Quando si collegano le filiali alla sede principale, non tutte le aziende hanno bisogno della portata funzionale di un client VPN. Le VPN site-to-site sono una buona alternativa e sono almeno altrettanto sicure. Qui potete scoprire come funzionano le VPN site-to-site e come si differenziano dalle VPN standard.

1 Cos’è una VPN site-to-site e come si differenzia da una VPN “normale”?

.

Con una VPN site-to-site, gli uffici di sedi diverse (fisse) possono stabilire connessioni sicure attraverso una rete pubblica. A tal fine, le intere reti sono collegate tra loro tramite un tunnel OpenVPN. Il punto finale del tunnel può essere, ad esempio, un router, un gateway, un server Windows o anche un client software. La VPN Site-2-Site rappresenta quindi una sorta di estensione della rete aziendale, che consente ai dipendenti dei vari siti di accedere alle risorse di uno o più altri siti.

Fondamentalmente, esistono due tipi di VPN site-to-site:

• Nelle VPN Site-2-Site basate su intranet, l’azienda ha uno o più siti remoti (con LAN separate) che sono collegati tramite un’unica rete privata (WAN).
• In una VPN Site-2-Site basata su extranet, invece, le LAN di aziende diverse sono collegate tra loro. In questo modo, possono interagire in un ambiente di rete sicuro e condiviso, impedendo l’accesso alla propria intranet.

Gli host della VPN Site-2-Site non utilizzano software client, ma inviano e ricevono il normale traffico TCP/IP attraverso un cosiddetto gateway VPN. Questo gateway si occupa anche dell’incapsulamento e della crittografia del traffico dati in uscita.

Spiegazione: in informatica, il termine “incapsulamento” si riferisce alla stratificazione dei pacchetti.

Il traffico viene quindi inviato tramite il tunnel VPN attraverso la rete a un gateway di destinazione associato, che decifra le intestazioni e inoltra il contenuto del pacchetto all’host di destinazione all’interno della rete privata. Tutte le informazioni trasmesse devono autenticarsi durante il processo (con una firma digitale o un certificato digitale).

2. configurare la VPN S2S: Non è richiesta alcuna configurazione aggiuntiva

Le VPN site-to-site sono scalabili, il che significa che le connessioni vengono instradate in modo invisibile sulla rete centrale senza alcuna configurazione aggiuntiva. Pertanto, è abbastanza facile aggiungere una nuova filiale o un nuovo ufficio a una rete esistente. È sufficiente rilasciare le porte utilizzate dalla connessione (su entrambi i lati) nelle regole del firewall per l’interfaccia WAN.

Il protocollo di tunneling più utilizzato per le VPN site-to-site è IPSec ESP (Encapsulating Security Payload). Si tratta di una versione “rinforzata” del protocollo IP che si trova anche su Internet e nella maggior parte delle reti aziendali moderne. In alternativa, è possibile utilizzare MPLS (Multi-Protocol Label Switching), che però non offre la crittografia.

Per l’accesso remoto si utilizza il protocollo PPTP (Point to Point Tunneling Protocol) o L2TP (Layer 2 Tunneling Protocol) tramite IPsec, che è anche molto più sicuro del PPTP. Negli ultimi anni, tuttavia, si sono affermate sempre più soluzioni alternative basate su SSL. Queste utilizzano il browser Web come client VPN, ma di solito richiedono componenti aggiuntivi (ad esempio, applet Java).

Ulteriori informazioni sull’inoltro DNS nelle VPN site-to-site sono disponibili, tra l’altro, qui.

Buono a sapersi: è anche possibile acquistare le VPN site-to-site come servizio e farle gestire da specialisti esterni. Questa variante è particolarmente interessante per le piccole e medie imprese che possono disporre solo di risorse limitate in termini di costi del personale e dei prodotti o semplicemente non vogliono occuparsi dell’amministrazione di una VPN in generale.

Alcuni tipi di VPN sono presentati anche nel video seguente: