Consulenze tecnologiche e informatiche
Alla scoperta delle VPN

Alla scoperta delle VPN

Le tecnologie delle VPN   (Virtual Private Network) hanno richiamato l’interesse di molte organizzazioni che necessitano di espandere l’accesso geografico alle proprie reti e risorse, ma senza perdere in sicurezza e riducendo i costi.

Diverse tipologie di questa tecnologia possono essere trovate indistintamente nelle case e nei luoghi di lavoro, permettendo agli utilizzatori di accedere in modo sicuro alle reti aziendali e svolgere telelavoro anche nel corso di trasferte lontane dalla sede.

Attraverso strumenti  sofisticati possono anche collegare tra loro diverse reti aziendali ubicate a chilometri di distanza, semplicemente condividendo la rete internet per il trasporto delle informazioni in modo sicuro.

Cosa è una VPN ?

Un collegamento attraverso VPN permette di superare qualsiasi distanza fisica e può essere considerata una Wide Area Network (WAN) virtuale.

La caratteristica fondamentale di una VPN  è quella di poter utilizzare le reti pubbliche come Internet, evitando l’uso di linee private, pertanto permettono di utilizzare gli stessi apparati che consentono di collegare la rete aziendale o domestica a internet, ma senza penalizzare la sicurezza e la funzionalità.

Le VPN rendono possibile l’accesso ai file, le videoconferenza e servizi di rete simili. Questa tecnologia non fornisce in genere alcuna nuova funzionalità, che non è già disponibile attraverso altri meccanismi, ma rende possibile l’implementazione dei servizi in modo più efficiente e generalmente  a buon mercato.

La caratteristica delle VPN è quella di poter operare indistintamente su reti private e su reti pubbliche, che sostanzialmente condividono gli stessi protocolli di trasporto e si distinguono per accessibilità. Utilizzando un metodo chiamato tunneling, la VPN sfrutta le stesse infrastrutture hardware di internet o della intranet aziendale. Questa tecnologia implementa diversi meccanismi di sicurezza per proteggere l’accesso al tunnel e le informazioni.

Una VPN ha genericamente tre diverse modalità di utilizzo:

  • Accesso da remoto alla rete aziendale (Client-to-LAN);
  • Connessione di più reti aziendali distribuite (LAN-to-LAN):
  • VPN su rete intranet.

VPN Client-to-LAN

Negli ultimi anni è considerevolmente aumentata la mobilità dei lavoratori con l’esigenza di restare in contatto con la propria rete aziendale, a questa mobilità si è aggiunto anche lo sviluppo del telelavoro, con pari o superiori esigenze di connettività. Questo sviluppo ha richiesto la necessità di collegamenti stabili e performanti, con l’esigenza che le informazioni viaggino in modo sicuro tra il lavoratore e lo strumento aziendale.

L’uso delle VPN rende possibile la realizzazione di questi tipi di collegamenti utilizzando i collegamenti internet, la gestione dell’accesso usa una tecnologia di tipo client-server e funziona in questo modo:

  1. Il dispositivo remoto (Computer, Notebook, Palm, ecc), detto client, si collega ad un internet provider, attraverso la connessione domestica, un internet point o una Wi-Fi area.
  2. Successivamente, il dispositivo avvia una connessione VPN verso il proprio server VPN aziendale. Questo collegamento avviene attraverso un programma installato sul dispositivo remoto.
  3. Una volta che la connessione è stata stabilita, il client remoto è in grado di comunicare con i sistemi aziendali interni autorizzati, il tutto usando internet come se fosse un dispositivo attestato sulla rete aziendale.

Prima delle VPN questi collegamenti avvenivano attraverso linee private o attraverso i server di accesso remoto dialup.

VPN LAN-to-LAN

Oltre a permettere il collegamento di dispositivi remoti, le VPN consentono anche il collegamento di reti aziendali, dove una intera rete remota può interagire con la rete di una società diversa, formando una rete intranet estesa. Questa soluzione richiede dei dispositivi di interfacciamento in grado di gestire le comunicazioni tra le risorse delle due o più reti. I dispositivi disponibili permettono anche di determinare a quali dispositivi le reti remote possono accedere e quali sono per loro invisibili, analogamente per i servizi distribuiti.

VPN su rete intranet

Le reti locali possono utilizzare le tecnologie VPN per controllare gli accessi alle sotto reti facenti parte della struttura aziendale stessa. In questa modalità di funzionamento i programmi VPN si collegano a un server VPN che funziona come gateway di rete.
Questo tipo di utilizzo non richiede l’accesso ad internet, ma permette ad esempio di proteggere i dati che transito dalle reti Wi-Fi aziendali, oppure di mantenere isolate alcune tipologie di dati dal flusso globale della rete.

Pro e contro

Lo sviluppo delle VPN ha portato ad un forte indotto commerciale nella vendita di apparti, software e soluzioni, come avviene per ogni realtà tecnologica di punta.  Tuttavia le VPN rendono possibili solo alcuni specifici vantaggi rispetto alle più tradizionali reti WAN, inoltre questi vantaggi, che possono essere notevoli, hanno comunque un costo.

I potenziali problemi con le VPN sono superiori rispetto ai vantaggi e spesso più difficili da individuare e comprendere.

Comunque gli svantaggi non sono necessariamente superiori ai vantaggi.

La decisione di implementare una struttura basata su delle VPN non deve essere presa senza prima aver svolto un’analisi delle esigenze e delle realtà coinvolte. Le aziende possono avere soluzioni di sicurezza basate su apparati commerciali non pienamente compatibili tra loro, quindi la necessità di studiare delle configurazioni per i singoli server VPN al fine di permettere le comunicazioni. Analogamente per collegarsi da remoto attraverso dei Client (client-to-LAN) servono dei programmi sui computer, ma tali programmi possono essere diversi in base al tipo di dispositivo server presente sulla rete del cliente, con il rischio spesso reale, che programmi diversi non possono coesistere sul medesimo computer, se non con elaborate operazioni manuali.

Le prestazioni di collegamento sono inoltre influenzate da due fattori: le prestazioni di trasferimento dati ottenibile dal collegamento attraverso internet e l’aumento di dimensione dei pacchetti di dati, determinato dai meccanismi di tunneling e di codifica.

Per organizzazioni, che cercano di fornire una infrastruttura di rete protetta, una rete VPN offre due vantaggi principali: risparmio sui costi e la scalabilità della rete. Per i clienti l’accesso a tali reti porta dei vantaggi nella facilità d’impiego.

I risparmi sui costi

Le VPN possono contribuire a far risparmiare denaro in diverse situazioni:

  • Eliminando la necessità di costose linee su lunghe distanze.
    Le aziende per realizzare collegamenti su lunghe distanze dovevano affittare delle linee ad alta capacità, in grado di sostenere i volumi di traffico richiesti per lo svolgimento delle attività di lavoro tra le sedi.  Con una rete VPN è possibile utilizzare le infrastrutture pubbliche di rete a banda larga, utilizzando linee locali per accedere ad internet con costi decisamente più bassi.
  • Riducendo i costi telefonici su lunga distanza.
    Le VPN possono anche soppiantare i server di accesso remoto dialup per la connettività da remoto, usate per i collegamenti alla rete aziendale da parte del personale in movimento o che svolge telelavoro. Infatti con una rete VPN Internet basta connettersi ad un punto di accesso internet.
  • Riducendo i costi di supporto.
    L’uso di questa tecnologia permette di ridurre i costi di manutenzione dei server, questo anche perché le aziende possono esternalizzare supporto professionale a fornitori di servizi. Oltre a poter consolidare i sistemi server e di connettività, riducendone il numero e migliorandone i livelli di ridondanza, con un impatto economico più alto in fase di realizzazione, ma che corrisponde ad un risparmio consistente negli anni successivi.

Scalabilità della rete

I costi di realizzazione di una rete privata dedicata possono essere inizialmente ragionevoli, ma aumentano in modo esponenziale con il crescere dell’azienda e dei suoi servizi. Per collegare una società con due sedi è sufficiente disporre di una sola linea dedicata, ma per connettere tra loro quattro sedi serviranno sei linee, per sei sedi ne serviranno quindici e così via.

Le VPN basate su Internet evitano questo problema di scalabilità, infatti usando la rete internet ogni sede che si aggiunge necessiterà solo di una linea necessaria a raggiungere la rete pubblica, il resto della triangolazione sarà svolta dai dispositivi che gestiscono le VPN.

Dobbiamo anche considerare che oggi ogni azienda dispone sicuramente di un collegamento ad internet sul quale ha dei costi di affitto per le linee, quindi il caso di uso delle VPN richiede solo un adeguato dimensionamento di queste strutture.

Nella sottostante tabella viene riportato il peso in linee dei casi sopra citati.

Numero sedi Internet e linee dedicate Internet e VPN Internet e VPN ridondate
2 3 2 4
4 10 4 8
6 21 6 12

Come si può notare la realizzazione di collegamenti con backup, nel caso di impiego di VPN, ha un impatto in termini di linee, inferiore alla realizzazione di collegamenti punto-punto senza backup.

Il problema reale in Italia è rappresentato dal fatto che gli accessi in banda larga, salvo poche eccezioni, forniscono una bassa capacità di banda o una capacità sbilanciata, ovvero la velocità di upload è decisamente inferiore rispetto a quella di download. Le linee sbilanciate sono più che valide per aziende che usano l’accesso ad internet solo per la navigazione, ma diventano affossanti nel caso in cui si ospitino dei portali o si realizzino delle VPN, infatti in questo caso la velocità reale è quella più bassa delle due. 

Utilizzo di una VPN

Per poter utilizzare una VPN ogni client deve avere il software appropriato per inizializzare il collegamento verso la propria rete aziendale, oppure deve avere degli apparati opportuni sulla propria rete domestica o aziendale. La loro corretta configurazione permette un facile utilizzo di questa tecnologia,  oltre a poter essere fatto funzionare in modo automatico senza interventi da parte dell’utilizzatore.

Questa tecnologia funziona bene anche con le reti Wi-Fi. Alcune organizzazioni utilizzano le reti VPN per proteggere le connessioni wireless all’interno dell’ufficio. Queste soluzioni forniscono una forte protezione senza incidere eccessivamente sulle prestazioni. 

Limitazioni di una VPN

Nonostante la loro popolarità le VPN non sono perfette e le limitazioni esistono. Nella fase di realizzazione e distribuzione è bene tenere presenti alcuni fattori:

  1. La VPN richiede la comprensione delle problematiche di sicurezza e una attenta installazione e configurazione per garantire un adeguato livello di protezione durante l’accesso alle reti pubbliche.
  2. L’affidabilità e le prestazioni di una VPN basata su internet non sono sotto il diretto controllo dell’azienda, ma si basano sui livelli di servizio dei provider di connettività impiegati e delle tipologie di collegamenti acquistati.
  3. I diversi prodotti presenti sul mercato possono portare all’abbinamento di apparecchiature non compatibili tra loro per gli standard impiegati, il problema è risolvibile attraverso un’analisi preventiva delle tecnologie presenti. Ai giorni nostri tuttavia tali problematiche sono molto rare, in quanto è quasi sempre possibile trovare delle combinazioni di parametri in grado di interconnettere le varie tipologie di apparati.

La tecnologia VPN

Diversi protocolli di rete sono diventati popolari come risultato degli sviluppi della VPN:

  • PPTP
  • L2TP
  • IPsec
  • SOCKS
  • SSL

Questi protocolli enfatizzano l’autenticazione e la crittografia in VPN.  L’autenticazione permette ai client VPN e server di stabilire correttamente l’identità delle persone sulla rete. La crittografia consente ai dati potenzialmente sensibili di essere nascosti al pubblico.

Esistono molti prodotti hardware e software per realizzare le VPN, purtroppo alcuni di loro, per le scelte di protocolli supportati, rimangono tra loro incompatibili.

La tecnologia VPN si basa sull’idea di tunneling.  Il tunneling VPN consiste nello stabilire e mantenere una connessione logica di rete, che può contenere degli hop intermedi. Su questo collegamento i pacchetti, costruiti in un formato specificato dal protocollo VPN, vengono incapsulati all’interno di qualche altro protocollo di trasporto, quindi trasmessi tra client VPN e server, e finalmente de-incapsulati sul lato ricevente.

Per le VPN basate su Internet, i pacchetti in uno dei numerosi protocolli VPN, vengono incapsulati all’interno del protocollo IP (Internet Protocol). I protocolli VPN supportano anche l’autenticazione e la crittografia per mantenere il tunnel sicuro. 

Tipi di VPN tunneling

VPN supporta due tipi di tunneling: voluntary e compulsory,  entrambi sono comunemente usati.

Nel voluntary, il client VPN gestisce la configurazione della connessione. Il client effettua prima una connessione alla rete, privata o internet, quindi l’applicazione client VPN crea il tunnel a un server VPN su una connessione attiva.

Nel compulsory, il provider di rete gestisce la configurazione della connessione VPN. Quando il client effettua la connessione alla rete immediatamente viene attivata una connessione VPN tra il client e un server VPN. Dal punto di vista del client, le connessioni VPN sono avviate in un solo passo rispetto alla procedura in due fasi necessaria per il tunneling voluntary.  Questo tipo di accesso richiede però specifiche configurazioni da parte del gestore di connettività alla rete. 

Protocolli di tunneling VPN

Diversi protocolli di rete sono stati sviluppati per la realizzazione di collegamenti VPN,  nel seguito elenchiamo i tre protocolli più diffusi  e incompatibili tra loro.

Point-to-Point Tunneling Protocol (PPTP)

Diverse aziende hanno lavorato insieme per creare la specifica PPTP, che viene generalmente associato con Microsoft, perché quasi tutte le versioni di Windows includono il supporto client integrato per questo protocollo. Questo protocollo è ancora distribuito sui sistemi Microsoft e Linux, anche se per sicurezza è ritenuto troppo debole, tuttavia Microsoft ha continuato lo sviluppo ed introdotto diversi potenziamenti.

Layer Two Tunneling Protocol (L2TP)

Parallelamente al PPTP, come suo concorrente naturale, venne sviluppato L2F (Layer Two Forwarding), un protocollo implementato principalmente da Cisco. Nel tentativo di migliorarlo venne unito con le migliori caratteristiche di PPTP, dando origine allo standard L2TP (Layer Two Tunneling Protocol).

Internet Protocol Security (IPsec)

IPsec è in realtà una raccolta di più protocolli correlati. Può essere utilizzato come una soluzione VPN completa o come lo schema di crittografia entro L2TP o PPTP. IPsec esiste a livello di rete (Livello Tre) del modello OSI.

Trattandosi di una funzione layer-3, IPsec non può fornire i servizi per altri protocolli layer-3, quali ad esempio  IPX e SNA. IPsec fornisce i mezzi per accertare la riservatezza e l’ autenticità dei pacchetti del protocollo IP. Il protocollo opera con una varietà di schemi di crittografia e di processi standard di negoziazione di crittografia, così come con i vari sistemi di sicurezza, compresa la firma digitale, i certificati digitali, le infrastrutture a chiave pubblica e le autorità di certificazione.

IPsec funziona incapsulando il pacchetto originale IP in un nuovo pacchetto IP che è costruito con l’intestazione (header) di sicurezza e di autenticazione. Gli header contengono le informazioni necessarie al sistema remoto, che ha partecipato al processo di trattativa di sicurezza, per autenticare e decifrare i dati contenuti nel pacchetto.

La forza di IPsec è la sua interoperabilità, non specifica un modo proprietario per  realizzare l’autenticazione e la crittografia, invece funziona con molti sistemi e standard, infatti può interagire con altri protocolli VPN.

 

Categorie
Archivi
Count per Day
  • 204Questo articolo:
  • 206224Totale letture:
  • 120Letture odierne:
  • 211Letture di ieri:
  • 21 Novembre 2016Dal:
Iscriviti alla Newsletter
Iscriviti alla nostra newsletter ed unisciti ai nostri iscritti.

Seleziona lista (o più di una):




Trattamento dei dati