VPN: errori comuni nella scelta e nell'utilizzo

Le VPN (Virtual Private Network) sono strumenti preziosi per l’azienda, per il professionista, per l’utente privato. Nell’era digitale in cui viviamo, l’utilizzo di una VPN sta diventando sempre più cruciale per garantire la sicurezza e la privacy online. Una VPN offre un’ampia gamma di caratteristiche e funzionalità che consentono agli utenti di proteggere i dati, evitare restrizioni geografiche e preservare la loro identità digitale.

Stabilendo la connessione con un server VPN, il traffico dati viene crittografato rendendo impossibile, per qualunque terza parte, verificare le informazioni inviate e ricevute. Oggi utilizziamo sempre più spesso protocolli che usano la protezione crittografica a livello applicativo. HTTPS, ad esempio, fa sì che le informazioni scambiate con il server Web remoto non possano essere lette da soggetti terzi. Ancora oggi, però, si usano protocolli non crittografati per alcuni trasferimenti di dati (il caso più comune è la risoluzione dei nomi a dominio senza usare DNS over HTTPS o altre soluzioni simili). Il tunnel VPN che viene stabilito fa in modo che tutto ciò che vi transita sia automaticamente protetto.

Server VPN locale

In un altro articolo abbiamo visto cos’è una VPN e quali sono i servizi migliori. Sì, perché è possibile sia installare e avviare un server VPN in azienda, in ufficio e a casa, sia volgere lo sguardo verso soluzioni di terze parti. Sia nel primo caso che nel secondo è possibile uscire su Internet con un indirizzo IP pubblico diverso da quello assegnato dal provider Internet locale.

Allestendo una VPN locale, a casa o in ufficio, è però possibile collegarsi in sicurezza alla LAN da qualunque locazione remota. Sarà come essere fisicamente connessi al proprio router. Con tutti i vantaggi che ne conseguono: ad esempio l’accesso diretto, da remoto, alle risorse condivise e il controllo a distanza di apparecchiature IoT, telecamere, sistemi d’allarme, device per il networking, server e workstation.

Si può accedere da remoto alla rete di casa o dell’ufficio con una VPN come NordVPN grazie alla funzionalità gratuita Meshnet. Ma non è il fine ultimo dei servizi VPN di terze parti che invece mirano a offrire un mezzo facile da usare per proteggere la privacy degli utenti ed eludere i moderni meccanismi di geolocalizzazione IP.

Una VPN non garantisce necessariamente l’anonimato

Tanti servizi VPN di terze parti vengono descritti come strumenti capaci di garantire la navigazione anonima. Si tratta di affermazioni da prendere con le pinze.

Innanzi tutto, prima di scegliere una VPN è bene controllare se utilizzi effettivamente una politica “no log” o meno. Se il servizio VPN mantiene un registro contenente le attività svolte online dagli utenti, la navigazione non può certo essere anonima. I provider VPN che si stanno sempre più orientando sull’uso di VPN disk less sono in questo senso tra i più meritevoli di fiducia.

L’approccio disk less, infatti, prevede che tutte le informazioni relative alle sessioni di navigazione dei client connessi alla rete, sia conservato temporaneamente in una memoria volatile (come può essere la RAM). Questo permette da un lato di massimizzazione le prestazioni e dall’altro di conservare i dati relativi alle sessioni online degli utenti solo per il tempo strettamente necessario per la fornitura del servizio.

C’è poi il discorso relativo alle attività svolte online dall’utente. Se questi, una volta stabilito il collegamento VPN, effettua il login al proprio account Google, Microsoft, controlla la posta elettronica con il provider email locale, accede a Facebook o a qualunque altro sito Web con le sue credenziali abituali, l’anonimato decade automaticamente. Anzi, alcune applicazioni Web, rilevando un IP pubblico differente rispetto a quello usato di solito dall’utente, potrebbero produrre un Avviso di sicurezza critico o comunque un messaggio di allerta.

Cosa si intende per Paesi appartenenti al blocco Five Eyes, Nine Eyes e Fourteen Eyes?

I principali fornitori sono scappati dai Paesi che impongono la conservazione di log. Per preservare l’anonimato, infatti, il suggerimento è quello di scegliere provider che operano al di fuori dei Paesi noti come “Fourteen Eyes“. I termini “Five Eyes“, “Nine Eyes” e “Fourteen Eyes” si riferiscono a gruppi di nazioni che collaborano in ambito di sorveglianza e condivisione di informazioni di intelligence. Questi gruppi sono formati da Paesi che hanno stretto accordi di cooperazione in materia di scambio di dati, specialmente per quanto riguarda la raccolta e l’analisi delle comunicazioni elettroniche.

Nella pagina Five Eyes, Nine Eyes, Fourteen Eyes (cosa evitare nel 2023), è possibile trovare una buona raccolta di consigli sui servizi, alcuni molto noti, che si posizionano al di fuori dei principali “blocchi” per il controllo dei dati scambiati online dagli utenti.

Per le normali attività di navigazione, tuttavia, i server remoti “vedono” l’indirizzo IP del server di uscita della VPN. Il collegamento VPN maschera cioè l’indirizzo IP reale del client e lo sostituisce con quello del server VPN. L’anonimato, però, è un’altra cosa e molto dipende dalle politiche di gestione dei dati personali (“log”) da parte del fornitore VPN.

Non è indispensabile pagare per l’accesso remoto

Al funzionamento di una VPN concorrono due componenti cruciali: un server (che ospita il servizio VPN e accetta connessioni in ingresso) e un client (si connette al server). Pagare per un servizio VPN non aiuta a configurare un modello client-server per la propria rete domestica. Permette di utilizzare un modello client-server per l’accesso a un servizio VPN remoto.

Se l’obiettivo è stabilire una connessione sicura a distanza con la propria rete domestica, non è necessario pagare per un servizio commerciale. Anzi, spesso non è neppure cosa utile. Per questa specifica esigenza, piuttosto, è opportuno configurare un server VPN in locale così da poter “chiamare casa” quando si è lontani. Non è necessario un servizio di terze parti per accedere ai file conservati a casa, in ufficio o in azienda.

Il proprio server VPN può essere impostato in modo da accettare connessioni solo verso la rete locale o anche consentire l’accesso alla rete Internet. In questo caso, ovunque ci si trovi, si navigherà dall’indirizzo IP pubblico associato al proprio server VPN. Inoltre, le prestazioni possono eventualmente risultare limitate dalla banda di rete disponibile sulla LAN alla quale è attestato il server VPN.

Provare sempre il funzionamento della VPN

Dopo aver stabilito un collegamento VPN, il primo test da effettuare consiste nel verificare l’indirizzo IP che rilevano i server remoti. Per farlo è possibile collegarsi con la pagina di Ipify.org confrontando il risultato ottenuto a VPN attiva e disabilitata.

In passato, però, tanti servizi soffrivano di un problema che portava al fenomeno conosciuto con il nome di DNS leak. In altre parole, pur usando una VPN, le applicazioni Web potevano (e possono ancora oggi, in assenza delle opportune accortezze…) risalire al vero indirizzo IP di ciascun utente. Smascherando quindi da un lato l’utilizzo della VPN e dall’altra accertando l’indirizzo IP pubblico realmente assegnato al cliente dell’utente.

Gli autori dell’estensione Vytal hanno messo in evidenza quali dati degli utenti VPN possono ancora essere svelati.

Non utilizzare vecchi schemi crittografici

Non siamo più nei primi anni 2000 e, a meno che non si stia provando a connettere un vecchio dispositivo a una VPN e si abbia altra scelta, non c’è motivo di utilizzare vecchi standard crittografici come PPTP. È invece bene orientarsi su soluzioni moderne come IKEv2, OpenVPN e WireGuard.

I vantaggi sono sia sul piano della sicurezza, sia su quello delle prestazioni. In un altro articolo abbiamo riassunto le principali differenze tra i protocolli VPN mentre altrove abbiamo cercato di spiegare quanto conta per le prestazioni la scelta del protocollo VPN.

Evitare il routing tramite il servizio VPN di tutto il traffico dati

Non è sempre un errore instradare l’intera connessione Internet attraverso un tunnel VPN, ma farlo per impostazione predefinita può esserlo. Facciamo un esempio concreto. Tanti utenti scelgono una VPN per accedere al catalogo completo di una piattaforma di streaming o comunque per accedere a un servizio da un Paese dove ciò non sarebbe possibile. Ne abbiamo parlato nell’articolo sulla portabilità transfrontaliera.

Ecco, in questi casi ha senso limitare l’uso del servizio alla sola applicazione il cui traffico deve transitare attraverso la VPN ed escludere automaticamente tutte le altre. Questa tipologia di configurazione si chiama split tunneling e consente di stabilire quali applicazioni devono o non devono scambiare dati collegandosi direttamente alla rete Internet.

Nella maggior parte dei casi, non ha senso far passare tutti i pacchetti dati attraverso il server messo a disposizione da un fornitore di terze parti. Anche per evitare la comparsa di “avvisi di sicurezza critici”, come spiegato in uno dei paragrafi precedenti.

Astenersi dall’usare il kill switch è un errore

Si chiama kill switch la funzione che garantisce la privacy e la sicurezza degli utenti in caso di interruzione o disconnessione imprevista della VPN. Quando il kill switch è attivato, esso impedisce al dispositivo di accedere a Internet o a qualsiasi risorsa di rete fino a quando la connessione sicura non viene ripristinata.

Si tratta di un’interessante accortezza che si prefigge come scopo quello di scongiurare l’eventualità che i dati dell’utente siano inviati tramite la connessione normale. Il kill switch completo disabilita completamente l’accesso a Internet; il kill switch selettivo consente l’accesso solo a risorse di rete specifiche, come stampanti o server locali, ma blocca l’accesso a Internet generale.

Credit immagine in apertura: iStock.com/NicoElNino