Le reti VPN sono uno dei sistemi più popolari per garantire le sicurezza di un collegamento remoto. Scopo e funzionamento di una VPN sono descritti dalla traduzione della sigla stessa: VPN sta per Virtual Private Network, che significa rete privata virtuale. Una VPN è una connessione che utilizza gli stessi canali di trasporto di una normale connessione via internet, sfruttando a fondo i protocolli di trasmissione in modo da creare un canale di trasmissione privato. L'aggettivo virtuale sta a significare che, quando colleghiamo via VPN due computer, è come se essi fossero collegati via LAN (Local Area Network) anziché via WAN (Wide Area Network). Consideriamo come esempio due reti locali distinte, che si collegano ad internet ognuna attraverso il proprio router (la scatoletta quadrata)
Reti LAN distinte
Quando apriamo un tunnel VPN tra le due reti locali (LAN 1 e LAN 2), è come se tutti i computer delle due reti fossero collegati sulla stessa rete locale, ovvero come se fossero collegati da un vecchio cavo di rete o agganciati via WI-FI sulla stesso router. E' per questo che si parla di “rete locale virtuale”, perché le macchine saranno in tutto e per tutto visibili come se fossero sulla stessa rete.
Rete LAN virtuale via VPN
Il vantaggio è notevole: se dobbiamo lavorare da casa, o abbiamo diverse filiali di un'azienda collocate in città diverse (o semplicemente edifici diversi della stessa città), aprendo una connessione VPN tra le reti locali permette di simulare una gigantesca rete LAN che di fatto ha la stessa estensione di una rete WAN, ma è accessibile solamente agli utenti connessi via VPN.
La situazione può generare qualche confusione. Ad un utente poco esperto il fatto di usare la rete locale per connettersi (via VPN) ad una macchina remota è un po' come scoprire una porta nascosta dietro la libreria del soggiorno, che invece di portare in cucina conduce in ufficio. La VPN è proprio la tecnologia che permette di trasformare una qualsiasi “porta” di casa in una specie di wormhole fantascientifico che ci collega direttamente ad un altro edificio remoto.
La configurazione di una VPN implica un po' di lavoro sia lato server, sia lato client, perché è necessario aprire il tunnel da ambo le parti, ovvero inserire informazioni private che rendono sicura la rete. La configurazione lato server è solitamente compito di un sistemista, perché necessita della definizione degli appositi certificati server-side, regole specifiche sul firewall e così via. Per questo motivo oggi vedremo quali sono le operazioni da compiere lato client, senza entrare nel merito della configurazione lato server. Anche se non siamo tecnici o se la messa a punto della VPN non è affar nostro, è bene sapere di cosa si tratta ed avere un'idea a grandi linee dei principi di funzionamento. Quando la tecnologia sembra complicarci la vita anziché semplificarla, il problema è quasi sempre la mancata comprensione dei principi di funzionamento.
Una moderna VPN può essere messa in piedi installando un software e caricando qualche file di configurazione. Questo può sembrare una complicazione inutile all'utilizzatore finale, ma se ci pensiamo non è un affatto una “complicazione”, bensì una condizione sine qua non. La procedura di configurazione di una VPN ha le stesse esigenze della riproduzione della chiave elettronica di un automobile, o della richiesta di una nuova carta di credito: se bastasse dire “mi faccia una copia di questa chiave/carta” senza mostrare alcun documento d'identità, la nostra autovettura o il nostro conto in banca sarebbero accessibili a chiunque. Allo stesso modo, se non fosse necessario alcuna configurazione da parte nostra, significa che sarebbe possibile agganciarsi ad una VPN automaticamente, ovvero che chiunque potrebbe entrare a far parte della VPN. Ecco perché dobbiamo avere un po' di pazienza e guardare la cosa da un'altra prospettiva: più informazioni private sono richieste dalla procedura di configurazione, più la VPN è sicura.
OpenVPN per Windows
Un modo di aprire una VPN su un sistema Windows è utilizzare un software dedicato. Sul web ne esistono molti, che pur essendo gratuiti offrono una buona soluzione del servizio, come ad esempio OpenVPN.
Dopo aver scaricato e installato il software, possiamo eseguirlo senza alcun timore: quando lanciamo OpenVPN eseguiamo solamente il programma che gestisce la VPN, senza aprire la connessione.
Il programma va eseguito come amministratore della macchina, e a seconda delle versioni potrebbe essere necessario eseguirlo in modalità compatibile con Windows Vista. Se il programma non parte al primo colpo controlliamo i requisiti di sistema e confrontiamoli col nostro sistema operativo. Se non sappiamo come procedere possiamo fare qualche tentativo, perché le possibilità non sono poi tante: cliccando sull'icona del programma col tasto destro del mouse, a aprendo il menù Proprietà- Compatibilità avremo a disposizione la casella Esegui il programma in modalità compatibilità per. Mettendo la spunta su questa casella possiamo scegliere tra la vecchie versioni di Windows, ma quelle che dovrebbero servire al nostro scopo sono le ultime (da Windows Vista in poi).
Una volta verificato di poter lanciare il programma, dobbiamo inserire la famose “informazioni private” che ci autenticheranno al momento dell'apertura della VPN. La natura di queste informazioni dipendono dall'amministratore del server, quindi non esiste una regola generale valida per tutte le VPN. Per fissare le idee vediamo un esempio concreto, considerando una VPN realizzata tramite una coppia di certificati e la criptazione su chiave pubblica-privata. Senza entrare nei dettagli, questo significa che l'amministratore del server dovrebbe mandarci un file avente estensione OVPN, il quale conterrà il riferimento ai nostri dati di autenticazione. Per comodità copiamo questo file, e tutto quello che ci viene mandato dall'amministratore, all'interno del percorso di installazione, ad esempio
C:\Program Files (x86)\OpenVPN\config
Per aprire la VPN basterà lanciare il programma OpenVPN, specificare il file di configurazione e cliccare su “Connetti”. Se qualcosa va storto dobbiamo contattare l'amministratore del server remoto, perché solo lui potrà dirci cosa manca per “tirare in piedi” la VPN.
Nel file OVPN possiamo controllare quali sono le informazioni private che garantiscono la nostra sicurezza. A titolo d'esempio queste potrebbero essere
ca ca.crt
cert <nome>.crt
key <none>.key
che sono, rispettivamente: il file di certificazione delle autorità, il nostro certificato privato e la nostra chiave private di autenticazione.
