VPN

Una VPN (virtual private network) è una rete di telecomunicazioni privata, instaurata tra soggetti che utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso, come ad esempio la rete Internet.

Lo scopo delle reti VPN è quello di offrire alle aziende, a un costo minore, le stesse possibilità delle linee private a noleggio, ma sfruttando reti condivise pubbliche: si può vedere dunque una VPN come l'estensione a livello geografico di una rete locale privata aziendale sicura che colleghi tra loro siti interni all'azienda stessa variamente dislocati su un ampio territorio, sfruttando l'instradamento tramite IP per il trasporto su scala geografica e realizzando di fatto una rete WAN, detta appunto "virtuale" e "privata", equivalente a un'infrastruttura fisica di rete (ossia con collegamenti fisici) dedicata.

Le reti VPN utilizzano collegamenti che necessitano di accesso in modo da garantire l'accesso ai soli utenti autorizzati; per garantire la sicurezza che i dati inviati in Internet non siano intercettati o utilizzati da altri non autorizzati, le reti utilizzano sistemi di codifica. Le reti VPN sicure adottano dunque protocolli che provvedono a cifrare il traffico transitante sulla rete virtuale. Oltre alla cifratura, una VPN sicura deve prevedere nei suoi protocolli dei meccanismi che impediscano violazioni della sicurezza, come ad esempio il furto dell'identità digitale o l'alterazione dei messaggi.La sicurezza della connessione VPN è di importanza fondamentale, perché la rete su cui gli altri computer stanno lavorando potrebbe non essere sicura o esserlo solo parzialmente. La VPN deve quindi garantire un livello di sicurezza tale da proteggere i computer dei dipendenti che stanno lavorando simultaneamente sulla stessa rete, tra i quali uno potrebbe essere stato infettato da un virus, un worm o un trojan.

L’autenticazione degli utenti

La natura della VPN – fare transitare dati privati in reti pubbliche – richiede attenzione verso le minacce potenziali ai dati stessi e l'impatto di quelli persi. Una VPN si preoccupa delle minacce alla sicurezza, offrendo servizi di sicurezza nella aree di autenticazione, il processo per assicurarsi che un cliente o un sistema siano effettivamente coloro che dichiarano di essere. Ci sono molti meccanismi di autenticazione, ma i più usati sono:

  • qualcosa che sai: (un identificativo, come una password o un PIN);
  • qualcosa che hai: (un simbolo leggibile dal computer, come una smartcard);
  • qualcosa che sei: (la retina o le impronte digitali).

Login e password sono considerati generalmente autenticazioni deboli, mentre autenticazioni forti si ottengono combinando tra loro due diversi tipi di autenticazione. L'effettivo livello di sicurezza dipende ovviamente dal contesto, perché per esempio una smartcard può essere rubata, mentre le credenziali di accesso possono essere difficili da individuare. Dati di sicurezza rubati o persi possono consentire più attacchi e necessitano di più schemi di autenticazione.

Nessuna tecnica offre completa sicurezza di autenticazione, neanche quelle biometriche (impronte digitali, impronte vocali e mappatura della retina).

Tipi di VPN

Trusted VPN

La garanzia che offre la rete Trusted VPN è la sicurezza che nessun terzo non autorizzato possa usufruire del circuito del cliente. Questo implica che il cliente abbia un proprio indirizzo IP e una propria politica di sicurezza.

Il circuito viaggia attraverso uno o più "interruttori" di comunicazione che possono essere compromessi da chi vuole disturbare il traffico della rete. Il cliente di una VPN si aspetta quindi che il fornitore (provider) della VPN mantenga l'integrità del circuito in modo da impedire l'accesso di intrusi.

Le aziende che utilizzano una Trusted VPN vogliono avere la sicurezza che i loro dati si muovano attraverso una serie di percorsi che hanno proprietà specifiche e che sono controllati da un ISP (Internet Service Provider). Il cliente ha quindi fiducia che i percorsi attraverso i quali questi dati si muovono siano mantenuti sicuri secondo i criteri di un precedente accordo, anche se generalmente il cliente non conosce quali siano i percorsi utilizzati dal fornitore della VPN Trusted.

Più recentemente i fornitori di servizio hanno cominciato a offrire un nuovo tipo di Trusted VPN, questa volta usando Internet invece della rete telefonica come substrato di comunicazione. Queste nuove Trusted VPN non offrono sicurezza, ma danno ai clienti un modo di creare facilmente segmenti di rete su vasta scala (WAN). I segmenti Trusted VPN possono essere inoltre controllati da un posto unico e spesso con una qualità di servizio garantita (QoS - quality of service) dal provider.

Secure VPN

Da quando Internet si è diffuso ed è diventato un importante mezzo di comunicazione la sicurezza è allo stesso tempo diventata sempre più importante, sia per i clienti sia per i provider. Visto che la VPN non offriva una sicurezza completa, i fornitori di connettività hanno cominciato a creare protocolli che permettessero la cifratura dei dati da parte della rete o da parte del computer di provenienza, in modo da essere trasportati in Internet come qualsiasi altro dato, per poi essere decifrati all'arrivo nella rete dell'azienda o nel computer ricevente.

Questo traffico cifrato agisce come un "tunnel" tra due reti: anche se un intruso cercasse di leggere i dati non potrebbe decifrarne il contenuto né modificarli, dato che eventuali modifiche sarebbero immediatamente rilevate dal ricevente e quindi respinte. Le reti costruite utilizzando la cifratura dei dati sono chiamate Secure VPN.

Il motivo principale per cui le società usano una Secure VPN è che possono trasmettere informazioni delicate su Internet senza temere che vengano intercettate.

Le Secure VPN sono particolarmente utili per permettere accessi remoti da parte di utenti connessi a Internet da zone non controllate dall'amministratore di rete.

Hybrid VPN

Una Secure VPN può essere adoperata come parte di una Trusted VPN creando un terzo tipo di VPN, recentemente introdotta sul mercato: Le parti sicure di una Hybrid VPN possono essere controllate da un cliente o dallo stesso provider che fornisce la parte di fiducia dell'Hybrid VPN. Qualche volta un'intera Hybrid VPN è resa sicura grazie a una Secure VPN, ma più comunemente solo una parte dell'Hybrid VPN è sicura. È chiaro che le Secure VPN e le Trusted VPN hanno proprietà molto differenti:

  • le Secure VPN danno sicurezza, ma non assicurano i percorsi;
  • le Trusted VPN assicurano le proprietà dei percorsi come QoS, ma non la sicurezza da intrusioni.

A causa di questi punti di forza e di debolezza sono state introdotte le Hybrid VPN. Gli scenari di utilizzazione sono tuttavia ancora in evoluzione. Una situazione tipica per il dispiegamento di una Hybrid VPN è quando un'azienda ha già una Trusted VPN e desidera sicurezza su una parte della VPN. Tuttavia nessuna delle tecnologie Trusted VPN impedisce la creazione di Hybrid VPN e qualche produttore sta realizzando sistemi che supportano esplicitamente la creazione di servizi Hybrid VPN.

I protocolli utilizzati

Le Secure VPN utilizzano protocolli crittografici a tunnel per offrire l'autenticazione del mittente e l'integrità del messaggio allo scopo di difendere la privacy. Una volta scelte, implementate e usate, alcune tecniche possono fornire comunicazioni sicure su reti non sicure. Le tecnologie delle Secure VPN dovrebbero essere utilizzate come "security overlay" attraverso infrastrutture di rete dedicate.

I protocolli che implementano una VPN sicura più conosciuti sono:

  • IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell'IPv6).
  • PPTP (point-to-point tunneling protocol), sviluppato da Microsoft.
  • SSL/STL, utilizzate sia per il tunneling dell'intera rete, come nel progetto OpenVPN, sia per assicurarsi che sia essenzialmente un web proxy. L'SSL è un framework, molto spesso associato con il commercio elettronico, che s'è rivelato di grande flessibilità ed è quindi usato come strato di sicurezza per varie implementazioni (più o meno standard) di reti private virtuali.
  • VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN. Ci sono soluzioni che forniscono servizi di VPN Quarantine che controllano il computer remoto. Il cliente viene tenuto in quarantena fino a che l'infezione non sia stata rimossa.
  • MPVPN (Multi Path Virtual Private Network), un trademark registrato di proprietà della Ragula System Development Company.

L'ISPs ora offre un servizio VPN per aziende che vogliono la sicurezza e la convenienza di un VPN. Oltre a fornire ai dipendenti remoti un accesso sicuro alla rete interna, a volte vengono inclusi altri servizi di sicurezza e gestione. Questi meccanismi non implementano di per sé una rete virtuale, ma solo un colloquio sicuro tra due terminali. In questi casi il meccanismo di rete virtuale deve essere realizzato mediante un protocollo apposito che viene poi incapsulato. Esiste oggi un discreto numero di approcci alternativi (e ovviamente mutualmente incompatibili) a questo schema, tra i quali possiamo citare i seguenti:

  • protocollo SOCKS: questo approccio è il più "standard", in quanto SOCKS è uno standard IETF per Generic Firewall Traversal definito nella RFC 1928;
  • OpenVPN mette a disposizione un eseguibile che crea un tunnel cifrato con un'altra istanza del medesimo programma su un computer remoto, e può trasportare l'intero stack TCP/IP;
  • un altro approccio molto usato utilizza il protocollo SSH che è in grado, come OpenVPN, di creare dei tunnel tra due macchine collegate. Questa caratteristica è nata per trasportare XWindow, ma è stata implementata in modo generale, ed è quindi possibile utilizzarla per trasportare un protocollo qualsiasi. Una implementazione molto diffusa, in quanto open source e gratuita, è OpenSSH;
  • l'approccio di ormai tutti i fornitori di firewall è invece quello di usare STL per rendere sicura la comunicazione con un proxy al quale si accede via browser. Il canale cifrato viene realizzato in realtà generalmente tramite un'applet Java o un oggetto ActiveX, che quindi può essere installata in modo quasi trasparente per l'utente finale. La conseguente facilità di gestione fa sì che questo approccio sia particolarmente apprezzato nelle organizzazioni complesse.

Made with Adobe Slate

Make your words and images move.

Get Slate

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a Copyright Violation, please follow Section 17 in the Terms of Use.