Spiegazione dei sette principali protocolli VPN
La scelta del protocollo VPN varia a seconda della VPN che si utilizza.
Alcune VPN consentono di scegliere tra un’ampia gamma di protocolli. Altre VPN invece non consentono alcuna scelta.
Ogni protocollo ha i propri punti di forza e di debolezza ed è necessario capire le differenze tra i diversi protocolli per scegliere quello più appropriato per la propria attività su Internet.
Di seguito sono riportati i sette protocolli VPN più comunemente utilizzati e i relativi vantaggi:
1. OpenVPN: il migliore protocollo VPN
| Vantaggi | Svantaggi |
|---|---|
| Supportato in modo nativo da quasi tutte le VPN | Elevato consumo di larghezza di banda |
| Open source | Non è il protocollo VPN più veloce disponibile |
| Accuratamente testato per un lungo periodo di tempo | Codice sorgente pesante |
| Nessuna vulnerabilità nota | |
| Gli utenti possono scegliere tra le versioni UDP e TCP | |
| Compatibile con una serie di crittografie, incluso AES-256 | |
| Supporta la Perfect Forward Secrecy | |
| Il protocollo VPN standard negli ultimi vent’anni |
SOMMARIO: OpenVPN è ancora il miglior protocollo VPN che abbiamo testato. È stato il protocollo VPN leader del settore per oltre un decennio, offrendo un ottimo equilibrio tra sicurezza infrangibile e prestazioni elevate. Consigliamo di utilizzare OpenVPN quando disponibile.
Creato nel 2001 da James Yonan, OpenVPN è considerato il protocollo VPN più sicuro.
Il software è open source ed è in circolazione da oltre vent’anni, il che significa che i ricercatori della sicurezza hanno dedicato molto tempo a testarlo per individuare punti deboli e falle della sicurezza.
Al momento OpenVPN non presenta vulnerabilità note, pertanto quando si utilizza OpenVPN si può essere tranquilli che la propria connessione VPN è sicura e privata.
Il protocollo è compatibile con un’ampia gamma di crittografie, inclusi AES, Blowfish e ChaCha20.
OpenVPN è anche un protocollo altamente configurabile. Quasi tutte le app VPN supportano in modo nativo OpenVPN sulla maggior parte delle piattaforme principali, come Microsoft Windows, Apple macOS, Android, Linux e iOS.
Per le piattaforme non supportate, in genere è possibile scaricare un file di configurazione che consentirà di impostare manualmente una connessione OpenVPN.
OpenVPN può funzionare con due diversi protocolli di comunicazione: TCP e UDP. Si tratta di protocolli a livello di trasporto che regolano l’accuratezza con cui i dati vengono trasmessi attraverso la rete.
La differenza principale tra loro è che OpenVPN UDP è più veloce, ma OpenVPN TCP fornisce una connessione più affidabile perché riesce ad aggirare meglio i Firewall.
Il nostro consiglio è di provare sempre UDP per la connessione VPN. Se non funziona, passare a TCP.
Lo svantaggio principale di OpenVPN è che non è veloce, leggero o efficiente come alcuni degli altri protocolli VPN. Le sue velocità sono buone, ma non così veloci come WireGuard o IKEv2.
È anche il protocollo VPN con i requisiti di larghezza di banda più elevati. Come dimostrano i nostri test di utilizzo dei dati delle VPN , OpenVPN consuma molti più dati di qualsiasi altro protocollo VPN. Ciò significa che se si utilizza la VPN su dispositivi mobili, si raggiungerà il limite di dati previsto nel contratto il 20% più in fretta.
Quando utilizzare OpenVPN:
- Se la privacy e la sicurezza rappresentano la priorità assoluta, allora è opportuno usare OpenVPN quando possibile.
Quando non utilizzare OpenVPN:
- Se la velocità è fondamentale per la propria attività (ad esempio per i videogiochi).
- Se si utilizza una VPN mentre si è connessi con i dati del cellulare (ad esempio, 3G/4G). Infatti si raggiungerà il limite massimo consentito più rapidamente e si pagherà di più per il roaming all’estero.
2. WireGuard: il protocollo VPN più veloce
| Vantaggi | Svantaggi |
|---|---|
| Codice sorgente molto leggero | Ci sono problemi di privacy con la configurazione predefinita |
| Velocità estremamente elevate | Non ancora supportato da tutte le VPN |
| Open source | Ha bisogno di tempo per essere completamente collaudato e testato |
| Consumo di dati limitato | Può essere utilizzato solo con UDP |
| Nessun problema di sicurezza noto | |
| Buona gestione dei passaggi di rete | |
| Supporta la Perfect Forward Secrecy | |
| Molto facile da configurare manualmente |
SOMMARIO: WireGuard è il protocollo VPN più recente del settore e sta rapidamente arrivando al livello di OpenVPN. Le sue prestazioni e la sua efficienza sono eccellenti, e non ci sono (ancora) segnali di problemi di sicurezza. Se non ti preoccupa che sia recente, WireGuard potrebbe essere il protocollo VPN migliore per le tue esigenze.
WireGuard è un nuovo protocollo di Tunneling open source progettato per essere più veloce ed efficiente rispetto al più popolare OpenVPN. Per confrontare i due protocolli, puoi leggere la nostra guida dettagliata su WireGuard e OpenVPN.
Rilasciato nel 2019, WireGuard ha riscosso molto successo nel settore delle VPN. Numerose VPN hanno agito rapidamente per integrare WireGuard nel loro servizio e molte lo hanno scelto come protocollo predefinito.
WireGuard mantiene molte delle promesse fatte dal suo creatore Jason A. Donenfeld:
- È molto veloce. Secondo i test interni di WireGuard, le prestazioni sono tre volte più veloci rispetto a OpenVPN. Abbiamo visto risultati simili anche nei nostri test, soprattutto sulle connessioni su lunga distanza.
- Il codice base è estremamente efficiente. WireGuard è composto da circa 4.000 righe di codice, all’incirca 100 volte meno delle controparti come OpenVPN e IKEv2. Questo non solo è positivo per le prestazioni, ma dovrebbe anche migliorare la sicurezza. Un codice sorgente ridotto rende il protocollo più facile da controllare e riduce la superficie di attacco per gli hacker.
- L’utilizzo dei dati è minimo. I nostri test hanno rilevato che WireGuard è di gran lunga il protocollo VPN che utilizza minore larghezza di banda. Rispetto al 20% di OpenVPN, WireGuard aggiunge solo un ulteriore 4% di consumo di dati all’attività normale degli utenti. Ulteriori informazioni sono disponibili nella nostra guida alle VPN e ai dati mobili.
La giovane età di WireGuard è attualmente il principale fattore negativo. Sebbene i Benchmark delle prestazioni siano eccellenti e non vi siano ancora segni di vulnerabilità della sicurezza, ci vorrà del tempo per stabilirne la reale affidabilità.
Questo vale anche per la sua crittografia. WireGuard non è compatibile con gli algoritmi di crittografia collaudati e testati come AES-256. Utilizza il relativamente nuovo algoritmo ChaCha20. Tutti gli indicatori suggeriscono che ChaCha20 è molto sicuro e potenzialmente anche più veloce di AES, ma gli utenti attenti alla privacy hanno sempre bisogno tempo per aprirsi alle nuove tecnologie di crittografia.
Sono stati inoltre rilevati alcuni problemi di privacy relativi alla configurazione predefinita di WireGuard. I server VPN devono memorizzare un log temporaneo dell’indirizzo IP affinché il protocollo funzioni. Questo è un requisito non comune agli altri protocolli VPN, che potrebbe destare preoccupazioni se non risolto.
Per fortuna, è possibile applicare delle misure preventive per risolvere questo problema. NordVPN, ad esempio, integra WireGuard con il suo sistema proprietario Double NAT per creare un protocollo più sicuro e personalizzato chiamato NordLynx. Analogamente, Mullvad elimina l’indirizzo IP dopo dieci minuti di inattività.
Di seguito è riportato un elenco delle VPN che attualmente supportano WireGuard:
- Astrill
- AzireVPN
- CactusVPN
- CyberGhost
- Hide.me
- IVPN
- Mullvad
- NordVPN
- PIA
- StrongVPN
- Surfshark
- TorGuard
- VPN.AC
- VyprVPN
- Windscribe
Ci aspettiamo che questo numero cresca man mano che WireGuard ottiene il favore del grande pubblico.
Quando utilizzare WireGuard:
- Tutti i primi segnali suggeriscono che WireGuard è protetto e sicuro come OpenVPN, oltre a essere più veloce. Se preferisci affidarti a un protocollo più nuovo, ti consigliamo di utilizzare WireGuard per qualsiasi attività.
- WireGuard è particolarmente utile per gli utenti di VPN mobili, grazie al basso consumo di larghezza di banda.
Quando non utilizzare WireGuard:
- Se si è particolarmente prudenti riguardo alla propria privacy e sicurezza online, potrebbe essere preferibile dare a WireGuard più tempo per dimostrarsi all’altezza del suo compito. Inoltre, è necessario fare attenzione alle VPN che non stanno adottando misure per superare i requisiti di registrazione dell’indirizzo IP del protocollo.
- WireGuard non è in grado di aggirare i Firewall come gli altri protocolli VPN perché è compatibile solo con UDP. Se si sta cercando di aggirare la censura, potrebbe essere preferibile cercare altrove.
3. IKEv2/IPSec: protocollo ottimo per i dispositivi mobili
| Vantaggi | Svantaggi |
|---|---|
| Offre una connessione molto stabile | Closed source (a eccezione di Linux) |
| Velocità elevate | Probabilmente violato dall’NSA |
| Compatibile con una serie di crittografie, inclusa AES-256 | Inaffidabile per aggirare i Firewall |
| Buona gestione dei passaggi di rete | |
| Supporta la Perfect Forward Secrecy |
SOMMARIO: IKEv2/IPSec è un protocollo VPN veloce che fornisce una connessione molto stabile per gli utenti di dispositivi mobili che passano regolarmente da una rete all’altra. Ci sono dei sospetti che possa essere stato violato dalla NSA, ma per la normale navigazione consigliamo IKEv2 come protocollo sicuro.
Internet Key Exchange version 2 (IKEv2) è un protocollo VPN particolarmente diffuso tra gli utenti di dispositivi mobili.
Offre velocità di connessione molto elevate e utilizza un protocollo MOBIKE per gestire senza problemi il passaggio da una rete all’altra. Questo rende IKEv2 ideale per gli utenti di VPN mobili, che spesso passano da reti dati cellulari a reti Wi-Fi e viceversa.
IKEv2 è stato sviluppato in collaborazione tra Microsoft e Cisco ed è il successore dell’IKEv1 originale.
Cos’è IPSec?
Da solo, IKEv2 non fornisce alcuna crittografia. Il suo obiettivo è l’autenticazione e la creazione di un tunnel VPN sicuro. Per questo motivo IKEv2 viene in genere combinato con IPSec (Internet Protocol Security) per formare IKEv2/IPSec.
IPSec è una suite di protocolli di protezione che utilizza crittografie a 256 bit, ad esempio AES, Camellia o ChaCha20. Dopo che IKEv2 ha stabilito una connessione sicura tra il dispositivo e il server VPN, IPSec crittografa i dati per il trasferimento attraverso il tunnel.
IKEv2/IPSec è supportato dalla maggior parte delle VPN, ma purtroppo il suo codice sorgente è closed source.
Il protocollo sembra sicuro dall’esterno, ma senza la trasparenza dell’open source è impossibile verificare che Microsoft non abbia creato Backdoor o altre vulnerabilità al suo interno.
NOTA: le versioni Linux di IKEv2/IPSec sono open source e gli audit non hanno mostrato nulla di anomalo nel protocollo. Per questo motivo, la natura closed source di IKEv2 è meno preoccupante rispetto ad altri protocolli closed source, come SSTP.
Ricercatori sulla sicurezza come Edward Snowden hanno anche suggerito che IPSec è stato deliberatamente indebolito durante la sua creazione. Sebbene ciò non sia confermato, si sospetta che qualsiasi protocollo VPN basato su IPSec possa essere compromesso dall’NSA.
Non vi sono prove che suggeriscano che IKEv2/IPSec sia vulnerabile ad avversari meno sofisticati, come hacker o ISP. Si tratta di un protocollo VPN veloce, flessibile e per lo più sicuro che funziona bene sul cellulare.
IKEv2 funziona solo sulla porta UDP 500. Si tratta di una porta facile da bloccare per i Firewall e gli amministratori delle Wi-Fi, il che significa che IKEv2/IPSec non è un protocollo VPN efficace per aggirare la censura in paesi come la Cina o la Russia.
Quando utilizzare IKEv2/IPSec:
- Se si utilizza una VPN sul cellulare e si passa regolarmente da Wi-Fi a dati cellulari (ad esempio 3G/4G).
Quando non utilizzare IKEv2/IPSec:
- Se si desidera aggirare i Firewall della propria scuola o della rete locale del lavoro o di aggirare la censura in un paese autoritario.
- Se si è particolarmente preoccupati per la propria privacy e il proprio anonimato. Il fatto che IKEv2 sia closed source e la possibile associazione di IPSec con l’NSA sono sufficienti per mettere in dubbio la privacy di IKEv2/IPSec.
4. SoftEther: valido per aggirare la censura
| Vantaggi | Svantaggi |
|---|---|
| Open source | Rilasciato solo nel 2014 |
| Velocità molto elevate | Richiede la configurazione manuale per essere sicuro |
| Compatibile con una serie di crittografie, inclusa AES-256 | Non supportato in modo nativo su alcun sistema operativo |
| Affidabile per aggirare i Firewall | Compatibile con poche VPN |
SOMMARIO: SoftEther è un protocollo molto veloce e ragionevolmente sicuro. È particolarmente utile per aggirare la censura, ma gli utenti devono essere cauti rispetto alle impostazioni di configurazione predefinite e alla mancanza di compatibilità con le VPN più diffuse.
SoftEther è un protocollo VPN open source sviluppato inizialmente come parte di una tesi di Master presso l’Università di Tsukuba.
Rilasciato nel 2014, SoftEther è uno dei più recenti protocolli VPN disponibili. I primi segnali indicano che offre una buona sicurezza senza compromettere la velocità.
SoftEther supporta la crittografia avanzata, inclusi AES-256 e RSA-4096. Vanta inoltre velocità che secondo quanto riferito sono 13 volte superiori rispetto a OpenVPN.
È anche ben progettato per aggirare la pesante censura Web. SoftEther basa i suoi protocolli di crittografia e autenticazione su OpenSSL. Come SSTP e OpenVPN, questo significa che può utilizzare la porta TCP 433, che è molto difficile da bloccare per i Firewall e i sistemi di censura.
Nel 2018 SoftEther è stato sottoposto a un audit sulla sicurezza di 80 ore che ha rivelato 11 vulnerabilità della sicurezza. Queste sono state oggetto di Patch in un aggiornamento successivo, ma i ricercatori della Aalto University hanno recentemente scoperto che SoftEther è a volte vulnerabile agli attacchi man-in-the-middle.
Questo succede perché la configurazione predefinita prevede che i client non verifichino il certificato del server. Eventuali hacker possono quindi fingersi un server VPN e ottenere l’accesso alle credenziali utente e alle sue attività online.
Quando si utilizza SoftEther, accertarsi di selezionare la casella Always Verify Server Certificate (Verifica sempre certificato server) nelle impostazioni relative alla nuova connessione VPN.
Le impostazioni predefinite di SoftEther non includono la verifica del certificato del server.
SoftEther non è supportato in modo nativo su alcun sistema operativo e sono attualmente pochi i fornitori VPN a supportarne l’utilizzo. Di quelli che abbiamo testato, solo Hide.me e CactusVPN supportano il protocollo SoftEther.
Quando utilizzare SoftEther:
- Se la VPN lo supporta, è possibile utilizzare SoftEther per una navigazione rapida e sicura.
- È particolarmente efficace nel superamento dei Firewall e nell’aggirare la censura.
Quando non utilizzare SoftEther:
- Non iniziare a utilizzare SoftEther prima di aver attivato l’opzione “Always Verify Server Certificate” (Verifica sempre certificato server).
5. L2TP/IPSec: lento, non vale la pena utilizzarlo
| Vantaggi | Svantaggi |
|---|---|
| Il doppio incapsulamento offre una maggiore sicurezza | Probabilmente violato dall’NSA |
| Supportato in modo nativo sulla maggior parte delle piattaforme | Più lento di altri protocolli VPN |
| Compatibile con una serie di crittografie, incluso AES-256 | Suscettibile agli attacchi man-in-the-middle |
SOMMARIO: L2TP/IPSec è un protocollo VPN relativamente lento che richiede soluzioni alternative per un utilizzo sicuro. Anche in questo caso, semplicemente non vale la pena usarlo. Ci sarà quasi sempre un protocollo VPN disponibile più sicuro e veloce.
Creato nel 1999 come successore di PPTP, Layer 2 Tunneling Protocol (L2TP) è un protocollo dal facile utilizzo supportato in modo nativo dalla maggior parte delle VPN, sulla maggior parte dei dispositivi.
Come IKEv2, L2TP si combina con IPSec per formare un protocollo VPN L2TP/IPSec ibrido. Purtroppo, questo significa che è soggetto alle stesse preoccupazioni legate alla privacy, sollevate da Edward Snowden, che IPSec sia stato violato dalla NSA.
Esiste anche un difetto di sicurezza diverso con L2TP. Questo problema si verifica quando viene utilizzato con una VPN che utilizza chiavi precondivise.
Se le chiavi di crittografia della VPN sono disponibili per il download online, questo apre la possibilità a utenti malintenzionati di falsificare le credenziali di autenticazione, fingendosi il server VPN e accedendo ai dati della connessione, attacco noto come man-in-the-middle.
L2TP offre una funzione di doppio incapsulamento, che racchiude i dati in due livelli di protezione. Anche se questo da un lato migliora la sicurezza del protocollo, lo rallenta notevolmente.
I protocolli precedenti, come L2TP, possono anche essere incompatibili con NAT, caratteristica che può causare problemi di connettività. In questo caso, sarà necessario utilizzare una funzionalità Passthrough della VPN sul router per connettersi a una VPN utilizzando L2TP.
L2TP/IPSec è il protocollo VPN più lento di questo elenco.
Quando utilizzare L2TP/IPSec:
- Consigliamo di non utilizzare mai L2TP/IPSec.
Quando non utilizzare L2TP/IPSec:
- Non usare L2TP se si trasferiscono informazioni personali, si è preoccupati della sorveglianza dell’NSA o si utilizza una VPN che condivide pubblicamente le chiavi di crittografia online.
6. SSTP: closed source con potenziali rischi
| Vantaggi | Svantaggi |
|---|---|
| Affidabile per aggirare i Firewall | Closed source |
| Facile da configurare su Windows | Può essere suscettibile agli attacchi man-in-the-middle |
| Utilizza una crittografia AES-256 sicura | Preoccupanti legami con l’NSA |
SOMMARIO: SSTP è un buon protocollo VPN in termini di prestazioni: è ragionevolmente veloce e molto efficace nell’aggirare la censura. Tuttavia, presenta alcuni problemi di privacy e sicurezza. Per questi motivi, è consigliabile evitare di utilizzare SSTP per il traffico riservato, laddove possibile.
Secure Socket Tunneling Protocol (SSTP) è un protocollo proprietario posseduto e gestito da Microsoft. È closed source, quindi i dettagli della sua implementazione non sono chiari.
Sappiamo che SSTP si basa sugli standard di crittografia SSL/TLS.
Questo è positivo perché consente a SSTP di utilizzare la porta TCP 443, che è la porta attraverso la quale scorre tutto il traffico HTTPS regolare, il che rende molto difficile il blocco dei Firewall.
Di conseguenza, SSTP è un protocollo VPN efficace da utilizzare se si tenta di aggirare la censura, come il Great Firewall della Cina.
Dall’altro lato, SSL 3.0 è vulnerabile a un particolare attacco man-in-the-middle noto come POODLE. Non è stato confermato se anche il protocollo SSTP sia interessato da questa vulnerabilità, ma a nostro avviso non vale la pena correre il rischio.
Esiste inoltre il problema della cooperazione di Microsoft con l’NSA in passato. Come protocollo closed source prodotto da Microsoft, esiste la possibilità che l’NSA vi abbia inserito una Backdoor.
Quando utilizzare SSTP:
- Se si sta cercando di aggirare i Firewall della scuola, del lavoro o della pubblica amministrazione e non c’è un protocollo migliore a disposizione.
Quando non utilizzare SSTP:
- Data la possibilità di un attacco POODLE e/o della sorveglianza da parte della NSA, non utilizzare SSTP per qualsiasi attività in cui la privacy, la sicurezza o l’anonimato siano della massima importanza.
7. PPTP: obsoleto e non sicuro
| Vantaggi | Svantaggi |
|---|---|
| Velocità molto elevate | Vulnerabilità di sicurezza note |
| Supportato in modo nativo su quasi tutte le piattaforme | Non compatibile con le chiavi di crittografia a 256 bit |
| Facile da configurare | Non supera le censure |
| A quanto pare, violato dall’NSA | |
| Non efficace come strumento per la privacy |
SUMMARY: il PPTP è veloce perché non protegge o mette al sicuro i tuoi dati. Se utilizzi il PPTP per creare il tuo tunnel VPN, il tuo traffico è facilmente esposto alle intercettazioni ed è improbabile che tu riesca a sbloccare le restrizioni geografiche o aggirare i firewall.
Il protocollo PPTP (Point-to-Point Tunneling Protocol) era il protocollo VPN originale. Sviluppato dall’ingegnere di Microsoft Gurdeep Singh-Pall nel 1996, ha segnato la nascita della tecnologia VPN.
Oggi PPTP è obsoleto e assolutamente non sicuro da utilizzare in una VPN “per consumatori”.
Si consiglia di non utilizzare PPTP a meno che non sia assolutamente necessario. È obsoleto sia come strumento di privacy che di sicurezza.
PPTP garantisce velocità elevate, ma ciò è dovuto in parte al fatto che la chiave di crittografia più potente che può utilizzare è a 128 bit. Non è compatibile con la crittografia AES-256 di livello militare utilizzata dalle VPN più sicure.
Questo protocollo sacrifica la sicurezza a favore della velocità con diverse vulnerabilità note. Ad esempio, è stato dimostrato che un utente malintenzionato esperto può forzare l’accesso a una connessione VPN crittografata con PPTP in pochi minuti.
La NSA ha anche, secondo quanto riferito, sfruttato i punti deboli della sicurezza di PPTP per raccogliere enormi quantità di dati degli utenti delle VPN.
Anche se viene ancora utilizzato all’interno delle reti VPN aziendali, è consigliabile evitare di utilizzare PPTP per la propria VPN personale. Alcune VPN hanno persino deciso di interrompere il supporto di PPTP a causa delle sue vulnerabilità.
Quando utilizzare PPTP:
- Si consiglia di non utilizzare mai PPTP. L’unica eccezione potrebbe essere se si è alla ricerca di velocità elevate e non ci si preoccupa della privacy o della sicurezza.
Quando non utilizzare PPTP:
- È particolarmente importante non utilizzare mai PPTP per attività che implicano informazioni riservate, come dati bancari o password.
Protocolli VPN proprietari
Alcune VPN non offrono solo i protocolli sopra elencati. Molti creano anche i propri protocolli: questi vengono definiti protocolli VPN proprietari.
L’utilizzo di un protocollo VPN proprietario presenta vantaggi e svantaggi. Il principale vantaggio è che probabilmente sarà più veloce delle altre opzioni offerte.
Dopo aver impiegato tempo e denaro per la creazione di un nuovo protocollo, è naturale che una VPN dedichi i server e l’infrastruttura migliori per renderlo il più veloce possibile. I provider spesso affermano che è anche più sicuro.
D’altra parte, questi protocolli sono solitamente quasi del tutto opachi.
I protocolli open source come OpenVPN sono stati studiati da migliaia di persone per verificarne sicurezza, protezione e aderenza a quanto promesso. I protocolli VPN proprietari tendono invece a essere closed source, quindi è molto difficile dire esattamente cosa accade dietro le quinte.
Il numero di VPN che utilizza il proprio protocollo proprietario VPN è limitato, ma in costante crescita. Di seguito sono riportati alcuni protocolli importanti da considerare:
- Astrill – OpenWeb e StealthVPN
- ExpressVPN – Lightway
- Hotspot Shield – Catapult Hydra
- Hidester – CamoVPN
- NordVPN – NordLynx
- VPN Unlimited – KeepSolid Wise
- VyprVPN – Chameleon
- X-VPN – Protocol X
