82125 Letture

Reti VPN: differenze tra PPTP, L2TP IPSec e OpenVPN

Una rete VPN consente di stabilire un collegamento sicuro tra sistemi che utilizzano, per scambiarsi dati, lo strumento più insicuro per eccellenza: Internet.
I vari sistemi che si collegano ad un server VPN, da remoto, indipendentemente dallo loro locazione fisica, possono entrare a far parte di una rete locale posta anche a migliaia di chilometri di distanza.
In questo modo, si potrà ad esempio accedere alle risorse condivise in LAN come se il dispositivo in uso fosse parte della rete locale.
Per scambiare i dati con la LAN remota, viene creato un "tunnel" virtuale all'interno del quale tutti i dati vengono crittografati in modo tale che non possano essere monitorati od intercettati da terzi.

PPTP, L2TP e OpenVPN sono protocolli a supporto delle reti VPN che permettono di accedere da remoto alle reti aziendali (ma anche alle reti locali di piccole attività e studi professionali) in maniera sicura, attraverso la rete Internet.


Con questo articolo ci prefiggiamo di far luce sulle debolezze e sui punti di forza di ciascun protocollo ponendo in evidenza le principali differenze tra PPTP, L2TP IPSec e OpenVPN. In questo modo, prima di accingersi alla configurazione di una rete VPN si potrà scegliere qualche protocollo viene maggiormente incontro alle proprie esigenze.

PPTP

Il protocollo PPTP è probabilmente il più utilizzato per instaurare connessioni VPN ma è anche il meno sicuro in assoluto.
Sviluppato da Microsoft, PPTP supporta chiavi crittografiche fino a 128 bit. La cifratura dei dati viene effettuata adoperando il Microsoft Point to Point Encryption Protocol.
Per stabilire una connessione VPN con PPTP, viene richiesto solamente l'utilizzo di un nome utente, di una password e dell'indirizzo del server VPN.

- Comparativa con gli altri protocolli: PPTP è l'opzione meno sicura da scegliere quando si decide di attivare una VPN.
- Compatibilità e supporto: PPTP è compatibile e direttamente supportato anche nei sistemi operativi client Windows (esempio: Windows XP, Windows 7, Windows 8, Windows 8.1); è utilizzabile nelle varie distribuzioni Linux, con i firmware per router DD-WRT e Tomato, in Apple iOS, Mac OS X ed Android.

L'utilizzo del protocollo PPTP consente di allestire in modo estremamente semplice e veloce una connessione VPN. Il suo punto di forza è sicuramente la compatibilità con un vasto numero di sistemi e piattaforme. A causa delle vulnerabilità scoperte in PPTP (vedere il nostro articolo VPN: Microsoft conferma le vulnerabilità di MS-CHAP v2 e quello di Bruce Schneier), tuttavia, l'uso di PPTP è sconsigliato a tutti gli utenti più esperti e comunque a tutti coloro che debbano far transitare, attraverso il tunnel VPN, informazioni importanti.

Per usare PPTP è necessario aprire sul router (ed inoltrare correttamente) il traffico in ingresso sulla porta TCP 1723 (vedere anche Aprire porte sul router e chiuderle quando non più necessario).

Qualche anno fa, nell'articolo Creare una semplice rete VPN con Windows 7 e Windows XP, avevamo visto come creare una rete VPN da un sistema client come Windows 7 utilizzando proprio PPTP.

L2TP

Il protocollo L2TP, acronimo di Layer 2 Tunnel Protocol è un popolare strumento utilizzato per stabilire connessioni VPN. Di per sé non offre alcuna forma di protezione ed i dati in transito non vengono cifrati.
Per questo motivo, L2TP è solitamente utilizzato “in coppia” con il protocollo IPSec che invece integra funzionalità di autenticazione, cifratura e controllo di identità dei pacchetti IP.
Supporta chiavi crittografiche fino a 256 bit utilizzando il protocollo IPSec anche se la loro lunghezza varia sulla base degli algoritmi utilizzati.
Per maggior sicurezza L2TP utilizza un doppio incapsulamento dei dati.

Rispetto a PPTP ed OpenVPN, L2TP è leggermente meno performante ma gode comunque di un buon supporto da parte dei vari sistemi operativi. L2TP è ad esempio compatibile con Windows XP, Windows 7, Windows 8 e Windows 8.1 (anche se solo in modalità client), con Android, Linux, Mac OS X ed Apple iOS.

L2TP, combinato con l'uso del protocollo IPSec, offre un livello di sicurezza nettamente superiore rispetto a PPTP. Allo stato attuale, infatti, non si conoscono lacune di sicurezza importanti.
Sono circolati solamente alcuni report di Edward Snowden che parla di IPSec come di uno standard ormi compromesso dall'agenzia statunitense NSA mentre John Gilmore (esperto di sicurezza e cofondatore della Electronic Frontier Foundation) sostiene addirittura che il protocollo contenga delle vulnerabilità deliberatamente inserite nella fase di sviluppo.
Le porte utilizzate sono le seguenti: UDP 500, UDP 1701 e UDP 4500.

OpenVPN

Si tratta della più popolare e più sicura applicazione che permette di stabilire connessioni VPN in tutta sicurezza. Sebbene la lunghezza delle chiavi crittografiche possa essere variabile, OpenVPN supporta chiavi lunghe fino a 256 bit.
I dati vengono in questo caso crittografati utilizzando la libreria OpenSSL e le performance sono migliori rispetto a PPTP e L2TP.

L'utilizzo di OpenVPN non è di solito permesso dai firmware "standard" che equipaggiano i router commerciali. È comunque possibile attivare una rete VPN facendo sì che il router funga da server VPN utilizzando firmware come DD-WRT o Tomato.

Nell'articolo Come configurare una rete VPN professionale con OpenVPN e DD-WRT abbiamo proprio spiegato come trasformare il router in un server VPN OpenVPN installando e configurando il "custom firmware" DD-WRT (non è compatibile con tutti i router in commercio).


OpenVPN può essere liberamente impostato in modo tale da usare qualunque porta TCP o UDP ed è compatibile con Windows, Linux e Mac OS X previa installazione dell'apposito software client.
Anche su Android si può effettuare una connessione verso un server OpenVPN installando l'app ufficiale o quella alternativa sviluppata da terze parti.

Creare una rete VPN

Il modo migliore per allestire una rete VPN è configurare la funzionalità server sul router che si utilizza in azienda, in ufficio o a casa.
A tal proposito, però, è bene sottolineare che la maggior parte dei router più a buon mercato non integra la funzionalità server ma può solo fungere da client VPN.
Nella scelta del router, quindi, è bene verificare – esaminandone attentamente le specifiche – che possa operare come server VPN L2TP/IPSec.

Trovare un router che, di default, consenta di essere configurato come server OpenVPN non è semplice.
Chi non avesse trovato nulla di valido, può orientarsi sui router a marchio Mikrotik, produttore lettone che offre ottimi dispositivi con supporto server OpenVPN integrato a prezzi concorrenziali (vedere ad esempio questa pagina su Amazon).
Il router Mikrotik, essendo sprovvisto di funzionalità modem (non integra un modem ADSL2+), può essere installato "dietro" ad un qualunque dispositivo capace di negoziare la connessione con il provider Internet e che sia configurabile in bridge.
Una guida passo-passo per la configurazione di OpenVPN sui router Mikrotik è disponibile a questo indirizzo.


I più smaliziati, sempre che il router sia compatibile, possono installare firmware personalizzati come DD-WRT o Tomato. Entrambi, appunto, offrono gli strumenti per trasformare il router anche in server OpenVPN (ne abbiamo parlato nell'articolo Come configurare una rete VPN professionale con OpenVPN e DD-WRT).

Ancora, in alternativa, ci si potrà ad esempio rivolgere ad una distribuzione come Amahi che, in men che non si dica, consente di allestire un server OpenVPN all'interno della propria rete locale: Reti VPN: scambiare dati in sicurezza con i sistemi collegati alla LAN. Amahi e OpenVPN.
Amahi può essere utilizzato anche da una chiavetta USB, da un qualunque supporto avviabile od installato in una macchina virtuale che, a sua volta, abbia titolo per accedere alle risorse condivise all'interno della rete locale.

Un'ulteriore opzione consiste nell'installare e configurare OpenVPN su una macchina Windows o Linux (OpenVPN: la guida passo-passo per creare una rete virtuale privata e sicura).

È evidente, però, che se il router permette direttamente la creazione e la gestione di una rete VPN (funzionalità server), è questa la soluzione in assoluto più pratica.
Negli altri casi, per avere la possibilità di raggiungere il server VPN dall'esterno, bisognerà mantenere sempre accesa la macchina sulla quale è installato OpenVPN.


  1. Avatar
    viola_1
    30/09/2015 11:06:41
    ottimo articolo, grazie mille
  2. Avatar
    dof0036
    23/02/2015 11:31:38
    In una connessione internet in una biblioteca pubblica, l'amministratore mi ha fatto sapere che: "Sono permessi solo alcuni protocolli (http,https,imap,pop3,openvpn,pptp,ipsec)" Quindi, niente skype... torrent... winhttrack... Grazie
Reti VPN: differenze tra PPTP, L2TP IPSec e OpenVPN - IlSoftware.it