Costruire una VPN a livello di rete
Le soluzioni VPN oggi più diffuse rimangono quelle operanti a livello di rete.
Considerata la naturale scarsa predisposizione del protocollo IP alla sicurezza, per la realizzazione di una VPN a livello IP è necessaria l’adozione di un sistema crittografico appropriato ogni qualvolta sia richiesto di assicurare data privacy e data integrity.
Lo schema crittografico più utilizzato al momento è quello inglobato nell’architettura IPsec, ma possono essere adottate altre soluzioni tecnologiche equivalenti, che possono essere veicolate tramite appositi protocolli di tunneling.
Con il termine tunneling si intende il processo per cui un protocollo viene incapsulato in un protocollo dello stesso livello o di livello superiore per realizzare il trasporto di informazioni attraverso una rete non idonea a veicolare i messaggi nella loro forma originale.
Il protocollo IPsec può operare in modalità tunnel o in altra modalità (transport mode).
Gli altri protocolli operano tutti tramite tunnel.
Secondo questa impostazione, ciascuna VPN risulta composta da un insieme di reti locali private protette da soluzioni di sicurezza perimetrale e interconnesse tra loro da canali (o tunnel) di comunicazione sicuri, attivati e mantenuti dai rispettivi gateway.
A ogni canale può essere associato uno specifico sistema crittografico con i relativi parametri.
In questo modo tutti i pacchetti appartenenti a un dato canale risultano codificati prima di essere veicolati sull’Internet pubblica.
Ogni canale viene trattato dal gateway alla stregua di una interfaccia virtuale, alla quale possono essere associate le route per più subnet IP private, progettate in accordo a un piano di indirizzamento IP privato.
L’instradamento di un pacchetto IP è quindi condizionato all’individuazione dell’interfaccia tunnel locale che deve essere utilizzata per raggiungere la destinazione remota.
Se esiste un canale per raggiungere la destinazione remota e questa risulta dotata di indirizzo IP privato, normalmente non si effettua alcuna traslazione NAT ma si effettua direttamente una operazione di incapsulamento del pacchetto originale, in accordo al protocollo configurato per il tunnel.
La tabella di routing locale può stabilire anche che per una data destinazione non esiste necessità di utilizzare alcun tunnel.
In tal caso il pacchetto viene instradato verso l’Internet pubblica senza alcuna manipolazione (limitandosi ad adattare l’indirizzo sorgente tramite NAT).
Una volta che un pacchetto IP appartenente alla VPN giunge a destinazione (all’altra estremità del tunnel), al messaggio vengono tolte le intestazioni aggiuntive inserite dal gateway sorgente e, se necessario, i dati sono decodificati, ricostruendo così il pacchetto IP originario.
I vantaggi di una VPN sono amplificati quando la sua presenza risulta trasparente agli utilizzatori finali.
Questo accade quando gli utenti, che fanno parte della VPN, possono continuare a osservare le stesse regole per l’accesso a tutte le risorse dell’organizzazione, indipendentemente dalla loro collocazione.
Altrettanto importante è riuscire ad assicurare un livello di performance non degradato ogni volta che si usa un collegamento tunnel invece che l’accesso diretto alla stazione terminale.
Oltre alla necessaria protezione introdotta dall’uso di opportune funzioni crittografiche, occorre oggi ricercare soluzioni VPN che consentono di garantire SLA prestabiliti riguardo, almeno, il throughput minimo e la latenza massima nell’attraversamento della rete da parte dei pacchetti spediti dagli utenti che ne fanno uso.
Esistono molteplici soluzioni che possono essere utilizzate per l’incapsulamento e il tunneling di pacchetti IP riservati su un backbone IP condiviso.
Oltre ai protocolli che compongono l’architettura IPsec (AH e ESP) le alternative più utilizzate sono:
