La sicurezza online è diventata fondamentale per via del Covid19, in quanto l’accesso remoto è diventato necessario per il lavoro e il tempo libero. Molte aziende hanno iniziato a cercare alternative VPN (Rete privata virtuale), così negli ultimi anni sono nate diverse opzioni per difendersi sul web.
Indipendentemente dal fatto che tu sia alla ricerca di altre soluzioni per proteggere la tua azienda o che tu abbia a cuore la privacy, questo articolo fa al caso tuo.
Quale alternativa VPN posso utilizzare?
Una VPN stabilisce un tunnel di comunicazione criptato a internet reindirizzando il traffico dati attraverso i suoi server. Tutto ciò che serve per ottenere la sicurezza dell’intera rete è accedere al client ed avviare l’app. Tuttavia, sebbene una VPN sia una soluzione eccellente per i singoli individui, bisognerebbe prendere in considerazione questi ragazzacci se si desidera proteggere la propria azienda.
-
Accesso alla rete zero trust (ZTNA)
Zero trust (zero fiducia) significa che non ci si può fidare nemmeno di sé stessi. Si tratta di una misura di sicurezza promossa e utilizzata principalmente dalle aziende. È un’alternativa VPN paranoica che:
- Blocca tutto il traffico per impostazione predefinita;
- Dà accesso ad applicazioni specifiche;
- Utilizza l’autenticazione a più fattori(MFA);
- Monitora tutta l’attività sulla rete;
- Richiede che tutti gli utenti della rete vengano costantemente verificati per la configurazione di sicurezza;
- Funziona secondo il principio del privilegio minimo: per impostazione predefinita non concede la gestione degli accessi privilegiati a nessuno nella rete.
In parole povere, per accedere ulteriormente alla rete è necessario eseguire una nuova verifica in quasi ogni altro passaggio. Dal punto di vista del programma, l’utente rappresenta una minaccia e il suo dispositivo costituisce già un problema per la sicurezza: ecco il motivo della costante riautorizzazione e del concetto “zero-trust”.
Quando è tale misura a proteggere la rete, l’amministratore autentica gli utenti e monitora i dispositivi dentro e fuori la rete. Un altro aspetto positivo è che l’utente della rete non può mostrare il proprio indirizzo IP al di fuori del perimetro di tale rete (anche quando utilizza internet).
Consenso: Lo ZTNA è un’opzione di sicurezza che consente di tenere sotto controllo le risorse aziendali (anche se in modo paranoico). È un passo avanti rispetto alle VPN hardware. In ogni caso, lo ZTNA non è ancora adatto all’utilizzo domestico e non è conveniente come una VPN software.
-
Servizio sicuro di accesso edge (SASE)
Un paio di soluzioni di sicurezza che indossano un impermeabile SASE (ovvero impertinente). L’idea è quella di combinare molti servizi in un unico servizio di sicurezza basato su cloud.
SDN + SWG + CASB + FWaaS + ZTNA = SASE
Andiamo ad analizzare ciascun programma che si nascondere dietro al cappotto impertinente per comprendere il ruolo che svolge il SASE.
Software-defined networking (SDN): una rete gestita tramite software.
Security web gateway (SWG): impedisce al traffico dati poco sicuro (potenzialmente dannoso) di accedere a una rete
I cloud access security broker (CASB) sono punti “sensibili” tra il fornitore di servizi e l’utente che attivano diverse politiche di sicurezza una volta che si accede alle risorse basate su cloud.
Le politiche sono le seguenti: autenticazione dell’utente, autorizzazione, single sign-on (autenticazione unica), mappatura delle credenziali, profilazione dei dispositivi, crittografia, tokenizzazione, registrazione, avvisi e rilevamento/prevenzione delle minacce informatiche.
Firewall as a service (FWaaS): un firewall sul proprio computer ispeziona e filtra il traffico di dati. Il FWaaS racchiude lo stesso concetto, ma adattato al cloud per rendere più sicuro il cloud computing.
Zero trust network access (ZTNA): come spiegato in precedenza, è un’opzione di sicurezza rigorosa che impedisce agli utenti di vedere tutto ciò a cui non sono autorizzati ad accedere.
Opinione diffusa: Il SASE è una soluzione di sicurezza basata su cloud relativamente nuova. È stato concepito per essere accessibile e per essere una soluzione di sicurezza completa per le grandi aziende.
Tuttavia, essendo nuovo, la risoluzione dei problemi può risultare più difficile e la gestione della rete interna può diventare una seccatura. In alcuni casi, il SASE potrebbe interferire con altre misure di sicurezza (come la recente implementazione di SD-WAN) e causare problemi di prestazioni.
-
Proxy server
Per quanto riguarda il confronto tra VPN e Proxy, entrambi sono simili sotto un certo aspetto: instradano i dati e cambiano l’indirizzo IP (Protocollo Internet). Ma parliamo del proxy. Questo servizio implica che il proprio dispositivo venga rappresentato da un altro server sul web fungendo da intermediario.
Il fornitore di servizi internet (ISP) ti assegna un IP distinto a seconda della tua posizione. Il browser utilizza il tuo IP per inviare richieste a tutti i server che contatta sul web.
Quando si utilizza un proxy, il traffico di dati passa attraverso i loro server e riceve un nuovo IP. Si tratta di un ottimo modo per aggirare il blocco geografico e sottrarsi al tracciamento dell’IP (e a tutto ciò che ne consegue).
Esiste un vasto numero di proxy utilizzati per scopi diversi e con protocolli diversi, ma in questo articolo mi limiterò a citare solo quelli più importanti.
Opinione diffusa: l’utilizzo di un server proxy ti fornisce un nuovo IP, un modo eccellente per trovare mercati con prezzi più bassi e per aggirare le restrizioni geografiche sul web.
TUTTAVIA, a parte il cambio di IP, un proxy non fornisce alcuna sicurezza sul web o sulla rete.
-
Server dei nomi di dominio smart (DNS)
Lo smart DNS presenta alcune somiglianze con una VPN: si tratta di un servizio che utilizza sia server che proxy DNS per modificare l’indirizzo DNS dell’utente. Alcuni lo definiscono un proxy DNS.
Il sistema DNS è un linguaggio utilizzato dai computer per comunicare. Utilizza il DNS per tradurre il nome del sito web (ad es. www.surfshark.com) in un indirizzo IP.
Un servizio di smart DNS instrada il traffico attraverso i suoi server e fornisce un indirizzo DNS diverso senza modificare l’IP. Inoltre, obbliga i siti web visitati a guardare prima il nuovo indirizzo DNS, il che solitamente è sufficiente per eludere i blocchi geografici imposti dall’ISP.
In ogni caso per quanto riguarda la sicurezza non offre nulla. Il proprio IP rimane lo stesso e può essere visto dai fornitori di servizi più tenaci.
Opinione diffusa: lo smart DNS è un’opzione eccellente per superare una restrizione geografica quando il proprio dispositivo non supporta una VPN. Tuttavia non offre protezione.
-
Shadowsocks
Si tratta di un servizio semi-proxy il cui scopo principale è quello di superare alcuni tipi di restrizioni e censure (indizio: ha a che fare con i muri asiatici). Fondato da un programmatore cinese, questo servizio vanta una storia entusiasmante su come è nato.
Shadowsocks non è un vero e proprio proxy, bensì un’app che si connette al server proxy SOCKS5. Tuttavia il proxy stesso si differenzia dagli altri in quanto offre una combinazione di tre metodi di autenticazione diversi:
- Autenticazione nulla: non è richiesta alcuna autenticazione per connettersi a un proxy. La propria password viene accettata senza verifica;
- Autenticazione con nome utente/password: la password viene accettata purché corrisponda al nome utente fornito;
- Autenticazione GSS-API: si tratta di un processo in cui due o più computer (il proprio dispositivo e il server che si sta cercando di raggiungere) utilizzano gli stessi metodi di autenticazione per verificare l’identità dell’utente.
Shadowsocks, in combinazione con SOCKS5, fa passare il traffico attraverso un server remoto e cambia l’indirizzo IP prima che i dati raggiungano i servizi desiderati.
Consenso: Shadowsocks consente di cambiare il proprio IP e di nascondere la propria posizione, ma non di proteggere il traffico. Il suo sottile strato di sicurezza si sgretola facilmente dinanzi a strumenti di deep packet inspection (DPI) (se utilizzati).
Potrebbe rivelarsi ottimo per l’uso individuale per superare le restrizioni del web, in ogni caso Shadowsocks non è una buona opzione di sicurezza per la gestione della rete aziendale.
-
Tunnel SSH
Il tunneling SSH o port forwarding SSH, consiste nel trasferire tutti i dati (definiti come dati arbitrari) su un canale SSH criptato.
Cos’è una SSH?
È un protocollo a shell sicura che utilizza la crittografia. Una shell è un programma in cui i comandi vengono impartiti tramite testo anziché tramite mouse, tastiera o touchscreen. L’accesso alla shell può avvenire da un dispositivo che non appartiene all’utente, il che costituisce la base per un lavoro remoto sicuro con SSH.
Nota: L’SSH ti connette a un dispositivo specifico. L’SSH sembra simile a una VPN, tuttavia l’SSH si connette a un particolare dispositivo, mentre la VPN si connette a una rete.
Cos’è il port forwarding?
Il port forwarding consente ai server di internet di accedere ai dispositivi di una rete privata. Una volta che i dati provenienti da internet raggiungono un dispositivo, il port forwarding li reindirizza attraverso un punto di ingresso specifico sul dispositivo, ovvero una porta.
Che cos’è il port forwarding SSH/tunneling SSH?
Permette di inoltrare i dati attraverso un tunnel criptato da un’altra applicazione client in esecuzione sullo stesso computer come client shell sicuro. Grazie alla crittografia e alla capacità di connettersi direttamente, questo protocollo di sicurezza può essere utilizzato anche per superare i firewall.
Opinione diffusa: Il tunneling SSH è un’ottima misura di sicurezza come alternativa a una VPN software per un’azienda. Cripta i dati che passano attraverso i canali SSH. Inoltre, l’uso individuale del tunneling SSH è possibile, ma richiede conoscenze specifiche.
Non presenta molti lati negativi: il tunneling SSH protegge solo la parte dei dati che passa attraverso il client e l’implementazione a livello di server richiede personale esperto.
-
ToR
Il router a cipolla (TOR) è una valida soluzione per i singoli utenti. Tuttavia, se sei un’azienda che dipende dalla velocità e stai pensando di scegliere TOR al posto di una VPN, dovresti riconsiderare la scelta.
Cos’è il ToR in sintesi?
Per router a cipolla si intende il software ToR e la sua rete di server ToR. Il servizio dipende in parte da volontari.
Come funziona ToR
Tor utilizza un gruppo di server privati stratificati (volontari che mettono a disposizione i loro computer) per instradare e criptare il traffico di internet attraverso la rete:
- Si connette con un elenco di nodi disponibili in rete che si estendono in tutto il mondo;
- I dati vengono fatti passare attraverso una serie di tre nodi TOR casuali. Ognuno di essi differisce dagli altri ed è dotato di una chiave di crittografia univoca:
Il nodo di ingresso conosce l’utente e il nodo relay.
Il nodo relay conosce i nodi di ingresso e di uscita.
Il nodo di uscita conosce il nodo relay e la destinazione.
Grazie all’architettura della rete, i singoli computer non conoscono il punto di origine del flusso di dati e il punto di destinazione finale: la tua identità e il tuo IP sono al sicuro.
In ogni caso Tor presenta alcuni svantaggi. Quelli principali sono i seguenti: velocità di internet basse e il fatto che il servizio non utilizza l’offuscamento. Ciò implica che, anche se il proprio fornitore di servizi internet non può vedere il contenuto della navigazione, può comunque vedere l’utilizzo di ToR, che in alcuni Paesi è illegale.
Opinione diffusa: grazie alla sua infrastruttura particolare, ToR è un ottimo strumento di privacy per l’uso individuale. Tuttavia, la sua risorsa più grande rappresenta il suo limite. Se da un lato siamo d’accordo sul fatto che internet debba essere libero e accessibile a tutti, dall’altro pensiamo che ci sia un modo più semplice e veloce per proteggere la propria presenza online, soprattutto se si gestisce un’impresa.
Considerazioni finali
Se intendi incrementare la tua attività e mantenerla sicura, le VPN hardware sono un grattacapo non indifferente. Un ottimo sostituto della VPN tradizionale per un’azienda è il servizio SASE. Se la tua rete è già sicura e ha bisogno soltanto di un ritocco, prova ZTNA.
Tutto dipende dalle preferenze dell’amministratore della sicurezza: preferisce il fascino di una gestione dettagliata della rete? Magari i gusti non sono ancora così raffinati e pertanto cerchi una soluzione più semplice.
Inoltre, ricorda che molti problemi delle VPN hardware sono stati risolti dalla loro versione successiva, le VPN software. Una connessione VPN è un’ottima opzione sia per l’uso domestico che per il lavoro. Facile da gestire, semplice da implementare e sicura grazie all’uso di server basati su RAM, alla crittografia e all’offuscamento.
FAQ
Cosa offre più sicurezza di una VPN?
A detta di molti, ToR offre una maggiore privacy per l’uso individuale grazie alla sua infrastruttura di servizi. Aiuta ad accedere al dark web e viene spesso utilizzato per comunicazioni sicure. Ciononostante, il servizio talvolta è discontinuo e non utilizza l’offuscamento: non nasconde il fatto che si sta utilizzando ToR.
Per i titolari di aziende, è sconsigliato passare dalle VPN a ToR poiché la velocità del servizio è inaffidabile e la gestione della rete è carente.
Tor è migliore di una VPN?
Dipende da chi lo utilizza e dal motivo per cui ne ha bisogno. Una breve panoramica del confronto tra ToR e VPN per te: ToR è ottimo per chi non è interessato alla velocità e ha bisogno di trasmettere informazioni sensibili; una VPN è una soluzione affidabile per chi ha bisogno di privacy durante la normale navigazione su internet: è un compromesso tra velocità e convenienza.
Una VPN è più sicura di un proxy?
Sì, perché una VPN oltre a fornire un nuovo IP, cripta il traffico di dati e lo offusca. Un proxy si limita a reindirizzare il traffico e a cambiare l’IP, il che lo rende ideale per superare i blocchi geografici.