Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties

Het Nationaal Bureau Verbindingsbeveiliging, een onderdeel van de AIVD, heeft een aangepaste versie van het opensource-softwarepakket OpenVPN goedgekeurd voor gebruik bij de Nederlandse overheid op 'Departementaal Vertrouwelijk'-niveau.

Met de goedkeuring van het OpenVPN-pakket door het AIVD-orgaan stapt de Nederlandse overheid voor het eerst over naar een opensource-pakket voor beveiligingsdoeleinden. Het OpenVPN-pakket kan daarmee voortaan gebruikt worden door overheidsmedewerkers die vanuit huis of een andere locatie toegang moeten krijgen tot vertrouwelijke informatie. Eerder werd de software ingezet in een pilot bij het Ministerie van Defensie.

Voordat het OpenVPN de goedkeuring van het Nationaal Bureau Verbindingsbeveiliging kreeg, werd het opensourcepakket aangepast. Beveiligingsbedrijf Fox-IT nam hierin het voortouw en verwijderde componenten die onveilig kunnen zijn uit de software. Ook werden aanpassingen gedaan. Zo werd PolarSSL in plaats van OpenSSL ingezet om data te versleutelen en kunnen essentiële beveiligingsinstellingen niet uitgeschakeld worden. Fox-IT wijzigde zo'n achtduizend regels code en voegde vierduizend regels documentatie aan de nieuwe OpenVPN-NL toe.

Deze door de overheid goedgekeurde versie is via de website van Fox-IT te downloaden voor verschillende platforms, terwijl vanzelfsprekend ook de broncode van de software beschikbaar is. Omwille van de veiligheid zal de aangepaste OpenVPN-software alleen via dit beveiligde distributiekanaal verkrijgbaar zijn.

Reacties (58)

Reactiefilter:-158058+141+29+30
Moderatie-faq Wijzig weergave
Zegt Fox-IT met andere woorden dat OpenSSL onveilig is? Volgens mij is door het commercieel gebruik PolarSSL al niet meer opensource.
Het heeft vast iets te maken met een oud-medewerker. PolarSSL is namelijk gemaakt door het bedrijf Offspark, wat eigenlijk alleen 1 persoon betreft:
Founder Paul Bakker started a company in 2009 that evolved into the Offspark that is here today. At the moment Offspark is still small, having just Paul as a full-time employee. Offspark works together with a number of first-class partners and freelancers to provide a complete portfolio to its clients.

From 2002 to 2011 Paul had a full-time employment with the leading Dutch security company Fox-IT. Paul Bakker led the Crypto & High Security department of Fox-IT for over 5 years, where as an active management member he was involved in military, government and general classified projects. In addition he was an active member in the development of numerous high-security products and solutions for the national security arena, including NATO and EU environments.
Omdat Fox-IT de broncode distribueert valt het overigens wel gewoon onder de GPL-v2 licentie van PolarSSL, hoewel het me niet zou verbazen als er wel voor betaald is.

[Reactie gewijzigd door tweakerbee op 22 november 2011 15:23]

Persoonlijk zou ik het logisch en goed vinden mochten ze er toch iets voor betaald hebben. Een tool als openvpn en bijhorende openssl//PolarSSL from scratch bouwen zou veel meer kosten. Door terug te geven aan een project als dit kunnen ze ook weer verder ontwikkelen.
Teruggeven doe je niet enkel in geld maar ook in eigen bijdrages aan het product. Op de site van Fox-IT valt ook te lezen dat ze zelf veel toevoegingen hebben gedaan aan de code van OpenVPN.
Open source betekend NIET dat het ook gratis moet zijn.
Hmm ik ken het niet maar als ik op de site kijk van polarSSL
"The PolarSSL library is distributed under the GNU Public License Version 2.0 (GPL v2.0) and any later version of this License. This is a copyleft licensing model. The Open Source License is meant for:

Integrating PolarSSL in other Open Source projects
Personal and educational use of PolarSSL
Integration of PolarSSL in commercial software, while adhering to the Open Source license terms and choosing not to support PolarSSL"
http://polarssl.org/licensing

Bij ons in Vlaanderen kunnen ze er nog iets van leren inzake het kijken naar Open Source software bij de overheid.

Blijkbaar is die fox-it een Nederlands bedrijf (en zelf al is het een Europees bedrijf dan is het nog nie mis) en er is niets verkeerd met lokale bedrijven zo ook eens iets te gunnen ipv die typische grote buitenlandse bedrijven.

Door voor open source te kiezen geef je ook lokale bedrijven de mogelijkheid om mee te dingen naar contracten.

[Reactie gewijzigd door simplicidad op 22 november 2011 15:28]

Zo devalueer je Fox-IT wel behoorlijk. Het is welliswaar een Nederlands bedrijf maar hoeft echt niet onder te doen voor de concurrenten en is zeker niet enkel een lokaal bedrijfje. Fox-IT is een van de grote spelers op deze markt, zoals jij het stelt lijkt het alsof Fox-IT de arme underdog is die door de overheid gesteund moet worden.
foxit is volgens mij best een redelijk bekend bedrijf in nl wat betreft secuirity en werkt al redelijk vaak in opdracht van de overheid, het is dan ook niet vreemd dat juist zei nu deze openvpn 'fork' hebben gebouwd.

zo zie je de voordelen van opensource eens van een andere kant, als overheid zie je een goed stuk software, je huurt een professional in om het naar jouw eisen aan te passen en publiceerd de code, en gaat aan de slag met je nieuwe product.

gaat foxit falliet no problemo het is opensource elke ontwikkelaar kan de taak overnemen.
worden er bugs gevonden, geen probleem, je stuurt een patch naar de ontwikkelaar, er volgen wat code-revieuws en bij de volgende iteratie gaat je patch gewoon mee... het is opensource...
Volgens de website van OpenVPN-NL hebben ze dat gedaan omdat PolarSSL beter te controleren is dan OpenSSL:
Among the notable differences between OpenVPN and OpenVPN-NL is the cryptographic library. Correct SSL functionality is essential for the protection that OpenVPN offers. OpenSSL is a large and complex library. PolarSSL is a compact and modular library, which is small enough for a fairly in-depth evaluation. Therefore, in the OpenVPN-NL package, it has been chosen to exchange PolarSSL for OpenSSL. This change does not change functionality; the two libraries (OpenSSL and PolarSSL) are mutually compatible.
Grappig hoe ze de exchange verkeerd om genoemd hebben :P ze exchangden juist OpenSSL voor PolarSSL...
Van de website:
Among the notable differences between OpenVPN and OpenVPN-NL is the cryptographic library. Correct SSL functionality is essential for the protection that OpenVPN offers. OpenSSL is a large and complex library. PolarSSL is a compact and modular library, which is small enough for a fairly in-depth evaluation. Therefore, in the OpenVPN-NL package, it has been chosen to exchange PolarSSL for OpenSSL.
Ze zeggen dus niet dat OpenSSL niet veilig is, ze geven alleen aan dat het te groot en complex is om dat te onderzoeken.

[Reactie gewijzigd door IceM op 22 november 2011 15:22]

OpenSSL is inderdaad een draak van een applicatie. Naast complexiteit lijkt me de omvang van de code me ook wel hele goede reden om dat te mijden, hoe meer regels code des te groter is de kans dat er bugs/exploits in zitten.
Aan de andere kant, is OpenSSL wel ENORM veel gebruikt vast ook wel door andere overheden en misschien wel zelfs die van de USA?

PolarSSL is makkelijker te reviewen omdat het kleiner is, dat is zo, maar het is ook weer niet zo dat ze ALLE bugs nu uit polarSSL hebben verwijderd.

Wat ik me dan afvraag, wat nou als je, als geauthoriseerd persoon, van thuis uit wil verbinden met de 'normale' openvpn? Is dat bewust 'gesloopt'? Polar- of Open-SSL maakt voor het certificaten gedeelte en zo niet uit. De app zou het verschil niet eens 'merken', dus kan het zo zijn dat enkel deze specifieke versie met hun specifieke versie werkt?

Het is op en top hulde hoor, daar niet van; maar maakt het 'out of the box' gevoel voor openvpn weer niet werkend. Nou kan je wel zelf packages bakken/source compilen, maar b.v. in ubuntu 'ff' networkmanager-openvpn installeren, je certificaten toevoegen en 'klaar'.
Nee, ze zeggen dat ze OppenSSL hebben gekozen ipv PolasSSL ;-)
Even goed lezen dan zie je het ook.
PolarSSL is wel open source?
The PolarSSL library is distributed under the GNU Public License Version 2.0 (GPL v2.0) and any later version of this License.
(bron)
PolarSSL is slechts beperkt opensource. Zodra je er een closed-source applicatie aan linkt, moet je betalen. Niet zo'n handige keuze dus.
Ho ho, kan zijn dat je moet betalen bij bepaald gebruik van Open Source (hangt van de licentie af) maar het blijft Open Source. Open Source <> onbetaald.
Omgekeerd: Closed Source <> betaald.

De vorm van de source zegt niets over de kosten om het te mogen gebruiken.

[Reactie gewijzigd door Jol65 op 22 november 2011 22:21]

Hint: dual licensing.

Als jij een commercieel product maakt waar PolarSSL in zit (of is meegelinkt als losse library), dan moet je betalen.

You should think of 'free' as in 'free speech', not as in 'free beer'
Niet echt een probleem als je er geen closed source applicatie aan linkt. En Open VPN is open source.

Hoewel ik geen fan ben van dual licensing hoeft het, zoals bv mysql bewijst, het gebruik in Open Source projecten niet tegen te houden.
ff googlen: License Polarssl maar een dual-license dus, zowel opensource als een commercial license als de opensource niet volstaat.

[Reactie gewijzigd door Speeder op 22 november 2011 15:23]

Om de broncode van Openvpn-nl beter te kunnen vergelijken met het orgineel, heb ik hier een (patch) file met de verschillen beschikbaar gesteld:

http://download.fortresslinux.org/Fortress-Linux/flaudit/


Zelf ben ik nogal sceptisch over een product van een bedrijf die regelmatig op de ISS Conference staat met Big-Brother-achtige oplossingen zoals deze:

http://www.ereleases.com/...rt-ip-analysis-tool-13128


Ik heb de verschillen in de 11000 coderegels even snel doorgenomen. Hierbij heb ik al wel code gevonden die -mogelijk- kan leiden tot een buffer-overflow/resource overstep. Maar dit moet ik eerst verder onderzoeken voordat ik het aan de grote klok hang. Verder zie ik voornamelijk wijzigingen m.b.t PolarSSL en wat Makefile functies die eruit gehaald zijn.

Misschien dat er nog meer vrijwilligers zijn op Tweakers.net die samen met mij openvpn-nl willen auditen op eventueele achterdeurtjes.
Eigenlijk zou je e.e.a. naast elkaar moet zien zoals Eclipse dat zo netjes kan tussen twee versies in CVS of subversion. Zo op het oog zie ik vooral veel extra commentaar om te vertellen wat de code doet. Zou Foxit de Linux kernel ook eens onderhanden kunnen nemen?
Waarom denkt iedereen toch dat open-source gelijk staat aan goedkoper of gratis?

Het enige dat ze besparen zijn licentiekosten en meestal is dat maar een klein percentage va n de totale kosten. Onderhoud en beheer zijn vaak terugkerende fee's die veel hoger zijn. Een secure vpn pakket in beheer nemen zonder support is echt belachelijk (wie kun je aanspreken op securitybugs, patches etc?). Je wilt juist iemand verantwoordelijk kunnen maken.

Je kunt op je vingers nagaan dat deze open-vpn aanpassing door Fox-IT ook niet gratis is ontwikkeld. Onze overheid heeft hier waarschijnlijk zelfs veel geld voor heeft betaald als opdrachtgever. Daarmee ben je dus eigenlijk maatwerk aan het ontwikkelen....

Op de site van Fox is dit nog te vinden:
"OpenVPN-NL is available free of licence costs. One should be aware that deployment and maintenance of any product requires knowledge and manpower, neither of which is free."
Dus de implementatie wordt ook uurtje-factuurtje gedaan door Fox-it.

opensource <> weinig geld uitgeven!!
Het enige dat ze besparen zijn licentiekosten

Alsof dat geen enorme besparing kan opleveren..

En veel reclame voor Fox-it ineens zeg.. Ook een belangenkwestie zeker.
Alsof dat geen enorme besparing kan opleveren
Nee.
Voor vrijwel alle commerciele software geld dat licentiekosten maar een hele kleine fractie zijn van de totale kosten voor een product/dienst.

[Reactie gewijzigd door mjtdevries op 22 november 2011 17:04]

Bij de overheid zou er (in wat breder perspectief) ongeveer 4% bespaart worden door de gratis licenties. Zie: http://www.computable.nl/...urce-bespaart-weinig.html

Andere onderzoeken tonen dat ook aan. Dus nee, geen enorme besparing :)
opensource <> weinig geld uitgeven!!

Oh ja, het is natuurlijk beter om je helemaal afhankelijk te maken van één marktpartij en daar dan ook nog eens de licentiekosten voor te betalen. Open source is niet gratis maar je bent wel veel onafhankelijker van marktpartijen met alle prijsvoordelen van dien. In dit geval heeft Fox-it de kennis in huis en krijgt daarvoor inderdaad betaald maar worden ze te duur dan kan een andere marktpartij in ieder geval instappen en zijn diensten goedkoper aanbieden.
En hoeveel marktpartijen zijn er die dit open source product kunnen beheren. Precies.....

Natuurlijk ben ik blij dat de Nederlandse overheid voor een lokale partner kiest qua beveiliging, en ook nog eens gebruik maakt van open-source oplossingen, maar dat betekent niet dat er plotseling veel concurrentie ontstaat bij het aanbieden van beveiligingsoplossingen voor de overheid. Fox-it heeft zich naar binnen gewerkt. Misschien gaan er nog enkele partijen dit ondersteunen maar het aantal opties wordt echt niet dramatisch groter vergeleken met het gebruik van closed source oplossingen. Zo zullen er genoeg partijen zijn die remote access via Cisco hard- en software kunnen leveren. Meer zelfs dan die OpenVPN op dit niveau kunnen installeren.

Meer marktwerking, niet echt. Wel een product wat de overheid zelf kan controleren en certificeren.
Typisch nederlands dat men denkt het beter te weten en dat het standaard product aangepast moet worden. In het verleden is dat nooit een succes geweest.

NS koopt aangepaste treinen gevolg veel storingen.

Defensie koopt Zweedse CV90 pantservoertuigen als opvolger voor YPR pantservoertuigen. Natuurlijk een aangepaste versie gevolg de helft is niet bruikbaar als gevolg van storingen.

Het nieuwe politie pistool zou geleverd worden door Sig Sauer maar moest wel aangepast worden aan de "speciale" munitie van de nederlandse politie. Gevolg het pistool is niet meer veilig en men zoekt een nieuwe leverancier.

En zo zijn er nog ettelijke voorbeelden. Neem gewoon het standaard produkt zonder er aan te sleutelen.
Er zijn natuurlijk veel soorten van aanpassen mogelijk; van het veranderen van taalinstellingen, branding door het toepassen van huisstijl enzovoort enzovoort.
In dit geval gaat het om hardening, het verwijderen van alle zaken die niet nodig zijn, maar wel kunnen leiden tot fouten en/of exploits.
En dat is echt niet iets typisch nederlands, maar een algemeen aanvaard, zoniet vereiste gang van zaken bij de combinatie van software en veiligheid.

En ja, ook daar kan iets bij misgaan, maar door het strippen van grote hoeveelheden code, wordt het debuggen direct ook een stuk makkelijker ;)
Het OpenVPN-pakket kan daarmee voortaan gebruikt worden door overheidsmedewerkers die vanuit huis of een andere locatie toegang moeten krijgen tot vertrouwelijke informatie. Eerder werd de software ingezet in een pilot bij het Ministerie van Defensie.

Ja, want bij defensie kan het het minste kwaad om te testen met vertrouwelijke informatie. :X
Die pilot is het Telestick project, waarbij je remote kan inloggen op het netwerk. Op dat netwerk mag niets staan dat hoger is gerubriceerd dan vertrouwelijk. En dat betekend in feite dat het informatie is waarvan je eigenlijk niet wilt dat het buiten komt te liggen, maar dat het geen ramp is als het wel gebeurt.
Dus ja, een goede keuze voor een test.
Niet alleen past Fox een pakket aan om te voldoen aan de eisen, dus in hoeverre is dit nog opensource? Maar Fox komt wel erg veel naar voren bij overheid projecten op dit moment. Dit wekt de schijn dat de overheid zich weer teveel laat leiden door 1 commerciele partij en zelf de kennis niet in huis heeft.
Er zijn weinig bedrijven in Nederland die kunnen concurreren met Fox IT op dit niveau. Daarnaast is het verstandiger een betrouwbare partner te hebben voor zulk soort zaken dan telkens via een Europese aanbesteding een andere partner te zoeken. Met zaken zoals catering kan je dat prima doen, met beveiliging van staatsgeheimen is dat toch minder aan te raden.
Daarnaast is het voor de overheid niet te doen om zelf mensen op te leiden tot het niveau van de medewerkers van Fox IT, dan heb je veel dure mensen in huis die je niet full time kan inzetten omdat er niet genoeg projecten zijn, dan is uitbesteding vaak een stuk handiger. Dan heb je gegarandeerd top mensen die altijd up-to-date zijn qua kennis en veel meer toevoegen onder andere door relevante ervaring met andere projecten of ervaring in het veld.
Daarnaast is het voor de overheid niet te doen om zelf mensen op te leiden tot het niveau van de medewerkers van Fox IT, dan heb je veel dure mensen in huis die je niet full time kan inzetten omdat er niet genoeg projecten zijn
Om er nog maar van te zwijgen dat die overheidsmedewerkers vervolgens door de IT-bedrijven worden weggekocht met een nog hoger salaris, en dan kan de overheid weer opnieuw beginnen (of een staatslening uitschrijven om diezelfde functionaris weer terug te huren ;) )
Als het om security gaat dan houd de Nederlandse overheid dit soort opdrachten altijd bij een Nederlands bedrijf zonder banden met andere overheden zodat inmenging door andere mogendheden wordt beperkt. Tevens worden de medewerkers door de AIVD gescand. Ook al worden er in de overheid véél beveiligingsfouten gemaakt, op dit gebied zijn ze al vele jaren goed bezig. Dit soort dingen wil je ook niet door een Amerikaans of Duits bedrijf laten doen, de kans op mee luisteren is dan héél groot. Persoonlijk had ik verwacht dat deze opdracht bij een van de andere Nederlandse beveiligingsbedrijven was onder gebracht.
Het beste zou zijn als alle ICT projecten van de overheid (en dan dus echt ALLE!) ondergebracht worden bij 1 bedrijf wat exclusief levert aan de overheid, maar wel markt comforme salarissen kan betalen. De enorme besparingen die dat op zou leveren, is meer dan voldoende om iedereen van een zeer riant salaris te voorzien.
Welk bedrijf heeft van elk ICT onderwerp kennis in huis? En hoe ga je om met specifieke kennis die kortstondig nodig is? Moet bij andere bedrijven ingehuurd worden.
Er is g een enkel ICT bedrijf dat alles kan leveren en alle kennis in huis heeft.
Als ze wel de kennis in huis hebben zullen ze alsnog taken moeten outsourcen omdat ze het op het moment veel te druk hebben.
Er zijn weet ik veel regeringswebsites uit de lucht gehaald en die zullen voor een groot gedeelte weer terug moeten.
Je vraag
dus in hoeverre is dit nog opensource?
wordt beantwoord met
terwijl vanzelfsprekend ook de broncode van de software beschikbaar is
Volledig open source. Het sterke en zwakke punt van Open Source, iedereen kan het aanpassen en zolang de aangepaste code ergens beschikbaar is dan voldoet het nog aan de eisen ook. Veel vrijheid, veel versnippering.
OpenVPN is onder de GNU GPL uitgebracht, wat Fox-IT verplicht om haar wijzigingen ook te vrijgeven.
Aan de partijen die de applicatie gebruiken. Dus de overheid. Dat zal ook vast wel gebeuren aangezien ik als overheid de code ook zou willen hebben voor het geval ik ooit FOX wil vervangen. Dan wil je niet al je software ook kwijt zijn of heel duur over moeten kopen. Dus zal dat ongetwijfeld wel onderdeel zijn van de afspraken.
Het pakket is in source code van de repo van foxit te downloaden. dus het is gewoon nog steeds opensource !

https://openvpn.fox-it.com/repos/source/2.1.4-fox5/

[Reactie gewijzigd door adam76 op 22 november 2011 16:42]

Goed dat de overheid overgaat op opensource software en aanpassingen doet naar haar eigen wensen. Het is in mijn opinie beter dan het wiel opnieuw uitvinden.
Niet alleen dat, veel aanpassingen zijn ook terug gecommuniceerd naar de OpenVPN community toe waardoor Fox IT en indirect de Nederlandse overheid een actieve bijdrage levert bij de ontwikkeling van OpenVPN en de opensource community. Ze implementeren niet alleen andermans wiel maar verbeteren het ook waar mogelijk.
Niet alleen naar de OpenVPN community, maar ook naar PolarSSL.

Er is door Fox een hoop bijgedragen in functionaliteit en documentatie die voor PolarSSL nodig was om beter met OpenVPN te interacteren.

(Ik ben de maintainer van PolarSSL)
Das wel netjes, dus dat betekent een grote besparing voor het ict budget van de overheid?
Ik denk denk dat dat wel meevalt: wat denk je dat het kost om een (open source) pakket helemaal door te lichten qua veiligheid en daar wijzigingen in aan te brengen?

Man-uren die betaald moeten worden maken ICT-projecten duur, niet licentiekosten.
uuh als je voor n paar duizend werkplekken per jaar allerlei pakketten moet kopen lijkt dat me best wel n kostenplaatje. En die doorlichting is natuurlijk eenmalige kosten, geen terugkerende :)
"Het OpenVPN-pakket kan daarmee voortaan gebruikt worden door overheidsmedewerkers die vanuit huis of een andere locatie toegang moeten krijgen tot vertrouwelijke informatie. Eerder werd de software ingezet in een pilot bij het Ministerie van Defensie."

Mooi dat dit open source (en goedkoper?) kan. Gaat de politie dit pakket trouwens ook gebruiken?
Misschien wel handig aangezien ze nu toch bezig zijn met ICT in de nieuwe Nationale Politie.

[Reactie gewijzigd door tweaker2010 op 22 november 2011 15:42]

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Apple

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True