingen bepaalt het IP-adres waar je bij kunt. Als een gebruiker toegang heeft tot een subnet, dan heeft hij toegang tot alle systemen daarin, ook als dat niet nodig is. Moderne architecturen werken met toegangscontrole per applicatie of dienst (Zero Trust Network Access). Dat betekent: alleen toegang tot specifieke systemen op basis van wie je bent, welk apparaat je gebruikt en wat je probeert te openen. VPN mist die fijnmazigheid. Als een gebruiker eenmaal binnen is, is de rest vaak bereikbaar zolang het netwerk het toestaat.

Lateral movement en interne discovery

Zodra een aanvaller toegang heeft via VPN, wordt het netwerk in kaart gebracht met standaard tools die systeeminformatie verzamelen, netwerkschijven opsporen of inlogpogingen doen op andere systemen. Dat lukt omdat het VPN-apparaat toegang heeft tot het interne netwerk alsof het een laptop op kantoor is. Veel netwerken zijn onvoldoende gesegmenteerd, waardoor een aanvaller zonder veel moeite andere machines, diensten of gevoelige systemen kan benaderen en aanvallen.

Data exfiltratie via encrypted trusted channels

Doordat VPN-verkeer versleuteld is én als intern wordt gezien, vallen gegevens die via de VPN-tunnel worden verstuurd vaak buiten de detectie van beveiligingssystemen zoals DLP (Data Loss Prevention) of NDR (Network Detection & Response). Een aanvaller kan op die manier vertrouwelijke informatie verzamelen en versturen zonder dat dit wordt opgemerkt — bijvoorbeeld door bestanden via RDP of SMB te downloaden en daarna naar een cloudopslag of versleuteld extern kanaal te sturen.

Dus

VPN’s passen niet meer binnen de moderne beveiligingsarchitectuur waarin ‘zero trust’ centraal staat. Ze geven brede toegang, missen contextuele verificatie en maken het moeilijk om te zien wie wat doet. Organisaties die nog afhankelijk zijn van traditionele VPN-oplossingen lopen verhoogd risico. De overstap naar een model waarin toegang wordt toegekend op basis van identiteit, apparaat status en gedrag is noodzakelijk.

Denk aan oplossingen waarbij:

  • Per applicatie toegang wordt geregeld
  • Alleen veilige apparaten verbinding mogen maken
  • Afwijkend gedrag direct wordt herkend en geblokkeerd.

Alleen zo ontstaat een flexibel, controleerbaar en veilig toegangsmodel dat past bij de complexiteit van moderne IT- en OT-omgevingen.

Wilt u meer weten over deze of een van onze andere maatwerk diensten neem dan contact met ons op via info@deepbluesecurity.nl of bel ons op +31 (0) 70 800 2025

ENGLISH VERSION
Back to Resources

Klaar om te beginnen?

Als het om cyber security gaat, zijn wij uw beste keuze

Contact