Sicurezza  »  Articoli  »  Software di sicurezza 

Una VPN gratis con Untangle

Un tipico problema in ambito network è rappresentato dalla necessità di collegare tra loro sedi distribuite geograficamente sul territorio, anche a grandi distanze, rendendo disponibili dei servizi come se fossero sulla stessa LAN. L'esempio classico è quello dell'azienda che possiede una sede centrale e delle sedi territoriali remote. Esistono vari modi per collegare le sedi tra loro (posa di fibra ottica, ponti radio, linee punto-punto, etc.): il problema principale è che sono quasi tutti metodi non proprio economici e, in ogni caso, risolvono solo il problema della connettività.

Ci sono però altre questioni che vanno affrontate e che riguardano la necessità di garantire la sicurezza del canale di trasmissione, l'efficienza delle prestazioni, l'affidabilità e, non ultimo, l'aspetto dei costi. In uno scenario simile, la soluzione è rappresentata dalla creazione di una VPN (Virtual Private Network).

Un po' di teoria

La VPN è un collegamento a livello 3 (Network) stabilito ed effettuato tra due o più reti LAN attraverso una rete pubblica che non deve essere necessariamente Internet. Una VPN, in pratica, è una rete privata, costituita da connessioni logiche "virtuali". Attraverso tali connessioni la VPN:

• Mette in comunicazione siti remoti geograficamente distribuiti
• Gestisce utenti che condividono le stesse politiche di accesso e sicurezza, anche se appartenenti a reti distinte
• Viene veicolata attraverso una infrastruttura IP pubblica

Una VPN, di per sè, non costituisce un canale sicuro: lo diventa quando adotta protocolli che provvedono a cifrare il traffico in transito. Oltre alla cifratura, una VPN sicura deve prevedere nei suoi protocolli dei meccanismi che impediscano violazioni della sicurezza, come ad esempio il furto dell'identità digitale o l'alterazione dei messaggi. Le reti costruite utilizzando la criptazione dei dati sono chiamate Secure VPN.

La particolarità di una rete VPN è dunque quella di collegare due o più reti private rendendo la rete pubblica totalmente trasparente e creando il cosiddetto tunnel VPN che simula, quindi, un collegamento diretto. Il Tunneling compie un incapsulamento multiprotocollo dei dati. Questo termine significa che i pacchetti, anche se sono di protocolli differenti come ad esempio IP, Appletalk, IPX, NetBeui e via dicendo, una volta giunti all’entrata del tunnel vengono inseriti nuovamente all'interno di un secondo pacchetto IP dal protocollo di tunneling e vengono spediti sulla rete con un nuovo header IP e così trasportati verso l'endpoint del tunnel . Una volta giunti alla fine del tunnel avviene il processo contrario: il pacchetto IP complessivo viene "spacchettato" allo stato iniziale e instradato verso la sua destinazione.

Naturalmente, le aziende e gli utenti remoti devono utilizzare programmi software specifici a ciascun estremo del "tunnel" per poter crittografare e decrittografare i dati con lo stesso formato. Nel modello di trasmissione viene spesso aggiunta una fase di compressione dei dati che ha lo scopo di evitare che la rete si saturi a causa dell'elevato numero di pacchetti crittografati.

Esistono vari protocolli con livelli di protezione diversi:PPTP (Point-to-Point Tunneling Protocol), L2F (Layer Two Forwarding), L2TP (Layer Two Tunneling Protocol) e IPSec. I protocolli PPTP e IPSec offrono il livello di protezione più elevato.

Il protocollo PPTP permette di incapsulare i pacchetti dati in un datagramma IP al fine di creare una connessione punto-punto. In questo caso, i dati vengono protetti a due livelli poiché i dati sulla rete locale (come gli indirizzi dei PC) vengono incapsulati in un messaggio PPP che è a sua volta incapsulato in un messaggio IP. IPSec invece offre tre moduli (Authentication Header, Encapsulating Security Payload e Security Association) che ottimizzano la protezione, garantendo la riservatezza, l'integrità e l'autenticazione dei dati. Lo scopo del presente articolo, però, non è certamente quello di presentare una trattazione esaustiva sulle VPN, per cui per maggiori dettagli sulla materia si rimanda alla miriade di risorse disponibili in Rete.

Dal punto di vista topologico è possibile costruire VPN sia in modalità site-to-site che client-to-site simultaneamente. La modalità site-to-site consente la comunicazione da sedi geograficamente separate (ad es. una sede centrale e i suoi uffici periferici).

Figura 1. Tipologie di VPN

La modalità client-to-site permette la comunicazione di un dipendente (il classico "road warrior", cioè l'agente) alla VPN aziendale dall'esterno di essa.

Figura 2. VPN client-to-site

Altri articoli

Altre guide

Altre newsletter