govVPN: veilige verbinding bij onveilige netwerken
Wat is govVPN?
govVPN is een VPN-dienst die eindgebruikers beschermt wanneer zijn geen gebruik kunnen maken van govroam wifi-netwerken, bijvoorbeeld in de trein[1]. In Nederland maken geschat ca. 600.000 ambtenaren gebruik van govroam. In verreweg de meeste gevallen gebeurt dit op een locatie van de overheid. Door de groei van de mobiliteit wordt ook gebruik gemaakt van netwerken waar geen govroam aangeboden wordt. Speciaal daarvoor is de dienst govVPN ontwikkeld.
Voordelen
Het gebruik van een Virtueel Privénetwerk (VPN) door eindgebruikers beveiligd de verbinding:
- Al het internetverkeer van de eindgebruiker wordt versleuteld. Daardoor kunnen andere mensen op hetzelfde netwerk of de leverancier van het wifi-netwerk niet meer meekijken. Dat is vooral handig bij gebruik van openbare wifiverbindingen, zoals in de trein, in de bibliotheek of op een terras. Maar ook op bijvoorbeeld slecht beveiligde thuisnetwerken kunnen mee-kijkers zitten.
- De partij met wie de eindgebruiker verbinding heeft, bijvoorbeeld een website, kan het IP-adres van de eindgebruiker niet zien. Die ziet alleen maar een IP-adres van govroam. Zo is de privacy van de eindgebruiker beter beschermd. Bovendien kun je gebruikmaken van diensten die vanaf je eigen IP-adres niet beschikbaar zijn. Vodafone Wifi bellen of Uitzending Gemist kun je bijvoorbeeld alleen maar gebruiken vanaf een Nederlands IP-adres. Als je tijdens je vakantie in het buitenland een VPN gebruikt, denken deze sites dat je in Nederland bent en kun je alsnog deze diensten gebruiken.
Optie: Koppeling t.b.v. Single Sign on o.b.v. SAML
Om Single Sign On mogelijk te maken op het webportaal van de govVPN dienst, kan de organisatie een SAML-koppeling aanvragen. Medewerkers worden dan bij inloggen omgeleid naar de inlogpagina van hun eigen organisatie. In dat geval slaat govroam geen wachtwoord of andere credentials van de medewerker op.
Aanmelden
- De Administratief contactpersoon van een Deelnemer (deelnemende govroam organisatie) vraagt de dienst aan via info@govroam.nl of het Klantportaal (https://klantportaal.govroam.nl).
- De tekenbevoegde medewerker van de organisatie ondertekent het Addendum en stemt (derhalve) in met de Gebruikersvoorwaarden en het Privacy statement.
- De organisatie en govroam leggen een SAML-koppeling ten behoeve van de authenticatie van de medewerkers, al dan niet via een “Identity Broker”. Dit houdt in dat de gegevens van de SAML-interfaces aan beide zijden gedeeld worden, de veiligheidskeys worden uitgewisseld en afspraken worden gemaakt over attributen.
- Govroam voegt de e-maildomeinen van de deelnemer toe aan de lijst met toegestane afzenderdomeinen (‘allowlist’).
Functionaliteit voor medewerkers
- De organisatie verstrekt de handleiding voor de medewerkers vanwege de organisatie-specifieke instructies. In grote lijnen volgt een medewerker de volgende stappen:
- Ga naar govvpn.nl of download de app voor jouw type apparaat (zie overzicht hieronder).
- Kies ‘inloggen’. Je wordt omgeleid naar de inlogpagina van je organisatie.
- Log in met de inloggegevens van je organisatie. Je wordt teruggeleid naar govVPN.
- Volg de instructies voor het instellen van het VPN-profiel en het activeren van de VPN-verbinding.
Overzicht van de govVPN-apps per Operating System:
govVPN voor iPhone en iPad (iOS)
Bij gebruik govVPN:
- Houd er rekening mee dat applicaties zoals streaming naar apparaten, gedeelde folders en andere UPnP apparaten in het lokale netwerk, zoals thuis, niet vindbaar zullen zijn als VPN actief is
- VPN is minder geschikt voor het transport van real time applicaties zoals videoconferencing
Het netwerkverkeer van de medewerker wordt in de govroam datacenters afgeleverd zowel fysiek als in aantal ‘hops’ dichtbij de Amsterdam Internet Exchange, zodat het vervolgpad tussen het verkeer van de medewerker en de (organisatie-)diensten op internet zo kort mogelijk is.
Informatiebeveiliging
De dienst govVPN maakt onder andere gebruik van OpenVPN software. Deze open source VPN-software streeft naar de hoogst mogelijke beveiliging van het netwerkverkeer van de eindgebruiker op basis van de meest recente encryptiestandaarde. Tevens zijn vrijwel alle ‘hardening’-principes toegepast die voor OpenVPN.nl zijn opgesteld om ook niet-softwaregerelateerde aspecten van de dienst zo veilig mogelijk te maken. Govroam slaat geen netwerkverkeer op en levert het verkeer zo dicht mogelijk bij de AMS-IX af, waardoor de kans op onderscheppen van het verkeer uitermate klein is.
Privacy en bewaartermijnen
Alleen minimaal noodzakelijke gegevens worden bewaard en de bewaartermijn wordt tot een minimum beperkt. De bewaartermijn van het medewerkersaccount en organisatie-administratoraccount is beperkt tot de duur van de geldigheid van het account. De bewaartermijn van logging over het gebruik van het gastaccount bedraagt 6 maanden. Netwerkverkeer wordt niet geïnspecteerd.
Identiteiten en aansprakelijkheid
Van de medewerker wordt een gebruikersnaam (‘govID’) bewaard en optioneel een wachtwoord waarmee de medewerker inlogt. De identiteit is niet zichtbaar in de daadwerkelijke VPN-verbinding.
Begrippenlijst
| Begrip | Omschrijving |
| Administratief Contactpersoon | Zie dienstbeschrijving govroam wifi-roaming dienst. |
| Deelnemer | Organisatie die aangesloten is bij stichting govroam. Zie dienstbeschrijving govroam wifi-roaming dienst. |
| Medewerker | Medewerker van een Deelnemer-organisatie die govguest gebruikt als host en/of organisatie-administrator |
[1] Govroam ontwikkelde de ‘overheidsversie’ van ‘eduVPN’.
Meer informatie
Klik hier voor de volledige dienstbeschrijving.
Klik hier voor de Service Level Specificatie.
Of maak een afspraak om de aansluitmogelijkheden door te spreken met ons serviceteam.
