Una VPN (Virtual Private Network, rete privata virtuale) è un sistema che stabilisce un canale di comunicazione cifrato e autenticato — detto tunnel — attraverso una rete pubblica come Internet. L’obiettivo è permettere a due o più endpoint di comunicare come se fossero connessi a una rete privata dedicata, indipendentemente dalla topologia fisica sottostante. Il traffico incapsulato nel tunnel è opaco a chiunque lo intercetti lungo il percorso: provider di accesso, router intermedi, avversori in ascolto.
Architetture principali
Le VPN si classificano in base al modello d’uso:
- Site-to-site: connette due reti aziendali geograficamente distinte (es. sede centrale e filiale) attraverso Internet. Il tunnel è trasparente agli utenti finali.
- Remote-access (client-to-site): un singolo client si connette alla rete aziendale da remoto. È il caso tipico del lavoratore in mobilità.
- VPN personale (consumer): il client si connette a un server VPN commerciale per mascherare l’indirizzo IP reale o accedere a contenuti geograficamente limitati. Caso d’uso distinto dalla VPN aziendale.
Protocolli
Il livello di sicurezza di una VPN dipende interamente dal protocollo impiegato:
| Protocollo | Caratteristiche principali |
|---|---|
| IPsec | Standard IETF, opera a livello rete (L3). Usato in site-to-site. Modalità Tunnel o Transport. |
| OpenVPN | Open source, basato su TLS. Flessibile, porta configurabile (aggira firewall restrittivi). |
| WireGuard | Moderno, kernel-native, crittografia moderna (ChaCha20, Curve25519). Bassa latenza. |
| L2TP/IPsec | L2TP da solo non cifra; abbinato a IPsec per la sicurezza. Ormai superato da WireGuard. |
| PPTP | Obsoleto e insicuro. Da non usare. |
Tunnel e incapsulamento
Il meccanismo fondamentale è l’incapsulamento: il pacchetto originale (con indirizzo IP privato sorgente/destinazione) viene cifrato e inserito come payload di un nuovo pacchetto IP con indirizzi pubblici. All’uscita del tunnel il pacchetto viene decifrato e consegnato alla destinazione interna. Questo processo è trasparente agli applicativi del client.
La cifratura garantisce confidenzialità; l’autenticazione dei peer (tramite certificati X.509 o chiavi pre-condivise) garantisce che solo endpoint legittimi possano aprire il tunnel, tutelando l’integrità.
Limiti e considerazioni di sicurezza
Una VPN non è una soluzione di sicurezza universale. Garantisce la riservatezza del canale, ma non protegge dall’endpoint compromesso: se il dispositivo del client è infetto da malware, il traffico nel tunnel è già compromesso prima di essere cifrato. Inoltre, una VPN accentra la fiducia sul server VPN stesso: un server malevolo o compromesso vede tutto il traffico in chiaro.
Le architetture moderne di tipo Zero Trust considerano la VPN un meccanismo insufficiente, perché implica che una volta dentro il tunnel il traffico sia automaticamente considerato affidabile — assunzione che gli attacchi di movimento laterale sfruttano.
In ambito industriale, le VPN sono fondamentali per la teleassistenza sicura di macchinari e impianti (telediagnostica).