VPN (Virtual Private Network)
Per consentire a postazioni di lavoro distribuite di fruire dei servizi aziendali, previa attivazione di server centrali ospitati in data center attrezzati per assicurare massima disponibilità e accessibilità a dati e applicazioni, è necessario che le reti locali utilizzate dagli utenti vengano interconnesse fra loro, a formare un’unica rete IP corporate.
In passato la connessione tra LAN di sedi remote veniva realizzata tramite connessioni dedicate punto-punto (circuiti fisici dedicati), utilizzate esclusivamente per il transito dei dati aziendali.
In tale scenario le problematiche generali di sicurezza (data privacy, data integrity), da risolvere a livello di rete geografica, coincidevano fondamentalmente con quelle presenti in ambito LAN.
In tempi più recenti l’adozione di collegamenti punto-punto è diventata una soluzione sempre meno frequente, sostituita progressivamente dall’uso di reti a commutazione dati condivise, gestite da un provider terzo di fiducia.
Naturalmente in questo caso le problematiche di sicurezza che emergono a livello WAN (componente dell’infrastruttura che risulta condivisa tra più entità) sono ben diverse da quelle pertinenti la rete locale, che invece è a uso esclusivo aziendale.
La prima domanda che nasce spontanea quando si affronta la scelta della soluzione tecnologica da utilizzare per l’interconnessione delle proprie reti LAN è: come assicurare lo stesso livello di sicurezza ai dati in transito su infrastrutture di rete condivise e su segmenti di rete locale?
Ci si può fidare della rete gestita dal provider o è necessario preparare i propri pacchetti per affrontare un percorso “pericoloso”, adottando opportune soluzioni crittografiche per proteggere i flussi di informazione prima che i pacchetti lascino la LAN?
La risposta dipende dalla natura della soluzione che viene proposta dal provider e che l’azienda decide di adottare.
Le tecnologie tradizionali per la realizzazione di reti pubbliche a commutazione di pacchetto operano esclusivamente a livello 2 (come accade per Frame Relay e ATM), tramite la creazione di circuiti virtuali, che lasciano ben poco spazio agli utilizzatori per agire in maniera arbitraria e potenzialmente pericolosa o ostile per gli altri utenti.
Una volta che un pacchetto viene accettato dal punto di interconnessione locale tra LAN e rete del provider, il suo percorso è segnato.
Ogni coppia di sedi remote è connessa tramite uno o più PVC (Permanent Virtual Circuit) e ogni pacchetto scambiato tra tali terminazioni rimane confinato all’interno del percorso fissato fin dall’inizio dal provider.
Gli utenti, anche se conoscono gli identificativi dei PVC degli altri utilizzatori, non possono iniettare pacchetti in circuiti che non terminano nelle proprie sedi.
Il tentativo di passare al provider pacchetti contraddistinti da identificativi di PVC non esistenti si traduce normalmente nello scarto selettivo di ogni frame trasmesso.
Pertanto i soli possibili incidenti di sicurezza che debbono essere considerati riguardano l’eventualità che un attaccante possa agire in maniera fraudolenta operando presso uno dei nodi del provider, utilizzando apposite sonde in grado di collezionare e/o intervenire in maniera attiva sui pacchetti (o celle) in transito attraverso quel nodo della rete WAN.
Pur essendo ancora possibile adottare una soluzione Frame Relay o ATM pure, riducendo al minimo le problematiche di sicurezza in ambito WAN, sempre più carrier si stanno spostando verso offerte e soluzioni basate su protocollo IP.
Questo accade per poter offrire servizi più evoluti e conseguire una maggior scalabilità per la propria infrastruttura di rete.
Gli standard Frame Relay e ATM infatti risultano molto spesso non sufficienti ad accogliere le richieste delle aziende più grandi, che hanno bisogno di maggior larghezza di banda per trasmettere i propri dati.
Di conseguenza sempre più spesso le reti di interconnessione realizzate dai carrier vengono realizzate tramite backbone IP di adeguata capacità.
Poiché all’aumentare del throughput richiesto, il carico di elaborazione dei dispositivi operanti a livello IP finisce prima o poi con il rappresentare il limite principale per la scalabilità dell’architettura, la soluzione tecnologica che si è diffusa oggi è basata su un approccio ibrido che punta a eliminare la necessità di processare a livello IP i pacchetti una volta che questi sono stati accettati dalla rete IP del carrier.
Questo approccio è reso possibile dall’adozione del protocollo MPLS (MultiProtocol Label Switching).
Il protocollo MPLS opera a livello intermedio tra il livello 2 e il livello 3.
Una rete MPLS pertanto può essere realizzata utilizzando switch o nodi di commutazione di varie tecnologie per trasportare sia pacchetti IP sia altri tipi di traffico dati.
Il trasporto dei pacchetti all’interno di un backbone MPLS avviene sulla base delle informazioni contenute in una intestazione MPLS costituita da più label.
Ciascuna label contiene un identificativo di 20 bit, utilizzato da ciascun nodo intermedio della rete per effettuare la commutazione del pacchetto.
Operando in questo modo, a parità di hardware, si riescono a commutare molti più pacchetti al secondo che effettuando controlli su base IP.
Come per le soluzioni WAN basate su Virtual Circuit, il percorso all’interno del backbone è determinato univocamente dall’identificativo presente nella label del pacchetto.
Per evitare che un utilizzatore, a conoscenza dei valori utilizzati da altri canali di comunicazione, possa interferire con il normale instradamento dei dati nel backbone MPLS, i soli dispositivi autorizzati ad attaccare ai pacchetti una label sono gestiti direttamente dal carrier (e sono denominati Label Edge Router).
Tali dispositivi servono da punti di accesso delle reti locali alla VPN.
Qui vengono effettuati eventuali controlli e attivati eventuali filtri per lo scarto selettivo di pacchetti non conformi alla policy.
Qui avviene anche la trasformazione delle indicazioni presenti a livello di intestazione IP (in accordo a una tabella di routing locale al dispositivo) in informazioni da inserire nella label contenuta nell’intestazione del pacchetto MPLS.
Pur essendo il backbone IP/MPLS costituito da apparati che posseggono indirizzi IP, agli utilizzatori della rete non viene restituita alcuna evidenza del piano di indirizzamento utilizzato dal carrier.
Le uniche decisioni prese a livello IP che interessano gli utilizzatori sono infatti quelle prese nei router di frontiera, responsabili di apprendere/eliminare la prima label associata al pacchetto da trasmettere.
In un simile scenario è possibile affermare che il livello intrinseco di riservatezza e integrità realizzabile con MPLS è fondamentalmente lo stesso assicurato dall’uso di reti Frame Relay o ATM.
Per questo motivo, raramente i dispositivi di interconnessione utilizzati per connettere le reti locali delle sedi remote ai punti di accesso al backbone IP/MPLS sono equipaggiati e configurati per effettuare trasformazioni crittografiche sui pacchetti in transito.
La sola vera alternativa all’utilizzo di un backbone IP/MPLS per la realizzazione di una rete Corporate è rappresentata dall’utilizzo dell’Internet pubblica quale backbone IP a basso costo ed elevate performance.
La rete Internet viene scelta per la sua capillare presenza e per il bassissimo costo di accesso, ma non certo per il livello di sicurezza intrinseco offerto ai propri utilizzatori.
Per renderla sicura, almeno a livello equivalente alle altre soluzioni che adottano reti geografiche tipo Virtual Circuit o Label Switching è necessario prevedere l’attivazione di apparati di frontiera in grado di preparare (attraverso processi crittografici) i pacchetti IP al transito su backbone IP non fidato.
Il risultato finale consiste nella trasformazione di un generico backbone IP untrusted in una rete privata virtuale (Virtual Private Network) o VPN.
Le VPN vengono classificate secondo il livello del modello di riferimento OSI, in cui si implementa la soluzione per virtualizzarne il concetto di canale di comunicazione privato.
Si possono quindi realizzare:
- VPN a livello di collegamento dati;
- VPN a livello di rete;
- VPN a livello trasporto;
- VPN a livello applicazione.
In alcuni casi la virtualizzazione, necessaria per assicurare i requisiti fondamentali di sicurezza all’interno della VPN, viene conseguita attraverso l’implementazione di specifiche funzioni crittografiche, che danno luogo a un carico computazionale aggiuntivo sui dispositivi di frontiera gestiti dall’azienda.
A seconda delle specifiche necessità degli utilizzatori è possibile rinunciare a tali trasformazioni crittografiche scegliendo un protocollo in cui tali funzioni sono assenti o opzionali.
