Ciao, questa non è una risposta ai tuoi quesiti, ma solo un copia&incolla (per mancanza di tempo) di alcune porzioni di diversi PM scambiati con altri utenti che potrebbero un po chiarirti le idee
La VPN è una connessione criptata fra due punti terminali (endpoints). Attraverso il tunnel (galleria) può passare qualsiasi tipo di traffico senza che, durante il tragitto fra i due endpoints ( eventuale rete interna LAN primo endpoint => ISP del primo endpoint => tragitto/infrastruttura internet, composto da diversi operatori delle comunicazioni => ISP del secondo endpoint =>eventuale rete interna LAN secondo endpoint), questo possa esser osservato/interpretato.
Così esistono due utilizzi della VPN, che è sempre la stessa:
- caso in cui il soggetto controlla/possiede entrambi gli endpoints, usata per connessioni private ad esempio fra due sedi(LAN) geograficamente distanti oppure accesso remoto, dove il singolo utente remote accede alla propria struttura (PC/NAS/LAN)
- caso in cui il soggetto controlla solo uno degli endpoints, quello locale. Questo viene usato per l'anonimato. Il principio è lo stesso solo che tu crei il tunnel fra te e un fornitore terzo in qualche parte del mondo (es olanda). In questo caso il tuo traffico è crittografato dal tuo endpoint al server olandese, dove poi esce in chiaro verso la destinazione finale. In pratica è una triangolazione (su un punto terzo) fra te e la destinazione finale (esempio il sito che vuoi visitare).
In questo caso il sito non vedrà il tuo IP, ma solamente quello che provvisoriamente utilizzi (assieme a migliaia di altri soggetti di tutto il mondo) dal tuo fornitore d'anonimato, in questo caso un IP olandese, attraverso il quale non si può risalire a te, quasi come con un servizio proxy (vedi in seguito).
Anche il tuo IP(WAN) è dinamico e varia, ma a me basta andare con un mandato dall'ISP e chiedergli chi in quella giornata a quell'ora ere in possesso di quel IP, e il tuo nome salta fuori. L'ISP infatti, per obbligo di legge, logga (registra e conserva) tutte le tue connessioni e, oltre ad altri dati, l'IP che avevi assegnato in un dato momento. L'IP (assieme al MAC) è il tuo DNA in internet.
Ora, la differenza fra una VPN ed un Proxy (entrambi triangolano la comunicazione), è che il proxy ha il traffico in chiaro. Quindi il sito oggetto della tua navigazione non vedrà il tuo IP ma quello del proxy però l'ISP (ed altri nel tragitto) vedranno chiaramente la tipologia del traffico che stai facendo, vedranno inoltre qual'è il sito che navighi perché devi dare l'indirizzo al proxy affinché lui possa triangolarti su di esso. Ergo il proxy nasconde la tua identità solamente alla destinazione finale, ovvero per esser più precisi solamente nella tratta del tragitto fra il proxy e la destinazione finale, permettendo però la valutazione del traffico (tipologia) lungo tutto il percorso.
Al contrario la VPN rende il traffico completamente non ispezionabile fra te e il fornitore VPN (anonimato, Olanda in questo esempio). Quindi fra te e l'Olanda nessuno può capire cosa fai e dove vai. Dall'Olanda alla destinazione finale tutti potranno vedere il traffico, ma proveniente/originato dal server olandese. Per risalire a te bisogna andare con un mandato dal fornitore olandese per poter risalire dall'IP olandese al tuo IP-WAN, poi andare dal tuo ISP per risalire a te. I server d'anonimato validi hanno pero sedi legali in giurisdizioni che legalmente non obbligano la registrazione dei dati, così non lo fanno. E laddove in quel paese venisse fatta la legge spostano la sede legale. Quindi se anche dovesse venire un organo di polizia a indagare non ci sono i dati sui quali poterlo fare. Se uno si mettesse in ascolto sull'uscita del server olandese (tanto per continuare con l'esempio) comunque non riuscirebbe ad interpretare il traffico, seppur li in chiaro, perché da quello stesso IP sta uscendo in quel momento il traffico di almeno qualche centinaio (per non dire migliaio) di utenti sparsi in tutto il mondo, ognuno con le proprie esigenze (chi naviga, chi pirata, chi hackera, ...)
Quando scegli un fornitore d'anonimato è essenziale
- verificarne la sede legale e la polizza di privacy
- non fidarsi del fatto che lui asserisca di non registrare, ma verificare in giro (internet, forum) se qualcuno si lamenta in qualche modo di esser stato bannato/espulso/abbonamento-risolto. Alcuni fornitori specificano di non consentire uso illecito dell'anonimato (leggi violazione dei copyright; un uso legittimo è ad esempio per dare voce alle idee/opinioni in un paese dittatoriale dove la tua incolumità potrebbe essere a rischio), però se riescono a risalire all'uso illecito significa che loggano (registrano), quindi si auto-smentiscono. Se il fornitore non registra neanche lui può capire l'uso che ne vien fatto.
Ciò detto quindi a te per accedere remotamente non serve nessun abbonamento.
C'è però una gran differenza se il server/client VPN risiede sul NAS oppure nel ROUTER
ROUTER vs NAS VPN.png
Come puoi vedere (salvati e ingrandisci l'immagine) nel caso il server/client VPN sia configurato sul NAS entrambi i firewall (rosso) devono essere aperti sulle porte della VPN (quindi bypassati). Così tutto il traffico nella VPN entra diritto nella pancia del NAS perdendo la possibilità di condizionarlo.
Questo potrebbe non essere un problema nel "caso 1" della VPN, perché tu controlli entrambi gli endpoints: uno il nas, il secondo il tuo smartphone/tablet/portatile.
Potrebbe però diventare un problema nel "caso 2" VPN: tu possiedi solo l'endpoint dal lato tuo; il secondo è il fornitore d'anonimato. Tutti i dipendenti tecnici curiosoni di tale fornitore potrebbero curiosare nel NAS ed eventualmente nella tua LAN, con qualsiasi protocollo (tipologia traffico).
Quindi se possibile sempre meglio configurare le VPN sul router. Per poterlo fare però spesso bisogna acquistarne uno adatto perché quello fornito dall'ISP non sempre lo consente. A volte risulta anche difficile sostituire il router perché il fornitore non fornisce le credenziali per poterlo sostituire con uno proprio. Servono infatti user/password ad alcuni numeretti tecnici per configurare la adsl/vdsl/fibra sul router acquistato dall'utente.
La VPN più sicura è quella basata su certificato, perché oltre alle credenziali richiede appunto il certificato. Il certificato ha una chiave di crittografica che può arrivare a migliaia di bit. Questa viene usata per crittografare i dati in transito nel tunnel che in assenza di essa non possono venir decrittografati. E' più sicura perché se sul mio PC, anche conoscendo il tuo WAN-IP di casa e le credenziali di accesso, in assenza del certificato non potrei accedere. E non posso scaricare il certificato, questo deve essere trasportato in qualche modo (mail, rete, chiavetta USB) sul dispositivo remoto. Quindi l'unico modo per accedere è fregarti il portatile. A questo punto tu generi un nuovo certificato e lo distribuisci sui tuoi dispositivi così invalidando quello del tuo portatile che ti ho rubato.
Ora la OpenVPN è una VPN che come trasporto usa il protocollo SSL, la stessa identica tecnologia che usi tu con i tuoi browser quando navighi in HTTPS sulla porta 443.
L'unica differenza è che quando navighi in https, il certificato necessario a crittografare i dati in transito (in internet) viene scaricato dal webserver (macchina che ospita il sito al quale accedi) nel contempo certificandone la correttezza del nome(sito). Con la OpenVPN invece, per ovvie ragioni, il client (utente remoto) non può scaricare il certificato usato come chiave di crittografia, ma deve possederne uno identico a quello installato sul server affinché client e server parlino la stessa lingua così scambiandosi i dati.
Da qui la sicurezza: server e client devono appartenere allo stesso proprietario ( o persona fidata) affinché il certificato prodotto dal server sia potuto esser installato sul client con azione volontaria (trasmissione mail, accesso consentito in rete: cartella condivisa, passaggio chiavetta USB) consentita unicamente a chi gestisce ed ha accesso fisico al server.
Anche IPsec può funzionare con il certificato e di conseguenza anche "L2TP con IPsec". Quindi OpenVPN sicuro quanto IPsec o L2TP con IPsec se usati con certificato. In IPsec e L2TP puoi configurare il certificato oppure semplicemente inserire la chiave di codifica che verrebbe altrimenti prelevata dal certificato che la contiene. Ai fini della qualità dei dati codificati scambiati non cambia nulla. Entrambi client e server devono possedere la stessa chiave.Il trasferimento del certificato è in genere un modo più sicuro per non dover trasmettere in chiaro la chiave in esso contenuta ma sia che tu trasmetta la chiave (ad esempio in una mail) che il certificato come allegato, se la mail cade in mani sbagliate avrà la stessa conseguenza: aprire l'accesso a chi oltre ad ever ricevuto la chiave ha anche l'indirizzo IP e le credenziali utente.
Diciamo che OpenVPN è spesso preferito perché oltre alla sicurezza del certificato utilizza una porta sola per il funzionamento e quindi più semplice da configurare e far funzionare.
Qualcuno sostiene, che L2TP sia stato bucato, mentre per PPTP è un dato di fatto, una certezza. PPTP è già stato bucato ed è quindi considerato non sicuro.
Per sicuro non si intende il creare l'accesso ad un capo bensì il fatto che io, che ho accesso ad una apparecchiatura intermedia posta nel percorso su cui transitano i dati crittografati fra te e casa tua, mi accorga del tunnel e riesca ad inserirmi decodificando i dati (ricostruendo in modo autonomo le chiavi di codifica) e inizi ad osservarli in chiaro. Parliamo di hacker in albergo nella stanza accanto alla tua, o in aeroporto (wifi), o dipendenti delle aziende di comunicazione/servizi lungo la tratta internet, piuttosto che organi di polizia postale che stanno tentando di intercettarti.
Appunto, perché installare un certificato o una chiave di crittografia (IPsec) lunga e sicura è la medesima cosa e se uno le ha non deve "bucare" nulla. Le ha punto e basta. La sicurezza dovrebbe sempre esser valutata sulla possibilità di intercettare e decodificare il traffico in un punto intermedio non essendo in possesso delle chiavi di crittografia (altrimenti anche il punto intermedio non rappresenta un problema e la sicurezza non è stata violata, la porta blindata non è stata infranta, il ladro semplicemente aveva le chiavi) e non sugli endpoints.
E siccome io per sicurezza intendo l'inviolabilità del punto intermedio, mentre tu ti preoccupavi della porta di casa (uno degli endpoint), per quanto riguarda il primo spero ora avrai più chiaro chi può compiere l'attacco, mentre per il secondo abbi un buon portachiavi e non perderlo.
E considerando dove e come puoi essere attaccato, specialmente in caso di VPN di anonimato, quelle di cui tu controlli (gestisci) solo un capo (endpoint) della galleria(tunnel) è sempre meglio avere un buon firewall attivo a valle. Per questo motivo meglio un protocollo leggermente meno sicuro attestato sul router, che uno "supersicuro" ma dritto in pancia al NAS. Inoltre la VPN sul router generalmente è più flessibile e permette una migliore gestione del traffico instradato (sempre dipendente dalle funzioni supportate dal router) ovvero cosa deve uscire in chiaro e cosa via tunnel anonimo.
Chi ha fobie di sicurezza dovrebbe considerare il router (le sue caratteristiche e costo) la propria porta informatica di casa. Il router ha la stessa funzione, dietro c'è la tua identità, dati dei tuoi documenti, della tua carta di credito, dei tuoi gusti sessuali, credi religiosi, idee politiche, le spese/acquisti fatti, .... Tutto ciò può esser carpito da chi lo sfonda.
Infine alcune regole:
- Il DSM (5000/5001) non si pubblica mai, se vi si deve accedere da remoto si usa una VPN
- Per il MailServer si pubblicano oltre alla porta 25 le varianti POP3/IMAP su porte SSL
- Per le varie station (DSVideo, DSAudio, DSFile) si abilitano nel portale applicazioni le porte alternative e semmai saranno queste a venir pubblicate.
- Il server VPN (per l'accesso remoto alla propria LAN) o client VPN (per l'utilizzo di servizi di anonimato) vengono di norma configurati sul router/firewall dedicato
- Il router nuovo ha in genere di default le seguenti impostazioni
- traffico in ingresso: blocca tutto
- traffico in uscita: consenti tutto
sarebbe opportuno cambiare la seconda regola bloccando anche tutto il traffico in uscita di default. Così come si instradano le porte in ingresso si faranno poi delle regole che consentano alcune tipologie di traffico in uscita. Prima su tutte l'apertura delle porte 80/443 e 53 altrimenti non sarebbe possibile navigare e risolvere i nomi DNS. Poi si aggiungeranno ulteriori regole in caso di bisogno.
che armato di tanta pazienza mi spiega qualcosa in modo molto semplice?