VPN: cos'è
Fai una domanda
Le reti locali (LAN) sono delle reti interne ad un'organizzazione, cioè dei collegamenti fra reti appartenenti all'organizzazione.
D'altra parte, i dati trasmessi su internet sono molto più vulnerabili rispetto a quando circolano su una rete interna all'organizzazione dato che il percorso preso non è definito a priori, il che significa che i dati circolano su un'infrastruttura di rete pubblica che appartiene a differenti operatori. Così non è impossibile che durante il percorso, la rete sia ascoltata da un utente indiscreto o anche sottratto. Non è quindi pensabile trasmettere delle informazioni sensibili per l'organizzazione o l'azienda in queste condizioni.
La prima soluzione per rispondere a questo bisogno di comunicazione sicura consiste nel collegare le reti distanti attraverso un collegamento speciale. Tuttavia la maggior parte delle aziende non può permettersi di collegare due reti locali distanti tramite una linea speciale ed è quindi a volte necessario usare internet come supporto di trasmissione.
Un buon compromesso può consistere nell'usare internet come supporto di trasmissione attraverso un protocollo di "incapsulamento" (in inglese tunneling), cioè incapsulando i dati da trasmettere in modo cifrato. Si parla allora di Virtual Private Network (sigla VPN) per designare la rete creata artificialmente. Questa rete è detta virtuale dato che collega due reti "fisiche" (reti locali) attraverso un collegamento non affidabile (Internet), e privata dato che i computer delle rete, da una parte all'altra della VPN, possono "vedere" i dati.
Il sistema VPN, Virtual Private Network permette quindi di ottenere un collegamento sicuro con un costo minimo, senza contare la realizzazione delle apparecchiature dei terminali. In contropartita non permette di assicurare una qualità di servizio paragonabile ad una linea in affitto dato che la rete fisica è pubblica e quindi non garantita.
Il termine di "tunnel" è usato per simbolizzare il fatto che fra l'entrata e l'uscita della VPN i dati sono criptati e quindi incomprensibili per qualsiasi persona posta fra le due estremità della VPN, come se i dati passassero in un tunnel. Nel caso di una VPN stabilita fra due terminali, viene detto client VPN l'elemento che permette di codificare e decodificare i dati dal lato utente (client) e server VPN (o più generalmente server d'accesso remoto) l'elemento che cifra e decifra i dati dal lato dell'organizzazione.
In questo modo, quando un utente deve accedere alla rete privata virtuale, la sua richiesta è trasmessa in chiaro al sistema gateway, che si connette alla rete remota attraverso un'infrastruttura di rete pubblica, e poi trasmette la richiesta in modo cifrato. Il computer remoto fornirà allora i dati al server VPN della sua rete locale che trasmetterà la risposta in modo cifrato. Al ricevimento sul client VPN dell'utente, i dati saranno decodificati, e infine trasmessi all'utente.
PPTP (Point-to-Point Tunneling Protocol) è un protocollo di livello 2 sviluppato da Microsoft, 3Com, Ascend, US Robotics e ECI Telematics;
L2F (Layer Two Forwarding) è un protocollo di livello 2 sviluppato da Cisco, Northern Telecom e Shiva. È ormai obsoleto;
L2TP (Layer Two Tunneling Protocol) è il risultato dei lavori dell'IETF (RFC 2661) per far convergere le funzionalità di PPTP e L2F. Si tratta di un protocollo di livello 2 che si basa su PPP;
IPSec è un protocollo di livello 3, prodotto dai lavori dell'IETF, che permette di trasportare dei dati cifrati per le reti IP.
Così, in questo modo di connessione, i terminali remoti delle due reti locali sono connessi con una connessione point to point (che comprende un sistema di cifratura e di autenticazione, e il pacchetto transita all'interno di un datagramma IP:
In questo modo, i dati della rete locale (nonché gli indirizzi dei terminali presenti nell'intestazione del messaggio) sono incapsulati in un messaggio PPP, che è esso stesso incapsulato in un messaggio IP.
IP Authentification Header (AH) riguardo l'integrità, l'autenticazione e la protezione contro il replay dei pacchetti da incapsulare;
Encapsulating Security Payload (ESP) che definisce la codificazione dei pacchetti. ESP fornisce la privacy, l'integrità, l'autenticazione e la protezione contro il replay;
Security Assocation (SA) che definisce lo scambio delle chiavi e dei parametri di sicurezza. Le SA assomigliano così all'insieme delle informazioni sul trattamento da applicare agli IP (i protocolli AH e/o ESP, modalità tunnel o trasporto, gli algoritmi di sicurezza utilizzati dai protocolli, le chiavi usate, ecc.). Lo scambio delle chiavi si fa sia manualmente sia con i protocolli di scambio IKE (la maggior parte delle volte), che permette alle due parti di accordarsi sulle SA.
Foto: © Pixabay.
- Il concetto di rete VPN
- Funzionamento di una rete VPN
- I protocolli di tunneling
- Il protocollo PPTP
- Il protocollo L2TP
- Il protocollo IPSec
Il concetto di rete VPN
Le reti sono sempre più spesso collegate a Internet attraverso delle apparecchiature d'interconnessione. Spesso accade che le aziende abbiano bisogno di comunicare via internet con delle filiali, dei clienti o anche dei dipendenti geograficamente lontani.D'altra parte, i dati trasmessi su internet sono molto più vulnerabili rispetto a quando circolano su una rete interna all'organizzazione dato che il percorso preso non è definito a priori, il che significa che i dati circolano su un'infrastruttura di rete pubblica che appartiene a differenti operatori. Così non è impossibile che durante il percorso, la rete sia ascoltata da un utente indiscreto o anche sottratto. Non è quindi pensabile trasmettere delle informazioni sensibili per l'organizzazione o l'azienda in queste condizioni.
La prima soluzione per rispondere a questo bisogno di comunicazione sicura consiste nel collegare le reti distanti attraverso un collegamento speciale. Tuttavia la maggior parte delle aziende non può permettersi di collegare due reti locali distanti tramite una linea speciale ed è quindi a volte necessario usare internet come supporto di trasmissione.
Un buon compromesso può consistere nell'usare internet come supporto di trasmissione attraverso un protocollo di "incapsulamento" (in inglese tunneling), cioè incapsulando i dati da trasmettere in modo cifrato. Si parla allora di Virtual Private Network (sigla VPN) per designare la rete creata artificialmente. Questa rete è detta virtuale dato che collega due reti "fisiche" (reti locali) attraverso un collegamento non affidabile (Internet), e privata dato che i computer delle rete, da una parte all'altra della VPN, possono "vedere" i dati.
Il sistema VPN, Virtual Private Network permette quindi di ottenere un collegamento sicuro con un costo minimo, senza contare la realizzazione delle apparecchiature dei terminali. In contropartita non permette di assicurare una qualità di servizio paragonabile ad una linea in affitto dato che la rete fisica è pubblica e quindi non garantita.
Funzionamento di una rete VPN
Una VPN si basa su un protocollo, detto tunneling, cioè un protocollo che permette ai dati passanti da un'estremità della VPN all'altra di essere sicurizzati attraverso degli algoritmi di crittografia:Il termine di "tunnel" è usato per simbolizzare il fatto che fra l'entrata e l'uscita della VPN i dati sono criptati e quindi incomprensibili per qualsiasi persona posta fra le due estremità della VPN, come se i dati passassero in un tunnel. Nel caso di una VPN stabilita fra due terminali, viene detto client VPN l'elemento che permette di codificare e decodificare i dati dal lato utente (client) e server VPN (o più generalmente server d'accesso remoto) l'elemento che cifra e decifra i dati dal lato dell'organizzazione.
In questo modo, quando un utente deve accedere alla rete privata virtuale, la sua richiesta è trasmessa in chiaro al sistema gateway, che si connette alla rete remota attraverso un'infrastruttura di rete pubblica, e poi trasmette la richiesta in modo cifrato. Il computer remoto fornirà allora i dati al server VPN della sua rete locale che trasmetterà la risposta in modo cifrato. Al ricevimento sul client VPN dell'utente, i dati saranno decodificati, e infine trasmessi all'utente.
I protocolli di tunneling
I principali protocolli di tunneling sono i seguenti:PPTP (Point-to-Point Tunneling Protocol) è un protocollo di livello 2 sviluppato da Microsoft, 3Com, Ascend, US Robotics e ECI Telematics;
L2F (Layer Two Forwarding) è un protocollo di livello 2 sviluppato da Cisco, Northern Telecom e Shiva. È ormai obsoleto;
L2TP (Layer Two Tunneling Protocol) è il risultato dei lavori dell'IETF (RFC 2661) per far convergere le funzionalità di PPTP e L2F. Si tratta di un protocollo di livello 2 che si basa su PPP;
IPSec è un protocollo di livello 3, prodotto dai lavori dell'IETF, che permette di trasportare dei dati cifrati per le reti IP.
Il protocollo PPTP
Il principio del protocollo PPTP (Point To Point Tunneling Protocol) è di creare delle cornice sul protocollo PPP e di incapsularle in un datagramma IP.Così, in questo modo di connessione, i terminali remoti delle due reti locali sono connessi con una connessione point to point (che comprende un sistema di cifratura e di autenticazione, e il pacchetto transita all'interno di un datagramma IP:
In questo modo, i dati della rete locale (nonché gli indirizzi dei terminali presenti nell'intestazione del messaggio) sono incapsulati in un messaggio PPP, che è esso stesso incapsulato in un messaggio IP.
Il protocollo L2TP
Il protocollo L2TP è un protocollo standard di tunneling (standardizzato in un RFC) molto simile al PPTP. Così il protocollo L2TP incapsula delle cornice protocollo PPP, incapsulanti esse stesse degli altri protocolli (come IP, IPX o ancora NetBIOS).Il protocollo IPSec
IPSec è un protocollo definito dall'IETF che permette di sicurizzare gli scambi a livello di rete. Si tratta infatti di un protocollo che apporta dei miglioramenti a livello della sicurezza all'IP per garantire la privacy, l'integrità e l'autenticazione degli scambi. Il protocollo IPSec è basato su tre moduli:IP Authentification Header (AH) riguardo l'integrità, l'autenticazione e la protezione contro il replay dei pacchetti da incapsulare;
Encapsulating Security Payload (ESP) che definisce la codificazione dei pacchetti. ESP fornisce la privacy, l'integrità, l'autenticazione e la protezione contro il replay;
Security Assocation (SA) che definisce lo scambio delle chiavi e dei parametri di sicurezza. Le SA assomigliano così all'insieme delle informazioni sul trattamento da applicare agli IP (i protocolli AH e/o ESP, modalità tunnel o trasporto, gli algoritmi di sicurezza utilizzati dai protocolli, le chiavi usate, ecc.). Lo scambio delle chiavi si fa sia manualmente sia con i protocolli di scambio IKE (la maggior parte delle volte), che permette alle due parti di accordarsi sulle SA.
Foto: © Pixabay.