Home ] Su ]

 

VPN - Virtual Private Networks

Sono reti private virtuali usate per trasferimenti sicuri di dati via Internet. Elementi fondamentali di una VPN intesa come insieme di dispositivi, protocolli e servizi, sono un server PKI (Public Key Infrastucture) che gestisca le politiche di sicurezza e un gateway VPN. La Public Key Infrastructure è una struttura modulare scalabile costituita dalle seguenti componenti:

  • una o più Autorità di Certificazione (CA) che si occuopano della gestione dei servizi di crittografia con la generazione e la distribuzione dei certificati a chiave pubblica, e gestiscono anche la durata dei certificati stessi attraverso la CRL (Lista di Revoca dei Certificati);
  • un servizio di directory in cui sia contenuta la lista degli utenti del sistema con le relative politiche di sicurezza (un esempio di questo tipo è l' Active Directory di Windows 2000 Server);
  • una serie di applicazioni e servizi che utilizzino i sistemi crittografici a chiave pubblica: servizio web con supporto SSL, servizio di posta che gestisca il protocollo criptato S/MIME, servizi di autenticazione criptata come Kerberos etc.

Se possiamo quindi considerare la PKI come il nucleo nella struttura di una VPN, i VPN Gateway possono essere considerati gli elementi di confine. I VPN Gateway sono quelle entità che creano il cosiddetto tunnel su Internet per il transito protetto dei dati. In realtà non viene creata una vera e propria "corsia preferenziale" percorsa dai pacchetti, ma, come vedremo in seguito, i pacchetti vengono criptati e incapsulati in pacchetti contenitore. Quindi, nonostante seguano in rete vari percorsi come avviene per tutti gli altri pacchetti, sono leggibili esclusivamente dal destinatario.

Vi sono varie soluzioni per implementare un VPN Gateway. La prima è utilizzare dei dispositivi hardware. A tale proposito esistono tre tipi di dispositivi che hanno utilizzi differenti:

1. Concentratori VPN. Questi dispositivi vengono utilizzati per lo più nel caso in cui si voglia creare un collegamento tra agenti esterni che non si collegano sempre dallo stesso luogo o soggetti esterni all' azienda stessa, cioè quando si vuole creare un collegamento temporaneo. L' utente che utilizza il concentratore deve disporre di un client VPN Hardware o software che in alcuni casi è in grado di gestire anche comunicazioni con dispositivi wireless. I concentratori gestiscono l' autenticazione degli utenti ed il criptaggio dei dati. Come esempio concreto: concentratori Cisco serie 3000o 5000.

2. Router VPN. Vengono utilizzati per collegare tra loro sedi distaccate creando un collegamento stabile. In questo caso il collegamento avviene tra due router VPN e non tra un dispositivo che fa da server ed un fa da client.

3. Firewall VPN. Hanno le stesse funzionalità dei dispositivi precedenti con in più le caratteristiche dei classici firewall. L'utilizzo di questi dispositivi hardware non è necessario per mettere su una VPN, ma è possibile utilizzare un server con doppia interfaccia di rete che svolga le medesime funzioni di autenticazione degli utenti, cifratura dei dati e incapsulamento dei pacchetti. A tal proposito, visitare il link su come implementare un VPN Gateway utilizzando Windows 2000 Server o Linux. Vi è inoltre un link che fa riferimento alle VPN nel nuovo Windows 2003.

Come detto in precedenza, il tunnelling operato dai VPN gateway si basa su protocolli cruptati. E' necessario però distinguere i protocolli utilizzati dai VPN gateway da quelli ai quali siete probabilmente più abituati, come ad esempio SSL per il web oppure SSH per il telnet. A differenza dei primi, infatti, questi ultimi agiscono a livello applicazione del modello OSI. Ciò significa che ad essere criptati sono esclusivamente i dati relativi ad una particolare comunicazione, come può essere quella tra noi e un server Web, ma il resto dei dati che escono ed entrano dal nostro sistema sono comunque in chiaro. I protocolli utilizzati nei VPN gateway come l' IPSec agiscono invece a livello di rete del modello OSI, e ciò comporta quindi la cifratura dell'intero traffico di rete.

Queste sono le principali problematiche di sicurezza che le VPN risolvono.

 L'intercettazione: se, infatti, un malintenzionato riuscisse ad intercettare i dati non potrebbe comunque leggerli e qualora cercasse di decrittarli non ci riuscirebbe in tempi utili.

L'autenticazione di un utente non autorizzato viene impedita attraverso lo scambio di chiavi di sessione che serviranno a cifrare e decifrare i pacchetti.

Riutilizzo dei pacchetti sniffati e modificati per dirottare le sessioni.                                        

Links Utili per approfondire l'argomento in maniera più dettagliata:

http://vpnc.org Il Virtial Private Network Consortium promuove l'utilizzo delle VPN e supporta gli standard IETF che le riguardano.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/deploy/confeat/vpnsol.asp Pagina di Technet di Microsoft in cui è descritta l'implementazione di una VPN su Windows 2000 Server.

http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx Pagine dedicate alle VPN nel nuovo server Windows 2003 di Microsoft.

http://www.linux.org/docs/ldp/howto/VPN-HOWTO/index.html How to per l'implementazione di una VPN con Linux.

http://www.counterpane.com/ipsec.pdf Link al documento originale di Bruce Schneier e Niels Ferguson "A Cryptographic Evaluation of IPSec".

http://www.counterpane.com/pptp.pdf Link al documento"Cryptanalysis of Microsoft's Point-To-Point-Tunnelling Protocol.

http://www.cisco.com Sito della Cisco, principale produttore di dispositivi VPN Hardware.

Autore: Roberto 'dec0der' Enea