Una rapido sguardo al protocollo VPN IPsec usato nelle vpn
VPN IPsec è un protocollo operante a layer 3 del modello OSI usato per la sicurezza dei collegamenti su Internet. La sua peculiarità è quella di poter garantire l’integrità dei pacchetti, la cifratura e l’autenticazione degli interlocutori. Usa algoritmi di cifratura molto diffusi come DES, 3DES, AES, SHA-1, MD5 ecc. ed è definito in numerose RFC tra cui la RFC2401 (Security Architecture for the Internet Protocol).
La VPN IPsec opera in maniera simile a quella di un framework, usa infatti protocolli e algoritmi già esistenti dividendoli tra Protocollo IPsec, Cifratura, Autenticazione e Scambio di chiavi. Questi ultimi usati in Tunnel Mode operano appunto da protezione della connessione tra due Gateway.
VPN IPsec: vediamo il Tunnel Mode in breve
La VPN IPsec prevede la cifratura dell’intero pacchetto incapsulandolo in un ulteriore pacchetto che indicante nella testata IPsec gli indirizzi IP delle macchine VPN. In sostanza il “Tunnel Mode” altro non fa che rendere gli indirizzi ip originali non visibili all’esterno (perchè cifrati e quindi non attaccabili direttamente) rendendo visibili solo gli ip delle macchine di frontiera. La tunnel mode viene supportata sia dal sistema Authentication Header, sia da quello Encapsulation Security Payload di IPsec.
Gli algoritmi di autenticazione supportati da IPsec sono quello MD5 e lo SHA1. MD5 è un’algoritmo di hashing con chiave di cifratura a 128 bit e dalla cui firma non è possibile risalire in alcun modo ai dati originali. SHA1 invece è un algoritmo di hashing a chiave di cifratura da 160 bit.
Un ultimo accenno alle VPN IPsec riguarda lo scambio di chiavi. Sono tre i protocolli che è possibile usare per lo scambio sicuro di chiavi crittografiche su un canale insicuro. Queste sono DH1, DH2 eDH5, tutte appartenenti al gruppo Diffie-Helman, e facenti parte del protocollo di scambio IKE (Internet Key Exchange).
Attento anche alla sicurezza offline. Conoscere e applicare buone pratiche di Social Engineering può aiutarti a migliorare il livello di protezione dei tuoi dati.