Le reti locali aziendali (LAN o RLA) sono delle reti interne ad un'organizzazione, cioè dei collegamenti fra reti appartenenti all'organizzazione. Queste reti sono sempre più spesso collegate a Internet attraverso delle apparecchiature d'interconnessione. Spesso accade che le aziende abbiano il bisogno di comunicare via internet con delle filiali, dei clienti o anche dei dipendenti geograficamente lontani.
D'altra parte, i dati trasmessi su Internet sono molto più vulnerabili rispetto a quando circolano su una rete interna all'organizzazione dato che il percorso preso non è definito a priori, il che significa che i dati circolano su un'infrastruttura di rete pubblica che appartiene a differenti operatori. Così non è impossibile che durante il percorso, la rete sia ascoltata da un utente indiscreto o anche sottratto. Non è quindi pensabile trasmettere delle informazioni sensibili per l'organizzazione o l'azienda in queste condizioni.
La prima soluzione per rispondere a questo bisogno di comunicazione sicura consiste nel collegare le reti distanti attraverso un collegamento speciale. Tuttavia la maggior parte delle aziende non può permettersi di collegare due reti locali distanti tramite una linea speciale, ed è quindi a volte necessario usare internet come supporto di trasmissione.
Un buon compromesso può consistere nell'usare internet come supporto di trasmissione attraverso un protocollo di "incapsulamento" (in inglese tunneling, da qui l'uso improprio a volte del termine "tunnelizzazione"), cioè incapsulando i dati da trasmettere in modo cifrato. Si parla allora di rete privata virtuale (sigla RPV o VPN, acronimo di Virtual Private Network) per designare la rete creata artificialmente.
Questa rete è detta virtuale dato che collega due reti "fisiche" (reti locali) attraverso un collegamento non affidabile (Internet), e privata dato che i computer delle retei locali da una parta all'altra della VPN possono "vedere" i dati.
Il sistema di VPN permette quindi di ottenere un collegamento sicuro con un costo minimo, senza contare la realizzazione delle apparecchiature dei terminali. In contropartita non permette di assicurare una qualità di servizio paragonabile ad una linea in affitto dato che la rete fisica è pubblica e quindi non garantita.
Una rete privata virtuale si basa su un protocollo, detto protocollo di tunnelizzazione (tunneling), cioè un protocollo che permette ai dati passanti da un'estremità della VPN all'altra di essere sicurizzati attraverso degli algoritmi di criptografia.
Il termine di "tunnel" è usato per simbolizzare il fatto che fra l'entrata e l'uscita della VPN i dati sono cifrati (criptati) e quindi incomprensibili per qualsiasi persona posta fra le due estremità della VPN, come se i dati passassero in un tunnel. Nel caso di una VPN stabilita fra due terminali, viene detto client VPN l'elemento che permette di cifrare e decifrare i dati dal lato utente (client) e server VPN (o più generalmente server d'accesso remoto) l'elemento che cifra e decifra i dati dal lato dell'organizzazione.
In questo modo, quando un utente deve accedere alla rete privata virtuale, la sua richiesta è trasmessa in chiaro al sistema passerella, che si connette alla rete remota attraverso un'infrastruttura di rete pubblica, e poi trasmette la richiesta in modo cifrato. Il computer remoto fornirà allora i dati al server VPN della sua rete locale che trasmetterà la risposta in modo cifrato. Al ricevimento sul client VPN dell'utente, i dati saranno decifrati, e infine trasmessi all'utente...
I principali protocolli di tunnelizzazione sono i seguenti :
Il principio del protocollo PPTP (Point To Point Tunneling Protocol) è di creare delle trame sul protocollo PPP e di incapsularle in un datagramma IP.
Così, in questo modo di connessione, i terminali remoti delle due reti locali sono connessi con una connessione point to point (che comprende un sistema di codificazione e di autentificazione, e il pacchetto transita all'interno di un datagramma IP.
In questo modo, i dati della rete locale (nonché gli indirizzi dei terminali presenti nell'intestazione del messaggio) sono incapsulati in un messaggio PPP, che è esso stesso incapsulato in un messaggio IP .
Il protocollo L2TP è un protocollo standard di tunnelizzazione (standardizzato in un RFC ) molto simile al PPTP. Così il protocollo L2TP incapsula delle trame protocollo PPP, incapsulanti esse stesse degli altri protocolli (come IP, IPX o ancora NetBIOS).
IPSec è un protocollo definito dall'IETF che permette di sicurizzare gli scambi a livello di rete. Si tratta infatti di un protocollo che apporta dei miglioramenti a livello della sicurezza al protocollo IP per garantire la confidenzialità, l'integrità e l'autentificazione degli scambi.
Il protocollo IPSec è basato su tre moduli :
