|
Virtual Private Network, ovvero, Rete Privata Virtuale.Vuol dire poter
creare una rete aziendale tra sedi, filiali, agenzie, fornitori, stabilimenti,
venditori ecc. su tutto il territorio nazionale per scambiare dati ed informazioni,
acquisire in tempo reale disponibilita' a magazzino e prezzi aggiornati,
inoltrare ordini, registrare immediatamente vendite, ottenere riepiloghi
aggiornati all'ultimo minuto, il tutto utilizzando una rete IP altamente
affidabile.
Le VPN, inoltre, possono essere utilizzate per accessi in emulazione
di terminale, file transfer, condivisione di risorse (file systems e stampanti
remote), posta elettronica, accesso a Web site privati e a tutte le applicazioni
che supportano IP come protocollo di rete.
Tutte le informazioni transitano su Internet, ma con un altissimo grado
di protezione e sicurezza, grazie ai meccanismi di tunneling creati da
appositi protocolli di comunicazione (PPTP, L2TP, IPSec ecc.). Qualunque
informazione riservata che transitera' sulle rete sara' disponibile solo
per gli utenti autorizzati ad accedervi, protetta da sistemi di sicurezza
e crittografia che vi metteranno al riparo da qualsiasi intrusione esterna.
In altre parole, una rete privata virtuale costituisce un collegamento
a livello dell'infrastruttura di rete, piuttosto che a livello delle applicazioni.
Persegue lo scopo di rendere sicuro tutto il traffico sulla rete, creando
un tunnel virtuale di protezione che, a sua volta, consente a computer
remoti di operare come se possedessero un collegamento diretto sulla medesima
rete.
La rete privata virtuale può essere realizzata secondo due tipologie.
La prima è tipica del collegamento di una filiale periferica alla
sede centrale ed è caratterizzata da una coppia di router, firewall
oppure altre apparecchiature specifiche VPN che trasformano in cifra tutto
il traffico che li attraversa. Gli utenti finali non hanno alcuna percezione
della crittografia applicata. Un collo di bottiglia, in termini di prestazioni,
può essere costituito dal dispositivo che provvede alla cifratura
e alla corrispondente decifratura, con un effetto negativo variabile in
dipendenza della natura del dispositivo stesso. Il secondo tipo di VPN
è rappresentato dal collegamento tra il notebook sul campo oppure
il PC a casa, verso una filiale o verso la sede centrale. In questo caso,
il PC deve essere dotato di un driver specifico per apparecchiature VPN.
In aggiunta, poiché VPN opera al livello di infrastruttura, l'utente
finale non ha la necesità di interagire con questo driver, come
avviene ad es. con il driver del modem, quando tutto lavora correttamente.
Il collegamento può essere attivato mediante un qualsiasi ISP (Internet
service provider) ed opera come segue: il PC remoto provvede alla cifratura
dei dati, mentre il firewall dell'ufficio remoto, i router, il server NT
o un'altra apparecchiatura indipendente assicurano la decrittazione, lasciando
in chiaro su Internet solamente le infomazioni di instradamento IP.
Gli standard VPN sono in preparazione e saranno applicabili, in futuro,
nell'ambito della prossima generazione dei protocolli IP versione 6. Per
inciso, ricordiamo che il protocollo TCP (Transmission control protocol)
è responsabile del raggruppamento dei dati in pacchetti, con il
successivo ripristino originario a destinazione. L'Internet Protocol assicura
che i pacchetti arrivino alla corretta destinazione. Attualmente, su Internet
viene usato il protocollo IP versione 4. La versione 5 è stata sviluppata
circa due anni or sono, ma non è stata mai accettata in maniera
significativa. Lo scopo principale perseguito dalla nuova versione di IP
è di poter incrementare l'area di indirizzabilità sulla rete.
Il comitato IETF (Internet engineering task force) sta lavorando per aggiungere
nuove funzionalità al protocollo, compresa la sicurezza. A proposito
di quest'ultima area, con particolare riferimento alla crittografia, abbondano
i brevetti di tipo commerciale e l'IETF è restio ad adottare qualsiasi
standard basato su tecnologie non disponibili liberamente. In definitiva,
anche se l'IETF continua ad operare per definire un standard VNP tramite
il gruppo di lavoro sulla sicurezza di IP versione 6, restano ancora notevoli
ostacoli da superare.
In realtà, secondo gli esperti, la parte di IPV6 riferita alla
tecnologia di crezione delle VPN è insufficiente per assicurarne
l'interoperabilità. Infatti, due delle assenze principali nelle
specifiche riguardano il protocollo di scambio delle chiavi e uno standard
per l'algoritmo di cifratura. I produttori, in mancanza di metodi standard
di crittografia delle informazioni e di invio delle chiavi di decrittazione
agli utenti autorizzati, proporranno sicuramente soluzioni proprietarie,
con tutti gli effetti negativi che si possono immaginare in termini di
interoperabilità delle reti. A dimostrazione del fenomeno, la società
Checkpoint Software Technologies ha annunciato un metodo per attivare una
VPN in IP versione 4, utilizzando una sua propria tecnologia di cifratura.
Per funzionare, ad entrambe le estremità del tunnel virtuale devono
essere installate altrettante copie di Firewall-1. La medesima società
sta anche operando per implentarelo standard VPN IPV6, per quanto possibile,
affermando che i suoi prodotti risulteranno compatibili con quanti altri
useranno IPV6. Alcuni fornitori sono impegnati su tecniche mirate a riservare
l'uso del tunnel a determinate applicazioni, oppure a individui o server
prestabiliti. Questo significa che una rete VPN non deve contenere un'intelligenza
operativa, poiché può essere configurata in modo da risultare
di uso esclusivo per applicazioni o utenti specifici. Una funzionalità
di questo tipo è stata promessa dalla società Raptor, per
i propri prodotti firewall Eagle. Un ultimo problema in termini di sicurezza
è costituito dai momenti in cui i dati viaggiano in chiaro, non
cifrati e visibili a tutti. In molti casi, questo avviene all'interno delle
reti private per cui, ad esempio, un'informazione che viaggi da una filiale
periferica verso la sede centrale, una volta decifrata dal firewall diviene
disponibile per chiunque, all'interno della rete interna all'impresa. A
questo punto, per garantire la segretezza interna, è necessario
attivare tunnel da punto a punto con firewall interni. In alternativa,
le stazioni di lavoro dell'impresa possono usare driver VPN, operando come
se fossero stazioni mobili.
|
