VPN: Virtual Private Network

Anche questa volta dobbiamo andare per sigle e acronimi…

Ma, credetemi, non è un esercizio noioso: ci aiuta a prendere coscienza di espressioni che usiamo quotidianamente e forse capire meglio la filosofia che ci sta dietro. “Le parole sono importanti”.
Parliamo di VPN, sigla che, nella lingua di Shakespeare, sta per “Virtual Private Network”.

Ma nella lingua di Dante come possiamo tradurre?

“Network” = “rete”

Vabbuò, “Network” è “rete”, “connessione”, in contesto informatico si capisce che vuol dire, è l’insieme dei dispositivi e dei cavi che permettono la comunicazione tra sistemi informatici.

“Private” = “privata”

“Private” lo rendiamo come “privato”, che nel nostro caso esprime la condizione opposta all’essere “pubblico”.

Piccola considerazione: mi pare importante non perdere di vista il fatto che “privato” sia il participio passato del verbo “privare”. Insomma, quando parlo di “privato” devo ricordarmi che sempre sottintendo l’esistenza degli “esclusi”. “Privare” significa quindi prendersi la responsabilità di “escludere”: può darsi che ce ne siano le ragioni (e vedremo quali sono le ragioni nel nostro caso), ma non lo si deve dimenticare.

Ricapitolando, con la nostra traduzione siamo qui: PN, “Private Network”, cioè “Rete privata”.

“Virtual” = “immateriale”

L’aggettivo virtual non è immediato da tradurre. Certo, lo possiamo tradurre con un calco: “virtuale”. Un’aggettivo fin troppo di moda, oggi.
Però, che ci dice la Treccani?

virtuale agg. [dal lat. mediev. virtualis, der. di virtus “virtù; facoltà; potenza”]. – 1. (filos.) [che esiste potenzialmente] ≈ in potenza, potenziale. ↔ attuale, effettivo, in atto, reale. 2. (estens.) [di cosa, che non corrisponde alla realtà: le sue qualità sono più v. che reali] ≈ apparente, esteriore, fittizio, illusorio, immaginario, (lett.) parvente. ↑ falso. ↔ effettivo, reale, tangibile, vero.

Insomma, qualcosa che potrebbe esserci, ma non c’è. “Virtuale” è il contrario di “reale”.
Amici miei, ma noi che ce ne facciamo di una rete privata che non sia reale?
Per questo preferisco tradurre “virtual” con “immateriale”:

immateriale agg. [dal lat. tardo immaterialis, der. di materialis “materiale”, col pref. in- “in-²”]. – 1. [che non è materiale, che non è formato di materia] ≈ incorporeo, intangibile, spirituale. ↔ corporeo, materiale, tangibile. 2. (estens.) [che oltrepassa i limiti della materia, che appare quasi inconsistente o spiritualizzato: bellezza i.] ≈ diafano, etereo.

Allora ecco qua: VPN, “Rete privata immateriale”.

VPN: a che ci serve?

Arrivati a capire cosa significa la sigla VPN ci possiamo legittimamente chiedere se ci serve una VPN, e per cosa.

In breve.

  • Che ci serva una rete telematica è assodato. È il mezzo per raggiungere dai nostri dispositivi i server che eseguono le applicazioni che utilizziamo per il nostro lavoro.

  • Che ci serva una rete telematica privata lo possiamo capire. I dati che facciamo viaggiare sulla rete devono restare riservati (ecco qui la faccenda del “privato”, e della conseguente esclusione dei curiosi dal nostro lavoro). Su una VPN i nostri dati viaggiano criptati, nascosti agli occhi indiscreti. E non solo. Il controllo di chi può far viaggiare i dati sulla nostra rete privata resta a noi, e il server a cui ci colleghiamo può essere chiuso a ogni connessione sulla rete pubblica e aperto solo sulla nostra rete privata.

  • Questo ci fa intuire il perché ci serve una rete telematica immateriale (VPN tradotto in italiano…). Sarebbe antieconomico stendere dei nostri cavi fisici accanto a quelli della rete internet mondiale per collegare in maniera esclusiva i nostri dispositivi ai server. È più opportuno e assai meno costoso stendere dei “cavi” immateriali attraverso la rete pubblica. Questa è la VPN, la rete telematica immateriale: una sovrastruttura software (quindi “immateriale”) che è ospitata da una struttura hardware (quindi “materiale”) rappresentata dai cavi  che connettono la internet mondiale e dai cavi che connettono in locale computer e dispositivi.

Come funziona una VPN

Credo che si sia capito che una VPN è un software che simula un collegamento fisico tra dispositivi, senza che essi e gli applicativi che funzionano su tali dispositivi si “rendano conto” della cosa. È l’essenza della scienza informatica: aggiungere immaterialità a immaterialità (gli anglofoni direbbero: “Virtualization over virtualization”). Gli applicativi si scambiano i dati senza dover sapere in che modo “viaggiano”, in che modo sono scambiati.

Il software della VPN è presente su tutti i dispositivi collegati e “intercetta” le comunicazioni che sono stabilite dagli applicativi e le fa passare sul cavo immateriale che è stato steso tra i dispositivi stessi.

Detto questo, possiamo aggiungere che nella stragrande maggioranza dei casi i software che costituiscono le VPN sono strutturati come sistemi client/server (“fruitore/fornitore”). Il nodo con il software “fruitore” si presenta al nodo con il software “fornitore”, gli offre delle credenziali che vengono controllate e, se tutto è a posto, viene “steso” il cavo di collegamento immateriale. Da lì in avanti le comunicazioni tra i due nodi passano in questo cavo immateriale. È la forma base di ogni connessione telematica, e quindi anche delle VPN: la topologia punto-punto (point-to-point).

VPN

Collegare reti locali

Ci sono situazioni in cui i due nodi connessi “immaterialmente” dalla VPN sono a loro volta collegati a rete locali non direttamente connesse alla rete pubblica (la rete internet). Si può scegliere di dare accesso agli altri computer della rete locale attraverso il nodo connesso alla VPN: i dispositivi non raggiungibili dall’“esterno” diventano raggiungibili per i dispositivi collegati alla VPN, come se si trovassero connessi alla rete locale. Si parla in questo caso di topologia punto-rete (point-to-site), oppure di topologia rete-rete (site-to-site), quando i due nodi collegati dalla VPN fungono ciascuno come punto d’accesso alla propria rete locale.

È anche possibile fare in modo che sia il software server che gestisce la VPN ad accordare agli altri nodi della VPN l’accesso reciproco, costituendo una rete locale “immateriale” attraverso la VPN; in questo caso si parla di topologia a stella.

VPN

Wallysoft e VPN

Le tecnologie e le soluzioni software che permettono di implementare una VPN sono molteplici e differenti.
Mi piacerebbe qui mostrarvi alcune delle soluzioni che nel tempo qui in Wallysoft abbiamo adottato.

No VPN, no party?

Anzitutto posso dirvi che non tutti i nostri clienti accedono ai server che ospitano i nostri applicativi attraverso VPN. È una scelta: a volte è più pratico evitare di aggiungere un ulteriore “strato” software al proprio sistema e permettere l’uso della normale connessione pubblica (la connessione internet) per raggiungere i server. Questo non significa che si mette a repentaglio la sicurezza dei dati: la connessione avviene sulla linea pubblica ma le comunicazioni tra server e dispositivo dell’utente sono criptate, gli accessi sono regolati da password e i server sono protetti da software che intercettano i tentativi di accesso non autorizzati. Quindi… niente paura!

Solo da qui a lì, per favore!

Ci sono invece situazioni nelle quali i nostri clienti ci chiedono di limitare l’accesso ai server solo da particolari uffici o dispositivi. Ovviamente non stiamo a stendere cavi tra un punto e l’altro (come dicevamo è un’opzione abbastanza costosa…): la soluzione più semplice è quella di “stendere” una VPN.

A volte si tratta di connettere il “nostro” server con un sistema già implementato presso i nostri clienti: router Cisco, Fortinet, Endian, non importa, ci siamo connessi un po’ a tutto.

VPN

A volte invece si tratta di proporre una soluzione software, e la nostra scelta cade su OpenVPN, un sistema opensource ultra-rodato, implementato sul medesimo server da raggiungere. I dispositivi autorizzati utilizzano il cavo immateriale steso tramite OpenVPN e raggiungono il nostro server.

Ci è anche capitato di dover raggiungere dal nostro server dei particolari dispositivi (ad esempio stampanti) situati all’interno della rete aziendale di un cliente: con una VPN si può fare anche questo…

VPN

Reti di servizio

Esiste una tecnologia di VPN molto agile, ma non per questo meno sicura ed efficiente delle altre (anzi, è assai efficiente, proprio perché semplice), che viene comoda nel momento in cui si vogliano creare connessioni di servizio di tipo point-to-point, oppure reti di tipo a stella che coinvolgono più dispositivi.

Questa tecnologia è Wireguard, e usiamo questo di tipo di VPN per connettere i nostri server in giro per il mondo. È come avere tutti i server in unico datacenter, quando invece, per esigenze di sicurezza e ridondanza, si trovano a chilometri di distanza!

VPN: una gran bella trovata

Insomma, la tecnologia delle VPN è un utensile di grande utilità.
Certo è qualcosa che sta sotto il cofano, però credo di aver fatto percepire la sua importanza anche a coloro che usano i computer senza doversi occupare di “stendere cavi” di collegamento…
Quando abbiamo bisogno di collegamenti sui quali i dati viaggino sicuri, di collegamenti con accessi controllati, di collegamenti tra dispositivi senza accesso pubblico, ecco che la connessione immateriale fornita da una VPN ci viene in aiuto. Alla prossima!

Stefano Deponti