Introduzione alle VPN — concetti, classificazione e architetture

📋 Obiettivi di apprendimento

✓Definire cos’è una VPN e spiegare il concetto di tunnel crittografico su rete pubblica

✓Distinguere VPN Site-to-Site, Remote Access e Personal descrivendo casi d’uso e architetture di ciascuna

✓Spiegare la differenza tra Intranet ed Extranet e come la VPN Site-to-Site le realizza tecnicamente

✓Distinguere Secure VPN e Trusted VPN/MPLS spiegando perché MPLS non è una VPN crittografica

📄

Slides

VPN — classificazione e architetture

Il problema delle comunicazioni su reti pubbliche

Quando due dispositivi comunicano attraverso Internet, i dati attraversano reti pubbliche che non sono sotto il nostro controllo diretto: router di provider diversi, backbone internazionali, nodi di transito gestiti da terze parti. Questo comporta rischi concreti:

👁️

Intercettazione

Un attaccante sulla stessa rete può catturare i pacchetti e leggerne il contenuto

✏️

Manipolazione

I dati possono essere modificati in transito senza che mittente o destinatario se ne accorgano

🎭

Impersonazione

Senza autenticazione è impossibile verificare che l’interlocutore sia davvero chi dice di essere

In questo scenario si colloca il concetto di VPN (Virtual Private Network): una tecnologia che consente di creare un collegamento sicuro tra dispositivi fisicamente lontani, sfruttando un’infrastruttura pubblica come Internet ma garantendo caratteristiche di riservatezza e integrità paragonabili a quelle di una rete privata dedicata.

Cos’è una VPN

Il termine Virtual Private Network esprime già le caratteristiche fondamentali della tecnologia:

Virtual

Non esiste un collegamento fisico dedicato tra le parti. Il collegamento è logico, creato tramite software sopra un’infrastruttura già esistente.

Private

Le comunicazioni sono isolate e protette da meccanismi crittografici. I dati viaggiano cifrati — anche se intercettati, risultano inutilizzabili senza le chiavi corrette.

Network

Consente l’integrazione di più dispositivi come se appartenessero alla stessa rete locale, indipendentemente dalla loro posizione geografica.

Il concetto di tunnel crittografico

Il meccanismo centrale di una VPN è il tunnel: i dati originali vengono incapsulati in un nuovo pacchetto e cifrati prima della trasmissione su Internet. Il tunnel è virtuale — non è un cavo fisico ma un percorso logico protetto attraverso la rete pubblica.

Schema del tunnel VPN

🏢

Sede A

dati in chiaro

cifra + incapsula

→

🔒 TUNNEL CIFRATO

Internet (rete pubblica)

dati cifrati — inutilizzabili se intercettati

decifra + estrae

→

🏢

Sede B

dati in chiaro

I dispositivi alle estremità del tunnel vedono dati in chiaro. Solo il tunnel intermedio è cifrato.

Cosa garantisce una VPN

Riservatezza

I dati sono cifrati — illeggibili per chiunque li intercetti in transito

Integrità

Qualsiasi alterazione del pacchetto viene rilevata e il traffico scartato

Autenticazione

L’identità dei soggetti coinvolti viene verificata prima di stabilire il tunnel

Vantaggi e limiti delle VPN

✅ Vantaggi

Economicità: le linee dedicate tra sedi costavano decine di migliaia di euro/anno. Le VPN usano Internet, riducendo drasticamente i costi infrastrutturali.

Flessibilità: un dipendente accede ai servizi aziendali da qualsiasi luogo con una connessione Internet.

Scalabilità: aggiungere nuovi utenti o sedi non richiede riprogettare l’intera infrastruttura.

Sicurezza Wi-Fi: su reti pubbliche (stazioni, aeroporti) una VPN cifra il traffico impedendo attacchi MITM.

⚠️ Limiti

Overhead: cifrare e decifrare i dati consuma CPU e aumenta la dimensione dei pacchetti, con possibile aumento della latenza.

Complessità: configurare correttamente una VPN aziendale richiede competenze specifiche. Errori di configurazione compromettono la sicurezza.

Fiducia nel provider: con VPN commerciali il traffico transita per i server del provider. La privacy dipende dall’affidabilità del gestore.

Non è anonimato: una VPN maschera l’IP ma non garantisce anonimato assoluto. Il provider conosce comunque le attività.

Classificazione delle VPN per utilizzo

VPN Site-to-Site

La VPN Site-to-Site collega due o più reti locali geograficamente distanti come se facessero parte della stessa infrastruttura privata. Non sono i singoli utenti a stabilire la connessione, ma i dispositivi di rete (router o firewall) posti ai confini delle LAN.

Schema Site-to-Site

LAN Sede A
 — PC, server, stampanti

     ↕

[Router/Firewall A]
 ══════ TUNNEL IPsec ══════ 
[Router/Firewall B]

                                              ↕

                                        LAN Sede B
 — PC, server, stampanti

L’utente finale spesso non percepisce l’esistenza della VPN: accede ai file del server della sede B come se fosse nella stessa LAN, in modo completamente trasparente.

Casi d’uso tipici

Sede centrale ↔ filiali regionali
Data center ↔ uffici distribuiti
Scuola centrale ↔ plessi distaccati

Caratteristiche chiave

Configurazione sui router di frontiera (non sui PC)
Protocollo tipico: IPsec
Sempre attiva — non richiede azione dell’utente

Intranet ed Extranet — due modelli logici abilitati dalla Site-to-Site

Quando si parla di VPN Site-to-Site è fondamentale distinguere tra due modelli logici che descrivono il perimetro di accesso alle risorse aziendali:

🏢 Intranet

Rete privata a uso esclusivo interno

Usa tecnologie Internet (TCP/IP, web server, database) ma è accessibile solo a utenti dell’organizzazione. La VPN Site-to-Site permette di estenderla oltre i confini fisici di una singola LAN.

Esempio: una scuola con più plessi usa una VPN Site-to-Site per permettere a tutte le sedi di accedere allo stesso registro elettronico ospitato nel data center centrale.

🤝 Extranet

Estensione controllata verso soggetti esterni

Porzione controllata della rete aziendale resa accessibile a fornitori, partner o consulenti. Non è l’intera rete — solo risorse specifiche, con regole di filtraggio dedicate.

Esempio: un’azienda concede al fornitore l’accesso al sistema ordini tramite VPN dedicata. Il fornitore vede solo quella porzione isolata, non l’intera rete aziendale.

📌 Intranet vs Extranet — distinzione chiave

La distinzione non è tecnologica ma logica e organizzativa: Intranet = accesso esclusivo interno; Extranet = estensione controllata verso soggetti fidati ma esterni. La VPN Site-to-Site è la tecnologia che può supportare entrambi i modelli, a seconda di chi viene autorizzato ad accedere e a quali risorse.

VPN Remote Access

La VPN Remote Access è progettata per consentire a un singolo utente di collegarsi alla rete aziendale da remoto tramite un client VPN installato sul proprio dispositivo. È il modello tecnologico che ha reso possibile la diffusione strutturale dello smart working.

Schema Remote Access

💻 Laptop dipendente (casa/viaggio)
        ↕ Client VPN
══════ TUNNEL IPsec/SSL ══════
                 ↕
[VPN Gateway aziendale]
                 ↕
         LAN aziendale interna

Il processo di connessione Remote Access

1

Il client contatta il server VPN (spesso integrato nel firewall o router di frontiera)

2

Negoziazione crittografica: client e server concordano algoritmi e scambiano le chiavi (IKE/ISAKMP)

3

Autenticazione dell’utente tramite credenziali, certificato digitale o sistema AAA (RADIUS)

4

Il server assegna al client un indirizzo IP interno prelevato da un pool riservato (es. 192.168.1.200–220)

5

Il tunnel cifrato viene stabilito. Il dispositivo remoto appare come nodo interno alla rete aziendale

6

Le regole di autorizzazione determinano le risorse accessibili (non tutti gli utenti VPN vedono tutto)

Split Tunneling — un concetto operativo importante

📌 Split Tunneling

Per impostazione predefinita, una VPN Remote Access instrada tutto il traffico del dispositivo attraverso il tunnel aziendale — inclusa la navigazione su YouTube o Gmail. Questo è inefficiente e sovraccarica la rete aziendale.

Con split tunneling attivo

Traffico verso risorse aziendali → attraverso il tunnel VPN
Traffico Internet generico → direttamente verso Internet

⚠️ Rischio

Con split tunneling un dispositivo è connesso contemporaneamente alla rete aziendale e a Internet — aumenta la superficie di attacco.

VPN Personal

La VPN Personal è orientata alla protezione della navigazione individuale. L’obiettivo non è l’accesso a una rete aziendale ma la privacy e la sicurezza del traffico personale.

Casi d’uso

Proteggere il traffico su Wi-Fi pubblici (bar, aeroporti)
Mascherare l’IP reale verso siti visitati
Accedere a contenuti con restrizioni geografiche

⚠️ Attenzione

Una VPN personale non garantisce anonimato assoluto. Il traffico transita per i server del provider, che potrebbe conservarne i log. La fiducia nel fornitore è determinante.

Classificazione in base al livello di sicurezza

Secure VPN

Le Secure VPN si basano su meccanismi crittografici per creare un tunnel virtuale protetto su Internet. Sono la tipologia più comune nelle reti aziendali moderne.

Cifratura dei dati

Autenticazione delle parti

Verifica integrità

Protezione da replay attack

Trusted VPN — MPLS

Le Trusted VPN non si basano principalmente sulla crittografia, ma su un’infrastruttura gestita da un operatore di telecomunicazioni che garantisce isolamento fisico/logico e qualità del servizio (QoS). La tecnologia più usata è MPLS (Multiprotocol Label Switching).

⚠️ MPLS non è una VPN crittografica

Una rete MPLS instrada il traffico tramite etichette (label) invece degli indirizzi IP. Il provider garantisce separazione logica tra clienti diversi e qualità del servizio — ma il traffico non è cifrato end-to-end. Chi parla di “VPN MPLS” intende un servizio di connettività privata garantita dall’operatore, non un tunnel crittografico come IPsec. Per garantire riservatezza su MPLS occorrerebbe aggiungere IPsec sopra.

Tabella riepilogativa — classificazione completa

Criterio	Tipologia	Finalità	Cifratura	Protocollo tipico
Utilizzo	Site-to-Site	Collegare reti aziendali distanti	✅ Elevata	IPsec
	Remote Access	Accesso individuale remoto (smart working)	✅ Elevata	IPsec, SSL/TLS
	Personal	Privacy e sicurezza navigazione personale	✅ Elevata	OpenVPN, WireGuard
Sicurezza	Secure VPN	Protezione tramite tunnel crittografato	✅ End-to-end	IPsec, TLS, WireGuard
Sicurezza	Trusted VPN	Isolamento e QoS garantiti dall’operatore	⚠️ Non necessariamente	MPLS

📌 Riepilogo — Punti chiave

Una VPN crea un tunnel crittografato su Internet: i dati viaggiano cifrati e risultano inutilizzabili se intercettati
Site-to-Site: collega reti (configurazione su router di frontiera, trasparente per l’utente); Remote Access: collega singoli utenti (richiede client VPN); Personal: privacy individuale
Intranet = VPN Site-to-Site tra sedi interne; Extranet = VPN Site-to-Site verso partner/fornitori con accesso limitato a risorse specifiche
MPLS (Trusted VPN) non è una VPN crittografica: offre isolamento garantito dall’operatore ma non cifratura end-to-end
Il split tunneling ottimizza le prestazioni instradando solo il traffico aziendale nel tunnel, ma aumenta la superficie di attacco

📚 Risorse per approfondire

📄

NIST SP 800-77 — Guide to IPsec VPNs

Guida completa NIST sulle VPN IPsec: architettura, protocolli, configurazione e best practice di sicurezza

📋

RFC 4301 — Security Architecture for the Internet Protocol (IPsec)

La specifica ufficiale dell’architettura IPsec — base di tutte le implementazioni VPN moderne

🔒

WireGuard — paper tecnico originale

Il paper che ha introdotto WireGuard: architettura semplificata rispetto a IPsec, integrata nel kernel Linux dal 2020