Capitolo 6. Reti private virtuali

Organizzazioni con diversi uffici satelliti, spesso si collegano tra loro tramite apposite lenee, in modo tale da assicurare una certa efficienza e una protezione dei dati sensibili in transito. Per esempio, molte aziende usano dei frame relay o delle linee di tipo Asynchronous Transfer Mode (ATM) come soluzione di networking end-to-end, per poter collegare un ufficio ad un altro. Tale soluzione può essere un pò costosa, suprattutto per piccole e medie aziende (SMB) che desiderano espandersi, senza affrontare costi molto onerosi associabili a soluzioni di livello-enterprise, e circuiti digitali.

Gli ingegneri hanno sviluppato una soluzione a basso costo rappresentata dal Virtual Private Networks 'reti private virtuali' (VPN). Seguendo gli stessi principi di funzionamento di appositi circuiti, una VPN permette una comunicazione digitale sicura tra due gruppi (o reti), creando una Wide Area Network (WAN) da LAN esistenti. Esso differisce nel modo di trasporto, rispetto a un frame relay o un ATM. Le VPN trasmettono tramite il protocollo IP oppure attraverso i layer del protocollo (UDP), rendendolo cosi un condotto sicuro attraverso Internet, per una determinata destinazione. Molte implementazioni VNP di software libero, comprendono open standard e codifiche open source per occultare maggiormente i dati in transito.

Alcune organizzazioni usano soluzioni VPN hardware per incrementare la sicurezza, mentre altri usano il software o implementazioni basate su di un protocollo. Ci sono diversi rivenditori con soluzioni VPN hardware, ad esempio Cisco, Nortel, IBM, e Checkpoint. Per Linux vi è una soluzione VPN basata su software libero chiamata FreeS/Wan che utilizza una implementazione IPsec (o Internet Protocol Security) standardizzata. Queste soluzioni VPN agiscono come router specializzati e risiedono tra il collegamento IP da un ufficio ad un altro.

Quando viene trasmesso un pacchetto da un client, esso viene inviato attraverso un router o gateway, il quale aggiunge delle informazioni di testo per il routing e per l'autenticazione chiamate Authentication Header (AH). I dati sono cifrati e racchiusi con delle istruzioni per la gestione e perla descrizione chiamate Encapsulating Security Payload (ESP). Il router VPN ricevente, scompone le informazioni di testo, e le invia verso la loro destinazione originaria (ad una workstation oppure ad un nodo su di una rete). Usando un collegamento di tipo rete-a-rete, il nodo ricevente su di una rete locale, riceve i pacchetti decifrati e pronti per la processazione. Il processo di cifrare/decifrare in un collegamento VPN rete-a-rete, è trasparente ad un nodo locale.

Con un livello di sicurezza così alto, un cracker non solo deve intercettare il pacchetto, ma deve anche decodificarlo (nel caso di molti VPN, generalmente utilizzano il triplo Data Encryption Standard [3DES] 168-bit cipher). Gli aggressori che utilizzano un attacco di tipo man-in-the-middle tra un server e un client, devono avere anche un accesso alle chiavi per le sessioni di autenticazione. VPN rappresenta un modo sicuro ed effettivo per collegare i nodi remoti multipli in modo tale che essi possano comportarsi come un Intranet unificato.

6.1. VPN e Red Hat Enterprise Linux

Gli utenti e gli amministratori di Red Hat Enterprise Linux hanno diverse opzioni in termini d'implementazione di soluzioni software per collegare e rendere le loro reti WAN sicure. Ci sono, tuttavia, due metodi per l'implementazione di collegamenti VPN attualmente supportati con Red Hat Enterprise Linux. Una soluzione equivalente richiede l'uso della OpenSSH come tunnel tra due nodi remoti. Questa soluzione è una alternativa a Telnet, rsh, e altri metodi di comunicazione host remoti, purtroppo però non indirizza completamente i bisogni d'impiego di tutti i telecommuter corporativi e di uffici succursali. Due soluzioni supportate presenti con Red Hat Enterprise Linux che più si addicono alla definizione di un VPN sono Crypto IP Encapsulation (CIPE) e Internet Protocol Security (IPSEC).