Una rete privata virtuale (VPN) è una connessione point-to-point attraverso una rete pubblica o privata, ad esempio Internet. Un client VPN utilizza protocolli speciali basati su TCP/IP, detti protocolli di tunneling, per stabilire un canale sicuro tra due computer attraverso il quale i computer possono inviare dati. Dal punto di vista dei due computer coinvolti, è presente un collegamento point-to-point dedicato tra di essi, tuttavia in realtà i dati vengono reindirizzati attraverso Internet come tutti gli altri pacchetti. In una distribuzione VPN standard un client avvia una connessione virtuale point-to-point con un server di accesso remoto tramite Internet. Il server di accesso remoto risponde alla chiamata, autentica il chiamante e trasferisce i dati tra il client VPN e la rete privata dell'organizzazione.
Per emulare un collegamento point-to-point, i dati vengono incapsulati o racchiusi in un'intestazione. L'intestazione include informazioni di routing che consentono ai dati di attraversare la rete condivisa o pubblica per raggiungere il relativo endpoint. Per emulare un collegamento privato, i dati inviati vengono crittografati a scopo di riservatezza. Per ulteriori informazioni sui protocolli di tunneling supportati in questa versione di Windows, vedere la
Per informazioni sui requisiti di installazione, vedere Requisiti per installare RRAS come server VPN.
Connessione VPN
Sono presenti due tipi di connessioni VPN:
VPN per l'accesso remoto
Un connessione VPN per l'accesso remoto consente a un utente che lavora da casa o si trova in trasferta di accedere a un server in una rete privata utilizzando l'infrastruttura resa disponibile da una rete pubblica, ad esempio Internet. Dal punto di vista dell'utente, la VPN è una connessione point-to-point tra il computer client e il server dell'organizzazione. L'infrastruttura della rete condivisa e pubblica è irrilevante in quanto, dal punto di vista logico, è come se i dati venissero inviati su un collegamento privato dedicato.
VPN da sito a sito
Una connessione VPN da sito a sito (detta anche connessione VPN da router a router) consente a un'organizzazione di disporre di connessioni con routing tra uffici separati o con altre organizzazioni su una rete pubblica, garantendo al contempo la sicurezza delle comunicazioni. Quando le reti sono connesse attraverso Internet, come indicato nella figura seguente, un router abilitato per VPN inoltra i pacchetti a un altro router abilitato per VPN attraverso una connessione VPN. Per i router la connessione VPN opera dal punto di vista logico come un collegamento data-link layer dedicato.
Una connessione VPN da sito a sito connette due reti private. Il server VPN rende disponibile una connessione con routing alla rete a cui è connesso. Il router chiamante si autentica sul router ricevente e, per autenticazione reciproca, quest'ultimo si autentica sul router chiamante. In una connessione VPN da sito a sito i pacchetti inviati da uno dei due router attraverso la connessione VPN in genere non hanno origine dai router.
VPN che connette due siti remoti attraverso Internet
Proprietà delle connessioni VPN
- Incapsulamento. I dati privati vengono incapsulati con un'intestazione che contiene le informazioni di routing che consentono ai dati di attraversare la rete di transito. Per esempi di incapsulamento, vedere la
pagina relativa ai protocolli di tunneling VPN (https://go.microsoft.com/fwlink/?linkid=140602). - Autenticazione. L'autenticazione per le connessioni VPN avviene in tre forme diverse:
- Autenticazione a livello utente mediante l'autenticazione Point-to-Point Protocol (PPP). Per stabilire la connessione VPN, il server VPN autentica il client VPN che tenta di connettersi utilizzando un metodo di autenticazione a livello utente PPP e verifica che il client VPN disponga dell'autorizzazione adeguata. Se viene utilizzata l'autenticazione reciproca, il client VPN autentica anche il server VPN, offrendo protezione da computer camuffati da server VPN.
- Autenticazione a livello computer mediante protocollo IKE. Per stabilire un'associazione di sicurezza IPSec (Internet Protocol Security), il client VPN e il server VPN utilizzano il protocollo IKE per lo scambio di certificati del computer o di una chiave già condivisa. In entrambi i casi, il client e il server VPN si autenticano reciprocamente a livello computer. L'autenticazione tramite i certificati del computer rappresenta un metodo di autenticazione notevolmente più sicuro ed è pertanto consigliato. L'autenticazione a livello computer viene utilizzata da connessioni Layer Two Tunneling Protocol(L2TP)/IPsec o IKE versione 2.
- Autenticazione dell'origine dati e integrità dei dati. Per verificare che i dati inviati sulla connessione VPN siano stati originati all'altra estremità della connessione e non siano stati modificati durante il passaggio, i dati contengono un checksum di crittografia basato su una chiave di crittografia nota solo al mittente e al destinatario. L'autenticazione dell'origine dati e l'integrità dei dati sono disponibili per le connessioni L2TP/IPsec e IKE versione 2.
- Autenticazione a livello utente mediante l'autenticazione Point-to-Point Protocol (PPP). Per stabilire la connessione VPN, il server VPN autentica il client VPN che tenta di connettersi utilizzando un metodo di autenticazione a livello utente PPP e verifica che il client VPN disponga dell'autorizzazione adeguata. Se viene utilizzata l'autenticazione reciproca, il client VPN autentica anche il server VPN, offrendo protezione da computer camuffati da server VPN.
- Crittografia dei dati. Per assicurare la riservatezza dei dati durante l'attraversamento della rete pubblica o condivisa, questi vengono crittografati dal mittente e decrittografati dal destinatario. I processi di crittografia e decrittografia dipendono dal fatto che sia il mittente che il destinatario utilizzano una chiave di crittografia comune.
I pacchetti intercettati inviati sulla connessione VPN nella rete di transito non sono comprensibili per gli utenti che non dispongono della chiave di crittografia comune. La lunghezza della chiave di crittografia è un parametro di sicurezza importante. È possibile utilizzare tecniche di calcolo per determinare la chiave di crittografia, tuttavia tali tecniche richiedono potenza di elaborazione e tempi di calcolo direttamente proporzionali alla lunghezza della chiave di crittografia. Per tale motivo, è importante utilizzare una chiave più lunga possibile per assicurare la riservatezza dei dati.