15.02.2022   Sicurezza del sistema: come configurare una rete VPN

Sicurezza del sistema: come configurare una rete VPN


Simon Buddle spiega come utilizzare una rete VPN per proteggere la connessione qualora il sistema di controllo domestico di un cliente abbia accesso a Internet per ragioni di controllo remoto, monitoraggio o manutenzione.

Sono di ritorno da una meravigliosa settimana bianca. È stata una vacanza pianificata da oltre due anni; annullata più volte a causa del COVID-19. Pensavamo di esserci illusi ancora una volta dopo la chiusura delle frontiere francesi ai turisti britannici, ma abbiamo trovato un varco ancora aperto e ci siamo tuffati a capofitto. La Svizzera ci ha permesso di entrare.

Sui sistemi smart home e sugli attacchi cibernetici è già stato detto molto. Se si pensa al mondo dei computer di oggi, in un modo o nell'altro, sono tutti interconnessi. Ci colleghiamo a Internet tramite router, i PC dei nostri uffici sono tutti collegati a una rete locale e i Paesi sono collegati tramite enormi fasci di fibre ottiche che spesso si trovano sul fondo del mare. È un mondo completamente connesso, davvero globale, machine-to-machine, connesso attraverso chilometri e chilometri di cavi.

Che si tratti di un confine o di un router, la gente cercherà sempre di sfruttarne una debolezza e con le giuste conoscenze, che molti hanno, è facile intrufolarsi in un dispositivo o sistema che si trova dall'altra parte del mondo.

Da sempre, aprire una porta 3671 TCP serve a fornire accesso remoto a sistemi KNX. Serve anche ad aprire una connessione alla rete di area locale di un cliente e a scopi malintenzionati. Infatti, può essere intesa come una finestra lasciata aperta in una casa e, se sai dove guardare e come entrare, puoi farlo senza che vi sia alcun requisito di controlli di sicurezza.

Detto questo, noi disponiamo di un arsenale di grandi dispositivi KNX in grado di offrire corridoi protetti ai sistemi. Il router IP KNX e il Gira S1 ne sono due ottimi esempi. Consentono di stabilire un collegamento fuori dalla proprietà senza creare vie d'accesso non protette alla rete domestica del PC del cliente. Ma si può scegliere tra numerosi fabbricanti, tra cui Basalte, Weinzierl, Siemens, Schneider e ABB, offrono tutti prodotti creati appositamente per risolvere questo puzzle.

Una rete privata virtuale

È molto probabile che il sistema KNX o il bus non sia l'unico dispositivo a cui potremmo aver bisogno di collegarci da remoto e questo aspetto rappresenta una difficoltà di tipo leggermente diverso. Come è possibile collegarsi a un PLC Siemens che gestisce la sala macchine? O le interfacce Intesis AC, Modbus o BACnet?

La soluzione più ovvia e sicura è utilizzare una rete privata virtuale (Virtual Private Network, VPN). Ma come configurarla? È sicura? Partiamo dalla seconda domanda. È molto sicura (partendo dal presupposto che anche le password lo siano). Permette di creare un corridoio punto-punto virtuale protetto su Internet tra il tuo computer e la rete LAN del cliente. Una volta connesso, il tuo computer comparirà sulla rete del cliente.

Per creare una VPN senza utilizzare software come OpenVPN o NordVPN, esistono due requisiti fondamentali: 1) un indirizzo IP Internet fisso o un router che supporti il DNS; 2) un router che supporti connessioni VPN.

Indirizzo IP Internet fisso o router che supporti il DNS

Immaginati di essere un lavoratore postale che consegna la posta ogni giorno. Solo che ogni giorno cambiano i numeri civici, quindi il numero 32 ora è venti case più in là. È una buona metafora per il tuo indirizzo IP. Ogni volta che il router viene riavviato gli verrà attribuito dal tuo fornitore di servizi Internet (Internet Service Provider, ISP) un nuovo indirizzo IP. Quindi, sulla scia della metafora, non sappiamo più dove abiti. Così, l'indirizzo IP fisso risolve quel problema. L'altro modo è fornire un sistema dei nomi di dominio (Dynamic Name System, DNS). Il DNS fornisce essenzialmente un sistema di ricerca di indirizzi Internet. Ogni volta che cambia l'indirizzo IP Internet del tuo router, il router invia il nuovo indirizzo al server DNS in modo che il record possa essere aggiornato. In questo modo puoi utilizzare il nome DNS (che non cambia), ad esempio casamia@dyndns.org.

Così facendo, abbiamo risposto alla prima domanda sulla configurazione della VPN. Ora potrai sempre reperire il router di un cliente su Internet utilizzando un servizio DNS.

Un router che supporti connessioni VPN

La creazione di una VPN prevede due passaggi. Innanzitutto, devi creare un "utente". Lo username e la password ti serviranno per connetterti alla VPN. Il secondo passaggio è configurare un protocollo di connessione alla VPN. I protocolli più comuni sono: PPTP, IPSec, L2TP ed SSL Tunnel. Il PPTP ha un basso livello di scurezza e non è più supportato dai dispositivi Apple. Il più utilizzato è l'L2TP con una chiave "pre-condivisa". La maggior parte dei router DrayTek supporta la configurazione di DNS e VPN, offrendo un accesso semplice alla LAN del cliente.

Ora è solo questione di impostare il profilo VPN sul proprio PC laptop o desktop utilizzando i medesimi criteri di accesso. Se hai bisogno di aiuto, DrayTek offre anche un piccolo pacchetto software client VPN che agevola ancora di più le cose. Ovviamente anche Cisco, Unifi e altre centinaia di fabbricanti di router offrono la stessa funzionalità. Mentre BT, Sky e Virgin, ovvero tutti quelli offerti dagli ISP, non lo prevedono. Quindi, se vuoi accedere alla rete di un cliente tramite VPN, sarà certamente necessario fornire un router per crearla.

Conclusione

Immagina una di quelle situazioni in cui ti chiama un cliente dicendo che tal cosa e un'altra hanno smesso di funzionare e di poter rispondere: "Mi collego subito e controllo cosa sta succedendo". È senz'altro un servizio conveniente dal valore inestimabile per i clienti. Con il giusto router e un'ora del tuo tempo, è facile imparare a configurare una connessione VPN. Quella sola ora ti permetterà di risparmiare ore infinite di viaggio avanti e indietro per raggiungere la sede del cliente.

Tuttavia, se esiste un modo per entrare nel sistema del tuo cliente dall'esterno, è necessario assicurarsi che non possa essere sfruttato anche dai malintenzionati.

Sono del parere che saper configurare una VPN sia una delle abilità più preziose che abbia mai acquisito. Puoi semplicemente sederti alla scrivania e vedere tutti i dati in tempo reale mentre si aggiornano, avere più PC collegati alla stessa casa che vedono ogni segnale del sistema, senza neanche togliersi il pigiama. E ancora meglio, puoi trasformare questa abilità in un'offerta di monitoraggio e manutenzione da remoto, traendone un profitto.

Simon Buddle CEng MIET, è un consulente di Future Ready Homes, specialista in design dei sistemi di servizio BMS ed ELV.

http://www.futurereadyhomes.com

Social share