Generalità
Esistono diverse interpretazioni del termine "VPN". VPN è l'acronimo di rete privata virtuale e richiama quindi una connettività su un'infrastruttura condivisa in modo da trattare la rete (virtuale e distribuita) come una rete privata. In questo modo è possibile adottare le politiche (di indirizzamento, della gestione della qualità, della sicurezza, dell'affidabilità, …) di tipo privato.
Una rete privata è una rete in cui esistono dei canali usati solo per quella determinata rete: non ci sono quindi canali condivisi tra più reti. Le VPN creano canali virtuali diretti tra destinazioni che non si trovano fisicamente nella stessa rete privata. Grazie alle VPN è possibile avere garanzie (di banda, di affidabilità, …) anche su reti non private. Le VPN esistono in quanto i costi di gestione di una rete privata vera e propria tra host distanti fisicamente risultano essere troppo alti.
Normalmente le VPN sono utilizzate sulla rete internet, in modo tale che gli host vedano alcuni destinatari come diretti, anche se in realtà non si trovano realmente nella stessa rete.
Per gestire le VPN sono necessari apparati supplementari, ma in genere portano ad un notevole risparmio in termini economici. Molto spesso i router (di categoria medio-alta) permettono di gestire autonomamente le reti VPN e i firewall necessari.
Problematiche
Creare una rete VPN non è un problema di semplice soluzione, in quanto si possono avere numerose complicazioni. Ad esempio è possibile che sia necessario consentire la connessione ad una VPN anche di utenti mobili o di utenti remoti che non hanno router VPN, oppure di uffici remoti molto distanti.
Tutti gli utenti, nel momento in cui si vogliono connettere alla rete VPN fanno richiesta di accesso ad un firewall, che, dopo aver consultato un server AAA (Authenthication, Authorization, Accounting) esegue diverse operazioni:
-permette o nega l'accesso alla VPN.
-definisce i servizi a cui l'utente è autorizzato.
-misura il consumo di risorse degli utenti.
I meccanismi di autenticazione devono essere sicuri e variano a seconda del tipo di utente. Ad esempio gli utenti mobili avranno un metodo di autenticazione più veloce e semplice rispetto agli uffici distaccati, che non subiranno quasi mai disconnessioni.
Tipi di VPN
Esistono diverse tipologie di reti VPN. Molto spesso questi tipi coesistono su una struttura VPN comune:
-VPN di accesso, consentono il collegamento di singoli apparecchi. Virtualizzano quindi le reti dial-up. Esistono diversi protocolli di gestione PPTP, L2TP. E' possibile usare infrastrutture condivise (reti di service provider, internet) mediante reti condivise (ADSL, ISDN, Wireless, DSL, …). Normalmente è necessario configurare in modo apposito le macchine per l'accesso alla VPN.
-VPN site to site, che consentono la virtualizzazione di canali dedicati. Protocolli IPsec, GRE, MPLS. E' possibile usare infrastrutture condivise (reti di service provider, internet) mediante reti condivise (ADSL, Fibra, Ethernet, …).
Funzionalità VPN
E' possibile usare le reti VPN in diversi modi, a seconda dello scopo per cui esse sono progettata:
-VPN Intranet permette il collegamento di tutte le risorse all'interno della rete VPN. (Site to Site). Si esige connessione sicura (cifratura), priorità del traffico (ad esempio priorità diverse a seconda dei dati che passano), scalabilità. E' necessario un firewall che permette l'accesso a determinate risorse a seconda del tipo di utente.
-VPN Extranet permette la condivisione di alcune funzionalità tra più aziende. (Site to Site). E' necessario un firewall all'ingresso della rete VPN (in modo da separare il traffico proveniente da una rete o da un'altra). Bisogna gestire il conflitto di indirizzi tra le reti (NAT, oppure è necessario rendere univoci gli spazi di indirizzamento, …).
-VPN ad accesso remoto permette l'accesso a utenti remoti. (VPN di accesso).
-VPN con accesso a internet permette la connessione di una VPN ad una rete esterna. Il collegamento può essere di due tipi:
--accesso a internet centralizzato, in cui l'accesso a internet della rete avviene attraverso un server centrale per tutta la rete. In questo modo è possibile filtrare il traffico in modo molto accurato e evitare accessi indesiderati alla rete.
--accesso a internet volontario, in cui l'accesso è distribuito tra gli utenti della rete. Questo evita di dover utilizzare sempre lo stesso apparecchio per uscire dalla rete, ma crea problemi di sicurezza e di gestione, in quanto è sufficiente che un utente non sia sufficientemente protetto da permettere l'accesso ad un estraneo ad alcune risorse della VPN. In più le regole di filtraggio del traffico sono difficilmente aggiornabili.
Modelli di VPN
Dal punto di vista organizzativo le VPN possono essere gestite in due modi:
-modello overlay consiste nella sovrapposizione della rete virtuale sulla rete fisica. In questo modo l'ISP non sa dell'esistenza della VPN (a meno che non snidi i pacchetti). In questo modo però bisogna usare alcuni apparecchi (VPN gateway) che si conoscono tra loro. In più il routing all'interno della VPN è a carico di chi crea la VPN. Alcuni esempi sono L2TP,PPTP (VPN ad accesso), IPSec, GRE (VPN site to site).
-modello peer lascia l'incarico di gestire la VPN all'ISP, che quindi gestisce anche l'instradamento. Non si possono fare reti di accesso peer pure, in quanto gli utenti non possono connettersi in modo dinamico. Un esempio di VPN peer è dato da MPLS (VPN Site to site). Nel modello pere esistono due entità: Il Provider Edge (PE), primo dispositivo della rete del provider, e il Customer Edge (CE), l'ultimo router prima della rete utente.
Altre differenziazioni
Si possono individuare reti VPN differenti a seconda del protocollo che emulano. Si possono avere VPN che emulano le funzionalità di livello 2 (i router virtuali sono bridge), oppure emulano reti IP, oppure VPN che emulano canali diretti, oppure VPN che lavorano a livello 3/4… .
Modelli VPN
Esistono diverse tipologie di reti VPN, ecco un breve riassunto:
-Overlay Model
--Layer 2, emula un protocollo di livello 2 (linea dedicata o rete locale)
---Frame Relay (Provider Provisioned)
---ATM
---MPLS
--Layer 3 (Customer Based / Provider Provisioned)
---IPsec+GRE
---PPTP
--Layer 4 (Customer Based)
---SSL
-Peer Model, che prevedono l'esistenza di host, che si connettono a Edge Router, che hanno lo scopo di creare dei tunnel tra di loro.
--Dedicated Router (Provider Provisioned), non più usato. Esistevano degli Edge Router dedicati per creare tunnel e per instradare i pacchetti. Questo metodo è molto oneroso e necessita di un lungo tempo di installazione, in quanto necessita l'installazione di un nuovo router apposito per ogni postazione che si vuole connettere alla VPN.
--MPLS (Provider Provisioned)
---BGP
---VR
--Shared Router (Provider Provisioned), in cui esistono router con installate più macchine virtuali, ognuna dedicata allo smistamento dei pacchetti, la gestione dell'instradamento dei pacchetti, … .
Topologie di VPN
La scelta di una topologia dipende dal traffico della rete (a seconda se il traffico avviene soprattutto tra host o tra host e server centrale). Alcune topologie tipiche sono:
-Hub and spole prevede l'implementazione di una topologia a stella, in cui gli host si connettono ad un insieme di server in una sede centrale. L'instradamento è sub-ottimo (ogni pacchetto è sempre consegnato in due passi), ma non sempre risulta essere veloce. C'è un numero minimo di tunnel, ma il gateway della sede centrale può essere spesso intasato.
-Mesh non prevede una topologia particolare: tutti gli host si possono collegare con gli altri host. In questo modo si può ottimizzare il routing (anche se risulta oneroso calcolare le tabelle di routing), ma si può avere un numero molto alto di tunnel.
| < Prec. | Succ. > |
|---|
