Protocolli VPN a confronto

Machinery representing VPN protocols

VPN scudoL’uso delle VPN sta diventando sempre più comune. Ed era prevedibile, dato il costante aumento della sorveglianza (di massa), degli hacker e del tracking online da parte delle aziende che fanno pubblicità. Del resto sono ormai superati i tempi in cui le VPN erano riservate agli esperti di tecnologia appassionati di computer. Ma per ottenere il massimo dal tuo servizio VPN, è molto importante che tu scelga il protocollo VPN più adatto alle tue esigenze. Ecco perché in questo articolo ti illustreremo cos’è un protocollo VPN e quali sono le opzioni in circolazione, con i loro pro e i loro contro.

Cos’è un protocollo VPN?

Una VPN, tra le altre cose, cripta il traffico dati prima che venga inviato al suo (o ai suoi) server. Il sistema responsabile di criptare i dati è comunemente indicato come protocollo di crittografia o protocollo VPN. La maggior parte dei moderni provider VPN offre agli utenti diversi protocolli di crittografia tra cui scegliere. È molto importante che tu scelga saggiamente quale protocollo di crittografia utilizzare. Dopo tutto, ogni protocollo ha i suoi pro e i suoi contro. I protocolli VPN più popolari sono i seguenti 6:

  1. OpenVPN con porta UDP
  2. OpenVPN con porta TCP
  3. PPTP
  4. IKEv2
  5. L2TP/IPSec
  6. Wireguard (Protocollo sperimentale ancora in fase di sviluppo)

Ovviamente se vuoi scegliere il protocollo VPN migliore per te, è importante che tu conosca le differenze tra i diversi protocolli.

Differenze tra i più diffusi protocolli VPN

OpenVPNPPTPL2TP/IPSecIKEv2Wireguard
In generalePopolare protocollo VPN open-source che offre funzionalità multipiattaforma.Protocollo VPN piuttosto elementare. È stato il primo protocollo VPN a essere supportato da Windows.Protocollo di tunneling che utilizza il protocollo IPSec per la sicurezza e la crittografia. L2TP offre solo porte UDP (che sono notoriamente più veloci, ma meno affidabili e sicure delle porte TCP).IKEv2 è un protocollo di tunneling che si basa su IPSec per la crittografia, come il protocollo L2TP. Ma rispetto a quest’ultimo è supportato da un minor numero di dispositivi e sistemi.Nuovo protocollo open-source, attualmente in fase sperimentale. Anche se in fase di sviluppo, è apprezzato per la sua velocità, efficienza e la sua base di codice ridotta. Quest’ultima caratteristica rende più facile l’esame e l’audit (valutazione) del protocollo.
CrittografiaOpenVPN offre una crittografia forte e di alta qualità, utilizzando openSSL. Algoritmi utilizzati: 3DES, AES, AES, RC5, Blowfish. Crittografia a 128 bit con chiavi a 1024 bit.PPTP utilizza il protocollo MPPE per crittografare i dati. Algoritmo utilizzato: RSA RC4 con una chiave a 128 bit.Utilizza IPSec per la crittografia, con l’algoritmo 3DES/AES, dotato di chiave a 256 bit.Proprio come L2TP/IPSec, IKEv2 utilizza IPSec per la crittografia. IKEv2 può utilizzare i seguenti algoritmi di crittografia: 3DES, AES, Blowfish, Camellia.Wireguard utilizza l’algoritmo ChaCha20 per la crittografia. Un audit di Wireguard di giugno 2019 non ha evidenziato gravi falle di sicurezza. Tuttavia gli auditor hanno indicato che la sicurezza del protocollo mostra margini per un miglioramento. Questo è senza dubbio uno dei motivi per cui gli sviluppatori del protocollo non hanno ancora lanciato una versione stabile. È importante sottolineare che Wireguard è ancora in piena fase di sviluppo e quindi al momento va considerato un protocollo sperimentale.
UsabilitàPuò essere installato tramite software disponibile separatamente (non integrato nei sistemi operativi) e utilizza file di configurazione *.ovpn abbinati a username e password. È anche integrato in diversi software (ad esempio nella maggior parte delle VPN moderne).Può essere installato direttamente nel sistema operativo. Inoltre, PPTP è integrato in molti software (vari provider VPN offrono questo protocollo).Può essere installato direttamente nel sistema operativo. Inoltre, L2TP/IPSec è integrato in molti software (vari provider VPN offrono questo protocollo).Può essere installato direttamente nel sistema operativo. Inoltre, IKEV2 è integrato in molti software (vari provider VPN offrono questo protocollo).Poiché Wireguard è ancora in fase di sviluppo, la maggior parte dei provider VPN non supporta (ancora) questo protocollo. Comunque è compatibile con la maggior parte dei sistemi operativi.
VelocitàDipende da diverse variabili, come la velocità del tuo sistema e la velocità del server (o dei server) a cui sei connesso. In generale OpenVPN offre velocità maggiori se usato con una porta UDP anziché con una porta TCP.La velocità dipende da diverse variabili, come la velocità del tuo sistema e la velocità del server (o dei server) a cui sei connesso. Tuttavia in generale PPTP è noto per essere un protocollo veloce, soprattutto per la sua crittografia piuttosto semplice e di basso livello (rispetto a quella di protocolli più moderni).La velocità dipende da diverse variabili, come la velocità del tuo sistema e la velocità del server a cui sei connesso. In sé L2TP è molto veloce (dato che offre solo un tunnel di comunicazione e non la crittografia). Ma la necessaria aggiunta di IPSec a fini di sicurezza (principalmente per la crittografia) rende L2TP/IPSec più lento di OpenVPN.Proprio come L2TP, IKEv2 utilizza la porta UDP 500, il che lo rende un protocollo piuttosto veloce. Alcune fonti sostengono addirittura che IKEv2 sarebbe in grado di raggiungere velocità superiori rispetto a quelle di OpenVPN.Secondo i suoi sviluppatori, la ridotta e performante codebase di Wireguard, insieme al fatto che il protocollo risiede nel kernel Linux, dovrebbero portare a ottime velocità. Questo è confermato anche dai parametri di riferimento disponibili sul sito web di Wireguard.
Stabilità e affidabilitàOffre grande stabilità e affidabilità indipendentemente dal tipo di rete utilizzata (WLAN, LAN, reti mobili, ecc.). Ottenere una connessione stabile con OpenVPN generalmente non richiede la configurazione avanzata e complessa che può essere necessaria per IKEv2.In generale, il protocollo PPTP ha alcuni problemi di stabilità e affidabilità. La maggior parte di essi va attribuita a questioni di compatibilità.Stabilità e affidabilità comparabili a quelle di OpenVPN, ma legate anche  alla stabilità della rete.IKEv2 è un protocollo più complesso di OpenVPN. Ecco perché a volte, per funzionare bene, IKEv2 richiede un processo di configurazione più avanzato e complesso.Dal momento che Wireguard è ancora in fase di sviluppo, è difficile sbilanciarsi sulla sua stabilità e affidabilità.
Privacy e sicurezzaOpenVPN è noto per il fatto che contiene pochissime falle di sicurezza (se non nessuna). Ti occorre la massima privacy e protezione VPN senza troppe complicazioni di configurazione? Allora probabilmente OpenVPN è  il protocollo giusto per te.Almeno tra gli utenti di Windows, il protocollo PPTP è noto per avere diverse falle di sicurezza.L2TP, se combinato con IPSec, è noto per essere un protocollo molto sicuro. Secondo Edward Snowden tuttavia, il protocollo L2TP/IPSec è già stato violato dalla NSA (National Security Agency).Molti considerano IKEv2 sicuro quanto L2TP/IPSec, poiché entrambi utilizzano lo stesso protocollo per la crittografia (IPSec). Sfortunatamente però informazioni trapelate dalla NSA rivelano che anche il protocollo IKEv2 in passato sarebbe stato violato da malintenzionati.Il vantaggio principale di Wireguard in fatto di privacy e sicurezza è che ha una base di codice piuttosto ridotta (meno di 4000 righe, mentre OpenVPN e L2TP/IPSec ne hanno ben oltre 100000, ad esempio). Ciò si traduce in una superficie minore per gli attacchi degli hacker. E rende più facile individuare le falle di sicurezza.
ProOffre ottime velocità e forse è il più sicuro tra tutti i protocolli VPN

È in grado di aggirare la maggior parte dei firewall, e delle restrizioni di rete e degli ISP

Facile da configurare

Generalmente veloce

Supportato da molti dispositivi e sistemi

Facile da configurare

In grado di aggirare le restrizioni di rete, geografiche e degli ISP

Facile da configurare

Buone velocità

Base di codice ridotta (più facile da controllare e con una minore superficie di attacco)

Secondo gli sviluppatori e alcuni critici è un protocollo facile da usare e veloce

ControA volte l’installazione richiede un software appositoIl suo grado di stabilità e affidabilità può variare molto

Non garantisce la stessa sicurezza e privacy dei protocolli moderni (specialmente se paragonato a OpenVPN)

È facile per siti web, enti governativi e ISP rilevare e bloccare gli utenti PPTP

Piuttosto lento. Può essere bloccato dai firewall, poiché utilizza la porta UDP 500, che viene spesso bloccataViene bloccato piuttosto spesso dai firewall (utilizza la porta UDP 500)

Supportato da meno sistemi e software rispetto a OpenVPN, L2TP/IPSec e PPTP

È ancora in fase di sviluppo. Ciò rende difficile trarre conclusioni definitive per quanto riguarda la sicurezza e la stabilità del protocollo

Al momento, Wireguard sembra essere incompatibile con una politica di no-logging (maggiori informazioni più avanti)

ConclusioniOpenVPN sarà (giustamente) il protocollo prescelto da molti. È veloce, stabile e sicuro.PPTP è generalmente facile da configurare, ma meno stabile e sicuro dei protocolli più moderni, come OpenVPN e L2TP/IPSec. Ecco perché raccomandiamo di usare PPTP quando altri protocolli non funzionano o sono troppo difficili da configurare.L2TP/IPsec è spesso più lento di OpenVPN e PPTP, ma talvolta può aggirare blocchi che questi due protocolli non riescono a bypassare. Consigliamo di utilizzare L2TP/IPSec come alternativa a OpenVPN, se quest’ultimo non soddisfa le tue esigenze specifiche.Secondo diversi critici, IKEv2 offrirebbe lo stesso livello di sicurezza di L2TP/IPSec, ma ha velocità più elevate. Tuttavia la velocità di IKEv2 dipende da molte variabili. Per garantire una connessione stabile e una buona affidabilità, IKEv2 può richiedere una configurazione piuttosto complessa. Perciò, specialmente per i “principianti delle VPN”, consigliamo questo protocollo solo se ad esempio OpenVPN non funziona.Senza dubbio, Wireguard mostra un grande potenziale. Però il protocollo è ancora in fase di sviluppo. Per questo motivo noi, come i suoi sviluppatori e molti provider VPN, consigliamo di utilizzare il protocollo solo per scopi sperimentali o quando la privacy e l’anonimato non sono assolutamente cruciali. Ad esempio, per aggirare i blocchi geografici.

Ora parleremo di questi protocolli in modo più dettagliato.

OpenVPN

OpenVPN logo

OpenVPN (che sta per “virtual private network” open source) è il protocollo VPN più diffuso. La sua popolarità può essere attribuita principalmente alla sua crittografia forte e di alto livello e al codice open-source. OpenVPN è supportato da tutti i più noti sistemi operativi, come Windows, MacOS e Linux. Il protocollo è supportato anche da sistemi operativi mobili, come Android e iOS.

Naturalmente uno degli scopi principali di un protocollo VPN è offrire una crittografia dei dati di alto livello. In questo OpenVPN garantisce ottime prestazioni. Dopo tutto, OpenVPN utilizza la crittografia a 265 bit tramite OpenSSL. Inoltre molti servizi VPN (quasi tutti, in realtà) supportano l’uso di OpenVPN.

OpenVPN supporta l’utilizzo di due diversi tipi di porte: TCP e UDP.

  • OpenVPN-TCP è il protocollo più comunemente usato e più affidabile. L’utilizzo di una porta TCP significa che ogni singolo “pacchetto dati” deve essere approvato dal destinatario, prima che possa esserne inviato un altro. Questo rende la connessione molto affidabile e sicura, ma piuttosto lenta.
  • OpenVPN-UDP è notevolmente più veloce di OpenVPN-TCP. Tutti i “pacchetti dati” vengono inviati senza bisogno di approvazione del destinatario. Questo si traduce in una connessione VPN più veloce, ma comporta una certa perdita di affidabilità e stabilità.

I pro e i contro di OpenVPN

  • + OpenVPN è molto sicuro
  • + Supportato da molti software e praticamente da tutti i moderni provider VPN
  • + Supportato da tutti i principali sistemi operativi
  • + Ampiamente verificato e testato
  • – A volte richiede un software aggiuntivo

Protocollo VPN PPTP

PPTPIl Point-to-Point Tunneling Protocol (PPTP) è uno dei protocolli VPN più datati. Infatti è stato il primo protocollo VPN a essere supportato da Windows. La NSA è riuscita a violare il protocollo PPTP attraverso le sue falle di sicurezza. Per questo, e anche per la sua mancanza di crittografia di alto livello, il protocollo non è più considerato sicuro. Comunque, la mancanza di una forte crittografia non significa che PPTP non sia un protocollo molto veloce.

Proprio perché è così datato, il PPTP è il protocollo VPN più ampiamente supportato tra i diversi dispositivi e sistemi. Tuttavia, i firewall che cercano di bloccare gli utenti VPN generalmente riconoscono con facilità gli utenti PPTP. Questo naturalmente non è il miglior protocollo in circolazione per aggirare i blocchi (e abbiamo già visto che anche sotto l’aspetto della sicurezza lascia un po’ a desiderare).

I pro e i contro di PPTP

  • + Molto veloce
  • + Facilissimo da usare
  • + Compatibile praticamente con tutti i sistemi operativi
  • – Offre solo una crittografia di base di basso livello
  • – Facile da riconoscere e bloccare per firewall e simili
  • – Gli hacker spesso sfruttano le falle di sicurezza del PPTP

L2TP/IPSec

Protocollo VPN L2TPIl Layer 2 Tunneling Protocol (L2TP) è un protocollo di tunneling utilizzato per creare il cosiddetto “tunnel VPN” (attraverso cui far transitare il traffico dati). Ma il protocollo L2TP in sé non cripta alcun dato. Ecco perché è unito praticamente sempre con il protocollo IPSec, un protocollo che appunto cripta i dati (e lo fa abbastanza bene). Ecco da dove deriva il nome L2TP/IPSec.

IPSec sta per Internet Protocol Security e si occupa della crittografia end-to-end dei dati nel tunnel L2TP. Utilizzare la combinazione L2TP/IPSec come protocollo VPN è molto più sicuro e garantisce una maggiore privacy rispetto all’uso del protocollo PPTP. Tuttavia, come qualsiasi protocollo, anche il L2TP/IPSec presenta i suoi svantaggi. Uno di essi è che alcuni firewall bloccano i suoi utenti. Ciò avviene perché il protocollo L2TP utilizza la porta UDP 500 e alcuni siti web la bloccano. Dal punto di vista della velocità, L2TP da solo funziona molto bene, vista l’assenza di crittografia. Tuttavia, la necessaria aggiunta di IPSec può rallentare un po’ la connessione. Nel complesso, OpenVPN è generalmente più veloce di L2TP/IPSec.

I pro e i contro di L2TP/IPSec

  • + Crittografia migliore rispetto al protocollo PPTP
  • + Direttamente compatibile con molti sistemi operativi
  • – Più lento di OpenVPN
  • – Secondo Snowden, la NSA ha sfruttato delle vulnerabilità nella sicurezza del protocollo L2TP/IPSec
  • – Il protocollo può essere bloccato da alcuni firewall

Protocollo VPN IKEv2

IKEv2 sta per Internet Key Echange Version 2. Come rivela il nome, IKEv2 è il successore di IKE. Utilizzando IKEv2 come protocollo VPN, il traffico dati è prima di tutto criptato dal protocollo IPSec. Successivamente, viene creato un tunnel VPN, dopodiché tutti i dati (criptati) viaggiano attraverso questo tunnel VPN sicuro. Proprio come L2TP/IPSec, IKEv2 utilizza la porta UDP 500. Questo significa che alcuni firewall possono bloccare gli utenti di IKEv2. Grazie al suo utilizzo di IPSec per la crittografia, IKEv2 è considerato da molti sicuro come L2TP/IPSec. Qualcosa di cui tenere conto: quando si usa una password debole, IKEv2 è molto vulnerabile agli hacker.

I pro e i contro di IKEv2

  • + IKEv2 è molto veloce
  • + Crittografia di livello piuttosto alto
  • + È in grado di ripristinare le connessioni perse
  • + Molto facile da usare
  • – È facilmente bloccato da alcuni firewall
  • – Forse violato dalla NSA
  • – Non sicuro quando si utilizza una password debole
  • – Non supportato universalmente come OpenVPN e L2TP/IPSec

Wireguard

Wireguard è un protocollo VPN nuovo e attualmente in fase sperimentale, creato da Jason A. Donenfeld. È ancora in fase di sviluppo. Peraltro, diversi provider VPN supportano già questo protocollo. Vanta una base di codice ridottissima (circa 4000 righe), rispetto ai competitor. Questa codebase più piccola dovrebbe semplificare molto l’audit (verifica) del protocollo e della sua sicurezza. Inoltre, grazie anche al codice stesso, dovrebbe rendere il protocollo VPN più semplice, veloce, performante e facile da usare. Tuttavia, dal momento che questo protocollo è ancora in piena fase di sviluppo, i developer e molti provider VPN raccomandano di usarlo (per il momento) solo per scopi sperimentali o quando la privacy non è assolutamente cruciale. C’è da aggiungere che la versione attuale di Wireguard supporta solo l’uso di indirizzi IP statici. Secondo molte autorità del settore, questo significa che Wireguard come protocollo VPN non è compatibile con una politica di no-logging.

I pro e i contro di Wireguard

  • + In teoria, e secondo i parametri di riferimento presenti sul suo sito web, Wireguard è un protocollo VPN molto veloce.
  • + La sua base di codice ridotta dovrebbe rendere il protocollo più facile da controllare.
  • – La maggior parte dei provider VPN (ancora) non supporta e non offre questo protocollo.
  • – Wireguard, al momento, fornisce solo indirizzi IP statici e non è quindi compatibile con una politica di no-logging.

In conclusione

Senza dubbio è molto importante che tu scelga il protocollo VPN più adatto alle tue esigenze. Ogni protocollo ha i suoi pro e i suoi contro. Nella maggior parte dei casi la scelta migliore è OpenVPN. PPTP è un protocollo che non raccomandiamo di usare, a causa del suo livello di crittografia piuttosto basso. Però, potresti provarlo quando la privacy e la sicurezza non sono le tue massime priorità; ad esempio per sbloccare lo streaming. Se OpenVPN non è supportato o non funziona bene per qualsiasi ragione, puoi considerare di utilizzare L2TP/IPSec o IKEv2.

Analista della sicurezza informatica
David è analista della sicurezza informatica e uno dei fondatori di VPNOverview.com. Interessato al tema dell’identità digitale, con particolare attenzione al diritto alla privacy e alla protezione dei dati personali.
2
Commenti
Invia un commento
  1. Buongiorno, ho necessità di comunicare con un sensore remoto che posso individuare con un protocollo udp. Con la VPN PPTP non funziona, ovvero sembra che la chiamata udp non passa attraverso la VPN. Le istruzioni del sensore indicano chiaramente che il pc chiamante e il sensore devono stare sulla stessa rete. Quale altra VPN potrei utilizzare?
    Grazie

    • Avrete bisogno di una VPN che supporti il protocollo OpenVPN (UDP). Per fortuna, molti dei migliori fornitori di VPN lavorano con OpenVPN. Potresti provare NordVPN o ExpressVPN, per esempio.

Invia un commento