Una rete VPN consente di stabilire un collegamento sicuro tra sistemi che utilizzano, per scambiarsi dati, lo strumento più insicuro per eccellenza: Internet.
I vari sistemi che si collegano ad un server VPN, da remoto, indipendentemente dallo loro locazione fisica, possono entrare a far parte di una rete locale posta anche a migliaia di chilometri di distanza.
In questo modo, si potrà ad esempio accedere alle risorse condivise in LAN come se il dispositivo in uso fosse parte della rete locale.
Per scambiare i dati con la LAN remota, viene creato un “tunnel” virtuale all’interno del quale tutti i dati vengono crittografati in modo tale che non possano essere monitorati od intercettati da terzi.
PPTP, L2TP e OpenVPN sono protocolli a supporto delle reti VPN che permettono di accedere da remoto alle reti aziendali (ma anche alle reti locali di piccole attività e studi professionali) in maniera sicura, attraverso la rete Internet.
Con questo articolo ci prefiggiamo di far luce sulle debolezze e sui punti di forza di ciascun protocollo ponendo in evidenza le principalidifferenze tra PPTP, L2TP IPSec e OpenVPN. In questo modo, prima di accingersi alla configurazione di una rete VPN si potrà scegliere qualche protocollo viene maggiormente incontro alle proprie esigenze.
PPTP
Il protocollo PPTP è probabilmente il più utilizzato per instaurare connessioni VPN ma è anche il meno sicuro in assoluto.
Sviluppato da Microsoft, PPTP supporta chiavi crittografiche fino a 128 bit. La cifratura dei dati viene effettuata adoperando il Microsoft Point to Point Encryption Protocol.
Per stabilire una connessione VPN con PPTP, viene richiesto solamente l’utilizzo di un nome utente, di una password e dell’indirizzo del server VPN.
– Comparativa con gli altri protocolli: PPTP è l’opzione meno sicura da scegliere quando si decide di attivare una VPN.
– Compatibilità e supporto: PPTP è compatibile e direttamente supportato anche nei sistemi operativi client Windows (esempio: Windows XP, Windows 7, Windows 8, Windows 8.1); è utilizzabile nelle varie distribuzioni Linux, con i firmware per router DD-WRT e Tomato, in Apple iOS, Mac OS X ed Android.L’utilizzo del protocollo PPTP consente di allestire in modo estremamente semplice e veloce una connessione VPN. Il suo punto di forza è sicuramente la compatibilità con un vasto numero di sistemi e piattaforme. A causa delle vulnerabilità scoperte in PPTP (vedere il nostro articolo VPN: Microsoft conferma le vulnerabilità di MS-CHAP v2 e quello di Bruce Schneier), tuttavia, l’uso di PPTP è sconsigliato a tutti gli utenti più esperti e comunque a tutti coloro che debbano far transitare, attraverso il tunnel VPN, informazioni importanti.
Per usare PPTP è necessario aprire sul router (ed inoltrare correttamente) il traffico in ingresso sulla porta TCP 1723 (vedere anche Aprire porte sul router e chiuderle quando non più necessario).
L2TP
Il protocollo L2TP, acronimo di Layer 2 Tunnel Protocol è un popolare strumento utilizzato per stabilire connessioni VPN. Di per sé non offre alcuna forma di protezione ed i dati in transito non vengono cifrati.
Per questo motivo, L2TP è solitamente utilizzato “in coppia” con il protocollo IPSec che invece integra funzionalità di autenticazione, cifratura e controllo di identità dei pacchetti IP.
Supporta chiavi crittografiche fino a 256 bit utilizzando il protocollo IPSec anche se la loro lunghezza varia sulla base degli algoritmi utilizzati.
Per maggior sicurezza L2TP utilizza un doppio incapsulamento dei dati.
Rispetto a PPTP ed OpenVPN, L2TP è leggermente meno performante ma gode comunque di un buon supporto da parte dei vari sistemi operativi. L2TP è ad esempio compatibile con Windows XP, Windows 7, Windows 8 e Windows 8.1 (anche se solo in modalità client), con Android, Linux, Mac OS X ed Apple iOS.
L2TP, combinato con l’uso del protocollo IPSec, offre un livello di sicurezza nettamente superiore rispetto a PPTP. Allo stato attuale, infatti, non si conoscono lacune di sicurezza importanti.
Sono circolati solamente alcuni report di Edward Snowden che parla di IPSec come di uno standard ormi compromesso dall’agenzia statunitense NSA mentre John Gilmore (esperto di sicurezza e cofondatore della Electronic Frontier Foundation) sostiene addirittura che il protocollo contenga delle vulnerabilità deliberatamente inserite nella fase di sviluppo.
Le porte utilizzate sono le seguenti: UDP 500, UDP 1701 e UDP 4500.
OpenVPN
Si tratta della più popolare e più sicura applicazione che permette di stabilire connessioni VPN in tutta sicurezza. Sebbene la lunghezza delle chiavi crittografiche possa essere variabile, OpenVPN supporta chiavi lunghe fino a 256 bit.
I dati vengono in questo caso crittografati utilizzando la libreria OpenSSL e le performance sono migliori rispetto a PPTP e L2TP.
L’utilizzo di OpenVPN non è di solito permesso dai firmware “standard” che equipaggiano i router commerciali. È comunque possibile attivare una rete VPN facendo sì che il router funga da server VPN utilizzando firmware come DD-WRT o Tomato.
Nell’articolo Come configurare una rete VPN professionale con OpenVPN e DD-WRT abbiamo proprio spiegato come trasformare il router in un server VPN OpenVPN installando e configurando il “custom firmware” DD-WRT (non è compatibile con tutti i router in commercio).
OpenVPN può essere liberamente impostato in modo tale da usare qualunque porta TCP o UDP ed è compatibile con Windows, Linux e Mac OS X previa installazione dell’apposito software client.
Anche su Android si può effettuare una connessione verso un server OpenVPN installando l’app ufficialeo quella alternativa sviluppata da terze parti.
