I principali porotocolli utilizzati nelle reti VPN

Il mantenimento della sicurezza dei propri dati e dei dati dei clienti è una parte fondamentale delle operazioni di qualsiasi azienda. Negli ultimi anni, molte organizzazioni che non hanno preso sul serio la sicurezza delle proprie informazioni hanno subito pesanti violazioni, spesso con i dati rubati rilasciati pubblicamente o venduti a terze parti. Questi incidenti si verificano da anni; l’unica differenza è che ultimamente sono stati più visibili e hanno influenzato la percezione che molte persone hanno della sicurezza informatica.

Un ottimo sistema per proteggere i dati mentre transitano tra postazioni dislocate tra diverse sedi e in remoto consiste nell’implementare una rete privata virtuale (VPN). Le VPN esistono da molto tempo (oltre 20 anni) e sono state utilizzate in due modi principali: proteggere i dati da una macchina host a una posizione centrale (da client a rete) o proteggere i dati da una rete organizzativa a un’altra (da rete a rete). Entrambi i tipi di VPN vengono implementati sulla rete Internet pubblica. In questo articolo faremo un breve elenco di alcuni dei tipi di VPN più comuni e illustreremo per sommi capi come vengono generalmente implementati.

Generic Routing Encapsulation (GRE)

Il concetto di Generic Routing Encapsulation (GRE) esiste da più di 20 anni. GRE è una soluzione comune per trasportare le informazioni da una rete all’altra. L’idea alla base di GRE è quella di offrire un metodo di trasporto delle informazioni su un supporto IP (Internet Protocol). Il protocollo che viene passato sul tunnel GRE può essere uno dei numerosi protocolli supportati, inclusa la capacità di trasportare IP all’interno di un tunnel GRE/IP. Può anche trasportare una serie di protocolli, inclusi IPv4, IPv6 o AppleTalk, tra gli altri, con IP e IPv6 i più comuni.

Le configurazioni tipiche di GRE sono tra due endpoint in modalità point-to-point. Lo svantaggio principale di GRE è che non supporta alcun tipo di sicurezza (ovvero la crittografia) e le informazioni trasmesse tramite tunnel possono essere facilmente “sniffate” con un software comune. Tuttavia, le moderne implementazioni di GRE hanno esteso le sue funzionalità, con molte VPN che utilizzano GRE come parte di un’implementazione di più tecnologie VPN. Un’implementazione popolare consiste nell’utilizzare GRE multipunto con Next Hop Resolution Protocol (NHRP) e IP Security (IPSec) in modo da incrementare notevolmente la sicurezza.

Sicurezza IP (IPSec)

IP Security (IPSec) è un concetto vecchio quasi quanto GRE e viene utilizzato per fornire un canale di comunicazione sicuro attraverso una rete IP esistente. IPSec stesso non è un protocollo singolo, ma piuttosto un gruppo di protocolli che possono essere implementati in diversi modi, a seconda dei requisiti specifici della situazione.

Le funzionalità principali di IPSec includono diverse funzionalità di sicurezza configurabili:

  • Riservatezza. Una sessione IPSec può essere configurata per crittografare il suo contenuto, fornendo così un metodo per inviare informazioni in modo sicuro tra gli endpoint.
  • Integrità. È possibile configurare una sessione IPSec per fornire protezione dell’integrità, assicurando che le stesse informazioni inviate dal mittente vengano ricevute dal destinatario.
  • Autenticazione. È possibile configurare una sessione IPSec per fornire l’autenticazione, che garantisce che il mittente sia il dispositivo/individuo che afferma di essere.
  • Protezione anti-relè. Questa funzione impedisce a un hacker di raccogliere informazioni da una sessione IPSec e di “riprodurle” per ottenere l’accesso a una posizione sicura.

Protocollo di tunneling punto a punto (PPTP)

Il Point-to-Point Tunneling Protocol (PPTP) esiste dalla fine degli anni ’90 ed è stato inizialmente implementato in modo massiccio nei prodotti Microsoft Windows (da Windows 95 Update 1.3 in poi). PPTP sfrutta pochi altri protocolli per fornire una soluzione completa, incluso il Point-to-Point Protocol (PPP) e una versione avanzata di GRE.

PPTP funziona impostando inizialmente un canale di controllo, che viene quindi utilizzato per creare un tunnel di dati. Questo tunnel di dati è incapsulato con GRE, che trasporta un frame PPP; PPP supporta il trasporto di più protocolli, incluso IP. Supporta anche l’autenticazione, la crittografia e la compressione.

PPTP è uno dei protocolli più semplici da utilizzare in termini di configurazione, ma presenta una serie di noti punti deboli per quanto riguarda la riservatezza. Questo perché PPTP utilizza principalmente la crittografia Microsoft Point-to-Point (MPPE) per supportare la crittografia RC4, che presenta vulnerabilità note.

Secure Sockets Layer (SSL) VPN

Una delle tecnologie VPN più discusse di recente è stata SSL VPN; ciò è dovuto principalmente a una serie di diverse evoluzioni nella sua implementazione che ne facilitano l’implementazione e l’utilizzo. In passato, SSL VPN veniva utilizzato principalmente per fornire supporto tramite un portale centralizzato, che offriva un supporto limitato per un insieme specifico di protocolli. Le moderne implementazioni offrono la possibilità di supportare opzioni SSL VPN basate su client e clientless; le distribuzioni senza client sono più limitate delle loro alternative basate su client, ma molto più sottili da implementare (nessuna carica permanentemente caricata sul client).

Il nome Secure Sockets Layer (SSL) dovrebbe essere familiare alla maggior parte degli utenti Internet esperti di tecnologia, poiché è uno dei protocolli utilizzati dai browser Web e dai client di trasferimento file per proteggere le comunicazioni. Le VPN SSL utilizzano questa stessa tecnologia per fornire un canale sicuro per un’ampia varietà di protocolli. Uno dei principali vantaggi delle VPN SSL rispetto ad altre alternative è che utilizza gli stessi numeri di protocollo comuni utilizzati per il traffico web sicuro. Queste porte vengono inoltrate quasi universalmente su tutte le connessioni Internet e quindi le sessioni non verranno bloccate (un problema con alcune delle altre opzioni discusse qui).

In conclusione

L’uso delle VPN ha continuato ad espandersi man mano che le connessioni Internet sono diventate più veloci, più affidabili e più ampiamente disponibili. Molte aziende stanno spostando le connessioni degli uffici remoti da costose connessioni a linee dedicate a connessioni VPN basate su Internet. Questa tendenza molto probabilmente continuerà man mano che le velocità e le connessioni continueranno ad espandersi.

Ogni ingegnere di rete sarà in qualche modo associato all’uso di una VPN, sia attraverso l’uso personale, lavorando con i computer aziendali su reti protette, sia nell’implementazione e manutenzione di una soluzione VPN. Pertanto è fondamentale che i nuovi ingegneri di rete conoscano almeno le soluzioni VPN più comunemente implementate e comprendano in generale come funzionano. Man mano che gli ingegneri salgono la scala delle certificazioni dei fornitori, dovranno continuare i loro studi anche sulla configurazione VPN.