Come scegliere la VPN giusta

Traduzione e adattamento a cura di Naonis dell’articolo apparso nel sito del produttore al seguente link

L’utilizzo delle VPN si è dimostrato di grande aiuto durante la corrente pandemia da coronavirus, in cui le reti private virtuali stanno permettendo ai dipendenti di connettersi in modo sicuro alle reti aziendali anche quando lavorano da casa. Questa tecnologia ha permesso a molte aziende di poter lavorare da remoto ai propri dipendenti senza compromettere la sicurezza e senza creare delle vulnerabilità nella propria rete aziendale evitando di correre il rischio di subire delle violazioni dei propri dati. Questa pandemia ha spinto molte aziende e riorganizzazioni e a valutare delle soluzioni VPN per adeguarsi alle esigenze insorte. Untangle a questo proposito ha scritto un articolo che pensiamo possa essere utile a evidenziare i punti di forza e di debolezza tra le tre soluzioni VPN attualmente leader del settore per diffusione d’utilizzazione.

VPN leader del settore

WireGuard VPN: WireGuard è un progetto open source nato nel 2016 basato su un codice molto ottimizzato e molto efficiente che offre una una moderna soluzione di connettività VPN che semplifica, più di altre soluzioni, il collegamento sicuro alla rete aziendale dei dipendenti in remoto, degli uffici secondari o di altri dispositivi. WireGuard fornisce una crittografia avanzata e la semplicità del codice si cui si basa la rende una soluzione più robusta e meno vulnerabile rispetto a molte altre soluzioni VPN. Inoltre, la snellezza del codice con cui è scritto gli consente di fornire connessioni estremamente veloci con un sovraccarico minimo, rendendolo un’ottima scelta per le connessioni “site-to-site” e “client-to-site”.

In mobilità? WireGuard VPN mantiene la connessione sicura su qualsiasi dispositivo anche nel incaso di cambiamento di rete  di  connessione, ad esempio da WiFi a LTE, risultando ideale per la forza lavoro in mobilità o per quella che probabilmente continuerà a lavorare da remoto anche nel prossimo futuro. L’installazione di WireGuard è semplice e richiede l’installazione di un’applicazione su ciascun client per le connessioni “client-to-site”. In sintesi i suoi pro e contro sono i seguenti.

Pro: facile da configurare, connessioni veloci tra le connessioni client, ampio supporto sia su piattaforme mobili che desktop, capacità di roaming da entrambi i lati per una maggiore sicurezza del dispositivo indipendentemente dalla connettività utilizzata, basso consumo di energia per la sua esecuzione, connessione molto stabile, tempo necessario per l’autenticazione molto basso.

Contro: opzione VPN meno conosciuta e affidabile, richiede l’installazione di un’applicazione client.

OpenVPN – OpenVPN è un progetto open source nato nel 2001 con un codice scarsamente ottimizato che consente agli amministratori di offrire un accesso remoto sicuro alla rete interna sia ad utenti remoti che a sedi remote. OpenVPN adotta un modello client-server, e permette di connettere in modo sicuro i client VPN ai server VPN garantendo la sicurezza dei dati trasmessi. OpenVPN consente anche l’uso di chiavi di crittografia a 256 bit e algoritmi di crittografia di fascia alta per elevarne ulteriormente il livello di sicurezza. L’installazione di OpenVPN è semplice ma richiede l’installazione di un’applicazione client VPN su ogni client in caso si connessione “client-to-site”. In sintesi i pro e contro sono i seguenti.

Pro: molto conosciuto e largamente diffuso, facile da configurare, può essere usato per creare connessioni tra firewall di produttori diversi.

Contro: richiede l’installazione di una applicazione sul client, può creare connessioni più lente di altre soluzioni concorrenti, consumo elevato di energia durante la sua esecuzione, connessione non stabilissima come quella fornita da soluzioni più recenti come WireGuard, tempo necessario per l’autenticazione alto.

IPsec VPN – IPsec VPN è un progetto proprietario nato nel 1999 che fornisce agli amministratori di rete due opzioni: modalità di trasporto e tunnel. La modalità di trasporto consente agli amministratori di crittografare il traffico tra due host, mentre la modalità tunnel crea un vero e proprio tunnel tra i due dispositivi. IPsec VPN opera in Layer 3, il livello di rete, ciò consente a IPsec di fornire sicurezza e completa privacy a tutte le applicazioni che comunicano i propri dati attraverso la rete VPN. Il supporto lato client a IPsec è attualmente integrato in moltissimi sistemi operativi, ciò ne semplifica la messa in opera nelle connessioni “client-to-site”. In sintesi i pro e contro sono i seguenti.

Pro: connessioni veloci, le applicazioni client sono in genere già integrate nei dispositivi, protocollo ben noto e scelto come soluzione VPN predefinita da molte aziende.

Contro: tradizionalmente a pagamento, più complesso da configurare, in caso di problemi di connessione la ricerca delle cause è generalmente più complessa a causa delle molte opzioni disponibili.

Un accurato documento in PDF che confronta le prestazioni tra WireGuard, OpneVPN e IPsec fatto da terze parti lo potete scaricare cliccando qui.

Un accurata analisi tra WireGuard e OpenVPN fatto da terze parti lo potete trovare invece cliccando qui.

Sebbene ci siano pro e contro per ciascuna delle tecnologie VPN su elencate, alcune loro caratteristiche diventano più importanti rispetto alle altre in base alle necessità di utilizzo. E’ possibile eventulamente combinare l’uso di queste tecnologie VPN. Ad esempio, per le connessioni “site to site”, che utilizzino gateway di sicurezza di diversi fornitori, può avere senso scegliere IPsec se questa tecnologia è supportata in entrambi i dispositivi. Per i tunnel “site to site” con dispositivi della stessa marca, l’utilizzo della tecnologia VPN con le migliori prestazioni (come quelle attualmente offerte da WireGuard) garantirà la migliore esperienza per l’utente. Infine, per collegare in VPN i dispositivi degli utenti la scelta migliore potrebbe essere un protocollo che fornisca una facile gestione della connessione e una elevata compatibilità con ogni sistema operativo client.

Anche in futuro, la connettività VPN rimarrà comunque un elemento fondamentale di qualsiasi soluzione di sicurezza di rete aziendale. Sarà quindi fondamentale esplorare e scegliere la soluzione che possa soddisfare sia le esigenze aziendali attuali che le esigenze aziendali future e persino le esigenze aziendali non attualmente prevedibili.

 

Cosa può offrire ad un’azienda una soluzione VPN?

Ogni azienda ha bisogno della propria soluzione VPN che, a seconda della propria attività o struttura di distribuzione, va personalizzata sulla base delle seguenti esigenze.

Compatibilità firewall: questa è una considerazione importante in termini di dispositivi degli utenti finali e reti remote. Alcune reti aziendali sono gestite in modo non centralizzato con dispositivi “gateway” di sicurezza differenti, o indipendenti, per ogni sede. Ciò rappresenta un rischio quando è necessario connettere gli uffici tra loro in modo sicuro per creare una Wide Area Network in quanto i dispositivi gateway utilizzati potrebbero non supportare gli stessi protocolli di tunneling.

Capacità: come molte aziende hanno scoperto a marzo scorso, i servizi VPN possono avere limitazioni di capacità e diventare lenti all’aumentare del loro utilizzo. La scelta di un client VPN in grado di gestire 10, 100 o 1.000 utenti senza compromettere la velocità e la sicurezza è fondamentale. Le aziende continueranno ad avere dipendenti che lavorano in remoto sicuramente anche dopo la riapertura degli uffici dopo questa pandemia.  E’ fondamentale quindi per qualsiasi azienda assicurare che essi possano accedere a tutte le applicazioni, anche a quelle con alta necessità di banda con una latenza minima, indipendentemente dal numero di utenti connessi via client VPN.

Logging e Report: a seconda del settore, “Logging and Reports” sono fondamentali per mantenere la conformità e gli standard normativi da parte dei dipendenti e dei leader aziendali. Capire se la vostra azienda ha bisogno di conservare per lungo tempo rapporti e registri delle attività e trovare un servizio che lo fornisca è fondamentale a seconda di quanto richiesto nel proprio settore di attività.

Ai responsabili IT che vogliano esaminare l’adeguatezza delle soluzioni VPN che hanno attualmente a disposizione, o che stiano cercando delle alternative per risolverne i punti deboli evidenziati durante questa pandemia, suggeriamo di porsi le seguenti importanti domande confrontando delle diverse soluzioni VPN.

  • Supporta la modalità Tunnel completo? Gli amministratori di rete desiderano forzare tutto il traffico Internet dai dispositivi remoti attraverso il loro gateway di sicurezza. Se una soluzione VPN supporta la modalità Tunnel completo, un amministratore può applicare lo stesso livello di sicurezza e reportistica su ogni dispositivo, indipendentemente dalla posizione.
  • Può funzionare come servizio? Se eseguito come servizio, gli amministratori possono configurare l’accesso remoto in modo che gli utenti remoti non possano disabilitare la connessione VPN.
  • Supporta l’autenticazione a due fattori (2FA)? Alcune soluzioni VPN supportano 2FA. Questa funzionalità aggiuntiva è ideale per le aziende o le organizzazioni che desiderino aumentare la sicurezza di accesso alla loro rete e desiderino maggiori garanzie che l’accesso sia ristretto ai solo dipendenti autorizzati dotati di dispositivo aggiuntivo di autenticazione.
  • Supporta l’autenticazione dell’utente basato su un servizio di directory? Ciò consente agli amministratori di avere un controllo migliore su come gli utenti si identificano e si connettono da remoto. Ad esempio, l’amministratore può disabilitare l’accesso per un utente nel servizio di directory, il che a sua volta limita la capacità dell’utente di connettersi tramite VPN.
  • Supporta la configurazione dinamica? I client come OpenVPN sono in grado di ottenere informazioni di configurazione e instradamento ad ogni riconnessione. Ciò è utile per gli amministratori perché permette di poter apportare modifiche alla rete aziendale e tali modifiche possono propagarsi ai client VPN senza la necessità di riconfigurare manualmente ogni dispositivo client.
  • Supporta la configurazione DNS? L’accesso remoto di solito comporta la connettività alle risorse interne in base ai nomi, al contrario degli indirizzi IP. Il tunneling VPN fornisce connettività basata su IP ma non è coinvolto nella risoluzione dei nomi. Per garantire che i nomi host vengano risolti correttamente anche per i client remoti, alcuni client, quando sono connessi, possono aggiornare le proprie impostazioni DNS.

Di seguito è riportata una tabella che schematizza il modo in cui le soluzioni VPN citate rispondono alle domande sopra elencate.

WireGuard VPN OpenVPN IPsec VPN
Supporta il Full Tunnel Mode? Si Si Si
Può girare come Servizio? No Si No
Supporta l’autenticazione a due fattori  (2FA)? No Si No, tuttavia può essere ottenuta se combinato con un servizio di directory che lo supporti, ma non è supportata in modo nativo dal protocollo.
Supporta l’autenticazione dell’utente basata su un servizio di directory? No Si Si
Supporta la configurazione dinamica? No Si No
Supporta la configurazione del DNS? Si Si No

Quando un azienda analizza il modo in cui in futuro i loro dipendenti lavoreranno e si connetteranno alla rete aziendale, le connessioni VPN saranno senza dubbio un punto importante di tale analisi. Molte aziende stanno pensando di accogliere nuovamente i dipendenti in ufficio, creando però una struttura di lavoro ibrida con maggiore flessibilità che prevee anche il lavoro da remoto, e alcune di esse stanno passando di utilizzare in modo permanente dei collaboratori completamente in remoto. In tutti questi casi, è fondamentale l’adozione di una soluzione VPN che protegga la rete aziendale e che fornisca una connettività affidabile per uno, o anche per mille, dipendenti senza che si verifichino problemi di larghezza di banda della connettività. Ognuna di queste soluzioni VPN leader di mercato fornisce alle aziende sicurezza e connettività essenziali, rendendole ideali per qualsiasi rete.

Segnaliamo, infine, un interessante articolo apparso sul sito vladtalks.tech (in lingua inglese) del 25 maggio 2021 che effettua una interessante analisi comparativa sull’effetto di riduzione della capacità massima di canale tra la VPN di WireGuard e di OpenVPN basato su un test effettuato su 114 server VPN distinguendo tra traffico UDP e traffico TCP-IP.
Is Wireguard faster than OpenVPN? We tested 114 VPN servers.