Se si pensa alla privacy online, gli utenti che operano su VPN sono praticamente garantiti: basti pensare che i dati spesso e volentieri vengono crittografati e che l’IP viene mascherato. La VPN può dunque garantire una navigazione più che sicura e praticamente anonima. Lo stesso discorso vale per la tutela da minacce ad opera di hacker o malintenzionati. Le VPN infatti ricorrono anche a protocolli pensati appositamente per respingere attacchi di vario genere.
Prima di entrare nel merito di pro e contro è sicuramente utile definire una VPN cos’è: a partire dal significato dell’acronimo “VPN”, fino ad arrivare ai concetti base utili a capire il suo funzionamento. In tal senso il primo elemento da tenere a mente è che il concetto di VPN non chiama in causa tecnologie o processi codificati. Si tratta piuttosto di un termine generico, che permette di pensare a diverse tipologie di servizio.
I servizi legati alle diverse VPN possono a loro volta portare a funzioni e risultati differenti. Ciononostante esistono per lo meno due macro-categorie fondamentali di VPN: da una parte quelle ad accesso remoto, dall’altra quelle site-to-site.
-
0. VPN: cos'è e cosa vuol dire
Credits Shutterstock
L’acronimo VPN sta per Virtual Private Network e significa letteralmente Rete Privata Virtuale. Si tratta dunque di una connessione che viene stabilita tra un numero determinato di soggetti. Una rete privata ricorre a protocolli di trasmissione pubblici come quelli Internet, ma al tempo stesso permette di proteggere tutta una serie di dati.
Grazie alle VPN le aziende possono garantire un maggiore livello di autenticazione, confidenzialità e integrità delle loro informazioni. Così come possono tutelarsi maggiormente dai cosiddetti replay attack: quegli attacchi che prendono di mira le reti informatiche e che puntano all’ottenimento di credenziali di autenticazione.
Un aspetto interessante della parola VPN è che non ha un significato univoco: si tratta di un concetto generale e non di un prodotto specifico. Al tempo stesso è possibile catalogare e classificare il livello di sicurezza e di interoperabilità di un sistema informatico.
Per spiegare al meglio la VPN cos’è è poi utile sottolineare la differenza che intercorre tra questo acronimo e l’acronimo LAN (Local Area Network, ovvero Rete in Area Locale). La LAN prevede che gli host comunichino tra loro esattamente come se fossero connessi a un unico dominio.
La VPN permette invece di connettersi a una rete privata considerata sicura da una posizione remota qualsiasi. Ciononostante, oggi molte VPN garantiscono un livello di sicurezza assolutamente paragonabile a quello delle reti dedicate.
-
1. Breve storia delle VPN
Credits Shutterstock
La VPN ha una storia molto più antica di quanto non si potrebbe immaginare. I primi a sviluppare concretamente questo genere di tecnologia furono i team di Columbia University e AT&T Bell Labs nel 1993. A loro si deve il Software IP Encryption Protocol (swIPE), ovvero la prima interazione con una VPN.
Nel 1994 anche Wei Xu realizzò il protocollo di sicurezza IPSEC, di cui si parlerà più dettagliatamente nei capoversi a seguire. Dopodiché nel 1992 un gruppoimpiegati Microsoft fu protagonistadi un altro passo avanti decisivo verso le VPN: la creazione del PPTP, un protocollo che garantiva una connessione privata e sicura tra device e Internet.
Nei primi 2000 le VPN avrebbero iniziato ad affacciarsi al mercato, con prezzi che però erano ben lontani dalle disponibilità dell’utente comune.
Col passare degli anni però le cose sarebbero cambiate drasticamente. Un po’ per l’abbassamento dei costi, ma soprattutto per la crescente necessità di sicurezza informatica da parte delle persone.
Un bisogno accresciuto da diverse fughe di notizie di portata e scala globale. Si pensi in tal senso all’attività divulgativa da parte di Edward Snowden circa violazioni della privacy online da parte dell’NSA americana. Ma anche alla gigantesca mole di informazioni rilasciate dall’organizzazione internazionale WikiLeaks a partire dal 2015.
Oggi le VPN vengono utilizzate abitualmente da quantità significative di utenti in tutto il mondo. Se in alcuni paesi si parla di percentuali sotto il 10%, ci sono anche casi in cui quasi un utente su cinque ricorre a un Virtual Private Network: è il caso ad esempio di nazioni in cui l’uso di Internet è limitato e censurato.
-
2. Come funziona la VPN
Credits Shutterstock
Dopo avere esplicitato l’acronimo VPN nel suo significato è sicuramente utile entrare nel merito del funzionamento di una Rete Privata Virtuale. Da un punto di vista delle funzionalità, la VPN permette a un utente di accedere da remoto a una rete informatica privata: ad esempio quella della propria azienda o quella della propria università.
L’utente si collega attraverso quello che viene definito come un tunnel virtuale sicuro, che viene supportato da Internet al pari di un cavo fisico vero e proprio. Così facendo può accedere a tutte le informazioni tipiche di una rete privata: dalla posta elettronica alle cartelle, passando per sistemi informatici gestionali più complessi.
La VPN può essere utilizzata anche per accedere a servizi di abbonamento privati. La richiesta infatti passa tramite i server della rete privata, simulando ancora una volta una connessione in locale. Una grande differenza sta però nel fatto che con la VPN l’utente è sempre e comunque soggetto alle politiche del gestore: tanto in termini di sicurezza informatica, quando in termini di eventuali limitazioni a protocolli, pagine Internet o contenuti di varia natura.
La VPN permette di accedere a reti informatiche private da remoto. Le informazioni vengono cifrate e gli utenti si connettono innanzitutto con un firewall
Esistono diversi modi per implementare una Rete Privata Virtuale. Ad esempio è possibile ricorrere a un sistema operativo comune: da Windows a macOS, passando per MS-DOS, per Linux e persino per i sistemi operativi mobile Android e iOS.
In alternativa è possibile optare per software realizzati da parti terze. In questo caso la configurazione della VPN potrebbe essere più complessa, ma al tempo stesso dovrebbe garantire un livello più profondo di personalizzazione e gestione.
Al di là delle singole caratteristiche, di solito le VPN prevedono una possibilità di accesso soltanto per gli utenti autorizzati. Inoltre ricorrono a sistemi e protocolli utili a garantire una navigazione sicura: ad esempio quelli atti a cifrare tutto il traffico transitante, ma anche quelli pensati per impedire e contrastare eventuali violazioni della sicurezza informatica.
Per questo motivo di solito i dipendenti, prima di accedere alla VPN, si connettono con un firewall: una componente di difesa della rete che può essere tanto fisica quanto digitale. Il firewall in questo caso ha il compito di autenticare l’utente e di verificare le informazioni che vuole trasmettere.
-
3. Autenticazione e tunneling nelle VPN
Credits Shutterstock
L’autenticazione e il cosiddetto tunneling sono le principali misure attraverso cui una VPN riesce a garantire standard di sicurezza informatica superiori rispetto a quelli di una rete pubblica.
L’autenticazione è il processo che permette di autorizzare o meno l’accesso di un utente al Virtual Private Network. Tecnicamente parlando l’autenticazione garantisce il non ripudio dell’utente e gli permette di instaurare una connessione tra client e server.
I passaggi dell’autenticazione sono molteplici. Si comincia con un primo contatto tra client e server, in cui il secondo notifica la propria presenza e il primo chiede di essere identificato. Successivamente avviene l’autenticazione vera e propria, che viene verificata dal server. Soltanto a questo punto il server è effettivamente in grado di rispondere alla richiesta del client e di autorizzare la comunicazione.
Si parla di tunneling per descrivere la creazione di un tunnel virtuale in grado di connettere due entità remote finali. Il tunneling è un collegamento logico che si sviluppa attraverso una rete IP: fa sì che le entità abilitate alla realizzazione della VPN rimangano virtualmente adiacenti durante tutto il processo logico.
Il tunneling consente di compiere il cosiddetto incapsulamento multi-protocollare dei dati. Per farlo ricorre allo standard protocollare ISO/OSI e all’architettura TCP/IP. Tutti i dati della VPN entrano nello stesso tunnel, anche nel caso in cui appartengano a protocolli diversi. Dopodiché vengono imbustati dal protocollo di tunneling, per poi venire indirizzati sulla rete. L’imbustamento viene rimosso soltanto nel momento in cui il dato raggiunge la destinazione prevista.
-
4. Crittografia nelle VPN
Credits Shutterstock
La crittografia è una tecnica, o meglio è un insieme di tecniche che permettono di nascondere o proteggere dati sensibili. La crittografia permette di garantire il giusto livello di riservatezza a informazioni di varia natura: è quindi di primaria importanza per laprivacy online degli utenti e, più in generale, per la loro navigazione sicura.
La crittografia delle VPN generalmente trasforma le informazioni che transitano al loro interno in dati illeggibili agli utenti esterni. Per farlo ricorre a un algoritmo che codifica il dato, rendendolo incomprensibile a un utente non autorizzato.
Questa operazione è anche nota col nome di cifratura. Esistono tante diverse tipologie di cifratura, che variano in base al protocollo di comunicazione della VPN, ma anche in base al tipo di autenticazione utilizzata.
Quando si parla di crittografia delle VPN si considerano tre tipologie di algoritmo: quello simmetrico, quello asimmetrico e quello basato su hashtag
Detto ciò si tende comunque a distinguere per lo meno tra algoritmi di cifratura simmetrici, algoritmi di cifratura asimmetrici e algoritmi di cifratura basati su hashing.
Gli algoritmi di cifratura simmetrici ricorrono alla stessa chiave sia per cifrare i dati che per decifrarli. Tra i più noti vale la pena di citare per lo meno il Data Encryption Standard (DES) e l’Advanced Encryption Standard (AES).
Gli algoritmi di cifratura asimmetrici ricorrono invece a chiavi diverse per cifrare e decifrare i dati. In questo caso tra i più comuni si trovano Rivest, Smahir e Adleman (RSA), Elliptic Curve Cryptography (ECC) e Digital Signature Algorithm (DSA).
Infine gli algoritmi di cifratura basati su hashing, che ricorrono a una funzione (ovvero a un hash) univoca e non reversibile, che garantisce sia l’integrità che la riservatezza del dato. Tra i più noti vale la pena di citare per lo meno Secure Hash Algorithm (SHA 2) e Argon2.
-
5. Classificazione delle VPN
Credits Shutterstock
Si è già spiegato che la VPN non è uno standard univoco, quanto piuttosto un concetto generico. Ciononostante esistono per lo meno due tipologie di Virtual Private Networks, che vengono generalmente distinte l'una dall’altra: da una parte le VPN ad accesso remoto, dall’altra le cosiddette VPN site-to-site.
La VPN ad accesso remoto è fondamentalmente un collegamento che unisce il dispositivo del client VPN con il server di una realtà specifica. Si tratta dunque di un accesso che permette all’utente di collegarsi a una rete privata tramite Internet, da dispositivi e luoghi molteplici.
La VPN site-to-site ricorre invece al routing e serve a garantire una comunicazione sicura tra una rete privata e tutta una serie di sedi esterne: si pensi in tal senso agli uffici di un’azienda, ma anche a eventuali altre organizzazioni autorizzate.
In questo caso la sede “principale” dispone di un router dedicato: un nodo che deve instradare tutti i pacchetti dati e condividere le informazioni con le diverse sedi remote. Questo nodo utilizza il classico modello client/server e garantisce una comunicazione sicura e trasparente.
Nel caso in cui la Rete Privata Virtuale unisca più sedi di un’unica azienda si tende a parlare di VPN Intranet. Si parla invece di VPN Extranet nel caso in cui vengano connessi anche uffici esterni a una singola organizzazione.
Si tende a distinguere tra VPN ad accesso remoto e VPN site-to-site. Allo stesso modo si parla di VPN Trusted, Secure e Hybrid
Un’altra classificazione relativa alle VPN è quella che permette di individuare il livello di sicurezza e affidabilità di un circuito. In questo caso si tende a utilizzare le seguenti diciture: Trusted, Secure e Hybryd.
Una VPN Trusted prevede che l’Internet Service Provider (ISP) assegni un indirizzo IP fisso ai vari percorsi, garantendo sempre le stesse caratteristiche di sicurezza informatica.
La VPN Securericorre ai protocolli di crittografia e rende possibile il tunnel tra nodi della rete privata cui si accennava nei capoversi precedenti. In questo modo tutti i dati che viaggiano tramite tunnel non possono venire intercettati.
Infine la VPN Hybrid è una specie di Rete Privata Virtuale mista. Può infatti capitare che una realtà che ricorre a VPN Trusted abbia anche bisogno delle caratteristiche di una VPN Secure. La VPN Hybrid è considerata un ottimo punto di incontro tra la sicurezza della prima e la qualità del tunneling della seconda.
-
6. I protocolli per VPN
Credits Shutterstock
Nei capoversi precedenti si è accennato al fatto che le VPN possono ricorrere a protocolli differenti per raggiungere obiettivi specifici: dalla crittografia e la protezione dei dati in trasmissione alla tutela della rete a fronte di eventuali attacchi esterni.
È possibile effettuare una scrematura fondamentale dei protocolli più comuni, fornendo qualche dettaglio sulle motivazioni dietro il loro utilizzo. Ad esempio il Layer 2 Tunneling Protocol (L2TP) viene scelto nel caso in cui si voglia realizzare un tunnel virtuale senza ricorrere né all’autenticazione né alla cifratura.
L’Internet Protocol Security (IPSEC) garantisce un livello di sicurezza informatica superiore, ricorrendo ad autenticazione e cifratura. In questo modo è possibile garantire autenticità, riservatezza e integrità del traffico dati, assicurando che le reti IP ospitino comunicazioni sicure.
A ciò si aggiunge il fatto che i protocolli L2TP possono venire implementati su IPSEC. In questo modo l’utente utilizza un tunnel virtuale senza però rinunciare alla sicurezza di una trasmissione crittografata e autenticata.
Esistono altri protocolli che possono essere utilizzati in combinazione: è il caso del Point to Point Tunneling Protocol (PPTP, protocollo di livello 2), che di solito viene integrato con il Generic Routing Encapsulation (GRE, protocollo di livello 3).
Infine spazio al Secure Sockets Layer (TLS) e all’Hyper Text Transfer Protocol Secure (HTTPS). Il primo è un protocollo di livello 4 che si usa anche nell’ambito delle connessioni VPN. Il secondo garantisce il trasferimento ipertestuale sicuro, appoggiandosi proprio su protocollo di trasporto TLS.
-
7. Altri servizi offerti dalle VPN
Credits Shutterstock
Quando un’azienda sceglie di dotarsi di una VPN deve tenere conto di diversi elementi. Come visto le singole tecnologie permettono di spostare il fuoco del Virtual Private Network su determinati aspetti di sicurezza informatica: dalla crittografia all’autenticazione, dal tunneling alla difesa da minacce esterne.
Di solito le soluzioni premium a pagamento permettono di godere di tutti i vantaggi di cui sopra, oltre a tutta una serie di vantaggi e servizi aggiuntivi. In tal senso vale la pena di citare per lo meno lo split tunneling, la gestione delle perdite DNS e il cosiddetto kill switch.
Lo split tunneling è un servizio di rete che permette di accedere a domini di sicurezza diversi contemporaneamente. Il tutto senza rischiare di perdere connessione o di incappare in eventuali zone d’ombra che potrebbero compromettere la privacy online.
Tra i servizi aggiuntivi forniti da VPN premium è possibile menzionare lo split tunneling, la gestione delle perdite DNS e il kill switch
Alcuni servizi VPN garantiscono una navigazione tanto sicura quanto anonima, mascherando l’indirizzo IP. In questo caso spesso viene utilizzato un server per le richieste DNS differente rispetto a quello che era stato fornito dal provider.
Questa soluzione permette di impedire la tracciabilità di movimenti in Internet da parte degli utenti autenticati. Al tempo stesso gestire una VPN significa anche saper risolvere eventuali errori DNS, che potrebbero compromettere la riservatezza della navigazione.
Infine il servizio kill switch, pensato per mantenere attiva una VPN anche nel caso in cui venga interrotta la connessione Internet. Il kill switch mantiene un tunnel virtuale aperto, permettendo alla VPN di ripristinarsi effettivamente non appena viene ripristinata anche la connessione Internet.
-
8. Vantaggi e pericoli delle VPN
Credits Shutterstock
In base a quanto emerso sin qui i vantaggi delle VPN sembrano molteplici e considerevoli, soprattutto per le aziende. Grazie a un Virtual Private Network una realtà può estendere la sua connettività a livello globale, andando ben oltre il limite geografico.
Una VPN riduce il tempo e il costo di trasmissione di informazioni importanti e, al tempo stesso, aumenta il livello di sicurezza informatica grazie alla crittografia e protocolli specifici. A ciò si aggiunge il fatto che le VPN mostrano un’ottima economia di scala: basti pensare che garantiscono un ritorno di investimento decisamente più rapido rispetto a Local Area Network (LAN) e Wide Area Network (WAN).
Al tempo stesso, ricorrere a una VPN significa anche alzare l’asticella dell’attenzione su determinati aspetti. In tal senso si citava nei capoversi precedenti l’utilizzo di firewall certificati. Parallelamente sarebbe sempre opportuno rivedere le politiche di registrazioni precedenti l’uso della Rete Privata Virtuale. Ma anche limitare la scala di accesso agli obiettivi di rete.
Infine anche le VPN presentano problemi potenziali, o se non altro zone d’ombra. Si pensi ad esempio a tutte le realtà e le persone con obblighi legali relativi alla tenuta di informazioni confidenziali. Questo genere di entità potrebbe avere problemi legali con l’uso di un Virtual Private Network.