VPN
Le VPN (Virtual Private Network, reti private virtuali) possono essere definite come l’emulazione di collegamenti WAN (Wide Area Network) e di accesso remoto, realizzati attraverso un’infrastruttura di rete IP condivisa, Internet o la rete IP di un Operatore di telecomunicazioni, per mezzo di tecnologie software che offrono meccanismi di autenticazione, crittografia e protezione dell’integrità dei dati. La rete è intesa come privata perché per accederci bisogna avere un account con delle credenziali (tipicamente username e password) ed inoltre tutto il traffico è criptato e virtuale perché viene instaurato un ponte di connessione virtuale punto a punto tra i due end-point della VPN, che possono essere situati in posizioni geografiche distinte.
Una connessione VPN viene considerata alla stregua di una connessione fisica che collega sedi remote o tramite cui si può accedere da remoto, in modo sicuro, a una rete aziendale, anche se si tratta di una connessione logica protetta attraverso Internet o la rete IP di un Operatore.
Nel caso si sfrutti Internet, la connessione VPN può appoggiarsi a un sistema di accesso a Internet che abbia velocità sufficiente per le applicazioni che devono operare in rete. Una connessione VPN viene graficamente rappresentata come un “tunnel” tra due terminali della VPN stessa (endpoint), dietro cui sono attestati gli host che comunicano.
Rispetto alle connessioni WAN tradizionali (leased lines) le VPN offrono diversi vantaggi:
- riduzione dei costi: in quanto si può utilizzare un accesso a Internet che costa meno rispetto a costose linee dedicate, può anche essere sensibilmente più veloce, se si usano accessi “broadband”.
- sicurezza: in quanto la connessione VPN è protetta da meccanismi di autenticazione, crittografia e protezione dell’integrità dei dati.
- scalabilità e flessibilità: in quanto è relativamente semplice aggiungere nuovi collegamenti VPN per via che tutti possono usare Internet e che non ci ridotti costi di apparati e infrastruttura.
confidenzialità: i dati sono protetti dalla comprensibilità per chi “origlia” sulle reti (eavesdroppers) o vi “sbircia” (pryiers)
integrità: i dati arrivano anche con la garanzia di non essere stati manipolati lungo la strada, grazie al meccanismo dell’hashing, una specie di firma o checksum di garanzia che il contenuto originale non è stato modificato
autenticazione di utenti ed apparati: infine, i due interlocutori si possono riconoscere prima dello scambio dati, tramite password, certificati digitali, “smart card” o sistemi biometrici.
Il rischio di blocco di una VPN è pressoché nullo, dato che si utilizza una rete pubblica che garantisce un alto grado di ridondanza.
Si possono definire due tipologie principali di VPN: Site-to-site VPN e VPN per accesso remoto.
Site-to-site VPN o Network-to-network VPN
Collegano tra loro due LAN di sedi aziendali remote; possono essere suddivise in:
- Intranet VPN quando le connessioni VPN uniscono le sedi di una stessa azienda. Le VPN vengono usate per collegare ogni LAN separata di una singola rete WAN privata.
- Extranet VPN quando le connessioni VPN uniscono sedi di aziende diverse che devono condividere delle informazioni (clienti-fornitori, partner commerciali, ecc.). Le VPN extranet che collegano le LAN di queste imprese permettono alle aziende di lavorare in un ambiente sicuro, condividendo risorse e senza l’accesso alla propria intranet.
Impiegano normalmente la suite IPsec (Internet Protocol security) a protezione dei dati scambiati; vengono implementate su entrambi i lati dei tunnel da router con sistema operativo che supporti le VPN, oppure da firewall o gateway o schede di espansione dedicate con supporto VPN; sono necessarie connessioni Internet a larga banda, preferibilmente con banda garantita, e indirizzi IP statici.
Sono gestite, alla periferia delle due LAN, da vari tipi di possibili “VPN Gateway” la rete azienda le viene estesa rendendo disponibili alle sedi secondarie dell’azienda le risorse della sede principale. Il “tunnel” della VPN viene visto come un semplice cavo che collega due router.
VPN per accesso remoto o Host to network VPN o Virtual Private Dial Network
Consentono ai lavoratori fuori sede di accedere in modo sicuro alla rete aziendale, sfruttando una connessione Internet cablata oppure wireless preferibilmente a banda larga (FTTH, VDSL, ADSL, ...) possono essere impiegate da telelavoratori, che accedono da casa alla rete aziendale, oppure da personale che durante degli spostamenti ha la necessità di accedere da remoto alla rete aziendale per scaricare listini, cataloghi, informazioni tecniche o altro; sono considerate come un collegamento che estende la LAN aziendale, la cui velocità è determinata dal tipo di accesso a Internet utilizzato; per realizzare il tunneling possono utilizzare il protocollo di livello 2 PPTP (Point to Point Tunneling Protocol), più semplice, oppure il protocollo L2TP (Layer 2 Tunneling Protocol), o la suite IPsec, più complessa ma anche più sicura, senza tralasciare i protocolli TLS/SSL (che permettono di configurare VPN client-less); tali protocolli vanno configurati nel client VPN, lato telelavoratore, con una soluzione software, e nel server VPN lato azienda, di solito con un adeguato supporto hardware. Lato Client, il software che realizza il protocollo di tunneling può essere messo a disposizione dal sistema operativo adottato. In questo caso l’utente attiva il client creando una nuova connessione di rete di tipo VPN, la quale si interfaccia all’altra estremità del tunnel con un server di accesso remoto, o RAS (Remote Access Server), che svolge anche la funzione di server VPN (per esempio quello fornito da un sistema operativo Windows Server). Se in azienda devono poter terminare centinaia o migliaia di VPN contemporanee, è necessario che vi sia un potente server VPN dedicato, e che la banda della connessione sia sufficiente per smaltire tutto il traffico.
Client VPN. Utilizza un client VPN che a seconda dei casi:
- crea una scheda di rete virtuale che permette di comunicare con gli apparati locali della rete.
- oppure offre una connessione dati/voce/video al desktop remoto, “emulando” il desktop dell’ufficio principale.
VPN Client “leggero”: sono dei piccoli programmi generati dinamicamente che permettono l’accesso alla rete aziendale per un breve periodo.
WebVPN – VPN clientless. WebVPN permette di accedere anche da Internet, tramite browser, a risorse WEB il cui utilizzo è riservato a personale dell’azienda e consentito solo dalla rete dell’azienda per motivi di sicurezza o condizioni contrattuali. l’utente remoto può accedere ai dati del sito centrale tramite un semplice browser, usando il protocollo sicuro HTTPS (operante sulla porta 443 anziché 80), che implementa al suo interno la cifratura di tipo SSL/TLS. Limita l’accesso alle sole risorse WEB.
Mobile VPN. È una VPN che sfrutta un accesso radio (Wi-Fi, GPRS, UMTS, LTE …) per accedere in mobilità a una rete IP, condivisa o privata; può essere utilizzata anche come meccanismo di protezione forte nel caso di accessi a una rete aziendale via Wi-Fi.
Network-based IP. VPN Sono le VPN implementate e gestite da un Operatore attraverso la propria rete IP/MPLS (backbone IP/MPLS), che le offre come servizio di comunicazione completo per realizzare Intranet VPN o Extranet VPN; in questo caso è possibile richiedere VPN con banda garantita e livelli di QoS (Quality of Service) prefissati, in modo da emulare completamente dei collegamenti WAN su linea dedicata, con costi che però possono essere inferiori.
Tecnologie su cui sono basate: IPSec e TLS. Gli strumenti che ci permettono di rendere la rete più sicura sono IPSec e TLS, due livelli che si inseriscono nello stack protocollare TCP/IP classico. IPSec è un servizio che si poggia direttamente su IP, è di livello 3; può essere implementato direttamente in hardware, oppure in software: nel caso di implementazioni hardware, sarà completamente trasparente alla macchina, alle applicazioni e al sistema operativo, mentre nel caso di implementazione software, si deve modificare il sistema operativo. (Non è un singolo protocollo ma una architettura di sicurezza a livello network). TLS è un protocollo che non prevede modifiche del sistema operativo: deve essere implementato nelle applicazioni. Il problema principale è che TLS è posizionato sopra al TCP, quindi soffre di tutti i difetti del TCP, come l'esposizione agli attacchi DoS e l'esposizione all'attacco del tipo IP spoofing. (È un protocollo di livello sessione). IPSec è più diffuso ma più complesso, è di tipo peer-to-peer, costringe all’autenticazione reciproca. SSL/TLS è di tipo client/server, consente l’autenticazione asimmetrica (cioè di autenticare il server senza autenticare il client), non può essere usato con applicazioni basate su UDP. Le due tecnologie hanno vantaggi e svantaggi e la scelta dipende dall’ambito dell’applicazione. Dal lato aziendale è il VPN gateway a dover garantire la sicurezza. La porta di accesso di un client alla sua VPN è un server di autenticazione.
VPN GATEWAY. sono dei device configurati per un’accesso alla rete remoto altamente personalizzabile e una connettività completamente sicura tramite VPN
Servizi VPN SSL e IPSec: Dove e quando.
| Dispositivo/edificio da connettere | Tipo VPN | SSL/IPSec |
|---|---|---|
| Succursale | Site-to-Site (intranet) | IPSec |
| Casa dell'impiegato | Remote-access (client) | IPSec |
| Data center | Site-to-Site (intranet) | IPSec |
| Sede del partner | Site-to-Site (extranet) | SSL |
| Telefono dell'impiegato | Remote-access (web-vpn) | SSL |
Gradi di sicurezza.
- Trusted VPN: l’ISP garantisce i percorsi (MPLS-based VPN)
- Secure VPN: è assicurata la cifratura dei dati – tunneling (le più utilizzate)
- Hybrid VPN: l’azienda ha già una trusted VPN e vuole aggiungere sicurezza
VPN pubbliche. L'utilizzo di connessioni Wi-Fi pubbliche espone l'utilizzatore a seri rischi (Attacchi Man in the Middle - Si tratta essenzialmente di qualcuno che origlia mentre parlate al telefono: quando un dispositivo si connette a Internet, i dati vengono inviati da un telefono o computer ad un servizio. La presenza di vulnerabilità può permettere ad un cybercriminale di intercettare le trasmissioni e spiarle.) Proprio per questo sono nate le VPN pubbliche in grado di crittografare il traffico che passa all'interno di una rete Wi-Fi pubblica (e non solo). Una VPN pubblica è una rete privata virtuale che garantisce privacy e anonimato online, creando una rete protetta all’interno di una connessione Internet pubblica. Le VPN mascherano il tuo indirizzo IP (Internet Protocol) rendendo praticamente impossibile tracciare ciò che fai online. Ma soprattutto, i servizi VPN stabiliscono connessioni sicure e crittografate, garantendo un livello di privacy che nemmeno un hotspot Wi-Fi protetto è in grado di offrire. La crittografia e l’anonimato forniti da una VPN proteggono tutte le tue attività online: invio di e-mail, shopping online o pagamento di bollette. Le VPN, inoltre, ti assicurano l’anonimato quando navighi sul web. Le VPN creano essenzialmente un tunnel di dati tra la tua rete locale e il nodo di uscita presso un’altra postazione, che può trovarsi anche a migliaia di chilometri di distanza, facendo sembrare che tu sia altrove. Inoltre ti consentono di continuare a utilizzare le tue app e i siti web preferiti ovunque tu sia nel mondo, proprio come se ti trovassi a casa.
In base a tutto questo, sembra davvero che le Virtual Private Network Pubbliche siano la soluzione a un sacco di problemi digitali, e questo è assolutamente vero. Ma ci sono un paio di cosette da chiarire. La prima è la sicurezza: collegandoti a una VPN, di fatto, fai passare per i suoi server tutti i tuoi dati. Ecco perché conviene scegliere un servizio serio, di comprovata fama e, nella stragrande maggioranza dei casi, a pagamento. Certo, esistono un sacco di VPN gratuite, ma su Internet vale sempre la regola del non accettare caramelle dagli sconosciuti.