L’idea di base delle VPN (virtual private network) è che gli utenti con le opportune credenziali possono accedere direttamente da Internet a risorse presenti sulle reti locali, risorse che sarebbero altrimenti invisibili dall’esterno. Quello che normalmente succede è che una macchina si collega a un server VPN e si autentifica. Quella macchina potrà poi vedere sia Internet, sia le risorse sulla rete privata.
Un utente autenticato può essere provvisto di privilegi particolari per accedere a risorse che generalmente non sono accessibili a tutti gli utenti. La maggior parte dei programmi client richiede che tutto il traffico IP della VPN passi attraverso un “Tunnel” virtuale tra le reti utilizzando Internet come mezzo di collegamento.
Dal punto di vista dell’utente ciò sigifica che, mentre la connessione VPN è attiva, tutti gli accessi esterni alla rete sicura devono passare per lo stesso firewall come se l’utente fosse connesso all’interno della rete sicura. Questo riduce il rischio che utenti esterni possano accedere alla rete privata dell’azienda.
Molte aziende, per esempio permettono ai proprio dipendenti di controllare la propria posta elettronica anche dall’esterno, ma solo se effettuano la login sulla VPN.
VPN: rischio per le reti aziendali
Ma se un impiegato entrasse nella VPN utilizzando una macchina infetta, improvvisamente il “cattivo” riuscirebbe a vedere macchine prima invisibili e magari potrebbe cercare di colpire tutta la rete aziendale della sua vittima.
La realtà è che le macchine degli utenti si infettano. Perchè quindi mettere a rischio tutta la rete aziendale? Se il problema è rendere accessibile la posta elettronica dall’esterno perchè non continuare a gestire la posta tramite una infrastruttura interna, ma isolarla completamente da tutto il resto in modo che eventuali problemi di sicurezza possano propagarsi?
Le VPN inutili e scomode
Le VPN erano utili quando gran parte dei servizi da rendere disponibili all’esterno non disponevano di meccanismi di autenticazione sufficientemente forti e tutto su un unica rete. Ma il mondo è cambiato. Gran parte dei servizi utilizzabili oggi dagli utenti aziendali dispongono di propri robusti meccanismi di autenticazione, gestibili in outsourcing oppure segregabili in modi non altrimenti possibili solo qualche anno fa.
Inoltre le VPN sono generalmente scomodissime da utilizzare.