VPN (Virtual Area Network): cos’è e come funziona?

Cosa si intende per VPN (Virtual Area Network)

Per VPN generalmente si intende una WAN (Wide Area Network) privata che si appoggia ad una rete pubblica. Quindi può essere intesa come un insieme di LAN dislocate fisicamente che però riescono a comunicare tra loro privatamente sfruttando l’infrastruttura Internet.

Queste sono nate con lo scopo di offrire alle aziende con più sedi dislocate la possibilità di un collegamento tra di esse sfruttando la rete pubblica. Quindi offrendo li stessi vantaggi di una rete privata ma risparmiando sui costi di realizzazione.

Rispetto alle normali reti private, le VPN sono configurabili molto facilmente e grazie all’infrastruttura pubblica sono praticamente immuni da blocchi dovuti alla rete. La loro natura estremamente distribuita porta però a dover affrontare alcuni problemi come:

• Tempo di trasferimento
• Autenticazione
• Sicurezza delle trasmissioni

Tipi di VPN

Sono presenti diversi tipi di VPN, che soddisfano bisogni diversi, soprattutto a livello aziendale. I principali modelli diffusi sono 2:

• Remote-access: permette di emulare le applicazioni di un desktop dell’ufficio principale su un qualsiasi dispositivo remoto.
• Site-to-site: permette di ampliare le risorse di rete collegando più filiali di una azienda distanti tra loro.

Remote-access

Consente di stabilire connessioni sicure con  una LAN remota. E’ adatta sia per singoli utenti che per aziende che hanno necessità di collegarsi da vari punti vendita ad esempio.

Per realizzare una Remote-access VPN sono necessari:

• NAS (Network Access Server):  server dedicato o condiviso, con il quale l’utente si connette per accedere alla VPN. Il NAS richiede le credenziali di accesso tramite un processo proprio o avvalendosi di un Server AAA (Authentication, Authorization,accounting).
• Software VPN Client: è presente già nella maggior parte dei SO, alcune VPN però richiedono software specifici. E’ inoltre necessario un firewall per la protezione dell’accesso a internet della LAN.

Per usufruire di una Remote-access VPN le imprese si affidano a servizi enterprise(ESP) che si occupano della realizzazione e della gestione della stessa.

Site-to-site

Permette l’instaurazione di connessioni sicure tramite rete pubblica ad aziende con più sedi dotate di LAN propria. Viene applicato quindi il concetto di WAN come insieme di LAN.

Ci sono due tipi di VPN site-to-site:

• Intranet based: permette alle aziende di unire le reti delle proprie sedi in un’unica rete privata tramite Intranet.
• Extranet based: Permette di collegare le LAN di imprese diverse permettendo lo scambio sicuro e la condivisione di risorse senza accedere alla propria rete Intranet.

La Sicurezza

Il fatto che le VPN operino in contesti molto vasti e soprattutto attraverso l’infrastruttura pubblica Internet obbliga  chi le progetta ad affrontare seri problemi legati a due necessità fondamentali, ossia:

• La sicurezza dei dati;
• La riservatezza delle informazioni.

I fattori su cui è necessario concentrarsi per garantire le precedenti necessità sono principalmente 3:

• Autenticazione;
• Cifratura;
• Tunneling.

Autenticazione dell’identità

Dato che le VPN sono reti private è necessaria una autenticazione per potervi avere accesso.

Autenticazione dell’identità: processo con il quale un sistema informatico verifica la corretta identità di un altro che vuole comunicare attraverso una connessione, per poi concedergli l’autorizzazione per usufruire dei relativi servizi.

Solitamente i client si connettono ad una VPN attraverso un Server NAS dotato di processo di autenticazione o mediante un Server AAA. La procedura di autenticazione affrontata prima di eseguire la vera e propria connessione è nota come Multi-factor Authentication.

La maggior parte dei protocolli di autenticazione garantiscono anche integrità e autenticità dei dati, mediante sistemi di controllo che verificano che la fonte dei dati sia certificata (firma e certificati virtuali) e che i dati non siano stati manomessi.

Per garantire la sicurezza vengono utilizzati principalmente due mezzi:

• Chiavi elettroniche (key-fob): chiavi richieste all’accesso, molto utilizzate oggi sono le one-time-passwords (spesso implementate attraverso QR-codes) o le fingerprints.
• Sistemi di accounting: azioni volte a controllare e a documentare le risorse concesse ad un utente durante un accesso.

Cifratura

Le VPN sono in grado di utilizzare un’ampia gamma di algoritmi di crittografia (3-DES, CAST, IDEA, ecc) per cifrare i  dati.  L’importante è che per l’algoritmo utilizzato le chiavi  segrete siano concordate e scambiate tra mittente e destinatario. Per questo compito generalmente viene utilizzato il protocollo Internet Key Exchange (IKE), il cui compito è proprio quello di implementare lo scambio di chiavi. L’IKE è utilizzato prevalentemente nel protocollo Ipsec, utilizzato principalmente per le site-to-site.

Tunneling

Lo scopo dei protocolli di tunneling è quello di aggiungere uno strato di sicurezza al pacchetto in modo da proteggerlo durante il tragitto su internet.

Le VPN possono essere protette in due modalità:

• Modalità trasporto: affidata in gran parte ai software. Infatti saranno quest’ultimi ad occuparsi della sicurezza del pacchetto, i dati rimarranno cifrati durante tutto il percorso e rimarranno in chiaro soltanto Header e Trailer di instradamento;
• Modalità tunnel: agisce in modo identico alla modalità trasporto solamente invece di affidare la sicurezza a dei software viene affidata ad apparati predisposti.

Classificazione rispetto alla sicurezza

Le VPN possono essere classificate, in base ai protocolli che utilizzano e al grado di sicurezza che garantiscono, in tre categorie:

• Trusted;
• Secure;
• Hybrid.

Trusted VPN

Le aziende che utilizzano una Trusted VPN vogliono avere la sicurezza che i loro dati si muovano attraverso una serie di percorsi che hanno proprietà specifiche e che sono controllati da un ISP (Internet Service Provider). Il cliente ha quindi fiducia che i percorsi attraverso i quali questi dati si muovono siano mantenuti sicuri secondo i criteri di un precedente accordo, anche se generalmente il cliente non conosce quali siano i percorsi utilizzati dal fornitore della VPN Trusted.

Secure VPN

Da quando Internet si è diffuso ed è diventato un importante mezzo di comunicazione la sicurezza è allo stesso tempo diventata sempre più importante, sia per i clienti sia per i provider. Visto che la VPN non offriva una sicurezza completa, i fornitori di connettività hanno cominciato a creare protocolli che permettessero la cifratura dei dati da parte della rete o da parte del computer di provenienza.

Implementando dei protocolli di tunneling tra le due reti anche se un intruso cercasse di leggere i dati non potrebbe decifrarne il contenuto né modificarli, dato che eventuali modifiche sarebbero immediatamente rilevate dal ricevente e quindi respinte. Le reti costruite utilizzando la cifratura dei dati sono chiamate Secure VPN. Il motivo principale per cui le società usano una Secure VPN è che possono trasmettere informazioni delicate su Internet senza temere che vengano intercettate. I protocolli di cifratura più utilizzati dalle Secure VPN sono l’Ipsec (IP security) e il Secure Sockets Layer/Transport Layer Security (SSL/TLS).

Hybrid VPN

È chiaro che le Secure e le Trusted VPN hanno proprietà molto differenti:

• le Secure VPN danno sicurezza, ma non assicurano i percorsi;
• le Trusted VPN assicurano le proprietà dei percorsi come QoS, ma non la sicurezza da intrusioni.

A causa di questi punti di forza e di debolezza sono state introdotte le Hybrid VPN, un misto tra le due caratteristiche. Gli scenari di utilizzazione sono tuttavia ancora in evoluzione. Una situazione tipica per il dispiegamento di una Hybrid VPN è quando un’azienda ha già una Trusted VPN e desidera sicurezza su una parte della VPN.