VPN: tra­smet­te­re dati in maniera sicura at­tra­ver­so reti pubbliche

La crescita at­tra­ver­so Internet di un’in­ter­con­nes­sio­ne a livello mondiale, offre oggi infinite pos­si­bi­li­tà per la gestione ef­fi­cien­te dei processi com­mer­cia­li, ma comporta anche dei rischi. Sempre più aziende si servono della rete come mezzo per rendere possibile l’home office e il lavoro da remoto, collegare sedi tra loro o clienti e partner con la propria in­fra­strut­tu­ra in­for­ma­ti­ca. Diverse sono le tec­no­lo­gie spe­ci­fi­che che per­met­to­no di pro­teg­ge­re il tra­sfe­ri­men­to di dati sensibili dall’accesso da parte di utenti non au­to­riz­za­ti. Una delle soluzioni più comuni è la VPN.

Una volta in­stal­la­ta una VPN, sono tre i prin­ci­pa­li scenari di ap­pli­ca­zio­ne: il col­le­ga­men­to di due o più sedi aziendali at­tra­ver­so una rete aperta (VPN site to site), l’accesso alla rete aziendale da casa o quando si è in giro (VPN end to site) e l’accesso remoto da un computer ad un altro (VPN end to end).

Una VPN site to site viene uti­liz­za­ta quando si ha la necessità di collegare più network locali at­tra­ver­so un canale di tra­smis­sio­ne pubblico su di una rete di co­mu­ni­ca­zio­ne virtuale. Uno scenario di questo tipo può ve­ri­fi­car­si nel caso ci sia l’esigenza di stabilire un col­le­ga­men­to tra diverse aree aziendali, sedi di­stac­ca­te o suc­cur­sa­li. In al­ter­na­ti­va alla VPN in questo caso si potrebbe uti­liz­za­re un corporate network (CN) che sfrutta però una con­nes­sio­ne privata e fissa, che è ne­ces­sa­rio quindi affittare a pagamento. Il col­le­ga­men­to via VPN invece, ser­ven­do­si della rete pubblica, comporta esclu­si­va­men­te i costi della con­nes­sio­ne Internet. La struttura di una VPN site to site richiede la presenza di un router VPN in ogni sede, che co­sti­tui­sca il tunnel VPN tra i network locali. Le VPN site to site vengono anche indicate come VPN lan to lan.

Le aziende ricorrono ad una VPN end to site quando il network aziendale deve essere reso ac­ces­si­bi­le da remoto o in home office. Il tunnel tra il network locale e il terminale dell’impiegato fuori sede viene prodotto tramite un client VPN. Come canale si usa Internet. Questo permette agli impiegati di accedere al network aziendale e quindi a server di dati, di posta e software aziendali, grazie ad una semplice con­nes­sio­ne internet e i dati per l’au­ten­ti­ca­zio­ne. Una VPN end to site viene anche indicata come VPN ad accesso remoto.

Se l’accesso remoto non avviene su di un network locale, ma solo da un computer ad un altro, si parla di VPN end to end. Lo scenario di ap­pli­ca­zio­ne classico per questo tipo di con­nes­sio­ne VPN è il pro­to­col­lo remote desktop, nel quale le ap­pli­ca­zio­ni eseguite su di un computer vengono vi­sua­liz­za­te e gestite da un altro pc. Il canale di tra­smis­sio­ne può essere Internet o una rete aziendale locale. In un contesto aziendale, una VPN remote desktop, viene uti­liz­za­ta quando un impiegato vuole accedere da casa al suo computer sul posto di lavoro.

Per l’im­ple­men­ta­zio­ne di con­nes­sio­ni cifrate via VPN si uti­liz­za­no diversi pro­to­col­li. Tra i più comuni citiamo: IPSec, L2TP over IPSec e SSL.

Svi­lup­pa­to per il pro­to­col­lo internet (IP) nella versione 6 (IPv6), l’“Internet Protocol Security” (IPSec) permette una co­mu­ni­ca­zio­ne sicura su reti IP non sicure. Ri­ser­va­tez­za, au­ten­ti­ci­tà e integrità del traffico dati vengono as­si­cu­ra­te at­tra­ver­so un mec­ca­ni­smo di cifratura e di au­ten­ti­ca­zio­ne. IPSec fu svi­lup­pa­to insieme a IPv6 e suc­ces­si­va­men­te adattato anche per IPv4.

Una VPN che viene rea­liz­za­ta per mezzo di L2TP over IPSec ricorre al “Layer 2 Tunneling Protocol” (L2TP). Dal momento che il pro­to­col­lo L2TP da solo non ha alcuna cifratura e viene combinato di solito con IPSec. Mentre IPSec può tra­smet­te­re con il tunneling solo pacchetti IP, L2TP supporta una mol­te­pli­ci­tà di pro­to­col­li di tra­smis­sio­ne pacchetti. La com­bi­na­zio­ne L2TP over IPSec collega quindi i punti forti di entrambi gli standard. Il risultato è un pro­to­col­lo crit­to­gra­fi­co a tunnel fles­si­bi­le con un alto livello di sicurezza.

SSL nasce per l’utilizzo in ambito http, ma in­di­pen­den­te­men­te dall’ap­pli­ca­zio­ne. Questo pro­to­col­lo di crit­to­gra­fia si usa quindi anche per la sicurezza di una con­nes­sio­ne VPN. Una delle soluzioni software preferite per la con­fi­gu­ra­zio­ne di una VPN per mezzo di SSL è OpenVPN.