Indice dei contenuti

Come funziona una VPN?

Indice dei contenuti

Una rete privata virtuale, o VPN, protegge i trasferimenti di dati attraverso Internet creando un tunnel crittografato tra il dispositivo dell'utente e un server remoto. 

Comporta la configurazione di una rete sicura, l'autenticazione dell'accesso dell'utente, la creazione di un tunnel protetto e il mantenimento e la terminazione delle connessioni. Le VPN consentono un accesso remoto sicuro alle risorse aziendali, garantendo che i dati rimangano criptati e inaccessibili agli utenti non autorizzati.

 

1. Impostazione pre-collegamento

Immagine denominata "Impostazione preconnessione", che presenta un diagramma strutturato che spiega la fase iniziale di impostazione di una VPN, elencando i componenti chiave e le impostazioni necessarie. Il diagramma è suddiviso in due sezioni principali: "Panoramica dell'infrastruttura e dei componenti" e Ȭconfigurazione e impostazione delle politiche". La sezione di sinistra, "Panoramica dell'infrastruttura e dei componenti", elenca elementi come l'infrastruttura di rete, il gateway VPN, la rete aziendale interna e i dispositivi esterni dei dipendenti. La sezione di destra, Ȭconfigurazione e impostazione dei criteri", comprende elementi come i criteri di sicurezza, l'autenticazione degli utenti, gli standard di crittografia e le rotte di rete.

Panoramica dell'infrastruttura e dei componenti

Le reti private virtuali (VPN) aziendali si basano sul funzionamento coordinato del server o gateway VPN, del software client e dell'infrastruttura di rete sottostante.

Il gateway VPN si trova ai margini della rete. Funziona come un ponte tra la rete aziendale interna e i dispositivi esterni, implementando misure di sicurezza per il traffico di dati. Il software client, installato sui dispositivi dei dipendenti, avvia la connessione VPN e gestisce la comunicazione continua con il gateway VPN. L'infrastruttura di rete comprende router, switch e firewall che mantengono l'integrità della rete e facilitano il flusso dei dati.

Configurazione e impostazione dei criteri

Prima di connettersi a Internet attraverso una VPN, è necessario seguire una serie di passaggi. La configurazione iniziale della VPN richiede un'attenta impostazione.

Gli amministratori definiscono le politiche di sicurezza e le regole di accesso per governare il flusso del traffico e dettare le autorizzazioni degli utenti. Ciò comporta la creazione di un protocollo di comunicazione sicuro, la selezione di standard di crittografia forti e la configurazione dei percorsi di rete che il traffico VPN crittografato seguirà.

Le regole di accesso sono impostate per specificare quali utenti possono accedere a quali risorse di rete quando sono connessi tramite VPN. In questo modo si assicura che i dipendenti abbiano un livello di accesso alla rete adeguato e che i dati aziendali e le informazioni personali rimangano al sicuro.

 

2. La fase di iniziazione

Immagine intitolata "La fase di avvio", che illustra visivamente il processo di autenticazione dell'utente durante la fase di avvio di una configurazione VPN, tracciando i componenti chiave e la sequenza coinvolta. Presenta un diagramma di flusso suddiviso in due sezioni. La sezione di sinistra, denominata "Autenticazione dell'utente", comprende una sequenza verticale di passi: Utente/Dispositivo, Server di Autenticazione, Autenticazione a più fattori e Active Directory. La sezione di destra, intitolata Ȭlient-Server Handshake", illustra i passaggi tecnici coinvolti: Protocollo Handshake, Negoziazione di versione, Protocollo di sicurezza VPN e Suite di cifratura.

Autenticazione utente

L'autenticazione dell'utente è l'inizio della fase di avvio della VPN. Questo processo verifica l'identità dell'utente che tenta di accedere alla rete. I certificati emessi da un'autorità di certificazione affidabile confermano la legittimità del dispositivo dell'utente.

L'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza, richiedendo all'utente di fornire due o più fattori di verifica. Questo potrebbe includere una password, un token fisico o una verifica biometrica. I servizi di directory, come Active Directory, centralizzano la gestione delle credenziali e applicano le politiche di accesso, assicurando che solo gli utenti autenticati accedano alla rete.

Il processo di autenticazione protegge dall'accesso non autorizzato sia dalla rete locale che da Internet.

Handshake client-server

Dopo l'autenticazione riuscita, il client e il server iniziano un protocollo di handshake. Questa fase prevede la negoziazione della versione, in cui il client e il server si accordano sulla versione del protocollo di sicurezza VPN da utilizzare. Selezionano anche una suite di cifratura, che detta l'algoritmo di crittografia e il metodo di scambio delle chiavi.

L'handshake assicura che sia il client che il server dispongano delle credenziali e delle capacità crittografiche necessarie per stabilire un canale di comunicazione sicuro. È la base per tutti i successivi scambi di dati attraverso la connessione criptata, dall'utente al provider di servizi Internet (ISP) - e fino al server VPN.

 

3. Stabilire il tunnel

Il diagramma intitolato Ȯstablishing the VPN Tunnel", raffigura la terza fase della creazione di una VPN, incentrata sulla selezione del protocollo e sui meccanismi di scambio di chiavi. È diviso in due parti. A sinistra, la sezione "Selezione del protocollo e considerazioni sulla sicurezza" presenta le icone di IPsec e L2TP, sottolineando il processo di handshake client-server. A destra, la sezione "Scambio di chiavi e meccanismi di crittografia" illustra l'uso di chiavi pubbliche e private tra un server e un client.

Selezione del protocollo e considerazioni sulla sicurezza

Una volta completato l'handshake client-server, l'attenzione si sposta sulla creazione del tunnel VPN. Il protocollo di tunneling è il nucleo che supporta il passaggio sicuro dei dati. Sia il client che il server concordano un protocollo di tunneling (come IPsec o L2TP) adatto ai loro requisiti di sicurezza e alle capacità della rete. La selezione del protocollo di tunneling determina il livello di sicurezza, la compatibilità con l'infrastruttura esistente e la capacità di attraversare firewall e traduttori di indirizzi di rete (NAT).

Meccanismi di scambio di chiavi e crittografia

Dopo la selezione del protocollo, la creazione del canale sicuro inizia con uno scambio di chiavi. L'algoritmo Diffie-Hellman (DH) è spesso la scelta per questi scambi. Questo fornisce un modo per generare e condividere in modo sicuro una chiave tra le due parti, senza la necessità di trasmettere la chiave stessa su Internet. In questo meccanismo, sia il client che il server generano coppie di chiavi temporanee - private e pubbliche - e si scambiano le chiavi pubbliche. Ogni lato combina poi la chiave pubblica ricevuta con la propria chiave privata per generare un segreto condiviso.

Un'ulteriore sicurezza è garantita dall'impiego di gruppi DH avanzati con chiavi di dimensioni maggiori. Inoltre, vengono utilizzati algoritmi crittografici come AES per criptare il segreto condiviso, fornendo un ulteriore livello di sicurezza. Alcune implementazioni utilizzano la segretezza in avanti perfetta (PFS), garantendo che la compromissione di una chiave non porti alla compromissione di tutte le chiavi successive.

Il canale sicuro è fondamentale per mantenere la riservatezza e l'integrità dei dati in tutte le comunicazioni tra il cliente e la rete aziendale. Una volta stabilito, il canale sicuro agisce come un tunnel protettivo per il traffico dati. Questo assicura che le informazioni sensibili inviate attraverso il tunnel rimangano criptate e inaccessibili a chiunque non abbia la chiave di decrittazione.

 

4. Trasferimento dati

L'immagine intitolata "Trasferimento dei dati" illustra la quarta fase del processo di configurazione della VPN, concentrandosi su vari aspetti della gestione dei dati. Presenta una serie orizzontale di quattro icone a forma di diamante collegate da linee, che rappresentano le diverse fasi del processo di trasferimento dei dati. Da sinistra a destra, le icone rappresentano "Allocazione degli indirizzi IP e integrazione della rete", "Ottimizzazione delle prestazioni nella trasmissione dei dati", "Commutazione di pacchetti e routing" e "Garanzia di integrità e privacy". Ogni icona è annotata con brevi descrizioni per guidare la comprensione del modo in cui i dati vengono gestiti e protetti durante la trasmissione attraverso una VPN.

Allocazione dell'indirizzo IP e integrazione della rete

Dopo aver stabilito un canale sicuro, l'assegnazione dell'indirizzo IP è fondamentale per integrare il cliente nella rete. Ad ogni client VPN viene assegnato un indirizzo IP da un pool designato, che è fondamentale per indirizzare i pacchetti alle loro destinazioni corrette. L'assegnazione dell'indirizzo IP consente al dispositivo client di entrare effettivamente nella rete aziendale. Ciò consente al cliente di accedere alle risorse in linea con le autorizzazioni e le politiche stabilite.

Ottimizzazione delle prestazioni nella trasmissione dati

In questa fase, l'efficienza del trasferimento dei dati è in primo piano. I protocolli VPN possono incorporare meccanismi come la compressione per migliorare il throughput e ridurre la latenza, ottimizzando le prestazioni della rete. La scelta del protocollo di tunneling può influire sulla velocità e sull'affidabilità della connessione. Protocolli come il tunneling punto a punto (PPTP) offrono una velocità superiore ma una sicurezza inferiore, mentre altri come OpenVPN offrono un migliore equilibrio tra velocità e sicurezza.

Commutazione e instradamento dei pacchetti

Il metodo con cui i pacchetti di dati attraversano la VPN è fondamentale per mantenere una connessione ad alte prestazioni. Le tecniche di commutazione dei pacchetti consentono un instradamento dinamico dei pacchetti. Questo tiene conto di fattori come la congestione della rete e il cambiamento delle condizioni in tempo reale. Un approccio dinamico assicura che la VPN possa mantenere una connessione stabile ed efficiente, anche a fronte di richieste di rete variabili.

Garantire l'integrità e la privacy

Una volta che i pacchetti di dati sono preparati per il transito, viaggiano attraverso il tunnel sicuro, isolati in modo efficace dalle interferenze esterne. La privacy non si limita a nascondere i dati da potenziali intercettatori. Inoltre, mantiene l'integrità dei pacchetti, assicurando che nessuna parte della comunicazione venga alterata durante il transito.

All'estremità del tunnel, il server VPN elabora i pacchetti in arrivo. Decifra i dati e rimuove l'incapsulamento per inoltrare i dati originali alla destinazione prevista all'interno della rete aziendale.

 

5. Instradamento della rete e accesso alle risorse

L'immagine intitolata "Instradamento della rete e accesso alle risorse" visualizza la quinta fase dell'impostazione di una VPN, concentrandosi sui metodi di instradamento del traffico. Presenta un design verticale con tre cerchi interconnessi lungo una linea centrale, ognuno dei quali rappresenta un aspetto chiave del routing di rete. Il cerchio superiore è contrassegnato da "Metodi di instradamento del traffico": Split vs. Full Tunneling", illustrato con un diagramma che differenzia i due metodi. Il cerchio centrale, denominato "Configurazione strategica per l'efficienza e la sicurezza", include le icone per la configurazione della rete. Il cerchio inferiore, intitolato "Controllo degli accessi e criteri di rete", mostra le icone per la sicurezza e la gestione dei criteri.

Metodi di instradamento del traffico: Split vs. Full Tunneling

La tecnologia VPN offre due metodi principali per instradare il traffico del cliente verso la rete aziendale: il tunneling split e il tunneling completo.

Lo split tunneling consente l'accesso diretto a Internet da parte del dispositivo dell'utente per il traffico non aziendale. In questo modo si risparmia la larghezza di banda sulla rete aziendale. Tuttavia, questo può introdurre rischi per la sicurezza, in quanto il traffico non beneficia dei firewall aziendali e di altre misure di sicurezza.

Il tunneling completo instrada tutto il traffico del cliente attraverso la VPN verso la rete aziendale, indipendentemente dalla sua destinazione. Questo assicura che tutti i dati siano soggetti alle politiche di sicurezza aziendale, ma può comportare un aumento dell'utilizzo della larghezza di banda e una potenziale congestione della rete.

Controllo degli accessi e politiche di rete

L'accesso alle risorse di rete tramite una VPN è regolato da liste di controllo degli accessi (ACL) e da politiche di rete. Le ACL sono un insieme di regole che definiscono quali utenti o processi di sistema possono accedere agli oggetti e quali operazioni sono consentite su determinati oggetti. Ogni voce di una ACL specifica un soggetto e un'operazione; ad esempio, può consentire ad un utente di leggere un file ma non di modificarlo.

Le politiche di rete possono inoltre dettare termini basati sui ruoli degli utenti, sullo stato di conformità dei dispositivi e su altri fattori. Assicurano che solo gli utenti autorizzati possano accedere alle risorse aziendali sensibili e definiscono le condizioni di accesso a tali risorse. Queste misure sono fondamentali per salvaguardare la rete aziendale e prevenire l'accesso non autorizzato ai dati sensibili.

La configurazione strategica del routing della rete e dell'accesso alle risorse è fondamentale per bilanciare l'efficienza operativa e la sicurezza di una configurazione VPN aziendale. Grazie a metodi di tunneling appropriati e a controlli di accesso rigorosi, le aziende possono garantire sia la produttività che la protezione dei loro beni digitali.

 

6. Gestione delle connessioni in corso

L'immagine intitolata "Gestione continua della connessione" illustra il sesto passo della configurazione VPN, incentrato sul mantenimento della stabilità e della sicurezza di rete. Mostra tre cerchi interconnessi lungo una linea orizzontale. Ogni cerchio contiene un'icona e un titolo che descrivono diversi aspetti della gestione delle connessioni: "Controlli di integrità e meccanismi di protezione dei dati", "Stabilità della connessione e messaggi di controllo" e "Regolazione dinamica della rete e sicurezza dei dati".

Controlli di integrità e meccanismi di protezione dei dati

La gestione continua della connessione in una VPN assicura la protezione continua e la stabilità del collegamento di rete. Per l'integrità dei dati, i protocolli VPN incorporano meccanismi come i checksum e i numeri di sequenza.

Un checksum è un valore derivato dalla somma dei byte di un pacchetto di dati, che viene utilizzato per rilevare gli errori dopo la trasmissione. Se il checksum calcolato dal ricevitore corrisponde a quello del mittente, conferma che i dati non sono stati manomessi durante il transito.

I numeri di sequenza aiutano a mantenere l'ordine corretto dei pacchetti. In questo modo si evitano gli attacchi di replay, in cui i vecchi messaggi vengono reinviati, interrompendo potenzialmente la comunicazione o facilitando l'accesso non autorizzato.

Stabilità della connessione e messaggi di controllo

La connessione VPN viene mantenuta viva e stabile utilizzando i battiti cardiaci e i messaggi keepalive.

I battiti cardiaci sono segnali regolari inviati da un dispositivo all'altro per confermare che la connessione è attiva. Se non viene restituito un battito cardiaco, segnala un potenziale problema con la connessione, richiedendo misure correttive.

I messaggi keepalive hanno uno scopo simile. Vengono inviati a intervalli predefiniti per mantenere aperta la connessione anche quando non vengono trasmessi dati reali. Questo è fondamentale per le VPN, perché i timeout di inattività potrebbero altrimenti chiudere la connessione, interrompendo l'accesso alla rete aziendale.

Questi controlli e messaggi consentono di adattarsi in modo dinamico alle mutevoli condizioni della rete, salvaguardando l'integrità e la riservatezza dei dati. Contribuiscono a creare un canale affidabile e sicuro per le comunicazioni aziendali su reti Wi-Fi pubbliche potenzialmente insicure.

 

7. Terminazione del collegamento

L'immagine intitolata "Terminazione della connessione" visualizza il settimo e ultimo passo del processo di configurazione VPN, illustrando la procedura corretta per terminare una sessione VPN in modo sicuro. Presenta una sequenza di tre icone circolari disposte orizzontalmente. Ogni icona rappresenta una fase specifica del processo di terminazione: "Avvio della demolizione", "Smantellamento del tunnel" e "Pulizia e registrazione della sessione". Queste icone sono codificate a colori in rosso, rosa e giallo rispettivamente, e sono collegate da frecce, che illustrano la progressione ordinata dall'avvio della disconnessione alla messa in sicurezza completa dei dati della sessione dopo l'interruzione.

Processo di smontaggio e chiusura sicura

La terminazione della connessione è una fase critica che garantisce la chiusura sicura della sessione di comunicazione.

Il processo di eliminazione inizia quando il client VPN dell'utente segnala al server di terminare la sessione, oppure quando il server stesso avvia la terminazione a causa dell'inattività o della disconnessione dell'utente. Questo segnale avvia una serie di messaggi che confermano la chiusura del tunnel. Il software VPN procede poi a smantellare il tunnel, spesso utilizzando una sequenza controllata di passaggi. Lo smantellamento comprende l'invio di un pacchetto di terminazione, che assicura che entrambe le estremità del tunnel VPN riconoscano la fine della sessione.

La pulizia della sessione è un'importante fase post-terminazione. Il server VPN assicura che tutte le risorse allocate, come gli indirizzi IP, vengano rilasciate, mentre i dati temporanei associati alla sessione vengono eliminati. Questo mantiene l'integrità e la sicurezza del servizio VPN per le connessioni future.

La registrazione delle sessioni svolge un ruolo fondamentale nel mantenere un registro per scopi di audit e conformità. I registri possono fornire dettagli sui tempi di connessione, sui volumi di trasferimento dei dati e sull'attività degli utenti. Questi record vengono spesso esaminati per gli audit di sicurezza, per garantire l'aderenza alle politiche aziendali. I registri vengono anche monitorati per individuare attività anomale che potrebbero indicare una violazione.

Il processo di terminazione della connessione protegge da accessi non autorizzati e da potenziali fughe di dati. La pulizia e la registrazione delle sessioni consentono di effettuare valutazioni continue della sicurezza nell'ambiente VPN aziendale.

 

Come funziona una VPN? Domande frequenti

Una VPN cripta il traffico internet di un'azienda e lo instrada attraverso server remoti. Questo protegge i dati e consente un accesso sicuro alle risorse aziendali da qualsiasi luogo. Una VPN per un'azienda agisce come un'autostrada sicura e dedicata che collega i dipendenti remoti all'edificio dell'azienda. Assicura che i dati viaggino in modo sicuro e privato, lontano dalle strade pubbliche di Internet.
  1. Impostazione preconnessione
  2. Iniziazione
  3. Stabilire il tunnel
  4. Trasferimento di dati
  5. Routing della rete e accesso alle risorse
  6. Gestione continua delle connessioni
  7. Terminazione del collegamento
No, le persone non possono vederla con una VPN perché questa cripta la sua connessione internet. Questo rende le sue attività invisibili agli osservatori esterni. Tuttavia, in un ambiente aziendale, il personale IT autorizzato può avere la possibilità di monitorare il traffico VPN per scopi di sicurezza e manutenzione.

Per utilizzare una VPN:

  1. Installi il software client VPN del suo provider.
  2. Inserisca le sue credenziali di accesso.
  3. Selezioni una posizione del server per l'indirizzo virtuale desiderato.
  4. Si colleghi. Il suo traffico internet è ora crittografato, mettendo al sicuro le sue attività online all'interno di una rete privata.

Questa è una panoramica semplificata. Le fasi esatte di utilizzo variano a seconda della VPN.

Le VPN sono legali nella maggior parte dei Paesi e sono comunemente utilizzate per la sicurezza e la privacy. Tuttavia, alcuni Paesi ne limitano o vietano l'uso.
Una VPN collega i dispositivi ad una rete privata attraverso Internet. Cifra i dati per proteggerli dalle intercettazioni, proprio come l'utilizzo di un tunnel sicuro e privato per le comunicazioni online e l'accesso a risorse remote.
Una VPN non protegge dalle minacce che aggirano il suo tunnel crittografato, come il malware locale o i siti di phishing ingannevoli. Soluzioni più complete come secure web gateway (SWG), secure access service edge (SASE) e SD-WAN offrono una sicurezza più ampia, integrando tecnologie avanzate di prevenzione delle minacce.
Una VPN da sola non può fermare gli hacker; cripta il traffico internet per proteggere i dati in transito. Per una sicurezza più ampia, le tecnologie come i firewall di nuova generazione e la protezione dalle minacce avanzate sono essenziali per difendersi dalle varie minacce informatiche.
Certamente. La configurazione VPN più sicura dipende dalle esigenze specifiche di un'azienda, come l'accesso remoto o la connettività tra uffici. È importante valutare i requisiti di sicurezza, la scala delle operazioni e la natura dei dati trasmessi per determinare la migliore soluzione VPN.
Gli ambienti aziendali richiedono servizi VPN a pagamento. Le aziende hanno bisogno di funzioni di sicurezza avanzate, assistenza dedicata e scalabilità per proteggere i dati e garantire un accesso sicuro alle risorse aziendali. Le VPN gratuite esistono per uso personale.
Una VPN cripta il traffico internet, mascherando la sua identità e posizione online. Funziona su diversi sistemi operativi stabilendo una connessione sicura a un server VPN, con un software client personalizzato per ogni sistema operativo che garantisce compatibilità e facilità d'uso.
Contenuti correlati
Alternative VPN per l'accesso remoto
Le alternative VPN per l'accesso remoto sicuro, a volte definite sostituzioni VPN, sono metodi diversi dalle reti private virtuali (VPN) tradizionali, impiegati per garantire un ac...
GlobalProtect
GlobalProtect è più di una VPN. Offre un accesso remoto flessibile e sicuro a tutti gli utenti, ovunque.
Accelerazione della trasformazione digitale con SASE
SASE abbatte le barriere e snellisce i processi, consentendo alle organizzazioni di accelerare in modo sicuro la trasformazione digitale.
eBook SASE CIO: Guidare il futuro del lavoro attraverso SASE a livello aziendale
La guida del CIO alla pianificazione e all'implementazione
Avanti What Is Network Segmentation?

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce