Mobilità, senza supporti mobili
Il trasporto di grandi quantità di dati è, ormai, una realtà consolidata. A differenza di situazioni fantascientifiche, come quella di Johnny Mnemonic, non trasportiamo i dati direttamente nel nostro cervello. Preferiamo, per fortuna, unità esterne come chiavi USB e hard disk esterni, che permettono di trasportare i dati comodamente, e usarli dove e quando ci fa più comodo.
C'è sempre, però, la variabile umana: per quanto siano comodi ed efficienti i supporti esterni, non ci mettono al sicuro dalla possibilità di dimenticarci di copiare i dati che ci servono, prima di uscire. Può anche capitare che i dati non siano accessibili, per problemi di compatibilità o d'autorizzazione. Ed ecco che un fantastico supporto mobile diventa assolutamente inutile. Gli scenari a rischio sono tanti: l'accesso ad un server, il bisogno imprevisto di dati, un diverso sistema operativo, crittografia inattesa, e così via.
La soluzione potrebbe essere Internet. L'idea è la stessa che sta alla base del telelavoro, che permette di svolgere le proprie mansioni praticamente dovunque, ammesso che ci sia una connessione disponibile. Di solito si applica per lavorare da casa, ma anche per restare attivi quando si è fuori, "sul campo", particolarmente vero per i giornalisti.
L'evoluzione moderna delle grandi compagnie ha portato, tra le altre cose, ad un aumento dello scambio di dati via Internet. Anche l'utente domestico può trarre un vantaggio dalla rete, in questo senso, grazie alla diffusione della banda larga, e al fatto che l'archiviazione esterna, ormai, è accessibile a tutti, non solo alle grandi aziende.
Trasferimenti sicuri con le Reti Private Virtuali
Per trasferire dati in sicurezza attraverso Internet quasi tutte le compagni usano una VPN (Virtual Private Network, Rete Privata Virtuale). Questa tecnologia permette ai collaboratori di collegarsi alla rete aziendale, o di crearsi un ufficio in casa, ma dà anche la possibilità a chi lavora fuori sede di restare collegati per scambiare dati, in sicurezza.
Una VPN è una soluzione basata unicamente su software. Per realizzarne una non serve nessun tipo di hardware aggiuntivo, infatti, in quanto usa reti pubbliche, come Internet, per trasferire i dati. Un client VPN installato su un PC, per esempio, può replicare le caratteristiche della rete aziendale, permettendo la comunicazione. Il software si collega via Internet alla VPN aziendale e, dopo l'autenticazione, permette di comunicare tramite protocolli come IPsec, TLS/SSL o PPTP. Il computer domestico, quindi, diventa parte della rete aziendale, grazie ad una connessione sicura, tra il server VPN e il computer remoto, attraverso una rete pubblica, come Internet. Il sistema così creato si chiama, normalmente, tunnel VPN.
Diagramma semplificato di un tunnel VPN
Un tunnel VPN non serve solo a collegare singole macchine ad una rete aziendale (site-to-end), ma può, per esempio, servire per collegare diversi uffici tra loro (site-to-site). È anche possibile usare la VPN per stabilire una connessione sicura ad un server, senza per questo aver accesso a tutta la rete aziendale (end-to-end).
Il software VPN Hamachi funziona secondo principi simili, come abbiamo visto in questo articolo. Le connessioni create da questo programma passano da un "server di mediazione", che si fa carico del processo d'autenticazione del client. Questa procedura, non ostante la codifica delle stringhe, presuppone un certo livello di rischio, in particolare quando si trasferiscono dati sensibili.
Gli utenti che usano un portatile, oppure un PC desktop, e vogliono accedere al computer di casa da altre locazioni, potrebbero ritenere Hamachi un sistema poco adatto ai loro bisogni. L'alternativa è creare, velocemente, una VPN, con gli strumenti standard di Windows Vista. L'unico prerequisito indispensabile è una connessione veloce, in particolare in upstream.
Collegamenti VPN End-To-End con Windows Vista
Oltre alla connessione veloce, imprescindibile, ci sono anche altri aspetti di cui è meglio assicurarsi. Bisogna configurare il router, se presente, in modo da permettere le connessioni in entrata sulla VPN.
Il router, poi, deve essere visibile su Internet, con un nome fisso: questo è necessario per compensare la variazione dell'indirizzo IP, che dipende dal provider. Se l'IP assegnato varia mentre siamo lontani, non sarà possibile collegarsi, compromettendo il lavoro fatto. Per risolvere il problema si possono usare servizi come DynDNS.org o no-ip.org, che permettono di ottenere nomi statici, anche con IP dinamici.
Molti router integrano funzioni per aggiornare i DNS dinamici automaticamente, che vi lasciano solo l'onere di scegliere a quale servizio registrarsi, pur limitando le scelte possibili. Se, invece, la connessione a Internet avviene in modo diretto, cioè senza un router, servirà una piccola utility, che informi il provider DNS delle variazioni dell'IP pubblico. In questo caso, i programmi si possono trovare nella sezione "download" dei siti dei provider DNS.
Centro connessioni di rete e condivisione
Prima di tutto bisogna impostare Windows Vista, per accettare le connessioni VPN in entrata. È possibile con le seguenti versioni,: Windows Vista Home Basic, Home Premium, Business, Enterprise e Ultimate. Per farlo bisogna aprire la finestra "Centro connessioni di rete e condivisione", passando da [Start] -> [Pannello di Controllo] -> [Centro connessioni di rete e condivisione]. Quindi selezionare [Gestisci Connessioni di Rete] a sinistra, che si apre in un nuova finestra. In base alla configurazione di Vista, potrebbe essere necessario selezionare un tasto per rendere visibile il menù con le voci "File, Modifica, Nuovo, Extras ed Extended". Selezioniamo [File] e poi [Nuova Connessione in ingresso].
Premere [ALT] per visualizzare il menù.
La nuova finestra contiene una lista degli account utente presenti sul computer. Selezioniamo gli utenti che possono collegarsi al computer dall'esterno, nel caso sia necessario un accesso controllato o limitato. Premiamo [Avanti]. Nella finestra di dialogo successiva selezioniamo [Internet], e confermiamo con [Avanti]. A questo punto bisogna selezionare i protocolli di rete supportati dalla connessione VPN. Possiamo scegliere tanto "IPv6" quanto "QoS ackage planner".
Selezione degli utenti
Selezione dei protocolli
Scegliamo [Internet Protocol version 4] e poi [Proprietà]. È possibile accedere anche ad altri dispostivi in rete, oltre al computer principale, come stampanti o router: per farlo selezioniamo [permetti agli utenti di accedere alla Mia Rete Locale]. Selezioniamo [Inserisci indirizzo IP] per assegnare l'indirizzo IP: qui servono due indirizzi IP consecutivi, usati dalla connessione VPN tra desktop e laptop. È importante assicurarsi che la gamma d'indirizzi IP sia coerente con quella della vostra rete locale. Non ha senso, inoltre, inserire le specifiche di un intero range di IP, perché Windows Vista accetta solo una connessione VPN alla volta, quindi non è possibile avere più connessioni attive allo stesso tempo.
Selezione degli indirizzi IP e gestione dei permessi
Se il router ha, per esempio, l'indirizzo IP 192.168.1.1 e il desktop 192.168.1.2, allora dovremo inserire una gamma d'indirizzi che cominci con 192.168.1.x. L'ultimo numero può essere scelto liberamente, facendo attenzione solo a non assegnare lo stesso IP a più di un dispositivo. Nel nostro esempio, quindi, gli IP che finiscono con "1" e "2" non sono utilizzabili.
L'indirizzo IP nel campo "From"(da)è quello del desktop, quando si stabilisce una connessione VPN. L'indirizzo nel campo "To/a", invece, è quello del laptop. A questo punto clicchiamo su [OK] per confermare le impostazioni, dopo aver impostato [Allow Access / Permetti Accesso]. A questo punto Windows Vista modifica le impostazioni del firewall integrato, per permettere connessioni alla porta 1723. È sempre possibile fare modifiche in un secondo momento, tornando alla finestra di dialogo "Gestisci Connessioni di Rete", dal "Centro Reti e Condivisione".
Creazione della connessione in entrata
Port Forwarding, DynDNS e impostazioni in remoto
Se vi collegate ad Internet tramite un router bisogna impostare il "port forwarding"; vale a dire che il router stesso deve reindirizzare le connessioni VPN in entrata verso la porta 1723 del desktop. La procedura cambia con il modello e marca del router, quindi non possiamo fornire istruzioni valide per tutti. Lo stesso vale per il reindirizzamento del protocollo TCP/IP 47, Generic Route Encapsulation (GRE): alcuni produttori hanno lo hanno inserito come voce "PPTP Pass-Through" o "VPN Pass-Through". Per informazioni più dettagliate, vi rimandiamo al manuale del router.
Impostazioni di reindirizzamento PPTP
Impostazioni pass-through
Lo stesso vale per l'impostazione dei DNS dinamici. Come dicevamo poco sopra, il supporto del router, rispetto ai provider di DNS dinamici, cambia da una marca all'altra. Per evitare complicazioni eccessive, supponiamo che queste impostazioni, legate a marca e modello del router, siano in ordine.
Selezione del servizio DNS scelto. Dipende dalla marca del router
Impostazioni del client laptop
Ora che il desktop è configurato e raggiungibile via Internet, nonché pronto ad accettare connessioni VPN in entrata, è il momento di configurare il computer portatile. Si possono usare sia Windows Xp sia Vista. Facciamo il nostro esempio con Windows Vista.
Apriamo il "Centro Reti e Condivisione" e selezioniamo [Nuova Connessione o Rete]. Nella finestra successiva, selezioniamo [Connect to a workplace / Connetti a un posto di lavoro] e confermiamo con [Avanti].
L'assistenze ci guida ad ogni passo...
... attraverso la configurazione di una connessione VPN
Se c'è già una connessione a Internet, selezioniamo [No] nella finestra seguente, e confermiamo con [Avanti]. Quando il Wizard ci chiede come stabilire la connessione, selezioniamo [Usa la connessione Internet (VPN)]. A questo punto bisogna inserire un indirizzo Internet. Inseriamo il nome che abbiamo registrato con il provider DNS, memorizzato nel router di casa. Si può scegliere il nome liberamente. Selezioniamo anche [Non connettere ora]. Nella finestra successiva è possibile inserire nome utente e password, che dovrebbero corrispondere a quelli registrati sul pc desktop, per la VPN. Confermiamo selezionando [Crea] e chiudiamo la finestra seguente.
Stabilire una connessione VPN
Una volta completata la fase preparatoria, l'ultima cosa che rimane è stabilire la connessione VPN. A questo punto basta una qualsiasi connessione Internet per accedere al computer di casa; per stabilire la connessione VPN basta accedere al "Centro Reti e Condivisione" e selezionare [Connetti ad una rete]. Si apre una finestra con le reti disponibili, nella quale dobbiamo selezionare quella che abbiamo creato, e poi cliccare su [Connetti], poi inserire nome utente e password, ed il gioco è fatto!
Una volta stabilita la connessione VPN, con Esplora Risorse possiamo navigare tra le cartelle condivise del desktop di casa, inserendo l'indirizzo IP relativo (\192.168.1.x) nella barra degli indirizzi UNC (Universal Naming Convention]. Tra l'altro quest'ultimo passaggio è necessario solo se qualcosa non funziona nel riconoscimento del nome.
Una soluzione poco elegante: usiamo l'indirizzo IP come percorso UNC
Se volete una soluzione più elegante, è possibile modificare il file lmhosts.sam sul client VPN (il portatile). Questo file gestisce l'assegnazione manuale dei nomi e degli indirizzi IP, e si trova nella cartella C:WindowsSystem32driversetc. Una volta aperto il file, inseriamo l'indirizzo IP del desktop, seguito dal nome del computer, per esempio "PC Casa". Una volta salvate le modifiche, basterà inserire "PC Casa" nella barra degli indirizzi di Esplora Risorse, dopo aver stabilito la connessione VPN. La procedura va ripetuta per gli altri dispositivi di rete, come stampanti e router.
Conclusioni: impostare una VPN è facile e veloce
Impostare un VPN per uso privato è una procedura indolore, con Windows Vista. Offre agli utenti la possibilità di scambiare dati in sicurezza, sfruttando una rete pubblica non sicura.
L'unico limite, se ne vogliamo trovare uno, è il fatto che si può avere al massimo una connessione VPN alla volta: se ci sono molti utenti che si vogliono collegare ad un certo computer via VPN, bisogna fare i turni. Per aggirare questa restrizione ci vuole una soluzione alternativa, come quella offerta da OpenVPN. A differenza della soluzione integrata in Windows, OpenVPN è più complessa da configurare, probabilmente troppo, per la maggior parte degli utenti. Se l'obiettivo è solo scambiare dati con altri utenti, una soluzione come TeamDrive potrebbe essere più che sufficiente.
Per la condivisione dei dati si può ricorrere anche ad un server FTP, la cui installazione su un computer domestico è altrettanto semplice; però c'è un problema di sicurezza, visto che i dati in genere non sono protetti da crittografia. La connessione VPN permette di usare il laptop client per accedere alla propria rete, dalla quale accedere ad altri computers e servizi. La configurazione del router per i servizi aggiuntivi, come la connessione remota o una connessione VNC, non è necessaria, perché siete già "dentro" la rete domestica.