RETI PRIVATE VIRTUALI: STATO DELL ARTE E SCENARI EVOLUTIVI Nell ambito delle tecnologie e dei sistemi per l utilizzo sicuro dei sistemi informatici in rete, quello delle reti private virtuali, o VPN (Virtual Private Networks), è uno dei segmenti in cui stiamo assistendo a un notevole sviluppo. Uno sviluppo che sul piano commerciale consiste nella progressiva adozione da parte delle organizzazioni sia del settore privato sia della pubblica amministrazione, mentre sul piano tecnologico, si assiste ad importanti investimenti da parte dei fornitori di soluzioni e sistemi. Tutto ciò si traduce in rapide e interessanti innovazioni, nel proliferare di servizi avanzati da parte di operatori specializzati e, in generale, nella crescita di questo settore. Facciamo dunque il punto, analizzando i benefici applicativi delle VPN, lo stato dell arte sul piano tecnologico e i possibili scenari evolutivi. Grazie alle VPN è possibile mantenere separati diversi tipi di traffico e realizzare connessioni sicure attraverso reti pubbliche come internet, o comunque condivise tra più utenti come quelle di un operatore di telecomunicazioni, attraverso tecniche di etichettatura, tunneling e cifratura del traffico. In questo modo è possibile connettere telelavoratori, utenti mobili, filiali e business partners alla propria rete privata, estendendola e rendendo virtualmente privati i canali di comunicazione utilizzati per l interconnessione, anche con le massime garanzie di protezione e riservatezza del traffico. È quindi evidente che economicità e flessibilità sono due importanti vantaggi offerti dalle VPN, grazie ai bassi costi e alla pressoché ubiqua disponibilità degli accessi internet a larga banda. Le VPN si prestano dunque a tre principali tipi di applicazione, e secondo questi vengono classificate. connessione tra diverse sedi di un organizzazione (site-to-site VPN): è la modalità con la quale si interconnettono sedi e piccoli uffici remoti, sia appoggiandosi alla già presente connettività internet, sia sfruttando un backbone di un provider condiviso con altri utenti, in grado tuttavia di assicurare separazione del traffico dei diversi clienti. Nel primo caso è diffuso l utilizzo di IPSec, che fornisce oltre alla separazione del traffico anche servizi di cifratura e mantenimento dell integrità dei dati anche se non cifrati. Nel caso invece di utilizzo di un backbone condiviso, ad esempio il Multi Protocol Label Switching (MPLS) grazie a una tecnica di etichettamento del traffico ne garantisce la separazione e il corretto instradamento. Le VPN Site-to-Site sono tipicamente dei collegamenti permanenti. accesso remoto di telelavoratori e utenti mobili (remote-access VPN): con questa modalità si vuole fornire accesso alle risorse centrali da parte di telelavoratori, o comunque a singoli punti d accesso, piuttosto che a uffici remoti, di qualunque dimensione. Tipicamente questa soluzione consta di un client per l accesso VPN con tecnologia IPSec che garantisce segretezza e integrità del traffico, e un indirizzamento indipendente dal provider utilizzato. Grazie a un client IPSec il PC collegato in VPN fa parte a tutti gli effetti della rete privata centrale. Un alternativa a questa modalità è quella di fare uso semplicemente di un internet browser e della sua capacità di stabilire connessioni cifrate verso un gateway che rende disponibili alcuni servizi. Questa modalità, che esamineremo più avanti, è anche nota come SSL VPN o Clientless, proprio in base al fatto che non utilizza nessun client specifico se non qualcosa che è già parte del sistema operativo. È da notare anche come la
maggior parte dei sistemi operativi abbia comunque a bordo un client VPN (IPSec, PPTP o altra tecnologia) interoperabile, grazie alla standardizzazione dei protocolli di tunneling con la stragrande maggioranza di dispositivi che offrono un servizio di Remote Access VPN. Le VPN ad accesso remoto sono tipicamente dei collegamenti temporanei. integrazione con business partner (extranet VPN): questo è essenzialmente il caso di una VPN siteto-site descritta in precedenza, salvo il fatto che la gestione delle politiche di accesso resta a discrezione di due differenti organizzazioni che si mettono d accordo sul tipo di connettività da utilizzare, ma che comunque interconnette due reti all interno delle quali vigono politiche di sicurezza differenti e comunque non note ad entrambe le parti. Pur essendo analoghe a collegamenti siteto-site, le extranet VPN possono comunque essere collegamenti temporanei stabiliti solo per il tempo necessario alle operazioni desiderate. Secondo IDC già oggi il 17% delle aziende italiane interconnette le proprie sedi utilizzando reti private virtuali attraverso internet, a fronte di una media europea del 23%. Ma ancora più interessante è la previsione fornita da Infonetics Research, secondo cui nei prossimi 4 anni in Europa l adozione delle VPN site-to-site crescerà dell 85%, quella delle VPN remote-access del 100%, e quella delle VPN per applicazioni Extranet addirittura del 233%. Simili rosee prospettive di crescita sono giustificabili alla luce di diversi fattori che concorrono alla decisione di adottare soluzioni VPN da parte di aziende private e organizzazioni pubbliche: fattori economici, fattori strategici, maturità delle tecnologie. Fattori Economici I risparmi ottenibili da una VPN in alternativa a forme di connettività dedicata possono essere davvero notevoli. Secondo il Gartner Group il ritorno medio sugli investimenti in tecnologia necessaria per realizzare una VPN è di oltre il 50%, grazie al significativo risparmio ottenibile rispetto al costo di linee dedicate, o alle spese telefoniche per gli accessi remoti di tipo dial-up, indipendentemente dalle prestazioni delle varie alternative. Fattori Strategici Sul piano strategico, la flessibilità e l economicità delle VPN rappresentano per un organizzazione l opportunità di interconnettere un maggior numero di proprie sedi e di Partner che fanno parte del proprio modello di business. In questo modo è possibile ottimizzare i propri processi interni, grazie alla condivisione e al consolidamento delle risorse aziendali e dei sistemi applicativi. L estensione dell accesso in tempo reale ai dati e alle applicazioni da parte dei propri telelavoratori e business partner è poi funzionale a importanti trasformazioni verso modelli organizzativi più efficienti e flessibili di Networked Virtual Organization (NVO), a beneficio della propria competitività. Se sul piano della mobilità il ruolo abilitante delle VPN per accesso-remoto è più che evidente - anche grazie ai molteplici dispositivi dai quali è possibile fruirne -, non meno importante è l aumento di flessibilità e di resilienza che le VPN possono apportare ad un organizzazione. Nel dicembre 2002, ad esempio, anche il Research Triangle Park, il maggior centro di ricerca e sviluppo di Cisco Systems negli Stati Uniti, fu colpito da una tempesta particolarmente violenta che si era abbattuta sul North Carolina. Per tre giorni l intero centro rimase privo di elettricità e recarsi al lavoro era decisamente imprudente sul piano della sicurezza personale. Tuttavia, proprio grazie all accesso remoto alla rete aziendale con VPN a larga banda, quasi tutti gli oltre 1000 dipendenti di quella sede hanno potuto continuare a lavorare dalle proprie abitazioni come se fossero stati in ufficio, riducendo significativamente l impatto in termini di produttività che l episodio avrebbe altrimenti provocato per Cisco Systems. Una circostanza più recente in cui il beneficio di resilienza delle VPN per accesso remoto si è reso altrettanto evidente, è stato il black-out che ha interessato gran parte della regione orientale degli Stati Uniti la scorsa estate. Non essendo possibile recarsi in sede, Cisco Systems ha preferito raccomandare ai propri dipendenti di quelle
zone di lavorare da casa utilizzando gli accessi VPN fintanto che la situazione fosse tornata alla normalità. Generalizzando, quindi, le VPN possono essere considerate anche un potente strumento di gestione di situazioni contingenti impreviste che altrimenti avrebbero un impatto significativo sulla produttività di un azienda. Maturità delle Tecnologie Le VPN sono dunque un sistema efficace, flessibile ed economico per estendere i servizi, le applicazioni e le reti aziendali virtualizzandole al di là dei confini fisici delle singole organizzazioni. Ciò è possibile alla condizione che i servizi avanzati delle sofisticate infrastrutture di rete di oggi siano supportati in maniera trasparente anche dalle infrastrutture VPN. Questo è stato, infatti, il fondamentale requisito che ha pilotato lo sviluppo tecnologico di questo settore nell ultimo paio d anni. Uno sviluppo alimentato da ingenti investimenti da parte dei principali attori nel panorama del Networking, che rispondendo alle esigenze di funzionalità, gestibilità, scalabilità e sicurezza, ha portato a un progressivo affinamento delle funzionalità nell ambito delle tecniche di cifratura, di autenticazione delle sessioni, tunneling e traffic engineering. A queste funzionalità di base, lo stato dell arte ne vede affiancate alcune altre particolarmente sofisticate, quali ad esempio il supporto di applicazioni Voce e Video su VPN IPSec, oppure la possibilità di configurare VPN multi punto aggiungendo o togliendo nodi (es. nuove sedi, o nuovi Partner) in maniera dinamica; sul piano della gestione è poi oggi possibile amministrare da un unico punto il deployment e la configurazione di decine di migliaia di VPN, amministrare in maniera centralizzata le politiche di sicurezza per ciascun utente, e impostare remotamente le configurazioni dei vari dispositivi hardware e software, rendendone peraltro estremamente semplice e trasparente l utilizzo da parte degli utenti. Tutti elementi che delineano i due principali filoni su cui è orientata anche l ulteriore evoluzione delle tecnologie VPN: il supporto dei servizi avanzati delle reti convergenti (dati, voce, video, storage su un unica infrastruttura di rete IP), e la semplificazione dell implementazione e dell utilizzo dei sistemi stessi. Se da un punto di vista di adozione delle tecnologie, le VPN sono largamente implementate e utilizzate, è comunque necessario fare un po di chiarezza a riguardo della terminologia che gravita attorno a questo concetto. Definiamo tunneling una tecnica per instradare il traffico attraverso una rete. Spesso, parlando di VPN, non è chiaro di che tipo di tunneling si tratti. Esistono diverse tecnologie di tunneling, alcune con il solo scopo di mantenere il traffico separato da quello della rete che si attraversa, altre con più sofisticate garanzie di cifratura e integrità dei dati tunnelizzati. Il più famoso standard di tunneling con servizi di sicurezza è l IPSec, che opera a livello 3, ma non dimentichiamoci di SSL, SSH, TLS che tipicamente operano ad un livello superiore al TCP. Ulteriori tecnologie di tunneling sono MPLS, GRE, PPTP, L2F, L2TP, vedi tabella riassuntiva in fig. 2. Sebbene in questa sede ci occupiamo prevalentemente delle applicazioni VPN basate su IPSec, questo non significa comunque che le altre non abbiano una loro valenza. Spesso, anzi, sono usate in congiunzione con IPSec per sfruttare al meglio i vantaggi dell una e dell altra soluzione. Uno dei maggiori pregi di IPSec è quello di consistere di un insieme di standard IETF, che cosa che per gli utilizzatori si traduce in garanzia di interoperabilità fra apparati di diversa provenienza; di essere una robusta suite di protocolli operanti a livello OSI3, e quindi assolutamente trasparente rispetto ai protocolli di più alto livello che viaggiano sopra questo (pensiamo a FTP, http ecc.); di implementare lo stato dell arte delle tecnologie, a garanzia della integrità e segretezza dei dati (3DES, AES); di poter essere estensibile e coprire virtualmente ogni esigenza, sia in situazioni di accesso remoto, sia di connettività di tipo site-to-site. Applicazioni evolute dell IPSec sono le VPN paritetiche in cui, grazie alla semplice connettività ad internet di migliaia di siti, questi abbiano la possibilità di stabilire dinamicamente, e autonomamente, tunnel cifrati verso qualunque destinazione tra quelle configurate. Escludendo la possibilità di preconfigurare un numero arbitrariamente elevato di siti con le informazioni necessarie a stabilire i tunnel con il resto dei partecipanti a
una VPN totalmente magliata, ciò diviene invece possibile grazie all adozione di altre tecnologie come il GRE ed l NHRP, affinché ogni endpoint sia in grado di autoconfigurarsi per stabilire la connessione con un altro endpoint. La naturale estensione di uno scenario di questo tipo è l estensione dei requisiti di qualità del servizio (QoS) anche all interno di tunnel cifrati. Il problema è molto semplice da definire: quando il traffico in passaggio su un gateway è in chiaro è facile rilevarlo e analizzarlo, potendolo quindi priorizzare correttamente in base ale relative applicazioni (es. traffico voce/video a massima priorità, traffico email a media priorità e traffico peer-to-peer a bassissima priorità); questa classificazione risulta invece impossibile quando il traffico in questione è cifrato, e quindi tutto ciò che l analisi del traffico può rilevare è appunto l attraversamento di dati cifrati, impossibili quindi da classificare e priorizzare. Cisco Systems ha risolto questo problema implementando sulle proprie piattaforme VPN la modalità V3PN (Voice, Video over VPN) che permette, anche in presenza di traffico cifrato, di mantenere la giusta priorità del flusso di dati. In questo modo si rendono ad esempio possibili applicazioni Voice over IPSec, avendo risolto il principale problema del mantenimento della QoS all interno di un tunnel cifrato. Come per la maggioranza di altre tecnologie di sicurezza, anche le VPN sono un tassello funzionale che dà il massimo beneficio quando è già integrato all interno dei dispositivi che fanno parte integrante di una rete. La stragrande maggioranza dei sistemi operativi dispone ad oggi di Client VPN in grado di stabilire connessioni remote sicure verso una rete. Allo stesso modo, molti apparati che costituiscono una rete (router, multilayer switch, firewall) sono in grado di accettare connessioni cifrate sia provenienti da un client (remote access), sia provenienti da un sito remoto (site-to-site). Particolarmente sentito dall utenza mobile è il problema di dover avere a bordo del proprio PC un client VPN da utilizzare nel momento in cui si debba attivare la connessione sicura verso il proprio sito centrale. Secondo Infonetics tra il 2003 e il 2005 il numero di utenti mobili crescerà del 50% in Europa, mentre il numero di telelavoratori addirittura raddoppierà. Parallelamente al diffondersi della mobilità aziendale si sta quindi diffondendo anche l utilizzo della clientless VPN. Si tratta di una modalità di accesso remoto sicuro alle reti aziendali che per essere attivata necessita unicamente di un internet browser con supporto SSL (quindi praticamente qualunque browser oggi comunemente disponibile). In questo caso anziché utilizzare IPSec e instradare nel tunnel tutto il traffico in uscita, viene invece utilizzato SSL, un tunnel a livello application (quindi di livello superiore al transport layer) che andrà a terminare su un gateway che renderà disponibili attraverso l interfaccia del browser alcune risorse aziendali come posta elettronica, accesso a file server, alla intranet ecc. In questo modo, anche coloro che si trovano fuori ufficio ed eventualmente privi del proprio PC avranno la possibilità di accedere a queste risorse aziendali in modo sicuro e flessibile, per esempio anche utilizzando uno dei chioschi internet che stanno diventando sempre più popolari in alberghi, aeroporti e zone turistiche. I pregi della clientless VPN sono evidenti: oltre alla facilità di utilizzo, non si rende necessario distribuire, installare e configurare un client IPSec a bordo dei client per l accesso alle risorse centrali, svincolando in questo modo gli utilizzatori dalla necessità di utilizzare uno specifico dispositivo di accesso. D altra parte la tradizionale VPN IPSec ha tuttora una maggiore trasparenza ed un miglior supporto per le applicazioni utilizzate, lavorando a un livello OSI inferiore. Sarà dunque naturale, d ora in avanti, considerare la clientless VPN come un alternativa complementare alla tradizionale VPN IPSec per l accesso remoto, e avere la scelta di utilizzo dell una o dell altra tecnologia sulla stessa piattaforma per accesso remoto è certamente la migliore opzione per le aziende. È ormai chiaro come le VPN rappresentino uno strumento fondamentale per l estensione, la virtualizzazione e la condivisione di servizi, applicazioni e processi aziendali, capitalizzando la convenienza e l economicità di reti pubbliche come Internet, o comunque condivise, come quelle degli operatori di telecomunicazioni. Ma soprat-
tutto le VPN costituiscono un importante abilitatore tecnologico alla trasformazione del modo di organizzarsi, di operare e di interagire di cui hanno bisogno le organizzazioni per migliorare i propri livelli di efficienza, flessibilità e produttività. Uno scenario estremamente concreto, grazie alle funzionalità e ai servizi avanzati che le VPN sono già oggi in grado di erogare, ma anche un esigenza che continuerà a guidare l innovazione e gli sviluppi futuri in questo campo. Referenze: Cisco SAFE VPN http://cisco.com/go/safe Cisco VPN www.cisco.com/go/vpn, www.cisco.com/go/sslvpn Roberto Mircoli Business Development Manager Advanced Technologies - Security Cisco Systems Italy Marco Misitano, CISSP Consulting Systems Engineer, Advanced Technologies - Security Cisco Systems Italy Pubblicato da ICT Security - Gennaio 2004 Copyright 2004 Cisco Systems, Inc. Tutti i diritti riservati. Cisco, Cisco Systems e il logo Cisco Systems sono marchi registrati di Cisco Systems, Inc. negli Stati Uniti e in determinati altri paesi. Tutti gli altri marchi o marchi registrati sono proprietà delle rispettive aziende.