Cosa c’è da sapere sui protocolli VPN? OpenVPN, WireGuard & Co.

VPN protocol Articoli

Siete interessati alle soluzioni VPN, ma non sapete molto di termini come IPSec, OpenVPN e WireGuard? VPNheroes vi spiega cosa c’è dietro!

Molti fornitori commerciali di servizi VPN di solito supportano diversi protocolli VPN per proteggere la comunicazione tra il computer di casa e il server Internet. I protocolli VPN sono il cuore di una rete privata virtuale (VPN) e consentono connessioni Internet sicure e anonime.

La moltitudine di protocolli e standard utilizzati non rende facile tenerne traccia. VPNheroes vi aiuta e presenta i protocolli VPN più diffusi.

I migliori servizi VPN

NordVPN

ExpressVPN

Surfshark

Valutazione VPN: 4,8

Valutazione VPN: 4,5

Valutazione VPN: 4,5

  • $3.99 / mese

  • Sicurezza Premium

  • Velocità 6730+ Mbps

  • Server VPN 5400+

  •  WireGuard

  • Numero di dispositivi: 6

  • Sconto: 51%

  • $6.76 / mese

  • Sicurezza Premium

  • Velocità 2220+ Mbps

  • Server VPN 3000+

  • OpenVPN

  • Numero di dispositivi: 5

  • Sconto: 49%

  • $2.49 / mese

  • Alta sicurezza

  • Velocità 58.46 Mbps

  • Server VPN 3200+

  • WireGuard

  • Numero di dispositivi: Illimitato

  • Sconto: 82%

Che cos’è un protocollo VPN?

Per comunicare tra due computer o tra client e server, è necessario concordare un linguaggio comune. I comandi e i processi formano diverse serie di regole che vengono combinate in un protocollo. Il protocollo costituisce quindi la base per una conversazione ordinata tra il PC di casa e, ad esempio, un server Internet.

La particolarità dei protocolli VPN rispetto ad altri set di regole è che il “linguaggio VPN” fornisce strumenti aggiuntivi per criptare i dati con metodi crittografici. Come in un tunnel, questo rende la comunicazione reciproca dei partecipanti invisibile agli estranei.

OpenVPN: lo standard del settore

OpenVPN è un software gratuito utilizzato dalla maggior parte dei provider VPN ed è uno dei protocolli VPN più diffusi. Si è affermato come standard de facto ed è adatto alla maggior parte dei casi d’uso.

Essendo un progetto open source, beneficia anche dell’esperienza di una comunità di sviluppatori ampia e soprattutto libera, che controlla continuamente il codice del programma, molto esteso, per individuare eventuali lacune e migliorare le prestazioni. Inoltre, il processo è trasparente e consente di verificare le linee di codice da parte di terzi.

OpenVPN in iOS

OpenVPN ios

OpenVPN on Windows

OpenVPN Windows

Per creare una rete privata virtuale, OpenVPN utilizza la libreria OpenSSL, ma supporta anche connessioni con TLS. OpenVPN funziona con diversi algoritmi di crittografia, tra cui 3DES, AES, RC5 e Blowfish.

Se implementato correttamente, OpenVPN offre un livello molto elevato di sicurezza e stabilità in diverse reti, come (W)LAN e cellulari. Per il trasporto dei dati, OpenVPN utilizza il protocollo TCP o UDP, che garantisce una trasmissione flessibile dei dati. Inoltre, il protocollo VPN funziona molto bene con i firewall.

Come metodi di autenticazione si utilizzano password o certificati. Inoltre, OpenVPN è disponibile su molte piattaforme ed è supportato da tutti i sistemi operativi più comuni, tra cui Windows, macOS, Linux, Unix, Android e iOS. Tuttavia, prima di poter essere utilizzato su un sistema, sono solitamente necessari software aggiuntivi e ulteriori configurazioni.

Professionisti

  • Molto sicuro
  • Open source
  • Disponibile su molte piattaforme e sistemi operativi
  • Connessioni stabili
  • Compatibile con i firewall

Contro

  • Elevato impegno per la risoluzione dei problemi
  • Non utilizzabile “fuori dalla scatola

 

IKEv2/IPSec: Stabile in movimento

La prima versione di Internet Key Exchange (IKEv1) è stata sviluppata dalla società di telecomunicazioni Cisco Systems, mentre la versione 2 (IKEv2) è stata creata in collaborazione con Microsoft. Dettaglio interessante: IKEv1 si basa in parte sull’Internet Security Association and Key Management Protocol (ISAKMP), che anche la National Security Agency (NSA) statunitense ha contribuito a sviluppare.

IKEv2 fa parte della collezione di protocolli IPSec e garantisce lo scambio sicuro delle chiavi utilizzate per IPSec. IPSec (Internet Protocol Security) supporta diversi algoritmi di crittografia, tra cui 3DES, AES, Blowfish e Camellia.

La configurazione del sistema IKEv2/IPSec è complessa sul lato server e utilizza una porta UDP fissa per la comunicazione, il che porta spesso a conflitti con i firewall. IPSec fa parte del protocollo Internet IPv4 e IPv6 ed è generalmente considerato un protocollo VPN sicuro e molto veloce.

Tuttavia, in passato è stato affermato che l’NSA ha violato l’algoritmo di crittografia sottostante nell’ambito del cosiddetto programma Bullrun.

Tuttavia, ciò non è mai stato confermato dagli esperti e la vulnerabilità sottostante è stata nel frattempo risolta. IKEv2 è molto adatto alle connessioni mobili, in quanto si riconnette automaticamente se si perde temporaneamente la connessione a Internet, ad esempio quando si entra in un ascensore o si viaggia attraverso un tunnel.

Professionisti

  • Molto veloce
  • Disponibile su molte piattaforme
  • Sicuro
  • Connessioni stabili, forti nell’uso mobile

Contro

  • Configurazione complessa sul lato server
  • La porta UDP fissa porta a conflitti con il firewall

WireGuard: Il faro della speranza

Tra gli attuali protocolli VPN, WireGuard è il rappresentante più giovane e anche il più promettente, ma secondo lo sviluppatore è ancora in una fase iniziale. Il progetto open source sostiene di fornire un protocollo VPN particolarmente semplice, sicuro e, soprattutto, veloce.

La particolarità di WireGuard è che il protocollo fa parte del kernel Linux e ha una dimensione di codice molto ridotta. Gli sviluppatori si aspettano che questo offra vantaggi significativi in termini di manutenzione e risoluzione dei problemi del codice del programma, oltre a velocità di elaborazione significativamente più elevate. Inoltre, l’integrazione di Linux dovrebbe ridurre sensibilmente lo sforzo di calcolo e quindi il fabbisogno energetico, il che è particolarmente interessante per i dispositivi mobili.

WireGuard utilizza un algoritmo chiamato ChaCha20 per la crittografia dei dati. Sebbene il protocollo VPN sia stato originariamente sviluppato per Linux, è disponibile anche per altre piattaforme, tra cui Windows, macOS, Android e iOS. Nonostante lo stato di sviluppo, WireGuard è già utilizzato da alcuni fornitori di VPN commerciali, tra cui Hide.me, Mullvad VPN, NordVPN e Surfshark.

NordVPN aggira il problema degli indirizzi IP statici nella sua soluzione WireGuard con un server NAT aggiuntivo che distribuisce indirizzi IP dinamici.

Al momento, WireGuard è ancora un cantiere su cui si sta lavorando diligentemente. Tuttavia, è già possibile farsi un’idea di come sarà il veicolo crittografico alla fine.

Un problema al momento è l’anonimato relativamente peggiore, poiché WireGuard funziona con indirizzi IP fissi. Il futuro mostrerà in quale direzione si svilupperà il nuovo arrivato e come si comporterà nella pratica – e se le lodi avanzate sono in definitiva giustificate.

Professionisti

  • Molto stabile, anche quando si cambia rete
  • Estremamente veloce
  • Open-source
  • Parte del kernel Linux
  • Disponibile per molte piattaforme

Contro

  • Stadio iniziale di sviluppo
  • L’anonimato è garantito solo con soluzioni aggiuntive

SoftEther VPN: tesi di master dal Giappone

SoftEther è stato sviluppato presso l’Università giapponese di Tsukuba come parte di una tesi di laurea magistrale dallo studente Daiyuu Nobori ed è disponibile per il download gratuito dal 2013. Il protocollo VPN supera i firewall ed è considerato immune alla cosiddetta deep packet inspection (DPI), una tecnica utilizzata anche dai regimi autoritari per controllare il traffico dati individuale.

I pacchetti di dati che passano attraverso un tunnel VPN di solito riportano il timbro VPN a grandi lettere. Sebbene i dati contenuti nel pacchetto rimangano protetti, le autorità governative e i provider Internet possono facilmente individuare e bloccare questi pacchetti VPN. Si tratta di una pratica comune in Cina, Iran e Russia, ad esempio, dove il flusso di dati dei servizi VPN è in gran parte bloccato.

Il protocollo fa parte del software SoftEther VPN e, come OpenVPN e WireGuard, è pubblicato con licenza open-source. Il pacchetto software è in grado di gestire diversi protocolli VPN e funziona su varie piattaforme come Windows, macOS, Linux, FreeBSD e Solaris.

Viene installato come software client e server separati ed è adatto anche agli utenti che desiderano gestire una propria VPN. La soluzione giapponese è uno dei rappresentanti meno conosciuti tra i protocolli VPN. Attualmente, Hide.me è l’unico provider VPN commerciale che utilizza SoftEther.

Professionisti

  • Open Source
  • Supera i firewall
  • Disponibile per molte piattaforme e versatile

Contro

  • Non molto diffuso

Catapulta Idra e Camaleonte: Gli homebrewers

Catapult Hydra, il nome suona elegante e misterioso allo stesso tempo e ricorda un po’ l’organizzazione segreta dei fumetti Marvel. Il protocollo VPN è uno sviluppo proprietario della società di software americana AnchorFree (ora: Aura) ed è utilizzato, tra gli altri, in Hotspot Shield, il servizio VPN del produttore.

Catapult Hydra si basa sul protocollo di crittografia Transport Layer Security (TLS), ampiamente utilizzato. Il produttore promette una velocità significativamente maggiore rispetto alle soluzioni VPN convenzionali basate su TLS. Tuttavia, il produttore è decisamente reticente sui dettagli di Catapult Hydra.

Un processo di verifica trasparente, come è comune per i progetti open source come OpenVPN e WireGuard, non ha luogo con Catapult Hydra, protetto da brevetto. Pertanto, il protocollo VPN rimane chiuso agli estranei a fini di verifica. Tuttavia, anche altri fornitori di VPN come Kaspersky e Bitdefender utilizzano Catapult Hydra nei loro prodotti.

Come Catapult Hydra, Chameleon appartiene ai protocolli VPN proprietari ed è attualmente utilizzato solo da un produttore. Gli sviluppatori di Golden Frog promettono per il loro servizio VPN VyprVPN che i dati VPN identificati tramite Deep Packet Inspection (DPI) non potranno più essere bloccati.

Il protocollo Chameleon, che si basa su OpenVPN, cerca a questo punto di cambiare forma e di adattarsi all’ambiente circostante, apparendo poco appariscente come i pacchetti non criptati nel grande flusso di dati di Internet. Tuttavia, queste funzioni di offuscamento – con tecniche alternative basate su proxy – sono disponibili anche presso altri fornitori di VPN come NordVPN, Surfshark e Hide.me.

Professionisti

  • Ottimizzato per il servizio
  • Velocità elevate

Contro

  • Il codice non può essere controllato per le vulnerabilità

L2TP/IPSec, PPTP, SSTP: la vecchia guardia

Il Layer 2 Tunneling Protocol (L2TP) viene spesso combinato con IPSec per la crittografia, poiché L2TP non fornisce una propria procedura di crittografia per il flusso di dati. Pertanto, tutte le affermazioni sulla sicurezza di IPSec possono essere applicate in linea di principio anche a L2TP.

L2TP/IPSec supporta ottimi algoritmi di crittografia con 3DES e AES, ma non è necessariamente uno dei rappresentanti più veloci tra i protocolli VPN. Inoltre, spesso si scontra con le impostazioni di sicurezza del firewall, che blocca la porta UDP utilizzata da L2TP/IPSec. È disponibile su molte piattaforme, ma si sospetta che sia stato compromesso dall’agenzia di intelligence americana NSA.

Il Point-to-Point Tunneling Protocol (PPTP) è stato utilizzato a lungo da Microsoft per le VPN interne ed è stato il primo protocollo VPN supportato da Windows, motivo per cui era molto diffuso. A causa di gravi falle nella sicurezza del protocollo e della vulnerabilità dei metodi di crittografia integrati, oggi è generalmente sconsigliato l’uso di PPTP come protocollo VPN.

Anche il Secure Socket Tunneling Protocol (SSTP) proviene da Microsoft ed è stato sviluppato appositamente per essere utilizzato nei cosiddetti scenari end-to-site. In questo caso, il computer di un dipendente deve poter accedere alla rete aziendale da casa, protetto da un tunnel VPN.

Per la crittografia, SSTP si basa sui metodi crittografici disponibili in TLS, come AES e ChaCha20. SSTP è considerato molto sicuro e consente ai client di accedere a una rete dietro un firewall. Pertanto, non soffre dei problemi tipici di altri protocolli VPN come IPSec e PPTP. Tuttavia, la specializzazione su un unico scenario d’uso ne determina una scarsa importanza nella competizione dei protocolli VPN.

Protocolli VPN: anche una questione di fiducia

I servizi VPN, i protocolli e i metodi di crittografia utilizzati sono soprattutto una questione di fiducia. Dovete fidarvi del fatto che il servizio faccia esattamente ciò che dichiara di fare e dovete basarvi sul fatto che le misure di protezione sono all’avanguardia. Ma quale protocollo VPN fa al caso vostro?

È più affidabile il protocollo che è soggetto a un processo di revisione continuo e trasparente, come avviene di solito nei progetti open source? Oppure vi affidate al protocollo proprietario di un singolo produttore, che è stato adattato esattamente al rispettivo servizio VPN, ma che allo stesso tempo viene sviluppato, ottimizzato e controllato a porte chiuse? Se si considera l’affidabilità pura e semplice, le soluzioni basate sull’open source hanno la meglio grazie al loro elevato livello di trasparenza.

Qual è il miglior protocollo VPN?

Non è facile rispondere alla domanda sul miglior protocollo. In linea di principio, la scelta tra più protocolli è ideale, in quanto offre all’utente diverse opzioni a seconda del caso d’uso. OpenVPN offre il miglior compromesso tra stabilità, sicurezza e velocità ed è adatto a molti scenari applicativi. È seguito da vicino da WireGuard, che ha brillanti prospettive future e si distingue per le sue sofisticate funzioni di sicurezza e per la sua velocissima velocità.

Molti fornitori di VPN hanno già colmato il punto debole degli indirizzi IP statici. Tuttavia, bisogna tenere presente che WireGuard non è ancora completamente maturo. IKEv2 è particolarmente adatto per le connessioni mobili, ad esempio con uno smartphone. A lungo termine, tuttavia, WireGuard potrebbe superare IKEv2, poiché uno dei punti di forza di WireGuard è la sua protezione contro i cambiamenti improvvisi di rete, ad esempio da WLAN a LTE.

David West
Valuta l'autore
VPN heroes