Cosa sono le Vpn?

Le VPN nascono in sostituzione alle reti private fisiche (canali dedicati che avevano il compito di collegare più siti di un’azienda).  Esse avevano dei vantaggi e naturalmente degli svantaggi vediamo quali:

• Vantaggi
  • Larghezza di banda sempre disponibile, nessun problema d’accesso, sicurezza e prestazioni garantite.
• Svantaggi:
  • Alti costi di installazione e manutenzione, tempi lunghi per la configurazione e riconfigurazione e mancanza di scalabilità.

Nacquero così le Vpn come al solito tutte le cose hanno i suoi pro e i suoi contro.

• Pro
  • Flessibilità
  • Blocco del traffico di rete fosse pressoché nullo grazie alla grande ridondanza dovuta alla natura stessa della vpn (appoggiata alla rete pubblica).
• Contro
  • La variabilità del tempo di trasferimento
  • Il controllo degli accessi
  • La sicurezza di trasmissione

Le Vpn (Reti private virtuali) al giorno d’oggi stanno diventando irrinunciabili perché?

• Sono Anonime
  • Teoricamente l’affermazione sono anonime è vera, ma non sempre è così questo perché alcuni provider (coloro che forniscono il servizio) tengono dei registri delle connessioni in ingresso.
• Non sono Geo localizzabili
  • Questa affermazione è vera, al giorno d’oggi chiunque di noi utilizza i motori di ricerca (Google, Bing, Yahoo, ecc..). Questi motori ci permettono di trovare le informazioni che stiamo cercando, ma questo non è propriamente vero. Facciamo un semplice esempio ogni motore ci chiede di potervi geolocalizzare per fornirvi le informazioni più pertinenti e vicine a te. Ma se avessi bisogno di trovare un fornitore fuori dal raggio della geolocalizzazione mia tipo devo cercare un ristorante in Ungheria? Vediamo che qualsiasi motore non riesce a fornirci l’informazione desiderata se non utilizzando sistemi di filtratura specifici. Le Vpn invece non sono Geolocalizzate e quindi la ricerca viene effettuata su tutto il web e non più su una porzione specifica.

Analizziamo le varie differenze e i protocolli che vengono utilizzati. Ma soprattutto vediamo di capire il perché.

La VPN  è una rete privata creata all’interno di un’infrastruttura di rete pubblica, come può essere Internet.
La VPN utilizza un indirizzamento  univoco, quindi  IP uguali non ve ne sono, ma si possono trovare connessi differenti tipi di device, l’importante è che abbiano un accesso al web (Pc, tablet, smartphone, TV ecc.).

Utilizzare in modo generico il termine Vpn è sbagliato,  infatti non esiste un solo tipo di Vpn ma bensì 2 ovvero:

Remote-access VPN (ovvero Vpn ad accesso remoto):

• • Trasportano qualunque tipo di dato all’Horst remoto.
  • Hanno la possibilità di  emularne il desktop e sono adatte per i singoli utenti.
  • Consentono ai singoli  utenti di effettuare connessioni sicure verso l’esterno.

Come funzionano?

Le Vpn ad accesso remoto  possiedono due componenti fisici indispensabili:

• Server (NAS/AAA): che permette all’utente di loggarsi e utilizzare la VPN.
  • Un Server AAA è un programma server che gestisce le richieste degli utenti per l’accesso alle risorse del computer e, per un’azienda, fornisce servizi di autenticazione, autorizzazione e Accounting (AAA).
• Software VPN Client: che permetta l’autenticazione.
• Eventualmente un Firewall per separare la rete privata e l’internet.

Site-to-site VPN (ovvero Vpn sito a sito):

Sono l’alternativa alle WAN Frame Relay (Wide area network, Frame Relay). Le Wan Frame Relay  non utilizzano il classico protocollo TCP/IP ma bensì il Frame Relay,  esso  è sia un protocollo di rete e sia una tecnica di trasmissione a commutazione di circuito virtuale, e specifica sia il livello fisico sia il livello data link che utilizza il protocollo stesso utilizzando la commutazione a pacchetto.

Le Vpn Sts permettono di estendere le risorse interne verso l’esterno, connettendo anche differenti LAN dislocate per il mondo, tramite la rete pubblica.

Fondamentale è quindi il concetto di WAN come insieme di LAN (Wide area Network WAN, Local Area Network LAN).

Questo tipo di VPN si suddivide a sua volta in due sotto-categorie:

• le intranet-based, in cui le diverse LAN condividono ogni risorsa interna,
• le extranet-based, dove le varie LAN condividono solo l’extranet senza però mettere in comunione le risorse interne.

A differenza delle remote-access, le site-to-site eliminano la barriera per cui i singoli utenti debbano utilizzare ognuno un software per collegarsi alla VPN.

Per farlo, nelle Sts si utilizzano i seguenti dispositivi:

• VPN Concentrator: Sostituisce il server AAA, stabilisce il tunnel VPN e gestisce un elevato numero di connessioni contemporanee.
• VPN Router: è un router che permette di instradare pacchetti con i protocolli delle VPN.
• VPN Firewall: filtro che permette di gestire il traffico di rete tramite i protocolli delle VPN.
• VPN Client: Software in esecuzione su un dispositivo dedicato che funge da tunnel-interfaccia ed evita che su ogni macchina sia installato un software client VPN . Ogni host quindi passerà da lui per poter interfacciarsi col web.

Fin qui abbiamo parlato delle varie tipologie di Vpn ora vediamo la sicurezza.

Vpn e Sicurezza

Poiché le VPN si appoggiano a una rete pubblica, hanno bisogno di criteri di sicurezza per rendere i dati protetti da eventuali rischi del web, ed è quindi per questo che quando si parla di sicurezza nelle Virtual Private Network, ci si riferisce a:

• Autenticazione:
  E’ il Processo con il quale un utente verifica la propria, identità digitale, al fine di poter utilizzare un applicativo software in totale sicurezza con le adeguate autorizzazioni.
  L’autenticazione è richiesta poiché si sta parlando di una rete private, e quindi non aperta al pubblico, e dunque che richiede una email/username e password per accedervi.
  L’accesso alla VPN è il server (NAS o AAA) a volte le autenticazioni possono essere anche due o più, in alcuni casi  prima si effettua un’autenticazione “di gruppo” e poi dopo un’autenticazione personale.
• Cifratura:
  Quando si parla di cifratura, o crittografia dei dati, ci si riferisce a tutte le tecniche utilizzate per, appunto, cifrare il traffico di rete e non renderlo “chiaro” agli occhi di eventuali intercettazioni da parte di persone non autorizzate. Nelle VPN la cifratura è obbligatoria, e ci sono differenti tecniche utilizzate, tra queste IKE e altre.
  • IPsec
    IPsec, (Internet Protocol security), non è un vero e proprio protocollo, ma un’architettura di protocolli a livello Network. E’ la scelta più usata nelle VPN poiché permette di garantire la sicurezza in tutte le tipologie di rete virtuale privata, e supporta anche la modalità IPv6.
    IPsec è composto principalmente da 3 protocolli:
    • • Autentication Header (AH): garantisce l’autenticazione e l’integrità, ma non la confidenzialità.
      • Encapsulation Security Pay load (ESP): fornisce integrità, confidenzialità e autenticazione
      • Internet Key Exchange (IKE): permette lo scambio delle chiavi per avviare la comunicazione cifrata.
  • SSL/TLS
    SSL e TLS, rispettivamente Secure Sockets Layer e Transport Layer Security, sono due protocolli molto validi per sostituire IPsec.
    I due protocolli (SSL e TLS) hanno differenze davvero minimali, ma nonostante ciò questi due non sono compatibili. Vengono quindi implementati entrambi e resi interoperabili tramite particolari meccanismi di gestione.
    TLS è un protocollo a livello Sessione, opera quindi sopra il livello trasporto (per intenderci TCP e UDP ricordate il sistema iso /osi) e deriva dal suo predecessore SSL.
    Entrambi sono in verità composti da due livelli, che si dividono differenti compiti:
    – Il record protocol: che ha il compito di incapsulare tutto ciò che sta ai livelli superiori, compreso l’handshake protocol.
    – L’handshake protocol: ha il compito di negoziare le chiavi, autenticare e stabilire algoritmi e chiavi crittografiche comuni. SSL e TLS garantiscono autenticazione, integrità e cifratura, ma solo su reti TCP/IP. Una VPN basata su questi protocolli non avrà più bisogno di IKE per lo scambio delle chiavi, poiché SSL/TLS sono semplici protocolli Client/Server con lo scopo di autenticare il Server, eventualmente il Client e creare un canale di comunicazione sicuro e cifrato tra i due host.
    L’autenticazione è basata sui Certificati Digitali, riconosciuti da una Certification Authority(CA).
  • BGP/MPLS
    BGP (Border Gateway Protocol) e MPLS (Multi-Protocol Label Switching) sono due protocolli implementabili nelle VPN.
    Il primo è un protocollo di tipo Path Vector, che elenca tutti gli Autonomous System da attraversare per raggiungere la destinazione stabilita, il secondo invece è un protocollo che permette di utilizzare delle label al posto degli indirizzi IP per muovere i pacchetti attraverso il proprio dominio. Per individuare il next-hop vengono usate delle apposite tabelle, dette forwarding table.
    In tal modo viene garantita la separazione del traffico tra i diversi utilizzatori dei servizi, anche se il traffico utilizza lo stesso core di rete.
    Gli elementi costitutivi di una VPN che usi questi protocolli sono i seguenti:
    – Customer Edge (CE): è il router del sito aziendale, o comunque dell’utilizzatore. Ha funzionalità di routing classiche e il suo unico peer è il Provider Edge con cui dialoga tramite il protocollo BGP
    – Provider Edge (PE): è il router d’accesso alla rete dell’ISP cui sono collegati uno o più CE. I PE sostanzialmente sono le entrate e uscite all’ISP.
    – Provider Core Router (PCR o solo più semplicemente P): sono la backbone MPLS dell’ISP.
• Gli algoritmi per la cifratura dei dati prevedono due chiavi, e queste, assieme allo stesso accordo di utilizzo di un determinato algoritmo, vengono scambiate tra i due host su una connessione sicura, in modo da non poter essere intercettate/alterate.
• Tunneling:
  Il Tunneling è il sistema utilizzato nelle VPN per integrare uno strato di sicurezza aggiuntivo, col fine di proteggere il pacchetto di dati nel suo percorso in internet.
  Con il termine Tunneling si intende il  processo di incapsulamento di un protocollo in un secondo protocollo di pari livello o superiore.
  I protocolli usati per il Tunneling sono diversi, tra di questi:
  – IPsec
  – SSL/TLS
  – PPTP
  – IEEE 802.1Q
  – SSH
  – L2TP
  – …
  Il funzionamento del Tunneling,  è il seguente, e per quanto possano cambiare i protocolli, la logica è sempre la stessa:
  il pacchetto di dati principale (Passenger Protocol), deve essere trasferito attraverso il web. Per fare ciò, bisogna apporre una preventiva sicurezza al pacchetto, e quindi la Tunnel interface (estremità del “tunnel” in cui il pack viaggerà in sicurezza)incapsula il dato dentro un livello aggiuntivo (Encapsulating Protocol).  una volta spedito nel web, verrà ancora incorporato in un terzo livello, dettato dal protocollo di trasporto (Carrier Protocol), fino al raggiungimento del destinatario, dove il pacchetto incontrerà l’altra estremità del tunnel (seconda Tunnel interface), che con la stessa logia di incapsulamento della prima interfaccia, eseguirà il processo inverso e otterrà quindi il dato in chiaro. Per tutto il tragitto, il dato viaggia in una “matriosca” formata da 3 livelli, rendendo così il dato sicuro.
• Sicurezza globale:
  E’ un metodo di analisi  dal punto di vista teorico le VPN e i concetti intrinsechi di garanzia di protezione e prevenzione dei dati da esse trasportati.
  Le VPN prima di tutto devono garantire l’integrità e autenticità dei dati dei dati, cioè che i pacchetti rivenuti non siano stati alterati e che provengano da una fonte certa. La soluzione a tutto ciò è adottare meccanismi di firma digitale e certificati digitali.
  Per verificare che non siano state effettuate azioni indesiderate o non autorizzate, è necessario prevedere anche meccanismi di Accounting, metodi che  misurano e documentano le risorse concesse a un utente durante l’accesso. In altre  parole quindi si tratta di impostare dei meccanismi per la registrazione e visualizzazione dei cosiddetti file di log, misurare la durata della sessione di navigazione ecc.
  Infine, dal punto di vista dei fornitori, si deve garantire la confidenzialità, quindi che i propri dati, conservati dai fornitori, siano ben protetti e riservati dalla fruizione di terza parti.
• Fiducia VS Sicurezza
  In base al grado di sicurezza garantito e ai protocolli utilizzati, le VPN si dividono in 3 categorie:
  • Trusted VPN: Non utilizzano cifratura e Tunneling, ma la riservatezza dei dati trasmessi è affidata a un ISP, che garantisce la QoS (qualità del servizio) assegnando alle VPN in maniera univoca percorsi e canali dedicati. Le tecnologie utilizzate sono: circuiti di rete ATM e MPLS, su 2 e 3 livelli.
  • Secure VPN: Utilizzano cifrature e Tunneling per la protezione dei dati. Possono utilizzare uno o più tunnel, sempre con 2 estremità. Utilizzano tutte le metodologie descritte precedentemente e i protocolli utilizzati sono: IPsec (ESP, AH, IKE), SSL/TLS, PPTP, SOCK4/5, L2TPv2/3 e altri.
  • Hybrid VPN: Sono l’unione tra le Secure e le Trusted.