VPN è l’acronimo che indica un virtual private network (rete privata virtuale), dire questo indica tutto e niente: generalmente parliamo di VPN come qualcosa che può aiutarci a rendere la nostra connessione più privata e sicura ma senza conoscere i dettagli specifici del suo funzionamento. Un VPN si occupa di creare un link virtuale dedicato tra due diverse entità presenti nella rete pubblica.
Questo tipo di rete prende necessariamente vantaggio dall’uso della crittografia e dei protocolli di tunneling (quindi attenzione a non associare il VPN al tunneling: non sono la stessa cosa sebbene uno utilizzi l’altro; i protocolli, infatti, come possiamo ricordare da vecchi articoli di questo blog sono dei set di regole preimpostate e non dei network). Per anni il VPN standard era il PPTP, ovvero Point-to-point tunneling protocol seguito poi dal L2TP, layer 2 tunneling protocol. La differenza sostanziale tra questi due protocolli è che il primo funziona solo ed esclusivamente con network basati sull’IP (internet protocol adress) mentre il secondo anche con reti più estese di tipo WAN (wide area network).
Come si renderà evidente leggendo questo post usare un VPN può essere semplice ma, al contrario di ciò che si pensa, comprenderne il reale funzionamento risulta più complicato: molti utenti quindi si affidano a VPN già predisposti senza essere in grado di analizzarne i punti deboli e le possibili mancanze degli stessi.
CONNESSIONE VPN POINT-TO-POINT: IL SUO FUNZIONAMENTO
Dato il coinvolgimento di più protocolli e la possibile confusione derivante da termini, o da una possibile mancanza di basi informatiche, vediamo di presentare un esempio per rendere la situazione più chiara: mettiamo di essere degli impiegati che lavorano dalla propria abitazione. Senza la presenza di un VPN la nostra connessione comunica con la rete dell’azienda per cui lavoriamo facendo passare tutte le informazioni sulla rete pubblica di internet che, così com’è, si rivela insicura e sensibile a manomissioni e fuoriuscite di informazioni. Internet, infatti, è composto da più server che offrono a chiunque l’accesso ai propri archivi in cui vengono ospitati i siti internet; questi server sono connessi e condividono tra loro i dati degli utenti che si connettono ad essi. Con l’uso di una connessione VPN i server non vedono l’utente come origine del traffico ricevuto ma il VPN stesso cosicché risulti più difficoltoso risalire al nostro computer i cui dati, in questo modo, risultano anche criptati.
Dovendo noi connetterci in remoto esclusivamente all’azienda per cui lavoriamo, e non ad un sito web, ci troviamo su un link di telecomunicazione point-to-point (il primo punto è dato dal nostro router ed il secondo dallo switch del nostro ISP, ovvero dal fornitore dei servizio internet) il nostro traffico deve e può, quindi, dirigersi da Internet fino alla sua destinazione attraverso un tunnel che viene creato, come vedremo, incapsulando i dati in una corazza costituita da diversi protocolli. Osservando, quindi, la figura qui sotto possiamo immaginare i nostri dati attraversare il tunnel in arancio generato tra l’abitazione ed il firewall dell’azienda piuttosto che passare direttamente attraverso l’internet pubblico.
Gli strumenti di comunicazione non comprendono l’IP e per questo il router deve incapsulare il traffico in un protocollo ISP (internet service provider) che il dispositivo può capire, ovvero il PPP (protocollo point-to-point).
Allo stesso tempo anche internet non comprende il PPP e per questo il nostro traffico PPP deve essere a sua volta incapsulato, o se preferiamo trasdotto, in un protocollo che possa funzionare, ovvero il PPTP o l’L2TP, nominati nel paragrafo precedente, di modo da poter trasmettere i dati su una rete IP. A questo punto, verrà utilizzato anche l’IPSec per criptare ed assicurare l’integrita dei dati che passano attraverso l’L2PT.
L’IPsec è un insieme di protocolli creati per proteggere il traffico IP e si trova a livello del livello network (qui, vengono inserite tutte le informazioni relative all’header dei pacchetti per permettere alle informazioni di essere indirizzate nel giusto percorso e verso la loro corretta destinazione) mentre il PPP e l’L2TP sono localizzati nel livello del data link del modello OSI (i dati qui che sono frazionati vengono controllati per eventuali errori prima di essere trasferiti) che avevamo analizzato qui un po’ di tempo fa.
Una volta che il traffico raggiunge la rete aziendale i pacchetti di dati verranno decriptati e de-capsulati dal L2TP e dal PPP ed inviati alla loro destinazione finale.
Tutto questo gioco derivante dalla mancanza di comprensione dei dati da parte degli strumenti tra loro collegati non permette, per esempio, nemmeno al nostro ISP (provider di servizi internet) di leggere ciò che viene inviato sebbene e comunque si renda necessario anche il criptaggio. Allo stesso tempo il PPTP e l’L2TP rendono possibile la creazione di un tunnel attraverso reti che non comprendono il PPP.
Va sottolineato che, solamente nel caso di una connessione VPN point-to-point, si rende necessario usare tutti i protocolli menzionati (ovvero PPP, PPTP, L2TP e IPSec) mentre nel caso di due porte router connesse via internet e con funzionalità VPN incorporate ciò non serve: basterà il solo IPSec.
In specifico l’IPSec (IP security) dal punto di vista dei VPN è un insieme di procolli sviluppati per proteggere il traffico IP poiché, al contrario dell’IPv6 (sesta versione del protocollo internet), l’IPv4 (quarta versione del protocollo internet) non ha alcun tipo di sicurezza integrata. I protocolli principali dell’IPsec sono:
- Authentication Header (AH) che provede all’integrità, all’autenticazione di origine dei dati ed alla protezione da ripetuti attacchi e da modifiche non autorizzate. Non è in grado di criptare i dati.
- Encapsulating Security Payload (ESP) che riguarda la riservatezza e l’integrità dei dati.
- Internet Security Association and Key Management Protocol (ISAKMP) che fornisce un luogo di scambio e creazione dell’associazione di chiavi di sicurezza.
- Internet Key Exchange (IKE) che provvede all’autenticazione delle chiavi di cui sopra.
Il momento in cui due router creano una connessione IPSec VPN sono necessarie un’insieme di regole, algoritmi, chiavi, protocolli e modalità d’uso su cui i due dispositivi concordino attraverso un processo di handshake (stretta di mano) per proteggere i dati trasmessi.
In realtà, in passato e senza sottolinearlo abbiamo già accennato ad un tipo di tecnologia VPN ovvero l’SSL (Secure Sockets Layes) che si occupa della protezione del traffico HTTP rendendo il sito a cui viene applicata un HTTPS e creando così una connessione con accesso sicuro ad un portale, o indirizzo web specifico; ovviamente in questo caso la sola navigazione all’interno del suddetto è resa sicura e criptata ma, trovandosi a livello di applicazione del modello OSI già menzionato precedentemente, esiste solo un piccolo numero di tipologie di traffico che possono essere protette da questo tipo di VPN.
Va sottolineato che, come tutte le tecnologie a nostra disposizione anche la connessione VPN può essere usata sia per proteggere i propri dati che per nascondere traffico doloso.
Scegliere un servizio VPN non è facile: ve ne sono talmente tanti che presentano varie offerte da potercisi perdere; senza contare che ognuno di noi sente di aver bisogno di un certo tipo di VPN piuttosto che un altro: c’è chi si preoccupa maggiormente della sicurezza, chi della privacy, chi ancora della tipologia dei pagamenti, chi di oltrepassare reti protette, etc.. Considerando la natura di questo post ci limiteremo a menzionarne quattro che secondo noi possono risultare validi con l’intento futuro di dedicarvi un articolo a parte. Tra i servizi “gratuiti” troviamo Avira Phantom VPN (con 1 giga al mese disponibile) o il VPN del browser Opera in versione desktop (senza limitazioni) mentre tra quelli a pagamento possiamo consigliare Mullvad, Viking VPN, ExpressVPN, NordVPN e Cyberghost. Inoltre, ricordiamo che con Windows 10 è possibile configurare il proprio VPN sul nostro pc sebbene in questo caso la possibilità di restare anonimi venga a mancare (vedremo come prossimamente).
Concludiamo questo articolo ricordando come la configurazione migliore per prevenire fuoriuscite di dati sarebbe quella di utilizzare un firewall ben configurato ed indipendente che possa bloccare tutti i pacchetti non destinati all’interfaccia VPN. Questo perché esistono dei kill switch in grado di bloccare applicazioni preconfigurate appena rilevano una connessione VPN oppure capaci di disabilitare la connessione di rete in presenza di una disconnessione portando così a dei leak che comprometterebbero la nostra privacy. Inoltre, la VPN non ci può proteggere nel caso decidessimo di scaricare pacchetti o software infetti.
Non ci stuferemo mai di dirlo: non esiste un sistema perfetto e la vera sicurezza non è affidarsi solamente ad un VPN, oppure al solo Tor, oppure ad altri servizi alternativi o persino mixarli tra loro, ma mantenersi sempre e comunque aggiornati studiando e cercando di comprendere le debolezze della struttura che utilizziamo!