VPN รจ l’acronimo che indica un virtual private network (rete privata virtuale), dire questo indica tutto e niente: generalmente parliamo di VPN come qualcosa che puรฒ aiutarci a rendere la nostra connessione piรน privata e sicura ma senza conoscere i dettagli specifici del suo funzionamento. Un VPN si occupa di creare un link virtuale dedicato tra due diverse entitร presenti nella rete pubblica.
Questo tipo di rete prende necessariamente vantaggio dall’uso della crittografia e dei protocolli di tunneling (quindi attenzione a non associare il VPN al tunneling: non sono la stessa cosa sebbene uno utilizzi l’altro; i protocolli, infatti, come possiamo ricordare da vecchi articoli di questo blog sono dei set di regole preimpostate e non dei network). Per anni il VPN standard era il PPTP, ovvero Point-to-point tunneling protocolย seguito poi dal L2TP,ย layer 2 tunneling protocol. La differenza sostanziale tra questi due protocolli รจ che il primo funziona solo ed esclusivamente con network basati sull’IP (internet protocol adress) mentre il secondo anche con reti piรน estese di tipo WAN (wide area network).
Come si renderร evidente leggendo questo post usare un VPN puรฒ essere semplice ma, al contrario di ciรฒ che si pensa, comprenderne il reale funzionamento risulta piรน complicato: molti utenti quindi si affidano a VPN giร predisposti senza essere in grado di analizzarne i punti deboli e le possibili mancanze degli stessi.
CONNESSIONE VPN POINT-TO-POINT: IL SUO FUNZIONAMENTO
Dato il coinvolgimento di piรน protocolli e la possibile confusione derivante da termini, o da una possibile mancanza di basi informatiche, vediamo di presentare un esempio per rendere la situazione piรน chiara: mettiamo di essere degli impiegati che lavorano dalla propria abitazione. Senza la presenza di un VPN la nostra connessione comunica con la rete dell’azienda per cui lavoriamo facendo passare tutte le informazioni sulla rete pubblica di internet che, cosรฌ com’รจ, si rivela insicura e sensibile a manomissioni e fuoriuscite di informazioni. Internet, infatti, รจ composto da piรน server che offrono a chiunque l’accesso ai propri archivi in cui vengono ospitati i siti internet; questi server sono connessi e condividono tra loro i dati degli utenti che si connettono ad essi. Con l’uso di una connessione VPN i server non vedono l’utente come origine del traffico ricevuto ma il VPN stesso cosicchรฉ risulti piรน difficoltoso risalire al nostro computer i cui dati, in questo modo, risultano anche criptati.
Dovendo noi connetterci in remoto esclusivamente all’azienda per cui lavoriamo, e non ad un sito web, ci troviamo su un link di telecomunicazione point-to-point (il primo punto รจ dato dal nostro router ed il secondo dallo switch del nostro ISP, ovvero dal fornitore dei servizio internet) il nostro traffico deve e puรฒ, quindi, dirigersi da Internet fino alla sua destinazione attraverso un tunnel che viene creato, come vedremo, incapsulando i dati in una corazza costituita da diversi protocolli. Osservando, quindi, la figura qui sotto possiamo immaginare i nostri dati attraversare il tunnel in arancio generato tra l’abitazione ed il firewall dell’azienda piuttosto che passare direttamente attraverso l’internet pubblico.
Gli strumenti di comunicazione non comprendono l’IP e per questo il router deve incapsulare il traffico in un protocollo ISP (internet service provider) che il dispositivo puรฒ capire, ovvero il PPP (protocollo point-to-point).
Allo stesso tempo ancheย internet non comprende il PPP e per questo il nostro traffico PPP deve essere a sua volta incapsulato, o se preferiamo trasdotto,ย in un protocollo che possa funzionare, ovvero il PPTP o l’L2TP, nominati nel paragrafo precedente, di modo da poter trasmettere i dati su una rete IP. A questo punto, verrร utilizzato anche l’IPSec per criptare ed assicurare l’integrita dei dati che passano attraverso l’L2PT.
L’IPsec รจ un insieme di protocolli creati per proteggere il traffico IP e si trova a livello del livelloย networkย (qui, vengono inserite tutte le informazioni relative allโheaderย dei pacchetti per permettere alleย informazioniย di essere indirizzate nelย giusto percorso eย verso la loroย corretta destinazione) mentre il PPP e l’L2TP sono localizzati nel livello delย data linkย del modello OSI (i dati qui che sono frazionati vengono controllati per eventuali errori prima di essere trasferiti) che avevamo analizzato qui un po’ di tempo fa.
Una volta che il traffico raggiunge la rete aziendale i pacchetti di dati verranno decriptati e de-capsulati dal L2TP e dal PPP ed inviati alla loro destinazione finale.
Tutto questo gioco derivante dalla mancanza di comprensione dei dati da parte degli strumenti tra loro collegati non permette, per esempio, nemmeno al nostro ISP (provider di servizi internet) di leggere ciรฒ che viene inviato sebbene e comunque si renda necessario anche il criptaggio. Allo stesso tempo il PPTP e l’L2TP rendono possibile la creazione di un tunnel attraverso reti che non comprendono il PPP.
Va sottolineato che, solamente nel caso di una connessione VPN point-to-point, si rende necessario usare tutti i protocolli menzionati (ovvero PPP, PPTP, L2TP e IPSec) mentre nel caso di due porte router connesse via internet e con funzionalitร VPN incorporate ciรฒ non serve: basterร il solo IPSec.
In specifico l’IPSecย (IP security) dal punto di vista dei VPN รจ un insieme di procolli sviluppati per proteggere il traffico IP poichรฉ, al contrario dell’IPv6 (sesta versione del protocollo internet),ย l’IPv4ย (quarta versione del protocollo internet) non ha alcun tipo di sicurezza integrata. I protocolli principali dell’IPsec sono:
- Authentication Headerย (AH) che provede all’integritร , all’autenticazione di origine dei dati ed alla protezione da ripetuti attacchi e da modifiche non autorizzate. Non รจ in grado di criptare i dati.
- Encapsulating Security Payload (ESP)ย che riguarda la riservatezza e l’integritร dei dati.
- Internet Security Association and Key Management Protocol (ISAKMP) cheย fornisce un luogo di scambio e creazione dell’associazione di chiavi di sicurezza.
- Internet Key Exchange (IKE)ย che provvede all’autenticazione delle chiavi di cui sopra.
Il momento in cui due router creano una connessione IPSec VPN sono necessarie un’insieme di regole, algoritmi, chiavi, protocolli e modalitร d’uso su cui i due dispositivi concordino attraverso un processo di handshake (stretta di mano) per proteggere i dati trasmessi.
In realtร , in passato e senza sottolinearlo abbiamo giร accennato ad un tipo di tecnologia VPN ovvero l’SSL (Secure Sockets Layes) che si occupa della protezione del traffico HTTP rendendo il sito a cui viene applicata un HTTPS e creando cosรฌ una connessione con accesso sicuro ad un portale, o indirizzo web specifico; ovviamente in questo caso la sola navigazione all’interno del suddetto รจ resa sicura e criptata ma, trovandosi a livello di applicazioneย del modello OSI giร menzionato precedentemente, esiste solo un piccolo numero di tipologie di traffico che possono essere protette da questo tipo di VPN.
Va sottolineato che, come tutte le tecnologie a nostra disposizione anche la connessione VPN puรฒ essere usata sia per proteggere i propri dati che per nascondere traffico doloso.
Scegliere un servizio VPN non รจ facile: ve ne sono talmente tanti che presentano varie offerte da potercisi perdere; senza contare che ognuno di noi sente di aver bisogno di un certo tipo di VPN piuttosto che un altro: c’รจ chi si preoccupa maggiormente della sicurezza, chi della privacy, chi ancora della tipologia dei pagamenti, chi di oltrepassare reti protette, etc.. Considerando la natura di questo post ci limiteremo a menzionarne quattro che secondo noi possono risultare validi con l’intento futuro di dedicarvi un articolo a parte. Tra i servizi “gratuiti” troviamoย Avira Phantom VPNย (con 1 gigaย al mese disponibile)ย o il VPN del browser Opera in versione desktopย (senza limitazioni)ย mentre tra quelli a pagamento possiamo consigliare Mullvad, Viking VPN,ย ExpressVPN, NordVPNย e Cyberghost. Inoltre, ricordiamo che con Windows 10 รจ possibile configurare il proprio VPN sul nostro pc sebbene in questo caso la possibilitร di restare anonimi venga a mancare (vedremo come prossimamente).
Concludiamo questo articolo ricordando come la configurazione migliore per prevenire fuoriuscite di dati sarebbe quella di utilizzare un firewall ben configurato ed indipendente che possa bloccare tutti i pacchetti non destinati all’interfaccia VPN. Questo perchรฉ esistono dei kill switchย in grado di bloccare applicazioni preconfigurate appena rilevano una connessione VPN oppure capaci di disabilitare la connessione di rete in presenza di una disconnessione portando cosรฌ a dei leakย che comprometterebbero la nostra privacy. Inoltre, la VPN non ci puรฒ proteggere nel caso decidessimo di scaricare pacchetti o software infetti.
Non ci stuferemo mai di dirlo: non esiste un sistema perfetto e la vera sicurezza non รจ affidarsi solamente ad un VPN, oppure al solo Tor, oppure ad altri servizi alternativi o persino mixarli tra loro, ma mantenersi sempre e comunque aggiornati studiando e cercando di comprendere le debolezze della struttura che utilizziamo!
Lascia un commento