VPN è l'acronimo di Virtual Private Network. Si tratta di un metodo con cui due punti finali creano una singola connessione privata, o tunnel, pur utilizzando un'infrastruttura di rete più ampia, come Internet o una rete geografica. Una volta stabilita, una VPN agisce come una connessione diretta a una rete privata.
La VPN stessa agisce semplicemente come un'interfaccia di rete per il client e rende trasparente il sistema operativo, le applicazioni e gli utenti che accedono alla rete VPN. Pertanto, le applicazioni, i messaggi e gli utenti possono utilizzare normalmente la connessione senza dover comprendere il funzionamento della VPN.
Gli avvisi personalizzati e la visualizzazione dei dati consentono di identificare e prevenire rapidamente i problemi di salute e di prestazioni della rete.
Una VPN tradizionale richiede due endpoint. Uno è l'endpoint remoto e l'altro è l'endpoint locale. Per creare la connessione VPN, entrambi gli endpoint devono essere impostati e configurati per inviare e ricevere dati utilizzando un protocollo VPN. Esistono vari modi per implementare la funzionalità VPN, tra cui client di terze parti, funzionalità integrate nel sistema operativo e implementazioni basate sulla rete. In ogni caso, la VPN su entrambi gli endpoint deve corrispondere o supportare la metodologia VPN utilizzata sull'altro endpoint.
Una volta che entrambi gli endpoint sono stati stabiliti e configurati, creano una connessione chiamata tunnel VPN. La connessione può essere sempre attiva o essere attivata dinamicamente da un utente o da determinati eventi.
Una forma comune di VPN consente a un utente remoto, sia esso un dipendente, uno studente o un altro utente autorizzato, di accedere a una rete locale privata attraverso una rete pubblica. In questo tipo di VPN, l'utente remoto deve avere un client VPN installato e configurato per connettersi a un gateway VPN sulla rete locale. Gli esempi includono:
Un'altra forma di VPN molto diffusa consente una connessione di tipo WAN tra due siti diversi, utilizzando una rete pubblica come Internet anziché affrontare le spese e le difficoltà dell'installazione di una connessione diretta e privata. In questo tipo di configurazione VPN, gli utenti non devono impostare o configurare i client VPN. La connettività remota viene invece indirizzata attraverso due server VPN. Ogni server VPN funge da server per tutti i client e da endpoint per il server VPN remoto. In questo tipo di VPN, solo il gateway VPN richiede un'implementazione VPN. Tuttavia, per utilizzare la connessione, l'utente finale deve essere direttamente connesso a una delle reti locali collegate al gateway VPN.
Una forma sempre più comune di VPN, in cui l'utente si connette a un provider VPN che a sua volta è connesso a Internet. L'utente deve avere un client VPN installato e configurato per connettersi ai server VPN del provider VPN remoto. Una volta stabilita, la connessione VPN fornisce un tunnel virtuale sicuro al provider, che poi decodifica il pacchetto e lo inoltra su Internet. In questo design, la connessione VPN esiste solo per la prima parte della connessione e non per tutto il percorso fino alla destinazione.
Esempi:
Le notifiche in tempo reale consentono una risoluzione più rapida dei problemi, in modo da poter intervenire prima che si verifichino problemi più gravi.
Una VPN funziona stabilendo una connessione sicura punto-punto tra il client remoto e un server VPN connesso alla rete di destinazione. Una volta stabilita, una connessione VPN incapsula e cripta sia i dati che l'intestazione IP utilizzata per l'instradamento sulla rete locale dietro l'endpoint remoto. Viene aggiunta un'intestazione IP progettata per l'instradamento attraverso la rete pubblica non sicura e i dati sono pronti per il trasporto.
I client VPN standalone richiedono l'installazione di un software su uno o entrambi gli endpoint. Il software viene configurato in base ai requisiti dell'altro endpoint. Per stabilire una connessione VPN, l'endpoint deve eseguire il client VPN e connettersi all'altro endpoint.
I client VPN standalone sono comuni nei servizi VPN pubblici. In genere, l'utente scarica il client del servizio VPN per connettersi alla VPN pubblica.
Uno dei client open source più noti, OpenVPN, funziona su macOS, Windows e Linux, oltre che su Android e iOS. Inoltre, è compatibile con i principali fornitori di cloud come AWS o Azure. Molti fornitori di VPN pubbliche site-to-provider utilizzano OpenVPN all'interno dei loro client, tra cui Private Internet Access, nonché il client di OpenVPN e altri client come NordVPN.
La maggior parte dei sistemi operativi moderni, tra cui Windows, iOS, MacOS, Android e Linux, consentono la connettività a un server VPN remoto, a condizione che l'endpoint remoto supporti lo stesso protocollo e le stesse configurazioni VPN. Questi client spesso non sono facilmente configurabili da utenti non tecnici. Per questo motivo vengono utilizzati soprattutto in un ambiente aziendale dove i professionisti IT possono impostare, configurare e gestire l'installazione dei client e i server VPN a cui i client si connettono dall'altra parte.
L'endpoint remoto si collega a un server VPN che supporta il client VPN e la configurazione sul sistema remoto. In genere, il server VPN agisce come un gateway e un router ai margini della rete locale a cui si accede o, nel caso di una configurazione client-to-provider, ai margini di Internet.
Il server è responsabile dello scarto dei pacchetti e del loro reimballaggio per la distribuzione sulla rete locale o su Internet. Tutte le risposte o le connessioni che ritornano all'endpoint remoto vengono inviate dalla rete locale o da Internet al server VPN, che inverte il processo, incapsulando i pacchetti e inviandoli nuovamente all'endpoint.
Per connettersi all'interno di una rete pubblica, una VPN deve stabilire e utilizzare una normale connessione non VPN nel contesto di tale rete. Ciò avviene tramite un protocollo di tunneling. Un protocollo di tunneling avvolge ogni pacchetto trasmesso in modo che possa essere letto e trasmesso attraverso la rete non privata. Questo processo è chiamato incapsulamento.
L'endpoint crea un pacchetto che verrebbe trasmesso sulla rete privata dietro l'endpoint corrispondente. Tale pacchetto contiene le intestazioni e gli altri dati necessari per raggiungere la destinazione. Tuttavia, questi dati vengono incapsulati dal protocollo di tunneling, trasformando tutte le intestazioni e i metadati della rete locale in parte del payload dei dati. Quando il pacchetto viene trasmesso, la rete pubblica legge solo l'involucro per determinare come trasmettere il pacchetto, spostandolo attraverso la rete pubblica come qualsiasi altro traffico. Quando il pacchetto raggiunge l'altro endpoint, il protocollo di tunneling su quest'ultimo elimina il wrapper e riconfeziona il pacchetto utilizzando i dati di trasmissione e le intestazioni originali, consentendogli di attraversare la rete locale come qualsiasi altro traffico della rete locale. Il processo è invertito per il traffico di ritorno.
Ad esempio, un endpoint che fa parte di una VPN stabilita da un ufficio remoto a un altro ufficio utilizzando Internet creerebbe un pacchetto per la trasmissione sulla rete locale remota, includendo un indirizzo IPS locale. Il client VPN incapsulerebbe quindi il pacchetto trasformando le intestazioni di trasmissione in parte del carico dati del pacchetto. Prenderà il pacchetto risultante e lo avvolgerà all'interno di un pacchetto Internet TCP/IP standard. Per le apparecchiature e i nodi della rete pubblica, le trasmissioni VPN hanno l'aspetto di tipici pacchetti TCP/IP e vengono trasmesse allo stesso modo. All'arrivo all'endpoint, il client VPN rimuove le intestazioni TCP/IP pubbliche, prende le informazioni di trasmissione originali dal payload dei dati del pacchetto e crea un pacchetto utilizzando tali informazioni di trasmissione locali da inviare sulla rete locale.
PRTG Network Monitor è un software di monitoraggio della rete completo e tiene traccia dell'intera infrastruttura IT.
Una connessione VPN offre diversi vantaggi, tra cui la privacy e la sicurezza.
Le connessioni VPN sono crittografate. Se i dati vengono intercettati, dovrebbero essere illeggibili per qualsiasi malintenzionato. Se i dati sono crittografati, è anche vero che le intestazioni IPS all'interno dei pacchetti sono anch'esse crittografate, negando all'aggressore anche la possibilità di utilizzare i dati tipici della rete per trovare ulteriori vettori di attacco.
Molte connessioni VPN vengono utilizzate non solo per la sicurezza, ma anche per garantire la privacy della connessione. Recenti sentenze della FCC consentono agli ISP americani di registrare e tracciare le comunicazioni dei propri clienti. Gli usi di queste informazioni vanno da quelli più fastidiosi, come la pubblicità e il marketing, a quelli più problematici dal punto di vista legale, come l'elenco di tutti i siti web visitati fornito alle agenzie governative o a gruppi litigiosi, come i produttori di musica e film.
Una connessione VPN non solo nasconde i dati trasferiti, ma anche la destinazione finale delle connessioni. Per un sito web remoto, l'indirizzo IP del cliente finale sembra essere l'indirizzo IP della VPN, impedendo così il tracciamento dell'utente. Per l'ISP dell'utente, l'indirizzo IP di destinazione appare anch'esso come l'indirizzo IP della VPN, impedendo il tracciamento della posizione in cui l'utente si connette mentre utilizza la connessione dell'ISP. Nascondere l'indirizzo IP effettivo dell'utente impedisce anche di determinare la sua posizione fisica.
Alcuni servizi e applicazioni sono disponibili solo per gli utenti di determinate regioni geografiche. A volte, questi blocchi sono dovuti a questioni legali come il copyright e la privacy. Una connessione VPN può, in alcuni casi, consentire di aggirare questi blocchi. Connettendosi a un servizio VPN in un'altra località, il servizio di destinazione presumerà che la connessione provenga dalla località del fornitore VPN e non da quella dell'utente originale e consentirà l'accesso. Per questo motivo, i servizi VPN sono illegali in alcuni Paesi.
Una connessione VPN è essenzialmente una tappa in più lungo il percorso che tutti i dati devono compiere. Inoltre, la crittografia per la protezione dei dati richiede un tempo aggiuntivo. Di conseguenza, ogni connessione VPN sarà almeno marginalmente più lenta.
La velocità di una connessione VPN dipende dalla velocità di connessione di entrambi gli endpoint. Ad esempio, un utente che accede a una rete aziendale tramite una VPN è limitato alla velocità più bassa tra la connessione dell'utente a Internet, la connessione di Internet al server VPN e la connessione del server VPN alle risorse a cui si accede.
Allo stesso modo, un utente che utilizza una VPN per l'accesso da client a Internet può disporre di una connessione gigabit direttamente al proprio ISP, ma se la connessione VPN a Internet non fornisce la stessa connessione gigabit all'utente, la connessione complessiva sarà al massimo veloce come quella fornita tra la VPN e Internet.
Un provider VPN lento può portare a una significativa riduzione della larghezza di banda. La maggior parte dei servizi VPN a pagamento garantisce una certa larghezza di banda nei propri SLA.
Per sua natura, una VPN è una connessione di tipo punto-punto. Di conseguenza, qualsiasi tipo di broadcast o multicast non sarà utilizzabile dall'endpoint della VPN. Sebbene la maggior parte delle applicazioni e dei sistemi operativi si sia allontanata da questi tipi di rete, ci sono ancora vecchie applicazioni, soprattutto in ambienti aziendali, che si basano su di essi e non saranno utilizzabili attraverso una VPN.
