Cos’è una VPN? Guida completa

Una rete privata virtuale — VPN — è un servizio che instrada il traffico internet di un dispositivo attraverso un tunnel cifrato verso un server gestito dal provider. Questa guida spiega come funziona una VPN a livello tecnico, cosa può e cosa non può fare per la privacy e la sicurezza, e come valutare le opzioni disponibili.

Cosa fa davvero una VPN

Un’app VPN crea un tunnel di rete tra il dispositivo dell’utente e un server remoto. Tutto il traffico diretto a internet che parte dal dispositivo viene incapsulato, cifrato e inviato attraverso questo tunnel al server, che poi inoltra il traffico verso la sua destinazione sulla rete internet pubblica. Il traffico di ritorno segue il percorso inverso.

Da questo schema derivano due cambiamenti concreti. Primo, le reti tra il dispositivo e il server VPN — incluso il Wi-Fi locale, il provider di accesso a internet e qualsiasi rete di transito — vedono soltanto traffico cifrato tra il dispositivo e il server VPN. Secondo, la rete internet pubblica vede richieste provenienti dall’indirizzo IP del server VPN anziché dall’indirizzo reale del dispositivo.

Una VPN, quindi, cambia chi può osservare il traffico e quale indirizzo è visibile ai servizi remoti. Non rende, di per sé, una connessione anonima, né elimina ogni forma di tracciamento.

Come funziona una VPN

Il meccanismo di base è l’incapsulamento combinato con la crittografia. Quando il client VPN è attivo, il sistema operativo instrada i pacchetti in uscita attraverso un’interfaccia di rete virtuale creata dall’app VPN. Ogni pacchetto viene avvolto dentro un nuovo pacchetto — incapsulato — e cifrato con una chiave di sessione negoziata al momento della connessione.

Tunneling

L’incapsulamento significa che il pacchetto originale — incluso il suo indirizzo di destinazione e il contenuto — diventa il contenuto di un pacchetto esterno indirizzato al server VPN. Il pacchetto esterno viaggia sulla rete internet pubblica fino al server, che decifra il contenuto e inoltra il pacchetto originale verso la sua destinazione.

Crittografia

I protocolli VPN moderni usano algoritmi di crittografia autenticata come ChaCha20-Poly1305 o AES-GCM. Le chiavi di sessione vengono negoziate al momento della connessione tramite protocolli di scambio di chiavi basati sulla crittografia a chiave pubblica. Questo garantisce che un osservatore nel mezzo della connessione non possa leggere il traffico incapsulato né modificarlo senza che venga rilevato.

Instradamento e DNS

Oltre alla crittografia, l’app VPN riconfigura anche la tabella di instradamento del sistema operativo in modo che tutto il traffico — o, in alcune configurazioni, solo destinazioni specifiche — venga inviato attraverso il tunnel. Anche le richieste DNS vengono di norma instradate attraverso la VPN per evitare fughe verso la rete locale.

Usi più comuni

Le VPN servono a diversi scopi distinti, e la configurazione più adatta del provider dipende da quale di questi è la motivazione principale.

• Privacy rispetto alle reti locali.Le connessioni Wi-Fi pubblico — bar, hotel, aeroporti — possono esporre il traffico non cifrato agli altri utenti della stessa rete. Una VPN elimina questa esposizione perché il traffico viene cifrato prima di lasciare il dispositivo.
• Privacy rispetto ai provider di accesso a internet. I provider possono osservare le destinazioni delle richieste DNS non cifrate e i metadati delle connessioni TLS. Una VPN sposta questa visibilità dal provider al fornitore della VPN.
• Scelta della posizione geografica. Alcuni servizi limitano l’accesso in base all’indirizzo IP dell’utente. Una VPN permette all’utente di apparire come se si stesse connettendo dal paese in cui si trova il server VPN.
• Accesso alla rete per le organizzazioni. Le VPN aziendali vengono usate per consentire ai lavoratori da remoto di raggiungere servizi interni privati che non sono esposti alla rete internet pubblica.

I protocolli nelle VPN moderne

Il protocollo determina come viene stabilito il tunnel, quali algoritmi crittografici vengono usati e come si comporta la connessione in caso di perdita di pacchetti o di cambi di rete. I protocolli che si incontrano più spesso nei servizi VPN di consumo sono WireGuard, OpenVPN e IKEv2/IPsec.

WireGuard è il più recente dei tre. Usa un piccolo insieme di primitive crittografiche moderne, sta in circa quattromila righe di codice ed è integrato nel kernel Linux oltre che nella maggior parte dei sistemi operativi di consumo. Il suo progetto privilegia semplicità, prestazioni e una superficie di verifica ridotta.

OpenVPN è più vecchio e molto più flessibile: supporta numerose suite di cifratura, tipi di trasporto e opzioni di configurazione. La flessibilità ha il prezzo della complessità. OpenVPN resta ampiamente diffuso, in particolare negli ambienti aziendali.

IKEv2/IPsec è integrato in iOS, macOS e Windows. Si comporta bene sui dispositivi mobili e gestisce con eleganza i cambi di rete — per esempio, il passaggio tra Wi-Fi e rete cellulare.

Un confronto dettagliato dei due protocolli di consumo più comuni è disponibile nel nostro confronto tra WireGuard e OpenVPN.

VPN, proxy e Tor a confronto

Le VPN vengono talvolta confuse con i proxy e con la rete Tor. I meccanismi e i modelli di minaccia sono diversi.

Un server proxy inoltra il traffico di una specifica applicazione — più spesso HTTP — verso una destinazione per conto dell’utente. I proxy di norma non cifrano il traffico da soli e operano a livello applicativo anziché a livello di rete.

Tor è una rete per l’anonimato che instrada il traffico attraverso tre relay scelti da un insieme gestito da volontari, cifrando ogni passaggio separatamente. Tor offre anonimato rispetto alla rete — nessun singolo relay può osservare sia l’origine sia la destinazione — ma è più lento di una VPN ed è inadatto ad attività ad alta velocità.

Una VPN offre crittografia rispetto alla rete locale e cambia l’indirizzo IP osservabile, ma sposta la fiducia sul fornitore della VPN, che vede l’indirizzo reale dell’utente e le destinazioni che l’utente raggiunge.

Limiti da conoscere

Una VPN è un componente di un assetto di privacy più ampio e non dovrebbe essere trattata come una soluzione completa. Valgono diversi limiti importanti.

Il fornitore della VPN è un nuovo punto di fiducia. Là dove prima il provider aveva visibilità sulle connessioni, ora il fornitore della VPN ha una visibilità equivalente. La credibilità della sua politica senza log e del progetto della sua infrastruttura diventa quindi importante. La nostra guida alle politiche VPN senza log spiega cosa significano davvero queste dichiarazioni.

La sicurezza del dispositivo non cambia. Una VPN non protegge dal malware in esecuzione sul dispositivo, dagli attacchi di phishing, dalle estensioni del browser compromesse o dal tracciamento da parte di applicazioni a cui è già stato concesso l’accesso ai dati dell’utente.

Il tracciamento a livello di sito web continua. Una VPN cambia l’indirizzo IP visibile ai servizi remoti ma non influisce sui cookie, sulle impronte digitali del browser o sugli account a cui l’utente ha effettuato l’accesso.

Come scegliere un provider

Quando valuti i servizi VPN, vale la pena esaminare diversi fattori.

• Supporto dei protocolli. I provider moderni dovrebbero supportare WireGuard o IKEv2/IPsec. OpenVPN resta una scelta ragionevole per la compatibilità.
• Politica sulla privacy e storico delle verifiche.Una politica sulla privacy breve e specifica, con risultati di verifiche indipendenti, è più credibile di un testo pubblicitario che promette una «crittografia di livello militare» senza ulteriori dettagli.
• Requisiti di account. I servizi che funzionano senza account utente conservano meno dati e riducono la quantità di informazioni che potrebbero essere esposte in caso di violazione.
• Implementazione del kill switch. Un kill switch funzionante impedisce l’esposizione del traffico se il tunnel si disconnette. La nostra panoramica sui kill switch delle VPN spiega come verificare che ne funzioni uno correttamente.
• Giurisdizione. Il paese in cui il provider è costituito incide sul regime giuridico sotto il quale opera.

Snap VPN è costruita attorno a diversi di questi principi: un solo protocollo, nessun account utente, un kill switch attivo per impostazione predefinita e una rete di server selezionata su tre regioni anziché decine di posizioni poco utilizzate. I passaggi di configurazione dettagliati sono documentati nella guida alla configurazione su iPhone.