Che cos'è una VPN?

 

Le reti private virtuali (VPN) sono connessioni point-to-point su una rete pubblica o privata, ad esempio Internet. Un client VPN utilizza speciali protocolli basati su TCP/IP, detti protocolli di tunneling, per eseguire una chiamata virtuale a una porta virtuale su un server VPN. In una distribuzione VPN standard, un client avvia una connessione virtuale point-to-point a un server di accesso remoto su Internet. Il server di accesso remoto risponde alla chiamata virtuale, autentica il chiamante e trasferisce i dati tra il client VPN e la rete privata dell'organizzazione.

Per emulare un collegamento point-to-point, i dati vengono incapsulati, o racchiusi, in un'intestazione. L'intestazione include informazioni di routing che consentono ai dati di attraversare la rete condivisa o pubblica per raggiungere il relativo endpoint. Per emulare un collegamento privato, i dati inviati vengono crittografati a scopo di riservatezza. I pacchetti intercettati sulla rete condivisa o pubblica non possono essere decifrati senza la chiave di crittografia. Il collegamento nel quale i dati privati vengono incapsulati e crittografati è detto connessione VPN.

Connessione VPN

Esistono due tipi di connessioni VPN:

  • VPN di accesso remoto

  • VPN da sito a sito

VPN di accesso remoto

Le connessioni VPN di accesso remoto consentono agli utenti che lavorano da casa o in movimento di accedere a un server su una rete privata utilizzando l'infrastruttura resa disponibile da una rete pubblica, ad esempio Internet. Dal punto di vista dell'utente, la VPN è una connessione point-to-point tra il computer (il client VPN) e il server di un'organizzazione. L'infrastruttura exabyte della rete condivisa e pubblica è irrilevante, in quanto, dal punto di vista logico, è come se i dati venissero inviati su un collegamento privato dedicato.

VPN da sito a sito

Le connessioni VPN da sito a sito (dette anche connessioni VPN da router a router) consentono alle organizzazioni di disporre di connessioni con routing tra uffici separati o con altre organizzazioni su una rete pubblica, mantenendo al contempo la sicurezza delle comunicazioni. Una connessione VPN con routing su Internet funziona, dal punto di vista logico, come un collegamento Wide Area Network (WAN) dedicato. Quando le reti sono connesse su Internet, come indicato nella figura seguente, un router inoltra i pacchetti a un altro router tramite la connessione VPN. Per i router, la connessione VPN opera come un collegamento data-link layer.

Una connessione VPN da sito a sito connette due parti di una rete privata. Il server VPN rende disponibile una connessione con routing alla rete cui è connesso. Il router che esegue la chiamata (il client VPN) si autentica sul router che risponde (il server VPN) e, per autenticazione reciproca, quest'ultimo si autentica sul router chiamante. In una connessione VPN da sito a sito, i pacchetti inviati da uno dei due router sulla connessione VPN in genere non hanno origine sul router.

Connettere tramite VPN due siti remoti su Internet

Connessione VPN di siti remoti a Internet

Proprietà delle connessioni VPN

Le connessioni VPN che utilizzano PPTP, L2TP/IPsec e SSTP hanno le proprietà seguenti:

  • Incapsulamento

  • Autenticazione

  • Crittografia dati

Incapsulamento

Con la tecnologia VPN, i dati privati vengono incapsulati con un'intestazione che include le informazioni di routing che consentono ai dati di attraversare la rete di transito.

Autenticazione

L'autenticazione per la connessione VPN avviene in tre forme diverse:

  1. Autenticazione a livello utente utilizzando l'autenticazione PPP

    Per stabilire la connessione VPN, il server VPN autentica il client VPN che tenta di connettersi utilizzando un metodo di autenticazione Point-to-Point Protocol (PPP) a livello utente e verifica che il client VPN disponga dell'autorizzazione adeguata. Se viene utilizzata l'autenticazione reciproca, il client VPN autentica anche il server VPN, che offre protezione contro computer mascherati da server VPN.

  2. Autenticazione a livello computer utilizzando Internet Key Exchange (IKE)

    Per stabilire un'associazione di protezione IPSec (Internet Protocol Security), il client VPN e il server VPN utilizzano il protocollo IKE per lo scambio di certificati dei computer o una chiave precondivisa. In entrambi i casi, il client VPN e il server si autenticano reciprocamente a livello computer. L'autenticazione dei certificati dei computer è altamente consigliabile, in quanto rappresenta un metodo di autenticazione notevolmente più sicuro. L'autenticazione a livello computer viene eseguita solo per le connessioni L2TP/IPsec.

  3. Autenticazione dell'origine dati e integrità dei dati

    Per verificare che i dati inviati sulla connessione VPN siano stati originati all'altra estremità della connessione e non siano stati modificati in transito, i dati contengono un checksum di crittografia basato su una chiave di crittografia nota solo al mittente e al destinatario. L'autenticazione dell'origine dati e l'integrità dei dati sono disponibili solo per le connessioni L2TP/IPsec.

Crittografia dati

Per assicurare la riservatezza dei dati mentre passano sulla rete di transito pubblica o condivisa, i dati vengono crittografati dal mittente e decrittografati dal destinatario. I processi di crittografia e decrittografia dipendono dal fatto che sia il mittente che il destinatario utilizzino una chiave di crittografia comune.

I pacchetti intercettati inviati sulla connessione VPN nella rete di transito non sono comprensibili a nessuno che non disponga della chiave di crittografia comune. La lunghezza della chiave di crittografia è un parametro di sicurezza importante. È possibile utilizzare tecniche di calcolo per determinare la chiave di crittografia. Tuttavia, tali tecniche richiedono potenza di elaborazione e tempi di calcolo direttamente proporzionali alla lunghezza della chiave di crittografia. Per tale motivo, è importante utilizzare la chiave più grande possibile per assicurare la riservatezza dei dati.