Arrivate di recente all’interno dell’offerta networking, a maggioranza IpSec, le reti private virtuali basate su protocollo Ssl offrono due atout fondamentali: la facilità di implementazione e il controllo sulla sicurezza delle applicazioni.
All’interno dell’industria informatica sta emergendo con insistenza un nuovo modo per interpretare il concetto di Virtual private network basato su Secure socket layer. Va ricordato che, di concerto con Http, il protocollo Ssl permette di creare un passaggio di dati cifrato tra un client e un server, indipendentemente dalla piattaforma o dal sistema operativo in uso. Questo significa che, al di là di un browser, non è richiesto alcun software da installare, mantenere e aggiornare sul client. Questo rappresenta un elemento di grande differenziazione tra le Virtual private network clientless e le Vpn basate su Ip Security, che può riflettersi in termini di semplicità operativa e di costo, soprattutto di gestione.
I protocolli Ssl e IpSec, anche se condividono alcuni elementi, come il metodo crittografico, sono profondamente diversi in concezione e modalità d’uso. La prima differenza significativa è che, per garantire un tunnelling sicuro, IpSec lavora al livello 3 del modello Osi. Per rendere sicura l’applicazione, il protocollo Ssl funziona, invece, al livello 4 dello stesso modello, fornendo alle applicazioni soprastanti i servizi di cifratura, autenticazione di server, client e dei messaggi.
Mentre IpSec protegge l’intera rete, Ssl controlla esclusivamente il traffico Web tra due applicazioni. Ne discende che, mentre un client IpSec connesso in remoto ha la possibilità di accedere all’intera rete d’impresa, un client Ssl accede solo a una applicazione specifica, per esempio a un server di posta Imap 4 pensato per gestire questo protocollo.
Quando le richieste di sicurezza aziendale sono elevate, è consigliabile optare per una soluzione IpSec, dal momento che rappresenta la soluzione più sicura per le connessioni Vpn punto a punto. D’altra parte, però, va anche considerato il fatto che, per esempio, una volta configurato il software client IpSec dei dispositivi mobili aziendali, non si può essere certi che il collegamento avvenga davvero ovunque.
Nel caso in cui la connessione tipica dei client avvenga da remoto e non sussitano richieste specifiche di sicurezza che consiglino l’uso di IpSeci, l’impiego del protocollo Ssl può rappresentare una soluzione efficace, che risulta anche, in linea generale, più semplice da gestire (aspetto particolarmente di rilievo per le Pmi).
Le tre categorie
Le Vpn clientless si dividono in tre categorie. La prima è rappresentata dalle Vpn basate sul reindirizzamento del protocollo Ssl. Queste reti virtuali private si presentano sotto forma di appliance e usano la connessione Ssl come strumento per permettere alle applicazioni native di funzionare virtualmente al di sopra di HttpS, ossia Http+Ssl.
La seconda categoria di Vpn clientless migliora il controllo remoto, stabilendo un tunnel Ssl verso soluzioni specifiche o sistemi di controllo come Microsoft Wts. L’ultima categoria, costituita dalle Ssl applicative, è quella che, secondo i più, deve ancora conoscere i maggiori sviluppi. Contrariamente alle Vpn IpSec, che operano a livello 3 del modello Osi, questo tipo di reti private virtuali opera a livello 7, offrendo visibilità ai dati delle applicazioni.
Spesso l’elemento centrale di una Vpn applicativa è costituito da un proxy. È questo il punto che agisce da intermediario tra le richieste dei client remoti e le applicazioni del server, chiudendo le connessioni entranti, trattando i dati e traducendoli in funzione al protocollo applicativo. Intanto, la Vpn analizza le informazioni e mette in pratica le policy di sicurezza, agendo come gatekeeper all’interno di una rete.
Nello specifico, la Vpn applicativa esegue il codice del client e del server su uno stesso server, evitando il ricorso a un software client sul pc remoto. Per certe applicazioni Windows, ossia per le applicazioni che poggiano su Wts, il sistema usa il protocollo Rdp per negoziare l’accesso dell’utente al proxy applicativo.
L’autenticazione è, invece, effettuata attraverso Ldap, Lightweight directory access protocol, o active directory per il mondo Microsoft. È a questo punto che l’utente accede all’applicativo per il quale ha i diritti accordati.
