Sapevi che esiste una Internet Engineering Task Force (IETF)? Il nome richiama alla mente un’unità militare con cui non vorresti mai avere a che fare, ma in realtà non è altro che il principale organismo di regolamentazione degli standard Internet che disciplina le modalità di trasmissione dei dati. Unisciti a noi nell’esplorazione di IPsec, il “braccio” del protocollo di sicurezza di questa task force. In che modo contribuisce a proteggere le comunicazioni di rete e come funziona? Se hai particolarmente a cuore la privacy, ti consigliamo di utilizzare Avira Phantom VPN ogni volta che navighi online per proteggere e nascondere la tua identità digitale e le tue comunicazioni.
Che cos’è IPsec e perché è così importante?
IPsec, o Internet Protocol Security, è uno standard di sicurezza comune che crittografa i dati per proteggerli durante lo spostamento tra reti e dispositivi. È fondamentale per proteggere le nostre comunicazioni su Internet e per garantire che i dati rimangano autentici e riservati durante il transito sulle reti pubbliche. Ma che cos’è esattamente un “protocollo” Internet? Si riferisce all’insieme di regole che seguono i router per identificare e inoltrare (o “instradare”) i pacchetti di dati lungo il percorso di rete. Ora sai anche perché si chiamano router (dall’inglese “route”, letteralmente “instradare”). Immagina un enorme ufficio postale estremamente efficiente nel trasferire pacchi di dati lungo la superstrada del Web a miliardi di destinatari in tutto il mondo. L’ideale sarebbe che i pacchi arrivassero all’indirizzo previsto sigillati e integri.
La Internet Engineering Task Force ha sviluppato IPsec negli anni ’90 per garantire la riservatezza, l’integrità e l’autenticità dei dati durante il trasferimento attraverso le reti pubbliche (e per dimostrare che i supereroi della nuova era non indossano mantelli). In altre parole, il suo obiettivo è quello di mantenere privato e sicuro il nostro mondo digitale. Stando a quanto ha dichiarato la IETF, è importante notare che: “… (la IETF)) definisce standard volontari che vengono spesso adottati dagli utenti di Internet, dagli operatori di rete e dai fornitori di apparecchiature, contribuendo così a definire la traiettoria dello sviluppo di Internet. Ma la IETF non controlla, né pattuglia, in alcun modo Internet.” (Informazioni sulla IETF, ottobre 2024).
Immagina Internet senza IPsec… Non saremmo in grado di proteggere i dati da accessi non autorizzati e manomissioni e non avremmo alcuna garanzia che quello che inviamo sia uguale a quello che riceviamo. Il protocollo è essenziale per la protezione e l’integrità dei dati perché esiste un evidente tallone d’Achille nei metodi di networking: non sono crittografati per impostazione predefinita, il che significa che i messaggi non sono nascosti, quindi teoricamente chiunque può leggerli. Immagina miliardi di lettere senza busta! Possiamo vedere IPsec in azione, ad esempio, quando gli utenti accedono ai file aziendali da remoto connettendosi a Internet tramite una rete privata virtuale IPsec.
Che cos’è una VPN IPsec (e… aspetta un attimo… che cos’è una VPN)?
Una VPN, o rete privata virtuale, è un servizio di sicurezza Internet che crittografa i dati e maschera gli indirizzi IP per contribuire a proteggere la privacy e la sicurezza degli utenti. Funziona in due modi: innanzitutto, crittografa i dati prima che escano dal dispositivo. Quindi invia questi dati tramite un tunnel sicuro a un server VPN dove vengono decrittografati e trasmessi al sito Web che stai visitando. Una VPN nasconde anche il tuo indirizzo IP (protocollo Internet), che è un numero univoco che identifica il tuo dispositivo su Internet, proprio come l’ufficio postale usa il tuo indirizzo di casa per inviarti un pacco. Se sei curioso, ecco come trovare il tuo indirizzo IP. In genere, l’indirizzo IP viene assegnato dal provider di servizi Internet (o ISP), ma una VPN sostituisce il tuo IP con il proprio indirizzo, in modo che la posizione reale del tuo dispositivo e la tua identità digitale rimangano nascoste. Quando utilizzi una VPN per navigare su Internet, in genere sei anonimo, ecco perché Avira Phantom VPN ha un nome davvero azzeccato. Idealmente, ti aiuta a diventare invisibile online e lascerai molte meno tracce digitali.
Gli indirizzi IP visibili a chiunque sia online sono chiamati IP pubblici. Esistono anche indirizzi IP privati, che vengono utilizzati solo all’interno di reti private. Puoi esaminare le differenze tra IP pubblici e privati qui. Gli IP privati possono essere tracciati solo da altri dispositivi sulla stessa rete, creando una “bolla” sicura di computer connessi che non sono direttamente esposti a minacce esterne e al tracciamento online. Non c’è da stupirsi che gli IP privati siano utilizzati da molte organizzazioni, ma anche le VPN sono uno strumento aziendale fondamentale.
Quando i dipendenti lavorano da remoto anziché in ufficio, solitamente utilizzano le VPN per accedere ai file e alle applicazioni aziendali in modo più privato e sicuro. Molte VPN utilizzano la suite di protocolli IPsec per stabilire ed eseguire connessioni crittografate, ma alcune implementano un altro protocollo di sicurezza denominato SSL/TLS. Sta per Secure Sockets Layer e Transport Layer Security, due protocolli crittografici che consentono a un browser Web di identificare e stabilire una connessione crittografata con un sito Web. Se provi a visitare un sito Web che non dispone di un certificato SSL valido, nel tuo browser comparirà il messaggio “La connessione non è privata”.
Con opzioni di privacy così sofisticate, c’è ancora spazio per un umile firewall? Sì, quindi non sbarazzartene. I firewall monitorano e controllano il traffico di rete in entrata e in uscita per impedire l’accesso non autorizzato: immaginateli come i buttafuori di un night club. Costituiscono una barriera affidabile che regola il passaggio dei dati e, senza di loro, qualsiasi cosa (incluso il malware) potrebbe accedere a un sistema. Le VPN, invece, crittografano i dati e contribuiscono a garantire la privacy. Lavorando in team, VPN e firewall possono assicurare un approccio multi-livello alla sicurezza della rete, a patto che collaborino! Alcuni firewall sono configurati in modo da impedire l’uso di una VPN, dimostrando ancora una volta che la vita non è mai semplice e armoniosa.
Che cos’è la crittografia IPsec?
IPsec funziona utilizzando una chiave crittografica per codificare i dati in modo che appaiano casuali e illeggibili. Verifica anche la provenienza dei pacchetti di dati. Gli esperti IT chiamano solennemente questo processo di verifica “autenticazione della fonte”. IPsec utilizza vari tipi di crittografia, tra cui AES, Blowfish, Triple DES, ChaCha e DES-CBC. Per complicare ulteriormente le cose, IPsec utilizza anche una combinazione di crittografia asimmetrica e simmetrica. La crittografia asimmetrica prevede una chiave di crittografia pubblica e una chiave di decrittografia privata. La crittografia simmetrica utilizza la stessa chiave sia per crittografare che per decrittografare i dati.
La crittografia è solo una parte di ciò che IPsec riesce a realizzare: in realtà, per inviare dati in modo sicuro sono necessari più passaggi.
Come funziona IPsec?
Le connessioni IPsec seguono questi passaggi. Vediamoli in dettaglio uno alla volta:
Passaggio 1. Scambio di chiavi
Le chiavi crittografiche trasformano i dati in caratteri casuali per “bloccarli” (crittografarli) e solo qualcuno in possesso della chiave può “sbloccare” (decrittografare) tali dati. IPsec imposta uno scambio di chiavi tra dispositivi connessi, in modo che possano decrittografare reciprocamente i messaggi.
Passaggio 2. Intestazioni e trailer dei pacchetti
Quando i dati vengono inviati in rete, sono suddivisi in blocchi più piccoli chiamati “pacchetti” costituiti da varie parti: il payload (i dati che vengono inviati) e le intestazioni (informazioni sui pacchetti di dati in modo che i dispositivi che li ricevono sappiano cosa farne). IPsec aggiunge diverse intestazioni che contengono informazioni di autenticazione e crittografia. IPsec ha anche un altro compito. Invia trailer, che aggiungono ulteriori informazioni e vengono posizionati dopo il payload di ogni pacchetto.
Passaggio 3. Autenticazione
IPsec autentica ogni pacchetto con un ID univoco. Questo contribuisce a garantire che i pacchetti provengano da una fonte attendibile e non da un criminale informatico.
Passaggio 4. Crittografia
IPsec crittografa il contenuto dei pacchetti di dati e l’intestazione IP, contribuendo a mantenere i dati sicuri e privati.
Passaggio 5. Trasmissione
I pacchetti IPsec crittografati vengono quindi inviati attraverso una o più reti utilizzando un protocollo di trasporto, solitamente il protocollo User Datagram Protocol (UDP). Il traffico Internet regolare utilizza il protocollo Transmission Control Protocol (TCP) per configurare connessioni dedicate tra i dispositivi. IPsec preferisce UDP perché consente ai pacchetti di dati di passare più facilmente attraverso i firewall.
Passaggio 6: Decrittografia
Una volta giunti a destinazione, i pacchetti di dati vengono decodificati utilizzando la chiave di decrittografia. A questo punto i dati possono essere utilizzati da applicazioni come i browser.
Quali protocolli utilizza IPsec?
IPsec utilizza diversi processi per stabilire comunicazioni di rete sicure. Analizziamone qualcuno e vediamo qual è il loro contributo.
Authentication Header (AH)
Quando si apre un contenitore di pillole, spesso è chiuso con un sigillo anti-manomissione. Allo stesso modo, il protocollo AH aiuta a garantire che i pacchetti di dati provengano da una fonte attendibile e non siano stati manomessi.
Encapsulating Security Payload (ESP)
Crittografa il payload del pacchetto o l’intero pacchetto, a seconda di come è stato configurato IPsec.
Internet Key Exchange (IKE)
Crea un canale di comunicazione sicuro e autenticato tra due parti tramite una VPN. In questo tunnel riservato i dati possono circolare in modo più sicuro, lontani da occhi indiscreti. Il processo IKE può funzionare secondo due modalità: modalità principale e modalità aggressiva. La modalità principale garantisce un livello di sicurezza più elevato proteggendo le identità delle parti comunicanti durante la negoziazione, benché richieda più scambi di messaggi. Al contrario, la modalità aggressiva offre una configurazione più rapida con meno scambi, ma lo fa a scapito di alcune funzionalità di sicurezza, come la protezione dell’identità.
Transform Set
Si tratta di una combinazione di algoritmi e protocolli che forniscono diversi livelli di crittografia e autenticazione. Vengono utilizzati anche per determinare cosa viene criptato e chi sarà il destinatario del traffico dati.
Security Associations (SA)
SA è un termine generico per diversi protocolli utilizzati per negoziare chiavi e algoritmi di crittografia. Uno dei protocolli SA più comuni è Internet Key Exchange (IKE).
Modalità tunnel IPsec e modalità trasporto IPsec: quali sono le differenze?
C’è un indizio nel nome modalità tunnel IPsec: viene utilizzata tra due router dedicati, con ciascun router che funge da estremità di un tunnel virtuale, spesso facilitando la comunicazione da sito a sito crittografando l’intestazione IP originale e il payload del pacchetto. L’intestazione IP originale (contenente la destinazione del pacchetto) è crittografata, così come il payload del pacchetto. IPsec aggiunge anche nuove intestazioni IP in modo che i router intermedi sappiano dove inoltrare i pacchetti. A ciascuna estremità del tunnel, i router decrittografano e “leggono” le intestazioni IP per consegnare i pacchetti alle loro destinazioni corrette.
E invece la modalità trasporto? Viene utilizzata quando un singolo host deve comunicare con un altro singolo host tramite una rete pubblica. In modalità trasporto, IPsec non crittografa l’intero pacchetto ma solo il payload del pacchetto. In questo modo le informazioni sull’indirizzo IP originale restano non crittografate e visibili.
Una è meglio dell’altra? Dipende dai requisiti specifici della rete e dal livello di sicurezza che stai cercando. La modalità tunnel è considerata più sicura perché crittografa l’intero pacchetto IP per consentire la sicurezza end-to-end. Tuttavia, se è necessaria una maggiore flessibilità per le applicazioni che richiedono l’accesso a determinate parti di un pacchetto per funzionare, allora la modalità trasporto è la scelta migliore.
L’uso di IPsec presenta degli svantaggi?
Poche cose nella vita sono perfette e anche IPsec ha i suoi svantaggi. Se ad esempio sei un fan dell’alta velocità, potresti sentirti frustrato. IPsec può rallentare la velocità di trasmissione dei dati e peggiorare le prestazioni della rete. La colpa è dei suoi processi di crittografia e autenticazione, che richiedono tempo e un’elevata potenza di calcolo. IPsec può essere anche complesso da configurare e i suoi problemi sono difficili da risolvere: spesso richiede personale IT esperto per essere gestito.
Inoltre, ironicamente per un protocollo di sicurezza, può contenere vulnerabilità di sicurezza se configurato in modo errato. È necessario che il personale IT sia davvero competente… e per complicare ulteriormente le cose, spesso le organizzazioni devono configurare più VPN per consentire diversi livelli di accesso. Grazie alle VPN IPsec, qualsiasi utente connesso alla rete può visualizzare tutti i dati contenuti nella VPN.
Come abbiamo già detto, i firewall (solitamente firewall Network Address Translation o NAT) non sempre sono compatibili con IPsec. NAT riscrive gli indirizzi IP, il che può causare una rivolta da parte del componente IKE di IPsec e il rifiuto dei pacchetti di dati.
C’è anche un problema con gli algoritmi non funzionanti ora che gli hacker hanno craccato alcuni di quelli utilizzati da IPsec. Questo rappresenta un rischio enorme per la sicurezza, soprattutto se gli amministratori di rete utilizzano inconsapevolmente questi algoritmi invece di altri più nuovi e complessi.
Quale futuro si prospetta per IPsec?
I protocolli VPN sono fondamentali per i servizi VPN perché determinano il modo in cui i dati vengono instradati e stabiliscono gli standard di crittografia dei dati utilizzati. IPsec è ancora ampiamente utilizzato e considerato generalmente affidabile, ma molti esperti lo ritengono ormai obsoleto, inefficiente, instabile e decisamente troppo lento.
Ci sono nuove stelle luminose all’orizzonte nel settore delle VPN, come OpenVPN e l’ancora più recente WireGuard, e ogni protocollo presenta sfide e vantaggi unici. Alcuni si concentrano sulla velocità di trasmissione dei dati, diventando la scelta migliore per il gaming, mentre altri danno priorità alla crittografia dei dati per migliorare la privacy. Questi nuovi arrivati tendono a essere più veloci, più semplici, più scalabili e più sicuri di IPsec. È un segno premonitore per il fidato e arrancante dinosauro che ci ha servito così bene?
Naviga in modo più anonimo e sicuro con Avira Phantom VPN.
In tutto il mondo, le persone utilizzano le VPN per salvaguardare l’anonimato e proteggere i dati personali quando navigano online. Questo perché le VPN aiutano a nascondere la tua identità, le attività di navigazione e la tua posizione a chi cerca di tracciarti, come inserzionisti e criminali informatici, diventando uno strumento essenziale per la privacy e la sicurezza. Sfrutta le potenzialità della VPN gratuitamente con Avira Phantom VPN, progettata dagli esperti di Avira, azienda tedesca specializzata nella sicurezza. Scegli la versione per Windows, Mac, Android o iOS.
