Loading AI tools
rete di telecomunicazioni privata Da Wikipedia, l'enciclopedia libera
Una rete privata virtuale (in inglese virtual private network, in sigla VPN) è una rete privata, instaurata come connessione tra soggetti che utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso, come ad esempio la suite di protocolli Internet.
Le VPN possono garantire diversi tipi di protezione dei dati, tra cui confidenzialità, integrità, autenticazione e protezione dagli attacchi replay.[1]
Scopo delle reti VPN è quello di offrire alle aziende, a un costo minore, le stesse possibilità delle linee private a noleggio, ma sfruttando reti condivise pubbliche: si può vedere dunque una VPN come l'estensione a livello geografico di una rete locale (LAN) privata aziendale sicura che colleghi tra loro siti interni all'azienda stessa variamente dislocati su un ampio territorio, sfruttando l'instradamento tramite IP per il trasporto su scala geografica e realizzando di fatto una rete LAN, detta appunto "virtuale" e "privata", equivalente a un'infrastruttura fisica di rete (ossia con collegamenti fisici) dedicata.
Il termine "VPN" è un termine generico che definisce l'idea e non un marchio o uno standard; in particolare non esiste alcun ente che regoli la denominazione di un prodotto come VPN: quindi ogni produttore può utilizzare la denominazione a suo piacimento. Esistono tuttavia vari organismi indipendenti, largamente riconosciuti, che certificano interoperabilità (la capacità di un sistema o di un prodotto informatico di cooperare e di scambiare informazioni) e sicurezza dei sistemi informatici, come ad esempio ICSA Labs. Un apparato o un software, che riporti il marchio di ICSA Labs per le VPN IPsec, ha sicuramente superato una serie di esami oggettivi e replicabili, che garantiscono la compatibilità con tutte le altre implementazioni certificate e un adeguato livello di sicurezza. È oggi opinione comune che una VPN correttamente progettata abbia un grado di sicurezza comparabile se non maggiore a quello di una rete dedicata.
Tramite una VPN, utilizzando una connessione Internet (o anche radiofonica), è ad esempio possibile collegarsi da remoto (cioè dall'esterno) alla rete informatica della propria azienda. In termini semplificati: tramite una connessione VPN ci si può "collegare" da un client (utilizzatore, sia hardware che software) come se si fosse fisicamente (cavo di rete o intramezzo wireless) cablati. La connessione si svolge attraverso un tunnel "virtuale" (protetto e sicuro) supportato da Internet esattamente come fosse il cavo fisico abituale. In questo modo si possono utilizzare le risorse di rete abituali: cartelle, sistemi informatici gestionali, posta elettronica aziendale e così via. A parte l'esempio aziendale, questo vale per qualsiasi applicazione dove sia necessaria una connessione di rete da remoto. A titolo esemplificativo, un istituto universitario può attivare una VPN per consentire ai propri studenti la consultazione da casa di pubblicazioni per le quali ha sottoscritto degli abbonamenti; finché l'utente ha il servizio VPN attivato, tutte le sue richieste transitano dai server dell'istituto, come se la connessione fosse effettuata in locale, ottenendo pertanto l'accesso ai servizi di abbonamento riservati; nel contempo l'utente è anche soggetto alle politiche del gestore che può ad esempio crittografare o meno la connessione server-utente o inibire alcuni protocolli come il P2P o l'accesso ai siti internet inseriti in una black list.
Le VPN possono essere implementate attraverso i sistemi operativi più comuni (Windows, Linux, Android, iOS, macOS e MS-DOS) oppure tramite software di terze parti (esempio: Cisco VPN Client o OpenVPN) che permette configurazioni più complesse e gestibili. Generalmente una VPN comprende due parti: una "esterna alla rete privata", e quindi protetta, che preserva la trasmissione, e una meno affidabile e sicura che è "quella interna alla rete", ad esempio via Internet. Le reti VPN utilizzano collegamenti che necessitano di accesso in modo da garantire l'accesso ai soli utenti autorizzati; per garantire la sicurezza che i dati inviati in Internet non siano intercettati o utilizzati da altri non autorizzati, le reti utilizzano sistemi di cifratura. Le reti VPN sicure adottano dunque protocolli che provvedono a cifrare il traffico transitante sulla rete virtuale. Oltre alla cifratura, una VPN sicura deve prevedere nei suoi protocolli dei meccanismi che impediscano violazioni della sicurezza, come ad esempio il furto dell'identità digitale o l'alterazione dei messaggi. Nelle VPN c'è in genere un firewall tra il computer del dipendente o di un cliente e il terminale della rete o del server. Il dipendente, per esempio, quando stabilisce la connessione con il firewall deve verificare i dati che vuole trasmettere, passando attraverso un servizio di autenticazione interno.
Un utente autenticato può essere provvisto di privilegi particolari per accedere a risorse che generalmente non sono accessibili alla generalità degli utenti. La maggior parte dei programmi client richiede che tutto il traffico IP della VPN passi attraverso un "tunnel virtuale" tra le reti utilizzando Internet come mezzo di collegamento. Dal punto di vista dell'utente ciò significa che, mentre la connessione VPN è attiva, tutti gli accessi esterni alla rete sicura devono passare per lo stesso firewall come se l'utente fosse fisicamente connesso all'interno della rete sicura. Questo riduce il rischio che utenti esterni possano accedere alla rete privata dell'azienda. Lo strumento maggiormente sfruttato in tal senso è il tunneling, cioè la trasmissione di dati attraverso una rete privatizzata, che fa sì che i nodi d'instradamento della rete pubblica non siano in grado di percepire che la trasmissione è parte di una rete nascosta; esso permette dunque di usare la rete pubblica per trasportare dati per conto di clienti autorizzati all'accesso alla rete privata, facendo sì che la comunicazione end-to-end tra utenti rimanga a livello logico confinata all'interno della rete privata stessa. In genere il tunneling viene creato incapsulando i dati e il protocollo nel protocollo di rete pubblica, così che i dati che transitano per il tunnel non siano comprensibili a terzi che stiano eventualmente esaminando i dati trasmessi. La sicurezza della connessione VPN è di importanza fondamentale, perché la rete su cui gli altri computer stanno lavorando potrebbe non essere sicura o esserlo solo parzialmente. La VPN deve quindi garantire un livello di sicurezza tale da proteggere i computer dei dipendenti che stanno lavorando simultaneamente sulla stessa rete, tra i quali uno potrebbe essere stato infettato da un virus, un worm o un trojan.
La natura della VPN – fare transitare dati privati in reti pubbliche – richiede attenzione verso le minacce potenziali ai dati stessi e l'impatto di quelli persi. Una VPN si preoccupa delle minacce alla sicurezza, offrendo servizi di sicurezza nelle aree di autenticazione, il processo per assicurarsi che un cliente o un sistema siano effettivamente coloro che dichiarano di essere. Ci sono molti meccanismi di autenticazione, ma i più usati sono:
Login e password sono considerati generalmente autenticazioni deboli, mentre autenticazioni forti si ottengono combinando tra loro due diversi tipi di autenticazione. L'effettivo livello di sicurezza dipende ovviamente dal contesto, perché per esempio una smartcard può essere rubata, mentre le credenziali di accesso possono essere difficili da individuare. Dati di sicurezza rubati o persi possono consentire più attacchi e necessitano di più schemi di autenticazione.
Nessuna tecnica offre completa sicurezza di autenticazione, neanche quelle biometriche (impronte digitali, impronte vocali e mappatura della retina).
Una VPN ben strutturata può offrire grandi vantaggi a un'azienda:
Da quando la VPN ha così esteso la "major network" con una dovizia di apparati e dispositivi, alcune implementazioni di sicurezza necessitano un'attenzione particolare:
In situazioni in cui le aziende, o individui, hanno obblighi legali per la tenuta di informazioni confidenziali ci possono essere problemi legali o penali. Due esempi sono i regolamenti HIPAA negli Stati Uniti con riguardo ai dati sicuri, e i regolamenti generali dell'Unione europea che si applicano a ogni informazione commerciale e contabile e si estendono a coloro che condividono questi dati.
La garanzia che offre la rete Trusted VPN è la sicurezza che nessun terzo non autorizzato possa usufruire del circuito del cliente. Questo implica che il cliente abbia un proprio indirizzo IP e una propria politica di sicurezza.
Il circuito viaggia attraverso uno o più "interruttori" di comunicazione che possono essere compromessi da chi vuole disturbare il traffico della rete. Il cliente di una VPN si aspetta quindi che il fornitore (provider) della VPN mantenga l'integrità del circuito in modo da impedire l'accesso di intrusi.
Le aziende che utilizzano una Trusted VPN vogliono avere la sicurezza che i loro dati si muovano attraverso una serie di percorsi che hanno proprietà specifiche e che sono controllati da un ISP (Internet Service Provider). Il cliente ha quindi fiducia che i percorsi attraverso i quali questi dati si muovono siano mantenuti sicuri secondo i criteri di un precedente accordo, anche se generalmente il cliente non conosce quali siano i percorsi utilizzati dal fornitore della VPN Trusted.
Più recentemente i fornitori di servizio hanno cominciato a offrire un nuovo tipo di Trusted VPN, questa volta usando Internet invece della rete telefonica come substrato di comunicazione. Queste nuove Trusted VPN non offrono sicurezza, ma danno ai clienti un modo di creare facilmente segmenti di rete su vasta scala (WAN). I segmenti Trusted VPN possono essere inoltre controllati da un posto unico e spesso con una qualità di servizio garantita (QoS - quality of service) dal provider.
Con riferimento alla pila ISO/OSI, le tecnologie utilizzate si suddividono in tecnologie a livello 2 e livello 3;
Da quando Internet si è diffuso ed è diventato un importante mezzo di comunicazione la sicurezza è allo stesso tempo diventata sempre più importante, sia per i clienti che per i provider. Visto che la VPN non offriva una sicurezza completa, i fornitori di connettività hanno cominciato a creare protocolli che permettessero la cifratura dei dati da parte della rete o da parte del computer di provenienza, in modo da essere trasportati in Internet come qualsiasi altro dato, per poi essere decifrati all'arrivo nella rete dell'azienda o nel computer ricevente.
Questo traffico cifrato agisce come un "tunnel" tra due reti: anche se un intruso cercasse di leggere i dati non potrebbe decifrarne il contenuto né modificarlo, dato che eventuali modifiche sarebbero immediatamente rilevate dal ricevente e quindi respinte. Le reti costruite utilizzando la cifratura dei dati sono chiamate Secure VPN.
Il motivo principale per cui le società usano una Secure VPN è che possono trasmettere informazioni delicate su Internet senza temere che vengano intercettate.
Le Secure VPN sono particolarmente utili per permettere accessi remoti da parte di utenti connessi a Internet da zone non controllate dall'amministratore di rete.
Queste tecnologie sono standardizzate nella Internet Engineering Task Force (IETF).[2]
Una Secure VPN può essere adoperata come parte di una Trusted VPN creando un terzo tipo di VPN, recentemente introdotta sul mercato.
Le parti sicure di una Hybrid VPN possono essere controllate da un cliente o dallo stesso provider che fornisce la parte di fiducia dell'Hybrid VPN. Qualche volta un'intera Hybrid VPN è resa sicura grazie a una Secure VPN, ma più comunemente solo una parte dell'Hybrid VPN è sicura. È chiaro che le Secure VPN e le Trusted VPN hanno proprietà molto differenti:
A causa di questi punti di forza e di debolezza sono state introdotte le Hybrid VPN. Gli scenari di utilizzazione sono tuttavia ancora in evoluzione. Una situazione tipica per il dispiegamento di una Hybrid VPN è quando un'azienda ha già una Trusted VPN e desidera sicurezza su una parte della VPN. Tuttavia nessuna delle tecnologie Trusted VPN impedisce la creazione di Hybrid VPN e qualche produttore sta realizzando sistemi che supportano esplicitamente la creazione di servizi Hybrid VPN.
Le Secure VPN utilizzano protocolli crittografici a tunnel per offrire l'autenticazione del mittente e l'integrità del messaggio allo scopo di difendere la privacy[1]. Una volta scelte, implementate e usate, alcune tecniche possono fornire comunicazioni sicure su reti non sicure. Le tecnologie delle Secure VPN dovrebbero essere utilizzate come "security overlay" attraverso infrastrutture di rete dedicate.
I protocolli che implementano una VPN sicura più conosciuti sono:
Alcune reti VPN sicure non usano algoritmi di cifratura, ma partono dal presupposto che un singolo soggetto fidato gestisca l'intera rete condivisa e che quindi l'impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che utilizzano questa filosofia includono:
Alcuni client di soluzioni VPN (ad esempio OpenVPN) installano nel sistema operativo anche un dispositivo virtuale di rete di tipo TAP per attivare la funzione di tunnelling sicuro. Se si disattiva il relativo servizio la connessione all'host non si completa.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.