Für die Verbindung ins Firmennetzwerk nutzt phpTrix NetAccess eine SSH-Verbindung. Kombiniert mit der Autorisierung durch ECC-Keys (ED25519) bietet diese Verbindung Angreifern keine (aus)nutzbare Schnittstelle. Das Gateway-System blockiert eingehende Verbindungen (von der gleichen IP-Adresse) schon nach wenigen fehlgeschlagenen Zugriffsversuchen - damit wird unautorisierte Zugriff wirkungsvoll verhindert.
Für die Authentifizierung werden asymmetrische ECC-Schlüssel verwendet, das für die Verbindung benötigte Passwort "entsperrt" lediglich den in der Programmdatei hinterlegten ECC-Schlüssel. Ohne diesen ECC-Schlüssel, also nur mit dem Passwort kann keine Verbindung aufgebaut werden. Der private Teil des ECC-Schlüssels ist ausschliesslich in der Client-Programmdatei hinterlegt, auf dem Gateway-Server wird nur der öffentliche Teil des Schlüssels hinterlegt.
Als weitere Sicherheitsmassnahme wird für jede Client-Installation beim ersten Verbindungsaufbau ein individueller Schlüssel erzeugt und in der Client-Installation hinterlegt. Auch dieser Schlüssel kann nicht kopiert oder übertragen werden. Soll der gleiche Zugang auf einem weiteren Rechner installiert werden, muss dies vom NetAccess-Administrator zuvor explizit erlaubt worden sein.
Bei einem "normalen" VPN werden die extern angebundenen Clients/Workstations
direkter Teil des Firmennetzwerks, haben also direkten Zugriff auf die Server,
Drucker, Datenbanken, etc.
Durch Ausnutzung von Sicherheitslücken oder schlechten Passwörtern könnte auf
diesem Weg eine Schadsoftware das gesamte Firmennetzwerk von einer externen
Workstation aus kompromittieren. Dies ist tatsächlich eine gerne genutzte Methode
der Infiltration.
Eine zwischengeschaltete Firewall kann diese Zugriffe zwar weiter einschränken,
diese muss aber zunächst installiert und konfiguriert werden - was zusätzliche
Kosten und Aufwand bedeutet.
Mit phpTrix NetAccess erhalten die Clients nur einen selektiven Zugriff auf einen
(oder mehrere) TCP-Port - so bleibt das Firmennetzwerk gesichert.