GH GambleHub

Tunnel VPN e crittografia dei canali

Breve riepilogo

VPN (Virtual Private Network) è un insieme di tecnologie che consentono di creare un canale protetto sopra una rete non sicura (in genere Internet). Gli obiettivi principali sono privacy (crittografia), integrità (autenticazione dei messaggi), autenticità (autenticazione reciproca dei siti/utenti) e disponibilità (resistenza ai guasti e blocchi). Nell'infrastruttura aziendale, VPN chiude gli script site-to-site, l'accesso remoto, la connettività tra le pagelle e il servizio-a-servizio (machine-to-machine). La pratica moderna è ridurre al minimo le reti L3 piatte e applicare segmentazione, il principio dei privilegi minimi e la graduale transizione verso Zero Trust.

Concetti di base

Tunnel - Incapsulare i pacchetti di un protocollo su un altro (ad esempio, IP all'interno dell'UDP), in modo da poter «passare» il piano di indirizzo privato e le regole attraverso la rete pubblica.
Crittografia - Protezione del contenuto del traffico (AES-GCM, ChaCha20-Poly1305).
Autenticazione - Autenticazione host/utenti (certificati X.509, PSK, chiavi SSH).
Integrità - Protezione da sostituzione (HMAC, AEAD).
PFS (Perfect Forward Secrecy) - Le chiavi di sessione non vengono recuperate a lungo termine. compromettere una chiave a lungo termine non svela le sessioni precedenti.

Script tipici

1. Site-to-Site (L3): ufficio, data center/cloud Normalmente IPsec/IKEv2, router statico o dinamico.
2. Remote Access (User-to-Site): dipendenti con notebook/mobile OpenVPN/WireGuard/IKEv2, MFA, split/full-tunnel.
3. Hub-and-Spoke: tutte le filiali al hub centrale (on-prem o Cloud Transit).
4. Mesh: rete di filiali/microdatasenti a metà connessione (instradamento dinamico + IPsec).
5. Cloud-to-Cloud - Canali a due punte (tunnel IPSEC, Cloud VPN/Transit Gateway, SD-WAN).
6. Servizio-to-Service: connessioni tra cluster/neimspace (WireGuard, IPsec in CNI/SD-WAN, mTLS a livello di servizio).

Protocolli VPN e dove sono forti

IPsec (SP/IKEv2) - «golden standard» Site-to-Site

Livelli: IKEv2 (scambio chiavi), SP (crittografia/autenticazione del traffico).
Modalità: tunnel (di solito), trasporto (raramente, host a host).
I vantaggi sono offload hardware, maturità, compatibilità intervendore, ideale per autostrade e passerelle cloud.
Contro: complessità di configurazione, sensibilità a NAT (deciso da NAT-T/UDP-4500), più «rituali» quando le regole vengono negoziate.
Utilizzo: filiali, data center, cloud, requisiti di prestazioni elevati.

OpenVPN (TLS 1. 2/1. 3)

Livelli: L4/L7, traffico sopra UDP/TCP; Spesso un diagramma DTLS simile per UDP.
I vantaggi: flessibile, ben gestito da NAT e DPI con capacità di occultamento (tcp/443), ricco ecosistema.
Contro: Costi generali superiori a quelli del IPsec/WireGuard; Mi serve una corretta criptocompromozione.
Utilizzo: accesso remoto, ambienti misti, quando la punibilità della rete è importante.

WireGuard (NoiseIK)

Livelli: L3 sopra UDP; Base di codici minimalisti, cryptopprimenti moderni (Curve25519, ChaCha20-Poly1305).
Vantaggi: prestazioni elevate (soprattutto su mobile/ARM), facilità di configurazione, roaming rapido.
Contro: nessun PKI incorporato; la gestione delle chiavi/identità richiede processi intorno.
Utilizzo: accesso remoto, connettività interclastica, S2S nella stack moderna, DevOps.

tunnel SSH (L7)

Типы: Local/Remote/Dynamic (SOCKS).
I vantaggi sono uno strumento tascabile per l'accesso a punti/adattamento.
Contro - Non scalabile come VPN di chassis, gestione delle chiavi e controllo più complicato.
Utilizzo: accesso ai servizi a punti, periscopio a rete chiusa, jump-host.

GRE/L2TP/… (incapsulazione senza crittografia)

Destinazione: crea un tunnel L2/L3, ma non crittografa. Di solito viene combinato con IPsec (L2TP over IPsec/GRE over IPsec).
Utilizzo: rari casi in cui è necessaria la natura L2 del canale (vecchi protocolli/VLAN isolati sopra L3).

Crittografia e impostazioni

Codici: AES-GCM-128/256 (accelerazione hardware, AES-NI), ChaCha20-Poly1305 (mobile/senza AES-NI).
KEH/gruppi: ECCH (Curve25519, secp256r1), Gruppo H 2048; attivare PFS.
Etichette/PKI: ECDSA/Ed25519 preferibilmente; automatizzare il rilascio/rotazione, utilizzare OCSP/CRL.
Tempo di vita delle chiavi: IKE SA/Child SA brevi, rekey regolari (ad esempio 8-24 ore, per traffico/ora).
MFA per VPN personalizzati.

Prestazioni e affidabilità

MTU/MSS: corretta configurazione del PMTU (solitamente 1380-1420 per tunnel UDP); MSS-clamp sui nodi di confine.
DPD/MOBIKE/Keepalive: rilevamento rapido dei piatti caduti, roaming continuo (IKEv2 MOBIKE, ).
Routing: ECMP/Multipath, BGP sopra i tunnel per altoparlanti.
Offload: cryptoaxeleratori hardware, SmartNIC/DPU, kernel Linux (xfrm, WireGuard kernel).
L'interruzione dei blocchi è il cambio di porta/trasporto, la chiusura della stretta di mano (se legalmente accettabile).
QoS: classificazione e priorità del traffico, controllo del jitter per i flussi real-time.

Topologia e progettazione

Full-tunnel vs Split-tunnel:
  • Full: tutto il traffico VPN (controllo/sicurezza superiore, carico maggiore).
  • Split: solo i sottoinsiemi necessari (risparmio, meno ritardi, requisiti di protezione più elevati per i canali di bypass).
  • Segmentazione: singoli tunnel/VRF/criteri per ambienti (Prod/Stage), domini dati (PII/financial), fornitori.
  • Cloud: Cloud VPN/Transit Gateways (AWS/GCP/Azure), IPsec S2S, routing tramite transito hab centralizzato.
  • SD-WAN/SASE: overlay con scelta automatica del canale, telemetria integrata e regole di sicurezza.

Protezione del canale e dell'ambiente

Firewall/ACL: allow-lists espliciti per porte/subnet, deny predefinito.
Protezione DNS: DNS aziendale forzato attraverso il tunnel, protezione contro le perdite (IPv6, WebRTC).
Criteri client: kill-switch (blocco di traffico in caso di caduta del tunnel), disattivazione split-DNS quando si richiede la compilazione.
Logi e controllo: centralizza i registri di strette di mano, autenticazione, rekey rifiutati da SA.
Segreti: HSM/KMS venditore, rotazione, minimizzazione PSK (preferibilmente certificati o chiavi WG).
Dispositivi: controllo di conformità (OS, patch, crittografia su disco, EDR), NAC/MDM.

Osservabilità, SLO/SLA e alerting

Metriche chiave:
  • Disponibilità tunnel (% farmacia).
  • Latency, jitter, packet loss lungo percorsi chiave.
  • Larghezza di banda (p95/p99), CPU/IRQ dei crittonodi.
  • Frequenza rekey/eventi DPD, errori di autenticazione.
  • Errori di frammentazione/PMTU.
Esempi SLO:
  • Disponibilità dell'hub VPN 99. Il 95% nel
  • «p95 ritardi tra DC-A e DC-B».
  • «< 0. 1% IKE SA non completato all'ora".
Alarma:
  • Tunnel Down> X secondi; picco DPD; Crescita degli errori handshake; degrado p95> soglia; errori CRL/OCSP.

Operazioni e ciclo di vita

PKI/certificati: rilascio automatico/aggiornamento, TTL brevi, revoca immediatamente al momento della compromissione.
Rotazione delle chiavi: regolare, con conversione graduale dei piatti.
Modifiche: i piani di ripiegamento (vecchio/nuovo SA parallelo), le finestre di manutenzione.
Break-glass - Insegne/chiavi, accesso manuale documentato tramite jump-host.
Incidenti: in caso di sospetto compromissione - ritiro dei certificati, rotazione PSK, forza-rekey, cambio di porta/indirizzo, controllo dei logi.

Conformità e aspetti legali

GDPR/PII: crittografia in transito obbligatoria, riduzione dell'accesso, segmentazione.
PCI DSS: codici forti, MFA, registri di accesso, segmentazione cardholder zone.
Limitazioni locali del traffico/criptosredit: conformi ai requisiti giurisdizionali (esportazione di cripto, DPI, blocco).
Registri - Memorizzazione secondo le regole (Retensh, Integrità, Accesso).

Zero Trust, SDP/ZTNA vs classico VPN

VPN classico: fornisce accesso alla rete (spesso ampio).
ZTNA/SDP: consente di accedere a un'applicazione/servizio specifica dopo la verifica contestuale (identità, stato del dispositivo, rischio).
Modello ibrido: lasciare la VPN per le autostrade/S2S e per gli utenti le piastrelle ZTNA per le applicazioni necessarie; eliminare gradualmente i set piatti.

Come selezionare un protocollo (matrice breve)

Tra filiali/nuvole: IPsec/IKEv2.
Accesso remoto agli utenti: WireGuard (se si desidera un client facile e rapido) o OpenVPN/IKEv2 (se si desidera un PKI/policy maturo).
Elevata «perforabilità» tramite proxy/DPI: OpenVPN-TCP/443 (con sovrapposizione) o riversamento (se consentito).
Mobile/roaming: WireGuard o IKEv2 MOBIKE.
L2 sopra L3: GRE/L2TP con IPsec (crittografia obbligatoria).

Assegno foglio di implementazione

1. Specifica i domini di accesso (Prod/Stage/Back-office) e il principio dei privilegi minimi.
2. Seleziona protocollo/topologia (hub-and-spoke vs mesh), pianifica indirizzi e routing.
3. Approva crittoprofile (AES-GCM/ChaCha20, ECCH, PFS, TTL brevi).
4. Configura PKI, MFA, regole di scadenza e recensioni.
5. Configura MTU/MSS, DPD/MOBIKE, keepalive.
6. Attivare registrazioni, dashboard, metriche SLO e alert.
7. Eseguire test di carico/feelover (caduta dell'hub, rekey-burst, cambio liner).
8. Documentare break-glass e la procedura di rotazione.
9. Effettua un programma di apprendimento per gli utenti (clienti, regole).
10. Rivedere regolarmente le disponibilità e i report di verifica.

Errori frequenti e come evitarli

L2TP/GRE senza IPsec: nessuna crittografia → aggiungi sempre IPsec.
MTU errato: frammentazione/drop → configura MSS-clamp, controlla PMTU.
PSK «per sempre»: chiavi di rotazione obsolete, passaggio ai certificati/Ed25519.
Ampie reti nello split-tunnel: fughe di traffico, percorsi/regole chiari, DNS solo tramite VPN.
Un unico «super-hab» senza riserva: SPOF asset-asset, ECMP, diverse regioni.
Nessun monitoraggio delle strette di mano, cadute mute di DPD/alarms/board.

Esempi di configurazione

WireGuard (Linux) — `wg0. conf`

ini
[Interface]
Address = 10. 20. 0. 1/24
PrivateKey = <server_private_key>
ListenPort = 51820

Client 1
[Peer]
PublicKey = <client1_public_key>
AllowedIPs = 10. 20. 0. 10/32
PersistentKeepalive = 25
Client: 
ini
[Interface]
Address = 10. 20. 0. 10/32
PrivateKey = <client_private_key>
DNS = 10. 20. 0. 2

[Peer]
PublicKey = <server_public_key>
Endpoint = vpn. example. com:51820
AllowedIPs = 10. 20. 0. 0/24, 10. 10. 0. 0/16
PersistentKeepalive = 25

strongSwan (IPsec/IKEv2) — `ipsec. conf`

conf config setup uniqueids=never

conn s2s keyexchange=ikev2 ike=aes256gcm16-prfsha384-ecp256!
esp=aes256gcm16-ecp256!
left=%any leftid=@siteA leftsubnet=10. 1. 0. 0/16 right=vpn. remote. example rightsubnet=10. 2. 0. 0/16 dpdaction=restart dpddelay=30s rekey=yes auto=start
`ipsec. secrets`: 
conf
: RSA siteA. key

OpenVPN (UDP, TLS 1. 3) — `server. conf`

conf port 1194 proto udp dev tun tls-version-min 1. 3 cipher AES-256-GCM data-ciphers AES-256-GCM:CHACHA20-POLY1305 auth SHA256 user nobody group nogroup topology subnet server 10. 30. 0. 0 255. 255. 255. 0 push "redirect-gateway def1"
push "dhcp-option DNS 10. 30. 0. 2"
keepalive 10 60 persist-key persist-tun verb 3

Pratica per piattaforme iGaming/Fintech

Segmentazione: tunnel separati per integrazioni di pagamento, back office, provider di contenuti, antifrode; isolare i domini PII/di pagamento.
Regole di accesso rigide: machine-to-machine per porte/subnet specifiche (allow-list per PSP, regolatori).
Osservabilità: p95 Time-to-Wallet può degradarsi a causa di incidenti VPN - monitora la connettività alle banche PSP critiche.
Compilazione: memorizzare i loghi di accesso e di autenticazione, implementare MFA, i pentesti di canale regolari.

FAQ

È possibile fare full-mesh tra tutte le filiali?
Solo se ci sono automazione e instradamento dinamico; Altrimenti c'è un aumento della complessità. Spesso più vantaggioso hub-and-spoke + eccezioni locali.

È necessario crittografare il traffico interno tra le nuvole?
Sì, sì. Backend pubblici e autostrade interregionali richiedono ACL IPsec/WireGuard e rigorose.

Cosa c'è di più veloce, AES-GCM o ChaCha20-Poly1305?
x86 con AES-NI - AES-GCM; gli ARM/cellulari vincono spesso il ChaCha20-Poly1305.

Quando si passa alla ZTNA?
Quando l'accesso alla rete tramite VPN è diventato «ampio» e le applicazioni possono essere pubblicate in modo personalizzato con l'autenticazione e la convalida contestuali dei dispositivi.

Totale

Un'architettura VPN affidabile non è solo protocollo e porta. Si tratta di crittoprofile PFS, segmentazione elaborata, osservabilità con SLO rigido, disciplina PKI/rotazioni e transizione controllata a ZTNA dove l'accesso alla rete è ridondante. Seguendo lo scontrino e la matrice di scelta sopra, si costruirà una connettività sostenibile e controllabile per i sistemi distribuiti moderni.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.