Connessione VPN, come usarla in sicurezza

Una connessione VPN di solito si utilizza per proteggere i dati che si trasferiscono in Rete ed evitare che possano essere letti da utenti non autorizzati. Normalmente, dovrebbe bastare l’utilizzo di HTTPS e di una connessione cifrata sufficientemente sicura (esempio: TLS v1.2).

Quando ci si collega con siti web HTTP (che non utilizzano la cifratura dei dati) o comunque si scambiano informazioni in chiaro (ad esempio scarica o si invia posta elettronica usando POP3/IMAP senza ricorrere a protocolli crittografici SSL/TLS), una VPN può aiutare a proteggere le informazioni in transito.
È quindi un’ottima idea usare una connessione VPN quando ci si collega ad Internet ricorrendo ad una WiFi pubblica o, peggio ancora, aperta .

La connessione VPN permette anche di mantenere l’anonimato, mascherando l’indirizzo IP pubblico reale (ossia quello assegnato dal provider Internet prescelto) non appena ci si collega a un qualunque server remoto.
E, infine, utilizzando una connessione VPN si possono anche superare eventuali limitazioni geografiche avendo la possibilità di usare servizi che normalmente non sarebbero accessibili dall’Italia.

Come funziona una connessione VPN

Le “basi” del funzionamento di una connessione VPN sono molto semplici da apprendere.
Tutto si risolve, almeno lato utente, nell’installare un software client che effettua a sua volta una connessione al server VPN remoto.
Non appena viene conclusa positivamente la procedura di autenticazione, tutto il traffico di rete viene girato sull’interfaccia virtuale creata dal software VPN sul sistema in uso e fatto transitare attraverso un “tunnel cifrato” che viene stabilito con il server VPN remoto.

Quanto viene trasferito attraverso il “tunnel cifrato” non può essere letto da parte di utenti terzi che si “ponessero in ascolto” lungo il tragitto.

Se l’obiettivo fosse quello di scambiare dati in modo sicuro con i terminali installati presso il proprio ufficio, in azienda o anche a casa, bisognerà valutare l’installazione di un proprio server VPN. I router più professionali offrono anche la possibilità di attivare un server VPN e non soltanto di operare in modalità client.
A tal proposito, suggeriamo la lettura dell’articolo Reti VPN: differenze tra PPTP, L2TP IPSec e OpenVPN.
Questo tipo di approccio permetterà tra l’altro di collegarsi alla rete locale aziendale o domestica, da remoto, ovunque ci si trovi, come se si fosse fisicamente connessi alla stessa in modalità client. In altre parole, si riceverà un indirizzo IP privato da parte del router dell’ufficio o dell’azienda e si potranno raggiungere tutte le risorse condivise dagli altri sistemi.

Per proteggere la navigazione e la riservatezza dei propri dati durante l’utilizzo di WiFi altrui oppure per mascherare il proprio IP reale (vedere anche Indirizzo IP statico, come averlo e a cosa serve), è invece sufficiente installare ed utilizzare un client VPN di terze parti.

Per la scelta del miglior servizio VPN, è possibile fare riferimento alle indicazioni riportate nell’articolo Le migliori VPN a confronto. E anche le peggiori e su su questo sito web.

La configurazione del servizio VPN lato fornitore riveste una importanza a dir poco fondamentale. Errori di diversa natura (ne abbiamo parlato nell’articolo Le VPN sono sicure? Sotto la lente i servizi commerciali) possono ad esempio portare ad esporre l’indirizzo IP reale dell’utente.
I due strumenti citati (foglio Google Drive e sito web) offrono informazioni di grande valore per capire a colpo d’occhio quali VPN offrono le migliori garanzie.

Per evitare che il proprio indirizzo IP reale venga esposto al server remoto di fatto vanificando i benefici in termini di privacy e sicurezza derivanti dall’uso della VPN, si possono applicare i passaggi che seguono:

1) Si provi a visitare uno dei seguenti siti web:
– DNSStuff
– IPify
– DNSoMatic
– Icanhazip
Si leggerà l’indirizzo IP pubblico correntemente assegnato al router dal provider Internet prescelto.

2) Digitando tale IP nella casella pubblicata in questa pagina, si leggerà il nome del provider Internet fornitore della connettività.

3) Si attivi il client VPN e si abiliti il collegamento alla rete VPN.

4) Collegandosi ai servizi al punto n.1, verificare che l’IP sia cambiato (corrisponderà al nodo di uscita dalla rete VPN).

5) Visitare questa pagina e controllare che non compaia invece il proprio IP reale visto al punto n.2 (Your public IP addresses).
Controllare che sotto la voce Your IPv6 addresses non sia riportato nulla.

6) Visitare questa pagina. Oltre alle stesse informazioni riportate dal sito web aperto precedentemente, verrà fornita anche la lista dei server DNS usati per risolvere il nome a dominio.

È importante che, ovviamente, non vengano visualizzati i propri indirizzi IPv4 e IPv6 reali né siano riportati i server DNS del provider Internet che si utilizza.
Nel caso in cui, infatti, si usassero i DNS di un provider di piccole dimensioni, per un server remoto sarebbe piuttosto semplice stimare la posizione geografica dell’utente remoto.
Alcuni fornitori del servizio VPN, inoltre, non filtrano il traffico IPv6 con il risultato che l’indirizzo IPv6 dell’utente (nel caso in cui fosse effettivamente in uso ovvero il provider scelto avesse completato la migrazione al protocollo IPv6; vedere IPv6 Cos’è e perché è importante in ottica Internet delle Cose) potrebbe essere esposto.

7) Nel caso in cui i propri IP pubblici risultassero visibili, si dovrà in primis verificare le impostazioni del software VPN controllando la presenza delle caselle DNS leak protection e IPv6 leak protection: entrambe dovranno risultare attive.

Nel caso in cui queste impostazioni non fossero presenti, gli utenti di Firefox possono accedere alla configurazione avanzata del browser (about:config) quindi porre il parametro media.peerconnection.enabled su false.

Gli utenti di Chrome possono invece utilizzare l’estensione WebRTC Leak Prevent.

Opera, primo browser ad aver implementato una sua VPN (che però interessa solamente il traffico gestito dal browser stesso e non quello generato da altre applicazioni installate sul sistema), merita un discorso a parte: VPN free, come usare quella di Opera e proteggere i dati.

8) Accedere alla configurazione della connessione di rete (digitare Centro connessioni di rete e condivisione nella casella di ricerca), cliccare su Modifica impostazioni scheda, fare clic con il tasto destro sulla connessione di rete (ethernet o WiFi) quindi scegliere Proprietà.

9) Almeno prima di attivare il client VPN suggeriamo quindi di disattivare la casella Protocollo Internet versione 6 (TCP/IPv6).

10) Cliccando su Protocollo Internet versione 4 (TCP/IPv4), infine, si dovrà usare il pulsante Proprietà ed impostare ad esempio i server DNS di OpenDNS (208.67.222.222 208.67.220.220) previa scelta dell’opzione Utilizza i seguenti indirizzi server DNS.
I server DNS di OpenDNS non permettono di risalire alla locazione geografica dell’utente.