Cos’è un protocollo VPN e perché è importante comprendere le differenti opzioni che si possono avere?
Dato che la maggior parte dei provider VPN offrono una vasta gamma di protocolli VPN tra cui scegliere, è bene conoscere i pro e i contro di tali opzioni così che possiate scegliere la soluzione migliore in base alle vostre esigenze.
In questa guida confronteremo tra loro due tra i più noti protocolli VPN – OpenVPN e IPSec – senza tralasciare altri protocolli altrettanto noti quali L2TP/IPSec, IKEv2/IPSec, WireGuard, PPTP, e SSTP. Questo ha come scopo quello di fornirvi una panoramica generale dei pro e dei contro di ciascun protocollo VPN.
Non perdiamo altro tempo ed iniziamo!
Quali sono i differenti protocolli VPN attualmente esistenti?
Che cos’è un protocollo VPN?
Un protocollo VPN è un insieme di istruzioni che servono per stabilire una connessione sicura e criptata tra il vostro dispositivo ed un server VPN così da consentire la trasmissione dei dati.
La maggior parte dei provider VPN presenti in commercio offre una vasta gamma di protocolli che è possibile utilizzare all’interno del client VPN. Ad esempio, nello screenshot riportato di seguito, stiamo testando ExpressVPN e ci viene data la possibilità di scegliere tra diversi protocolli VPN: OpenVPN UDP, OpenVPN TCP, SSTP, L2TP/IPSec, e PPTP.
Questi sono i diversi protocolli VPN che mette a disposizione il client ExpressVPN.
Ora daremo un’occhiata più da vicino ai vari protocolli VPN.
OpenVPN
OpenVPN è un protocollo VPN open source sviluppato dalla OpenVPN Technologies e particolarmente versatile. Si tratta, molto probabilmente, del protocollo VPN più sicuro ed utilizzato ad oggi oltre al fatto che ha passato a pieni voti diversi audit di sicurezza condotti da terze parti.
OpenVPN è generalmente considerato il protocollo standard per eccellenza quando viene avviato ed eseguito correttamente ed utilizza i certificati SSL/TLS per lo scambio delle chiavi. Questo protocollo VPN offre massima riservatezza, affidabilità, sicurezza ed è molto flessibile, tanto che può essere utilizzato in diversi modi e situazioni.
Installazione: OpenVPN necessita di un software client particolare, piuttosto che essere integrato direttamente in alcuni sistemi operativi. La maggior parte dei servizi VPN offre delle app OpenVPN personalizzate, che possono essere utilizzate su diversi sistemi operativi e su diversi dispositivi. L’installazione è generalmente semplice e veloce. OpenVPN può essere utilizzato su tutte le principali piattaforme tramite client di terze parti: Windows, Mac OS, Linux, Apple iOS, Android, e router vari (controllate il firmware per valutarne la compatibilità).
Crittografia: OpenVPN utilizza la library OpenSSL ed i protocolli TLS per la crittografia dei dati. OpenSSL supporta una vasta gamma di algoritmi e cifrari differenti, tra cui AES, Blowfish, Camellia, e ChaCha20.
Sicurezza: OpenVPN è considerato il protocollo VPN più sicuro disponibile al momento, a condizione che sia correttamente eseguito ed utilizzato. Non presenta dei particolari punti deboli noti.
Prestazioni: OpenVPN offre delle buone prestazioni, soprattutto se eseguito sfruttando le porte UDP (User Datagram Protocol), piuttosto che le porte TCP (Transmission Control Protocol). OpenVPN inoltre mantiene la sua stabilità e la sua affidabilità anche quando utilizzato su reti wireless o cellulari. In caso di problemi di connessione potrete utilizzare OpenVPN con le porte TCP, tutti i pacchetti di informazioni inviati saranno confermati, ma il processo sarà molto più lento.
Porte: OpenVPN può essere utilizzato su qualsiasi posta, UDP o TCP.
Verdetto finale: Caldamente consigliato.
IPSec – Internet Protocol Security
Che cos’è IPSec?
IPSec è una suite di protocolli di rete sicura che autentica e crittografa i pacchetti di dati inviati su una rete IP. IPSec è l’acronimo di Internet Protocol Security ed è stata sviluppata dalla Internet Engineering Task Force. A differenza di SSL, utilizzato a livello di applicazione, IPSec opera a livello di rete e può essere utilizzato in modo nativo con molti sistemi operativi. Poiché la maggior parte dei sistemi operativi supporta in modo nativo IPSec, questo protocollo può essere utilizzato senza l’ausilio di app di terze parti (a differenza di OpenVPN).
IPSec è diventato un protocollo molto popolare utilizzato con le VPN quando associato a L2TP o a IKEv2, come vedremo a breve.
IPSec crittografa l’intero pacchetto IP utilizzando:
- Authentication Header (AH), che appone una firma digitale su ciascun pacchetto, autenticandolo; e
- Encapsulating Security Protocol (ESP), che fornisce invece autenticazione, confidenzialità e controllo di integrità del pacchetto di informazioni che deve essere trasmesso.
La presentazione trapelata dalla NSA – Una discussione a proposito di IPSec non sarebbe completa senza fare riferimento alla presentazione trapelata dalla NSA nella quale si discute di come in passato i protocolli IPSec (L2TP e IKE) siano stati violati dalla NSA stessa. È difficile giungere a delle concrete conclusioni basandosi semplicemente su vaghi riferimenti a questa presentazione, ormai datata. Tuttavia, se il vostro modello di minaccia tipo include una sorveglianza mirata eseguita da sofisticati sistemi a livello statale, dovreste provare a prendere in considerazione un protocollo più sicuro, come ad esempio OpenVPN. Un aspetto positivo dei protocolli IPSec è che tali protocolli sono attualmente ancora considerati sicuri se eseguiti correttamene.
Ora vedremo come IPSec possa essere utilizzato con le VPN quando associato ai protocolli L2TP e IKEv2.
IKEv2/IPSec
Che cos’è IKEv2/IPSec?
IKEv2 è un protocollo di tunneling standardizzato in RFC 7296 ed è l’acronimo di Internet Key Exchange versione 2 (IKEv2). È stato sviluppato grazie ad un progetto che ha visto la collaborazione di Cisco e Microsoft. Per essere utilizzato con le VPN per garantire la massima sicurezza, IKEv2 deve essere associato a IPSec.
La prima versione di IKE (Internet Key Exchange) risale al 1998, mentre la seconda versione è stata rilasciata 7 anni dopo, nel dicembre del 2005. A differenza degli altri protocolli VPN, IKEv2 offre diversi vantaggi in termini di velocità, sicurezza, stabilità, utilizzo della CPU, e capacità di ripristinare una connessione. Questo rende tale protocollo un’ottima scelta per gli utenti mobile, soprattutto per chi ha un dispositivo iOS (Apple) che supporta in modo nativo IKEv2.
Installazione: L’installazione è generalmente semplice e veloce, richiede l’importazione dei file di configurazione, per i server che desiderate usare, dal vostro provider VPN. (Cliccando qui potrete vedere un esempio di installazione con Perfect Privacy.) IKEv2 è supportato in modo nativo da Windows 7, Mac OS 10.11, Blackberry, e iOS (iPhone ed iPad), e da alcuni dispositivi Android. Alcuni sistemi operativi supportano anche una funzione “Sempre ON”, la quale forza tutto il traffico di internet attraverso il tunnel VPN, impedendo pertanto la perdita di qualsivoglia dato.
Crittografia: IKEv2 usa una vasta gamma di algoritmi crittografici, tra cui AES, Blowfish, Camellia, e 3DES.
Sicurezza: Un degli svantaggi di IKEv2/IPSec è il fatto che si tratta di un protocollo proprietario sviluppato da Cisco e da Microsoft (anche se esistono delle versioni open source). Uno degli aspetti positivi invece, è il fatto che IKEv2 è considerato da tutti uno dei protocolli più veloci e sicuri disponibili al momento, il che lo rende uno dei protocolli più utilizzati dagli utenti che utilizzano una VPN.
Prestazioni: In molti casi IKEv2 è più veloce di OpenVPN poiché è meno dispendioso in termini di CPU. Ci sono tuttavia numerosi fattori che possono influire sulla sua velocità, pertanto tale valutazione delle prestazioni non è sempre veritiera, dipende molto dai casi. Parlando sempre di prestazioni ma facendo riferimento agli utenti che utilizzano un dispositivo mobile, IKEv2 potrebbe essere l’opzione migliore grazie alla sua capacità di ristabilire una connessione in modo efficiente.
Porte: IKEv2 utilizza le seguenti porte: la porta UDP 500 per lo scambio di chiavi iniziali e la porta UDP 4500 per l’attraversamento NAT.
Verdetto finale: Consigliato.
L2TP/IPSec
Anche il protocollo Layer 2 Tunneling Protocol (L2TP) associato a IPSec è un popolare protocollo VPN alquanto utilizzato e supportato in modo nativo da diversi sistemi operativi. L2TP/IPSec è standardizzato in RFC 3193 ed offre riservatezza, affidabilità e sicurezza.
Installazione: L’installazione di L2TP/IPSec è in genere facile e veloce. Questo protocollo viene supportato in modo nativo da diversi sistemi operativi, tra cui Windows 2000/XP, Mac OS 10.3, e la maggior parte dei sistemi operativi Android. Proprio come con IKEv2/IPSec, dovrete semplicemente importare i file di configurazione dal vostro provider VPN.
Crittografia: L2TP/IPSec incapsula due volte i dati sfruttando la crittografia del protocollo IPSec standard.
Sicurezza: L2TP/IPSec è in genere considerato sicuro e non presenta problemi particolari o particolarmente rilevanti. Proprio come IKEv2/IPSec, tuttavia, anche L2TP/IPSec è stato sviluppato da Cisco e da Microsoft, e questo può andare ad inficiare sulla fiducia che l’utente può riporre in questo protocollo VPN visti i precedenti.
Prestazioni: Le prestazioni di L2TP/IPSec possono essere molto variabili. Da un lato, la criptazione/decriptazione dei dati avviene nel kernel e supporta anche il multi-threading, il quale dovrebbe migliorare di molto la velocità di trasmissione dei dati. Ma dall’altro, poiché tale protocollo incapsula due volte i dati, potrebbe non essere così veloce come altre opzioni disponibili al momento in termini di protocolli VPN.
Porte: L2TP/IPSEC utilizza la porta UDP 500 per lo scambio di chiavi iniziale, la porta UDP 1701 per la configurazione iniziale del protocollo L2TP e la porta UDP 4500 per l’attraversamento NAT. A causa della sua dipendenza da protocolli e da porte fisse e ben specifiche, è molto più facile da bloccare rispetto a OpenVPN.
Verdetto finale: L2TP/IPSec non è una cattiva scelta, ma se vi è possibile forse dovreste optare per protocolli VPN quali IKEv2/IPSec o OpenVPN.
WireGuard – Un nuovo protocollo VPN sperimentale
WireGuard è un nuovo protocollo VPN sperimentale che punta a fornire prestazioni migliori e maggiore sicurezza rispetto ai protocolli attualmente esistenti.
Come spiegato nella guida ufficiale di WireGuard VPN, questo protocollo presenta alcuni interessanti vantaggi in termini di prestazioni, ma ha anche alcuni notevoli svantaggi. I principali aspetti negativi al momento sono i seguenti:
- WireGuard è ancora in fase di sviluppo ed al momento non è stato sottoposto a degli audit di sicurezza.
- Molti servizi VPN hanno sollevato dubbi ed esposto le loro preoccupazioni inerenti alla capacità di WireGuard di essere utilizzato senza log (svantaggi della privacy).
- Viene utilizzato in modo molto limitato dal settore delle VPN (per il momento almeno).
- Non presenta alcun supporto per le porte TCP.
Installazione: WireGuard non è incluso di default in alcun sistema operativo. Questa situazione sicuramente, nel tempo cambierà, ed il protocollo verrà incluso nel kernel di Linux, Mac OS, e forse anche in qualche sistema operativo mobile. Un numero molto limitato di VPN al momento è in grado di supportare WireGuard – per maggiori informazioni inerenti all’installazione di questo protocollo vi consigliamo di consultare il provider stesso.
Crittografia: WireGuard utilizza Curve25519 per lo scambio di chiavi, ChaCha20 e Poly1305 per l’autenticazione dei dati e BLAKE2s per l’hashing.
Sicurezza: Il principale problema di sicurezza che si può riscontrare con WireGuard è il fatto che tale protocollo non è ancora stato sottoposto a degli audit di sicurezza ed è ancora in fase di sviluppo. Vi sono già alcune VPN che offrono ai loro utenti una prova gratuita da “testare” del protocollo WireGuard, ma dato lo stato del progetto, WireGuard non deve essere utilizzato in situazioni in cui proteggere la privacy e garantire la sicurezza dell’utente sono di fondamentale importanza.
Prestazioni: WireGuard dovrebbe teoricamente offrire delle eccellenti prestazioni in termini di velocità, affidabilità, e consumo di batteria. Potrebbe essere il protocollo ideale per gli utenti che utilizzano dispositivi mobile in quanto consente di passare da un’interfaccia di reta ad un’altra senza compromettere temporaneamente la connessione. Grazie a questo protocollo la riconnessione alla rete dovrebbe avvenire molto più rapidamente di quanto avviene con protocolli quali OpenVPN e IPSec.
Porte: WireGuard usa le porte UDP e può essere configurato su qualsiasi porta. Purtroppo, non presenta alcun supporto per le porte TCP, il che lo rende un protocollo VPN più facile da bloccare.
Verdetto finale: (Al momento) non consigliato, ma continueremo a tenere sotto controllo questo progetto in via di sviluppo.
PPTP – Obsoleto e non sicuro
PPTP è l’acronimo di Point-to-Point Tunneling Protocol ed è uno dei più datati protocolli VPN ancora in uso oggi. Funziona sulla porta TCP 1723 ed è stato originariamente sviluppato da Microsoft.
Essenzialmente, al momento, il protocollo PPTP è obsoleto a causa dei gravi problemi di sicurezza che presenta. Non dedicheremo molto tempo a questo particolare protocollo poiché la maggior parte degli utenti non lo utilizza più.
PPTP è supportato in modo nativo da tutte le versioni di Windows e dalla maggior parte dei sistemi operativi. Sebbene sia relativamente veloce, PPTP non è poi così affidabile e non si ripristina così rapidamente come OpenVPN in caso di perdita di connessione.
Nel complesso, PPTP non dovrebbe essere utilizzato in nessuna situazione in cui sicurezza e privacy sono fondamentali. Se state utilizzando una VPN semplicemente per sbloccare alcuni contenuti, PPTP potrebbe essere una scelta accettabile, ma vi sono molte altre opzioni attualmente disponibili che /potreste prendere in considerazione.
Verdetto finale: Non consigliato
SSTP – Un protocollo VPN per Windows, ma non molto comune
Come PPTP, SSTP non è molto utilizzato nel settore delle VPN, ma a differenza di PPTP, non presenta rilevanti problemi di sicurezza attualmente noti.
SSTP è l’acronimo di Secure Socket Tunneling Protocol ed è un prodotto Microsoft disponibile solo per Windows. Il fatto che si tratti di un prodotto proprietario di Microsoft costituisce un evidente aspetto negativo, anche se SSTP è considerato un protocollo VPN abbastanza sicuro.
SSTP trasporta il traffico di dati attraverso il protocollo SSL (Secure Socket Layer) mediante la porta TCP 443. Questo lo rende un protocollo molto utile da utilizzare in situazioni in cui si hanno restrizioni di rete, come ad esempio quando è necessario ricorrere ad una VPN per la Cina. Esiste anche un supporto per altri sistemi operativi, oltre a Windows, ma non è particolarmente utilizzato.
Poiché SSTP è un protocollo proprietario e rimane interamente di proprietà e sotto la supervisione di Microsoft, vi consigliamo di prendere in considerazione altre opzioni in termini di protocolli VPN. Naturalmente, SSTP potrebbe essere comunque l’opzione migliore se tutti gli altri protocolli vengono bloccati sulla vostra rete.
In termini di prestazioni, SSTP da dei buoni risultati ed è veloce, stabile e sicuro. Purtroppo però pochissimi provider VPN supportano SSTP. Per molti anni ExpressVPN ha supportato senza problemi SSTP nei client Windows, ma oggi tale protocollo non è più supportato da questa VPN.
Verdetto finale: SSTP può essere utile se altri protocolli VPN vengono bloccati, ma senza dubbio OpenVPN (se disponibile) è una scelta migliore. La maggior parte delle VPN non supporta assolutamente SSTP.
OpenVPN UDP vs OpenVPN TCP
Con OpenVPN come protocollo VPN più utilizzato, in genere potrete scegliere tra due varianti: OpenVPN UDP o OpenVPN TCP. Ma quale è la migliore?
Di seguito abbiamo testato NordVPN, il quale dà la possibilità di selezionare il tipo di protocollo che si vuole utilizzare, TCP o UDP che sia.
Ecco una breve panoramica di entrambi i protocolli:
- Protocollo TCP (Transmission Control Protocol): TCP è l’opzione più affidabile delle due, ma presenta alcuni svantaggi in termini di prestazioni. Con il protocollo TCP i pacchetti di dati vengono inviati solo dopo che viene ricevuta conferma che l’ultimo pacchetto inviato sia giunto a destinazione correttamente, rallentando pertanto il processo. Se tale conferma non viene ricevuta, il pacchetto di dati verrà semplicemente re-inviato – questo prende il nome di correzione dell’errore.
- Protocollo UDP (User Datagram Protocol): UDP è l’opzione più veloce tra le due. I pacchetti di dati vengono inviati senza alcuna conferma né di invio né di ricezione, questo contribuisce ad aumentare notevolmente la velocità del processo ma potrebbe anche rivelarsi non poi così affidabile.
Di default, OpenVPN UDP è l’opzione migliore in quanto offre delle prestazioni di livello superiore rispetto a OpenVPN TCP. Se avete dei problemi di connessione, tuttavia, vi consigliamo di passare ad OpenVPN TCP in quanto molto più affidabile.
TCP viene spesso utilizzato per offuscare il traffico VPN in modo tale che somigli al classico traffico di dati HTTPS. Questo può essere fatto utilizzando il protocollo OpenVPN TCP sulla porta 443, con il traffico di dati inviato sfruttando la crittografia TLS. Molti provider VPN offrono varie forme di offuscamento per bypassare i blocchi delle VPN, e la maggior parte di questi utilizza OpenVPN TCP.
Quale è il Miglior protocollo VPN?
Come evidente dalla panoramica che abbiamo fatto inerente ai migliori servizi VPN del momento, non esiste un’unica soluzione che si adatti alle esigenze di tutti. Questo vale per la scelta di un servizio VPN ma anche per la selezione di un protocollo VPN. Il protocollo più adatto a voi dipenderà da alcuni fattori in particolare, differenti a seconda delle situazioni:
- Il dispositivo che state utilizzando – dispositivi differenti supportano protocolli differenti.
- La vostra rete – se vi trovate in una situazione in cui vi sono restrizioni di rete, come ad esempio in Cina o come nel caso delle reti scolastiche o di lavoro, alcuni protocolli potrebbero non riuscire a bypassare tali restrizioni. Alcuni provider VPN offrono protocolli VPN designati per queste situazioni – consultate la guida dei VPN per la Cina per ulteriori informazioni inerenti a questo argomento.
- Le prestazioni – Alcuni protocolli offrono grandi vantaggi in termini di prestazioni, in particolare su dispositivi mobile che si connettono e disconnettono continuamente dalla rete.
- La tipologia di minaccia – Alcuni protocolli hanno difese più deboli e sono meno sicuri rispetto ad altri. Scegliete il miglior protocollo VPN in base alle vostre esigenze di privacy e sicurezza, a seconda della tipologia di minacce che dovete affrontare.
Come regola generale, tuttavia, OpenVPN è senza dubbio il protocollo VPN migliore e più completo disponibile al momento. È sicuro, affidabile, ampiamente utilizzato nel settore delle VPN, ed offre una buona velocità ed un buon livello di affidabilità. Se OpenVPN non è la soluzione ideale in base alle vostre esigenze, provate a prendere in considerazione una delle opzioni alternative di cui vi abbiamo parlato in questo articolo.
Con la maggior parte dei servizi VPN, OpenVPN è generalmente il protocollo VPN di default utilizzato dalle loro app, sebbene L2TP/IPSec e IKEv2/IPSec siano alquanto comuni per i client VPN mobile.
Conclusioni sui protocolli VPN
Questa guida ai protocolli VPN ha lo scopo di offrirvi una panoramica generale dei principali protocolli VPN attualmente in uso: OpenVPN, L2TP/IPSec, IKEv2/IPSec, WireGuard, PPTP, e SSTP.
Per maggiori informazioni su ciascuno di tali protocolli, potrete consultare le schede tecniche dei rispettivi sviluppatori.
Questa guida continuerà ad essere aggiornata con le novità inerenti ai vari protocolli VPN man mano che vi saranno novità e sviluppi in questo ambito.