VPN, cos’è e come funziona

Le Virtual Private Network (VPN) rappresentano un modo per estendere l’accessibilità delle reti aziendali anche a utenti remoti e altri siti dell’impresa in modo il più possibile sicuro, flessibile ed economico. Possono essere oggi implementate in diverse modalità per venire incontro alle specifiche esigenze degli utenti.

Quasi tutte le aziende che hanno una rete informatica interna, con computer, server e sistemi di archiviazione dei dati, hanno anche anche dipendenti o collaboratori che si trovano a lavorare (stabilmente o temporaneamente) in mobilità o da casa. Molte hanno anche sedi distaccate, più piccole di quella centrale, quali uffici periferici, punti vendita, magazzini o stabilimenti. Da anni esiste la tecnologia VPN (Virtual Private Network) per risolvere queste problematiche. Vediamo di cosa si tratta.

Cos’è una VPN e a cosa serve

Il significato di VPN è Virtual private network ed essa consente alle aziende di ampliare praticamente senza limiti geografici la propria rete privata centrale, creando una “rete virtuale privata”, che permette a utenti e siti periferici (branch) di connettersi al “major network” aziendale attraverso reti IP geografiche noleggiate da provider di telecomunicazioni, basate sul protocollo Mpls (Multiprotocol Label Swithcing), o reti pubbliche e condivise come Internet e le piattaforme cloud.

Grazie alle VPN Mpls o quelle over Internet, gli utenti remoti o i siti esterni di un’azienda possono collegarsi, da qualsiasi parte del mondo, in qualunque momento e con i dispositivi più disparati, alla LAN (Local area network) delle proprie sedi aziendale, in modo sicuro e il più possibile economico. Nell’ambito di queste connessioni, i client possono stabilire comunicazioni con un singolo computer o con tecnologie condivise con altri utenti quali un server applicativo, un database, un NAS (Network Attached Storage), stampanti e così via.

Cosa significa tunneling?

Alla base del funzionamento di una Virtual Private Network vi è la creazione di un tunnel (ovviamente virtuale) all’interno del quale due o più partecipanti a una sessione virtual private network possono scambiarsi dati al riparo da occhi indiscreti. Per la creazione di questo canale privato, pur utilizzando un’infrastruttura condivisa, è necessario un protocollo di tunneling. Di queste tecnologie oggi ne esistono di diverse, ma tutte hanno in comune alcuni aspetti.

Ecco come funziona una VPN

Innanzitutto nel data center dell’azienda, o nel suo private cloud (nel caso si abbia optato per questa soluzione) deve essere installato un server VPN, chiamato anche Virtual private network Hub o Central Hub, su cui sono gestiti tutti e tre i livelli del framework di sicurezza di una Virtual Private Network:

  • un sistema di autenticazione degli utenti,
  • un layer per la gestione dei metodi di cifratura dei dati scambiati fra i vari nodi della rete,
  • un firewall che controlla gli accessi alle diverse porte delle reti.

Il VPN Hub deve essere anche connesso a un router e a uno o più switch che permettono l’assegnazione di indirizzi IP pubblici (statici o dinamici) a tutti i partecipanti della VPN (dati che devono necessariamente essere presenti negli header dei pacchetti incapsulati nei tunnel).

Quindi, tutti i dispositivi che gli utenti intendono utilizzare devono essere dotati di un client VPN, che può anche essere:

  • un’applet nativa del sistema operativo del dispositivo;
  • un software o un estensione per il browser scaricabile dal sito del gestore di servizi VPN;
  • un agente software fornito insieme a un hardware che supporti la creazione di queste reti (router, firewall, NAS, etc);
  • un programma sviluppato da un vendor di sicurezza.

Tipi di VPN per topologia

Virtual Private Network è un modo di utilizzare le reti condivise e pubbliche globali per ampliare in modo controllato e protetto i confini di un major network aziendale privato, ma non significa un unico tipo di tecnologia e di implementazione.

Da un punto di vista delle topologie di VPN possiamo identificarne due tipi, spesso compresenti nella stessa azienda:

  • le VPN remote access, è la tipologia più semplice e comune e prevede esclusivamente la possibilità che alcuni utenti possano connettersi da remoto al major network dell’azienda.
  • le VPN site-to-site permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi.

Questo tipo di VPN, dal punto di vista topologico, utilizza solitamente il modello hub-and-spokes. Il nome deriva dall’analogia con la ruota di una bicicletta. In questo caso l’hub (mozzo) è il major network aziendale, presso il quale si trova il server VPN. Gli spoke (raggi) sono le reti geografiche (MPLS o Internet) utilizzate per connettere al major network le sedi remote. Anche presso quest’ultime possono essere implementate soluzioni di Virtual Private Network che permettono l’accesso ai loro server da parte di utenti remoti o ulteriori branch che – a cascata – possono anche essere reinstradati verso il major network della sede centrale.

Tipologie di soluzioni per sicurezza, amministrazione e flessibilità

Oltre alle differenze topologie, esistono fra le Virtual Private Network anche diversità in funzione del livello di security e non solo. In particolare le VPN si suddividono in tre principali categorie: Trusted VPN, Secure VPN e Hybrid VPN.

Trusted VPN

Le Trusted VPN sono reti private virtuali in cui non è previsto un tunneling crittografato. Tradizionalmente appartengono a questa categoria le Virtual Private LAN create all’interno di un’azienda. I Virtual Private LAN Services si basano sul sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra.

Come abbiamo già segnalato, le VPN non necessariamente utilizzano Internet come rete geografica: possono utilizzare anche le WAN MPLS. Questi fornitori sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. Nel loro armamentario, quindi, ci sono le tecnologie utilizzate dal Trusted VPN.

Secure VPN

Il vantaggio principale delle Secure VPN è che i tunnel VPN sono creati utilizzando protocolli di cifratura e sicurezza quali IPsec, TSL/SSL, PPTP (Point to Point Tunneling Protocol) o SSH. Tali protocolli sono utilizzati da entrambi i nodi di una VPN. Di conseguenza, se un hacker riuscisse a intercettare i pacchetti di un traffico di rete, vi troverebbe dentro solo dati illeggibili. A differenza di una Trusted VPN, una Secure VPN consente di utilizzare Internet in modo estremamente flessibile: quello che conta è solo avere a disposizione delle connessioni, anche Wi-Fi pubbliche.

Hybrid VPN

Oggi sta emergendo il modello Hybrid VPN, che consente di coniugare i vantaggi delle Trusted VPN (come il controllo dei percorsi) e delle Secure VPN (la crittografia dei contenuti e dei tunnel). Molte Trusted VPN si stanno aggiornando con l’aggiunta di funzionalità Secure Virtual private network come security overlay sulle tecnologie già utilizzate.

VPN e sicurezza informatica

Sono molti i vantaggi delle VPN in termini di sicurezza. Innanzitutto, l’autenticazione degli utenti, che oggi può non avvenire solo con l’utilizzo di username e password, ma anche con smartcard, riconoscimento biometrico e altri metodi ancora.

Quindi la privacy dei dati. I principali protocolli utilizzati per creare VPN utilizzano algoritmi e protocolli crittografici molto robusti. E questo vale tanto per prodotti open source quali OpenVPN e SoftEther VPN, quanto per le tecnologie non a sorgente libero come SSTP, introdotto da Microsoft nel 2007, che sfrutta la tecnologia SSL 3.0, e IKEv2 , sviluppato da Microsoft e Cisco, che punta invece sulla tecnologia IPsec.

Dal punto di vista della sicurezza, va segnalato che il protocollo di tunneling MPPE è ormai da considerarsi obsoleto. Vi è poi il protocollo L2TP, che funziona a livello 2, non include un sistema di crittografia specifico, ma permette di creare tunnel che possono trasportare comunicazioni cifrate con diversi protocolli. Una sua evoluzione è L2TP/IPsec, in cui IPsec viene utilizzato per l’autenticazione. Un aspetto di security che va considerato, nel caso un’azienda optasse per servizi in cloud, è se il provider raccoglie o no informazioni sull’utilizzo dei servizi virtual private network, e che uso ne fa.

Come scegliere una Virtual Private Network

La scelta della soluzione giusta non può non richiedere un’attenta valutazione dei pro e dei contro dei diversi tipi di VPN, dei protocolli di sicurezza utilizzati e del fornitore della tecnologia o dei servizi gestiti.

Per creare Virtual private network con i metodi tradizionali, utilizzando i software più diffusi (e spesso nativi) e poco hardware, non si spende molto: l’importante è avere risorse competenti. Sul mercato ci sono anche ottimi fornitori di VPN as a service, utilizzati anche da molti utenti consumer, che offrono tariffe competitive che partono da pochi dollari al mese per utente, con molti gigabyte a disposizione e la possibilità di utilizzare più dispositivi contemporaneamente. Di certo salgono se si desidera implementare, on-premises o in cloud, soluzioni scalabili, affidabili, con funzionalità di amministrazione e sicurezza avanzate come la central client administration e il security policy enforcement.

Inoltre, va tenuto presente l’emergere delle VPN layer 3. Sempre più aziende desiderano connettere un numero crescente di siti e di relative LAN, al major network e fra di loro, in modalità virtual private network. Questo comporta un esplosione di indirizzi IP da gestire, moltissimi dei quali inevitabilmente identici. Diventa necessario quindi affrontare la situazione a livello di internetworiking, e quindi di livello 3 del modello OSI (network). I provider di servizi MPLS, grazie all’esperienza nella connettività site-to-site, sono avvantaggiati nel fornire soluzioni layer 3, che se sfruttano le proprie infrastrutture, sono chiamate MPLS Layer 3 VPN. Ma in molti casi anche le L2 sono e resteranno sufficienti.

Alcuni criteri per scegliere le VPN migliori

Per scegliere le VPN migliori è necessario basarsi sulle proprie reali esigenze, valutare le funzioni opzionali disponibili, tenendo presente che una buona opzione deve essere caratterizzata da riservatezza, sicurezza e dalla capacità di proteggere le informazioni. Può essere necessario rivolgersi a soluzioni premium.

Tra le funzioni da valutare la possibilità di fruire del servizio di split tunneling per accedere in modo trasparente a più domini di sicurezza; la garanzia che eventuali errori DNS siano risolti; la disponibilità del servizio kill switch che permette di mantenere sempre aperta la connessione virtual private network anche nel caso di interruzione di Internet.

Breve riepilogo dei protocolli utilizzati da virtual private network sicure

Ecco qui di seguito i protocolli più conosciuti che implementano una virtual private network sicura, esse solitamente utilizzano protocolli crittografici, anche se non sempre.

  • IPsec (IP security), comunemente usate su IPv4 (parte obbligatoria dell’IPv6);
  • PPTP (point-to-point tunneling protocol) di Microsoft;
  • SSL/TLS, utilizzate sia per il tunneling dell’intera rete sia per assicurarsi che sia essenzialmente un web proxy;
  • VPN Quarantine: la macchina del cliente terminale della VPN potrebbe essere una fonte di attacco, cosa che non dipende dal progetto della VPN;
  • MPVPN (Multi Path Virtual Private Network), è il trademark registrato da Ragula System Development Company.

Alcune reti VPN sicure non usano algoritmi di cifratura, in quanto partono dal presupposto che un singolo soggetto fidato possa gestire l’intera rete condivisa e che quindi l’impossibilità di accedere al traffico globale della rete renda i singoli canali sicuri, dato che il gestore della rete fornisce ad ogni soggetto solamente la sua VPN. I protocolli che si basano su questa filosofia sono per esempio:

  • L2F (layer 2 Forwarding), sviluppato da Cisco;
  • L2TP (Layer 2 Tunneling Protocol), sviluppato da Microsoft e Cisco;
  • L2TPv3 (layer 2 Tunneling Protocol version 3);
  • Multi Protocol Label Switching (MPLS), spesso usato per costruire una Trusted VPN.

GDPR: da fine maggio le sanzioni

Verso il primo anno dall’entrata in vigore del Regolamento Privacy 679/2016: in vista ispezioni e sanzioni in caso di violazioni relative a GDPR.

Recentemente, il Garante della protezione dei dati personali ha definito il regolamento europeo come “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale”.

La nuova normativa ha avuto un impatto positivo nella sensibilità dei cittadini. Infatti, secondo i dati pubblicati dall’Autorità Garante nel bilancio relativo al primo anno dall’entrata in vigore del GDPR.

Al 31 marzo scorso sono stati registrati 7.219 reclami, in costante aumento dal 2018, e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi, a questi dati si aggiungono il numero dei contatti con l’Ufficio relazioni del Garante, quasi 10.000 e le comunicazioni dei dati di contatto dei Responsabili Protezione Dati quasi 50.000.

GDPR: controlli Privacy e GdF nelle imprese, la novità adesso è data dalla dall’immediatezza della scadenza del periodo di tolleranza per le inadempienze previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101, dal 20 maggio il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati.

Al termine del periodo di tolleranza prenderanno il via le ispezioni in collaborazione con la Guardia di Finanza.

In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta i dati sulla salute. In ambito pubblico, si porrà l’attenzione sul funzionamento di SPID (Sistema Pubblico di Identità Digitale) e sulle grandi banche dati.

In presenza di una violazione si possono avere varie conseguenze:

  • l’autorità di controllo può imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell’immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti;
  • se la violazione comporta danni agli interessati, il titolare, insieme al responsabile del trattamento, dovrà provvedere al risarcimento dei danni, materiali e morali;
  • la violazione può portare a danni reputazionali a carico del titolare  con gravi conseguenze sull’attività dell’azienda;
  • la violazione può comportare responsabilità per mancato rispetto delle pattuizioni contrattuali con altri titolari o contitolari;
  • la violazione può portare all’applicazione di sanzioni amministrative da parte dell’autorità di controllo;
  • la violazione può portare all’applicazione di eventuali sanzioni penali.

Il regolamento europeo distingue due gruppi di violazioni.

Nel primo caso le sanzioni possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:

  • inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
  • inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
  • inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

Un secondo gruppo di violazioni, per il quale sono previste sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:

  • inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22;
  • inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

In ogni caso le sanzioni devono essere considerate un’arma dissuasiva, non certo una punizione le sanzioni saranno, quindi, proporzionate anche all’azienda, in modo da non costringerla a chiudere l’attività.

L’autorità di controllo ha il potere di irrogare sanzioni correttive.

Essi consistono nel:

  • rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
  • rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
  • imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
  • ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
  • revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
  • infliggere le sanzioni amministrative pecuniarie;
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Il timore dell’erogazione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia, ma è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.

Secondo una ricerca pubblicata a febbraio 2019 dall’Information Security & Privacy della School of Management del Politecnico di Milano solo il 23% delle imprese italiane si è adeguata al GDPR, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l’88% ha un budget dedicato.

Nel workshop organizzato da PrivacyLab a metà aprile 2019 sono numerosi i siti istituzionali ancora senza informativa privacy aggiornata, uno studio di Federprivacy evidenzia fenomeno più grave ed esteso: il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri, e il 36% non rende noti i recapiti per contattare il DPO, figura obbligatoria per tutte le pubbliche amministrazioni.

Domodry, la soluzione definitiva contro l’umidità

Domodry®: La soluzione definitiva al problema Umidità
Domodry® è un sistema non invasivo e totalmente biocompatibile, applicabile a qualsiasi tipo di struttura affetta da umidità ascendente, con garanzia di risultato assoluta e illimitata nel tempo. Il sistema agisce tramite un apparecchio di piccole dimensioni (28 x17 x 6 cm) che viene installato all’interno dell’edificio e collegato ad una presa elettrica domestica. Una volta in funzione, Domodry® neutralizza la carica elettrica dell’acqua presente nel terreno a contatto con la muratura, interrompendo così la risalita di nuova acqua attraverso i capillari del muro. L’umidità in eccesso viene quindi espulsa gradualmente tramite evaporazione spontanea, più o meno velocemente a seconda delle caratteristiche costruttive del muro, della quantità d’acqua inizialmente presente nel muro stesso, nonchè delle condizioni climatiche del luogo. Completata la de-umidificazione, sarà sufficiente mantenere in funzione l’impianto Domodry® così da garantire, tramite l’azione di prevenzione anti-capillare esplicata dall’impianto stesso, il mantenimento in via permanente dello stato di equi Vantaggi.
librio (umidità igroscopica naturale), raggiunto dalla muratura. L’impianto Domodry® viene realizzato con apparecchi della serie Doemo® disponibili in cinque diversi modelli: R06-R08-R10-R12-R15 con raggio d’azione sino a 6-8-10-12-15 m rispettivamente. Ciò consente la massima flessibilità e possibilità di adattamento dell’impianto a qualsiasi tipologia di manufatto edilizio, dalla più semplice abitazione di piccole dimensioni sino al più complesso fabbricato o edificio monumentale.
A detta dei maggiori esperti del settore, Domodry® rappresenta non solo la più avanzata, ma anche la più efficace e duratura soluzione per
la de-umidificazione muraria oggi disponibile in campo edile.
Decisamente più efficace e più economico rispetto ai sistemi tradizionali (ad es. taglio meccanico, barriera chimica, elettro-osmosi).
L’installazione è semplice e non prevede opere invasive sui muri.

Non sono necessari fili, elettrodi o elementi di altra natura lungo il perimetro della casa.
Non richiede iniezioni o introduzione di sostanze chimiche nel muro.
Non richiede interventi di taglio né modifiche strutturali.
Agisce sino alla base delle murature, pavimenti e solette compresi.
Risultato garantito indipendentemente da spessore e tipo di materiale del muro.
Blocca l’umidità in modo definitivo e permanente, senza perdere mai di efficacia.
Non richiede interventi di taratura e/o manutenzione nel tempo.
Non è influenzato dal grado di concentrazione né dal tipo di sali presenti nel muro.
Nessun peso sulla bolletta elettrica: il costo del consumo annuale non supera i 3 Euro.
L’apparecchio, piccolo e di aspetto gradevole, non disturba l’estetica della casa.

umidità, domodry, mbli, definitiva, soluzione, catania, biocompatibile, non invasivo