Setup del client Supponendo di utilizzare il client PPTP di Windows XP, si apre Connessioni di rete (dal Pannello di controllo), si seleziona Crea una nuova connessione, si conferma su Avanti e si segue la procedura guidata. Si seleziona il bottone Con …
Setup del client
Supponendo di utilizzare il client PPTP di Windows XP, si apre Connessioni
di rete (dal Pannello di controllo), si seleziona
Crea una nuova connessione, si conferma su Avanti
e si segue la procedura guidata.
Si seleziona il bottone Connessione alla rete aziendale, poi
Connessione VPN, si assegna un nome alla connessione, si specifica
se occorre prima connettersi a un provider (superfluo se si apre la VPN dopo
essersi collegati a Internet) e si specifica l’indirizzo IP pubblico (accessibile
da Internet) del firewall.
Questo indirizzo può essere statico (normale per le aziende) o dinamico
(assegnato dal provider a ogni connessione), nel qual caso occorre scoprire
(per esempio nella pagina di stato della connessione del router ADSL) qual è
l’IP corrente della connessione Internet.
La procedura guidata è terminata e si passa alla pagina di apertura
della connessione, che chiede nome utente e password. Si inseriscono i dati
(gli stessi impostati nella configurazione del firewall per gli utenti VPN)
e la connessione VPN viene aperta in pochi istanti, dopo di che si può
accedere alla LAN come se si fosse all’interno dell’azienda.
Connessione
Quando il PC client si connette a Internet tramite l’ISP, riceve dal provider
un indirizzo IP pubblico (per es. 11.22.33.44) e il suo default gateway (la
porta a cui sono inviati i pacchetti destinati a Internet) è per esempio
11.22.33.41 (lo vedete eseguendo Ipconfig in una finestra prompt).
Quando viene aperta la connessione PPTP, il server VPN assegna al PC client
un secondo indirizzo IP per la terminazione del tunnel PPTP, per esempio 192.168.0.202
(il relativo default gateway potrebbe essere 192.168.0.201).
Eseguendo di nuovo Ipconfig, scoprite che avete due connessioni
attive, una con l’IP pubblico assegnato dal provider e una con l’IP
privato appartenente alla rete aziendale a cui siete collegati con la VPN.
Eseguendo Route print in finestra prompt, vedete il contenuto
della routing table, la tabella di routing con l’elenco delle reti accessibili,
i relativi gateway (le rispettive porte di accesso) e il gateway di default
generale.
Quando è attiva la connessione VPN, vedete nella tabella che il default
gateway non è più quello del provider ma è quello della
connessione VPN, nello spazio di indirizzi della rete aziendale).
Perché si possa stabilire una connessione VPN site-to site o di accesso
remoto, è necessario che i router e altri eventuali dispositivi di rete
sul percorso (inclusi firewall), lascino passare i protocolli utilizzati dalla
VPN.
Di solito non ci sono difficoltà con router e firewall hardware, mentre
è possibile che si debba modificare la configurazione nel caso dei firewall
software. ZoneAlarm, per esempio, per default lascia passare i protocolli VPN.
Limiti
Qualunque forma di autenticazione basata solo su una password è insicura
e in ultima analisi è destinata a fallire.
Dato che non si può costringere gli utenti a ricordare delle “strong
password”, ovvero lunghe sequenze di caratteri contenenti minuscole, maiuscole,
cifre e altro, alla fine gli utenti scelgono password deboli, facile preda dei
software di cracking.
La password di accesso alla VPN PPTP è quindi il primo punto debole,
visto che non si usano certificati e firme digitali come in L2TP e in IPSec.
Gli altri punti deboli sono trattati esaurientemente da SANS,
la principale fonte d’informazioni sulla sicurezza informatica, in www.sans.org/
resources/malwarefaq/pptp-vpn.php, che spiega in dettaglio parecchi modi
di sfruttare le vulnerabilità di PPTP.
La morale è quindi:
- usare PPTP per familiarizzarsi con le VPN,
- usare PPTP per connessioni remote occasionali (non per il telelavoro)
- non usare PPTP per connessioni permanenti, per le quali si deve passare
a L2TP o, meglio ancora, a IPSec.
La connessione PPTP è comoda per operazioni come il monitoraggio remoto
(per es. di router, firewall e switch), lo scambio di e-mail e il prelievo di
file dalla rete aziendale.
Per sicurezza, è preferibile utilizzare, per le connessioni PPTP, un
account con privilegi limitati e una password abbastanza complessa e tenuta
rigorosamente segreta.
Una password PPTP violata significa fare accomodare il nemico all’interno
del perimetro protettivo dell’azienda, quindi una VPN PPTP deve essere
accessibile solo da personale di provata fiducia.
