VPN da sito a sito: tipi, requisiti e configurazione

Cos’è una VPN da sito a sito?

Una rete privata virtuale (VPN) da sito a sito è una connessione VPN sicura tra due o più reti separate. Invece di proteggere i singoli dispositivi, protegge la comunicazione tra intere reti locali (LAN), come nel caso di una rete aziendale con più uffici o di una rete di filiali.

Questo tipo di VPN funziona come una rete geografica (WAN), consentendo ai team dislocati in sedi diverse di accedere a risorse condivise come se fossero sulla stessa rete locale. A differenza di altri tipi di WAN, tuttavia, una VPN da sito a sito crea un tunnel VPN sicuro tra più LAN. Per questo viene comunemente utilizzata per:

• Collegare sedi aziendali geograficamente distanti.
• Collegamenti sicuri tra infrastrutture on-premise (uffici, sedi, CED aziendale)e data center remoti.
• Consentire una comunicazione sicura tra le aziende partner.

Una VPN ad accesso remoto viene utilizzata per stabilire una connessione tra singoli utenti e una rete centrale (si pensi a un dipendente che accede alle risorse aziendali da casa). Le VPN da sito a sito, invece, forniscono una connessione crittografata tra intere reti. La prima protegge un collegamento dispositivo-rete, la seconda un bridge rete-rete.

Come funziona una connessione VPN da sito a sito?

Prima di addentrarci in una spiegazione più tecnica, vogliamo mostrarti in modo più sintetico e semplice come funziona una VPN da sito a sito in 4 passaggi:

1. 1.Creazione del tunnel crittografato: la VPN “sito a sito” stabilisce un “tunnel” sicuro tra i due siti, ad esempio quello della sede centrale e di una sua filiale, permettendo di far passare i dati come se fossero su una rete privata, pur viaggiando su internet.
2. 2.Crittografia del traffico: tutte le informazioni che attraversano il tunnel vengono crittografate, così da risultare illeggibili a chiunque tenti di intercettarle.
3. 3.Autenticazione reciproca: prima di scambiare dati, i dispositivi alle due estremità si identificano e si autenticano, garantendo che la connessione avvenga solo tra soggetti autorizzati.
4. 4.Instradamento sicuro dei dati: una volta stabilito il collegamento, il traffico destinato alla sede remota viene instradato automaticamente nel tunnel, come se i due siti fossero collegati fisicamente dalla stessa rete.

Più nello specifico, ogni rete ha un gateway (solitamente un router o un firewall con funzionalità VPN) che gestisce la crittografia e la decrittografia del traffico. Questi gateway instradano i dati tra i siti utilizzando regole predefinite, in modo che i dispositivi di una rete possano comunicare con quelli dell'altra come se si trovassero nello stesso edificio.

IPsec è il protocollo VPN più comunemente utilizzato a questo scopo. Gestisce la crittografia e l'autenticazione, spesso abbinato a L2TP o GRE per il tunneling. Il protocollo GRE non fornisce di per sé alcuna crittografia: si limita a creare il tunnel per incapsulare il traffico. Per garantire la sicurezza dei dati, viene quindi spesso abbinato a IPsec. In scenari più flessibili o personalizzati, è possibile incontrare anche configurazioni basate su OpenVPN.

Requisiti di una VPN da sito a sito

Per configurare una VPN da sito a sito, avrai bisogno di:

• Router o firewall compatibili con VPN in ogni sede. L'hardware deve supportare IPsec o protocolli simili.
• Indirizzi IP pubblici per ciascun gateway. È in questo modo che i due dispositivi possono trovarsi e stabilire la connessione VPN.
• Un protocollo VPN condiviso. La maggior parte delle configurazioni utilizza IPsec per la crittografia e l'autenticazione.
• Pianificazione degli indirizzi di rete. Evitare la sovrapposizione di subnet tra i siti per semplificare il routing.
• Accesso amministratore al router e al firewall di ciascuna rete. Sarà necessario configurare le impostazioni del tunnel su entrambi i lati.
• Connessioni internet affidabili in ogni sito. L'intera configurazione dipende dalla stabilità della connettività.

Quali sono i tipi di VPN “sito a sito”?

Esistono 2 tipi principali di VPN da sito a sito, le VPN da sito a sito basate su intranet e quelle basate su extranet:

1. 1.Le VPN “sito a sito” basate su intranet collegano più uffici o filiali all'interno della stessa organizzazione. Ad esempio, una catena di negozi al dettaglio può collegare tutti i suoi negozi alla sede centrale per creare una rete interna unificata. Tutto funziona sulla rete internet pubblica, ma la connessione è privata e sicura.
2. 2.Le VPN “sita a sito” basate su extranet vengono utilizzate tra organizzazioni separate, come fornitori, partner o clienti. Una VPN basata su extranet consente l'accesso controllato a parti specifiche della rete senza dover fornire un accesso completo alle risorse.

Per configurazioni più grandi, alcune aziende scelgono una VPN MPLS, un'alternativa privata e gestita in grado di gestire un routing più complesso.

Qual è la differenza tra una VPN da sito a sito e una VPN di accesso remoto?

Esistono differenze sostanziali tra una VPN da sito a sito e una VPN di accesso remoto.

Una VPN “sito a sito”, lo abbiamo detto, collega in modo sicuro due o più reti (ad esempio sedi aziendali), facendo sembrare che facciano parte della stessa infrastruttura. Il tunnel crittografato si estende tra i gateway di ogni sito, quindi gli utenti non hanno bisogno di installare un client sul proprio dispositivo per inviare o ricevere dati tramite il gateway VPN.

Una VPN di accesso remoto, invece, serve a connettere singoli utenti o dispositivi a una rete aziendale ovunque si trovino. In questo caso si utilizza un modello client/server: il client, installato sul dispositivo dell’utente, instrada l’attività online attraverso un server e crittografa i dati durante il trasferimento. Sebbene sia spesso utilizzata in ambito privato per migliorare privacy e proteggersi dagli attacchi man-in-the-middle, le aziende più grandi la impiegano per permettere ai dipendenti di accedere in sicurezza a server aziendali e risorse di rete specifiche.

Molte aziende combinano entrambe le soluzioni, sfruttando le VPN da sito a sito per collegare sedi remote e le VPN di accesso remoto per consentire ai singoli utenti di connettersi da qualsiasi luogo.

Qual è la differenza tra una VPN da sito a sito e una VPN da punto a sito?

Le VPN da sito a sito collegano intere reti e sono ideali per le aziende con più sedi che necessitano di un collegamento costante e sicuro tra le sedi. Fungono da ponte tra le sedi, consentendo ai team di condividere risorse come se fossero sulla stessa rete locale.

Le VPN da punto a sito, invece, sono pensate per i singoli utenti. Consentono ai dipendenti remoti di connettersi in modo sicuro alla rete aziendale da qualsiasi luogo si trovino: da casa, da un bar o in viaggio. Sono flessibili, incentrate sull'utente e perfette per le aziende con una forza lavoro distribuita.

Come creare un tunnel VPN da sito a sito

Ora vediamo quali sono i passaggi per configurare un tunnel VPN da sito a sito:

1. 1.Scegliere router o firewall abilitati alla VPN in ciascun sito.
2. 2.Configurazione dei dispositivi con:

• Indirizzi IP pubblici statici in modo che i gateway possano localizzarsi reciprocamente.
• Protocollo VPN selezionato (IPsec è il più comune).
• Impostazioni di crittografia corrispondenti su entrambi i dispositivi.

3. Definizione delle subnet: specificare le reti locali e remote per indicare a ciascun gateway quale traffico instradare attraverso il tunnel.

4. Autenticazione: configurare l’autenticazione tramite chiave precondivisa o certificato digitale.

5. Apertura delle porte firewall: verificare che le porte necessarie siano aperte (per IPsec, tipicamente UDP 500 e 4500).

6. Test: controllare che il tunnel sia attivo, che il traffico sia crittografato e che il routing funzioni correttamente.

Come configurare una VPN da sito a sito

Per configurare una VPN da sito a sito, è necessario accedere a un router o firewall abilitato per VPN in ogni sito. Segui questi passaggi per configurarlo:

1. 1.Accedi all'interfaccia di amministrazione del router o del firewall.
2. 2.Vai alla sezione VPN e seleziona VPN "sito a sito" o "IPsec".
3. 3.Imposta la subnet locale (la tua rete interna) e l'IP pubblico del peer remoto.
4. 4.Accedi alla subnet remota (la rete interna dell'altro sito).
5. 5.Scegli le impostazioni di crittografia e autenticazione (come AES o SHA).
6. 6.Inserisci una chiave precondivisa o carica certificati digitali.
7. 7.Abilita l'attraversamento NAT se necessario (dipende dalla configurazione della rete).
8. 8.Salva e attiva le impostazioni.
9. 9.Ripeti la configurazione sul dispositivo remoto.
10. 10.Testa la connessione per confermare che il tunnel funzioni.

Quali sono le best practice per configurare una VPN da sito a sito?

Costruire un tunnel VPN è solo il primo passo: mantenerlo sicuro e stabile richiede attenzione. Ecco alcune buone pratiche:

• Usare crittografia robusta: ad esempio AES-256 con IPsec, per proteggere i dati in transito.
• Aggiornare regolarmente il firmware di tutti i dispositivi VPN, per correggere vulnerabilità.
• Limitare l’accesso tramite regole del firewall, autorizzando solo il traffico necessario.
• Monitorare i registri e impostare avvisi per rilevare traffico insolito o potenziali intrusioni.
• Abilitare le configurazioni di failover se è richiesta elevata disponibilità, per mantenere il tunnel attivo anche in caso di guasti.

Quale hardware è necessario per una VPN da sito a sito?

Gestire una VPN da sito a sito non richiede attrezzature aziendali particolarmente complesse, ma è fondamentale avere gli strumenti giusti:

• Router o firewall compatibili con VPN “sito a sito”, ad esempio con supporto IPsec.
• Router Dual-WAN se si desidera ridondanza internet o bilanciamento del carico.
• Concentratori VPN per gestire più tunnel in reti di grandi dimensioni.
• Modem affidabile per garantire una connessione internet stabile in ogni sede.

È, inoltre, importante che l’hardware abbia potenza di elaborazione sufficiente per gestire la crittografia senza compromettere le prestazioni della rete.

Quali sono i vantaggi di una VPN da sito a sito?

I vantaggi delle VPN da sito a sito per le aziende che le utilizzano e, di conseguenza, anche per i loro dipendenti, sono diversi, ecco i principali:

• Maggiore sicurezza dei dati. Una VPN da sito a sito crittografa i dati trasferiti tra utenti o sedi diverse. Ciò significa che se malintenzionati intercettano i dati durante il transito tra siti, questi saranno visibili solo come codice indecifrabile, senza la chiave di decrittazione appropriata.

• Accessibilità e condivisione delle risorse. Una VPN da sito a sito consente ai dipendenti in tutto il mondo di comunicare, condividere risorse e accedere in modo sicuro ai dati sensibili. È un ottimo modo per mantenere la sinergia tra una forza lavoro distribuita.

• Gestione centralizzata. I tunnel tra sedi possono essere gestiti dai gateway principali, semplificando amministrazione e monitoraggio della rete.

• Riduzione dei costi. Rispetto alla creazione di una rete dedicata, una VPN da sito a sito utilizza la rete internet esistente, abbattendo i costi di connettività tra sedi.

Quali sono i limiti delle VPN “sito a sito”?

Naturalmente, anche le VPN da sito a sito presentando delle criticità da tenere a mente se si sceglie di utilizzarle. Questi sono alcuni dei limiti:

• Non adatte al lavoro da remoto. Poiché ogni dispositivo deve passare attraverso la rete locale della sede, queste VPN non sono adatte agli utenti che lavorano da remoto, che non hanno accesso diretto a un gateway VPN aziendale.

• Sicurezza e privacy limitate. Una VPN da sito a sito crittografa i dati solo durante il trasferimento tra i gateway; all’interno delle LAN, le informazioni, una volta decrittografate, possono comunque essere vulnerabili.

• Limitazioni di routing. Una VPN da sito a sito può avere un numero massimo di percorsi di rete che può comunicare tra i gateway (soprattutto per gateway virtuali o transit gateway utilizzati in cloud o grandi reti). Se si supera questo limite, alcune reti o subnet potrebbero non essere raggiungibili, riducendo la scalabilità e complicando la gestione del traffico tra le sedi.

• Visibilità frammentata. Poiché ogni tunnel VPN “sito a sito” è indipendente, diventa difficile avere una visibilità completa del traffico di rete aziendale. Questo può rendere più complicato individuare e reagire rapidamente ad attacchi distribuiti sulla WAN.

Perché utilizzare una VPN da sito a sito per la comunicazione B2B?

Dovresti utilizzare una VPN da sito a sito per la comunicazione B2B perché offre numerosi vantaggi, tra cui:

• Sicurezza. Tutto il traffico tra le reti è crittografato, riducendo l'esposizione alle minacce.

• Controllo. Decidi esattamente a quali parti della tua rete i partner o i collaboratori possono accedere.

• Efficienza dei costi. Elimina la necessità di costose linee o circuiti dedicati.

• Praticità. Fa sì che l'accesso esterno sembri avvenire all'interno della propria rete.

In che modo le reti aziendali traggono vantaggio dalle VPN da sito a sito?

Le VPN “sito a sito” permettono alle aziende di funzionare come un’unica rete, indipendentemente dal numero di sedi. Alcuni esempi di utilizzo:

• Condivisione sicura dei dati tra uffici o filiali in diverse località.
• Backup centralizzati dai vari uffici verso la sede principale.
• Accesso alle applicazioni interne (CRM, ERP, ecc.) in tutte le sedi.
• Condivisione di database e strumenti comuni tra i siti aziendali.
• Implementazione di politiche di sicurezza uniformi in tutte le filiali e sedi.
• Flessibilità ibrida, combinando VPN da sito a sito per le reti aziendali e VPN di accesso remoto per i dipendenti da remoto o sul campo.

Una VPN da sito a sito è migliore di una VPN basata sul web?

Per rispondere a questa domanda, te ne facciamo un’altra: “Cosa ti serve?”. La scelta dell’una o dell’altra dipende, infatti, dalle tue specifiche esigenze:

Una VPN da sito a sito è progettata per connettere intere reti. È ideale per le operazioni aziendali interne e per l'accesso dei partner.

Una VPN basata sul web (come la VPN SSL) è perfetta per chi necessita di un accesso rapido e basato sul browser ad app o servizi specifici. È ideale per l'uso remoto occasionale, ma non è progettata per un'integrazione di rete completa.

Una VPN è adatta per la tua azienda?

Una VPN può migliorare la privacy online e la sicurezza dei dati della maggior parte delle aziende. NordLayer, una delle soluzioni VPN B2B più efficaci disponibili, offre una varietà di opzioni per aziende di tutte le dimensioni. Scegliendo il servizio VPN da sito a sito di NordLayer, potrete beneficiare di gateway dedicati per tutte le vostre reti LAN.

Anche se si dispone già di una soluzione di rete, ad esempio MPLS, NordLayer può svolgere un ruolo chiave nella strategia complessiva di sicurezza informatica. NordLayer offre anche un modello client/server, consentendo alle organizzazioni di condividere dati e risorse in modo sicuro con i dipendenti, sia in ufficio che fuori.

Esempi di utilizzo di una VPN da sito a sito

Proviamo, ora, a fare un paio di esempio pratici di utilizzo di una VPN da sito a sito.

Mettiamo il caso che un’azienda che ha sedi a Bologna, Roma e Napoli voglia condividere documenti in tempo reale tra i propri team. Con una VPN “sito a sito”, i server di file di entrambe le sedi sono connessi come se fossero sulla stessa rete locale. Ciò consente ai dipendenti di accedere e modificare documenti condivisi senza preoccuparsi di trasferimenti manuali o servizi esterni. Quindi il team di Napoli può lavorare su un documento archiviato nel server di Roma, e viceversa.

O, ancora, un'azienda a Milano con più magazzini in Italia desidera condividere stampanti tra le sue sedi per ottimizzare le operazioni logistiche. Configurando una VPN da sito a sito, le stampanti di una sede possono essere accessibili da altre sedi come se fossero locali. In questo modo un magazzino può inviare ordini di stampa a una stampante situata in un'altra sede.

NordVPN: soluzione software alternativa alle VPN da sito a sito

NordVPN offre un'alternativa più semplice ed economica alle tradizionali VPN “sito a sito”, soprattutto per le piccole imprese che necessitano di un accesso remoto sicuro. Pur non essendo una VPN da sito a sito, le aziende possono utilizzare un IP dedicato per offrire ai dipendenti da remoto un accesso sicuro e controllato alla propria rete, senza la complessità di una configurazione tradizionale.

Grazie a funzionalità come la crittografia AES-256, una rete di server globale e opzioni di sicurezza aggiuntive come Double VPN, NordVPN garantisce connessioni veloci e sicure. Inoltre, la sua interfaccia intuitiva e l'assistenza clienti disponibile 24 ore su 24, 7 giorni su 7, la rendono un'ottima scelta per le aziende che necessitano di un accesso remoto affidabile senza configurazioni complesse.